摘要:随着新型信息技术的迅猛发展,基于网络信息系统的各种网络应用已经深度融入到人类生产生活的各个方面,随之而来的网络信息也随之而来。安全问题也比较突出。通过分析新时代背景下网络信息系统面临的主要安全风险,构建基于统一安全基础、以安全按需赋能为核心、以安全管理智能化为保障的动态网络信息安全防御体系,建议。安全平台、安全服务、安全管理等方面实现防御体系闭环运行,为提升我国网络信息系统安全保障能力提供参考。一、引言习近平总书记在2018年全国网络安全和信息化工作会议上强调,没有网络安全,就没有国家安全,就没有经济社会稳定,就难以维护广大人民群众的利益。当前,国家政府、军队和企业的重要网络信息系统已成为敌对国家、恐怖组织和各种恶意人士谋利的目标,严重影响国家政治、经济和社会的稳定与发展。社会。此外,大数据、云计算、人工智能等新兴信息技术也逐渐应用于网络信息系统。在提高通信效率和用户服务体验的同时,也给网络信息系统安全带来了新的挑战[1]。网络信息安全防御体系是网络信息系统安全运行的重要保障。通过该系统的建设,可以从通信网络、计算环境、数据和应用等多方面形成纵深防御能力,全面保障网络信息系统的安全。然而,随着网络攻击的高级化、复杂化和持久化,以边界防御、漏洞检测、规则匹配等静态安全防护手段为主的传统安全防御体系已经“力不从心”[2]。本文在分析新时代网络信息安全威胁的基础上,提出了基于统一安全基础、以安全按需赋能为核心、以安全管理智能化为保障的动态网络信息安全防御体系。为提高我国网络信息系统安全防御能力提供参考,组织结构如下:第1部分分析网络信息系统面临的主要安全风险;第2部分提出分层的网络信息动态防御架构;第3部分阐述动态防御系统的组成及主要特点;最后总结全文文本。二、网络信息系统安全风险分析近年来,世界主要大国高度重视网络信息安全问题,纷纷采取积极行动,加大力度提升网络空间安全攻防能力。这主要表现在以下几个方面。一是发布各类顶层设计文件,积极将网络空间安全上升为国家战略;二是开展各项网络安全工程,加快实施对自身网络的全面保护。三是打造网络空间专用军,争创网络空间安全霸权;四是加大网络空间安全战略投入,积极抢占网络空间技术制高点。五是全面研究网络空间安全形势和对策,积极主导国际游戏规则。在此背景下,国际网络空间对抗形势日趋明朗,典型案例层出不穷,网络空间斗争愈演愈烈[3]。从应对国际网络空间对抗常态化、军事化的角度看,我国网络信息系统的安全防御在技术发展、防护模式、基础平台等方面还存在一定差距,这使得我国网络信息系统安全面临巨大的安全威胁。风险。2.1技术发展不平衡带来的安全风险我国网络信息安全技术体系受国外技术体系影响较大。虽然技术体系与国际接轨,比较完备,但短期内不会在一些关键基础技术领域出现。安全评估、网络攻防、漏洞挖掘、高安全信息系统安全集成设计、软件安全测试与评价、信息新技术信息安全防护等成果布局和投入不足。正是这种技术发展不平衡,导致我国网络信息安全在态势感知与融合、新信息技术安全防御、网络安全性能评估、新型网络攻击手段等方面缺乏关键技术支撑。系统高持续性威胁攻击发现、网络威慑与对策等理论与技术。2.2防护方式不完善带来的安全风险目前,我国主要网络信息系统建设普遍采用叠加后加方式,采用网络信息安全产品的安全加固方式。这种方法虽然在一定程度上提高了网络信息系统的安全防护能力,但是网络信息安全与通信网络还没有形成统一的体系,各种安全产品之间没有聚合能力,不仅要应对newandunknown攻击无可奈何,增加了系统的复杂性,安全防护强度不高,防护粒度不够。这种网络信息安全防御模式的不完善,导致我国网络信息系统的安全机制完备性、安全防护强度和动态适应性无法满足强对抗环境、高安全性的作战需要,不能有效应对持续、有预谋、高强度的网络对抗和安全风险事件频发。2.3基础平台不对称带来的安全隐患中兴禁运事件再次敲响了我国关键元器件可自主可控的警钟,也暴露了我国技术基础薄弱的真实背景。在网络信息安全领域,我国信息安全技术研发和装备研制所依赖的部分基础芯片、基础软件、基础软硬件工具等仍依赖国外技术和产品(或开源技术和产品),很难摆脱软件和硬件的初始设计。该阶段是被植入后门并引入漏洞的安全风险。一旦这些技术和产品被预置(或植入)后门,在国与国对抗的背景下,整个网络信息系统将基本“不设防”。看看中兴禁运事件,我们可以发现,我们在供应链上很容易被别人控制。网络信息安全基础平台的不对称性,导致我国重要的网络信息系统面临诸多无法回避的安全威胁。漏洞后门防不胜防,陷入“围堵拦截”的防御怪圈。3、网络信息安全动态防御分层架构针对我国网络信息安全在技术发展、防护模式、基础平台等方面存在的问题,提出统一的安全基础,以安全按需赋能为基础。以智能化安全管理为保障的核心、网络信息安全动态防御体系,变静态为动态、变被动为主动,确保网络信息系统在“毒菌”攻势日趋猛烈的背景下安全可靠运行防守游戏。网络信息安全动态防御体系分层架构如图1所示。网络信息安全动态防御体系以统一的安全基础为基础,对人、设备、设备等要素进行统一的安全防护设计。构成网络信息系统的数据,形成了整个网络统一的安全保护基础,将安全作为一个基本属性贯穿于整个网络信息系统的运行过程。安全平台层为网络信息系统的基础传输、网络承载、计算终端和信息服务提供基础安全服务。其产品形态为多种硬件和软件设备,采用软件可定义架构,具有态势感知功能。安全服务层由安全服务云平台、安全数据环境、安全原子服务、安全聚合服务组成。安全服务云平台为整个安全服务层提供基础计算环境。安防数据环境采用大数据技术,整合公共领域、专业领域、管理领域等各个领域的安防数据资源,提供数据挖掘、数据呈现、决策支持等数据服务。安全原子服务包括机密性保护、完整性保护、不可否认性保护、身份认证服务、访问控制服务等基本安全服务。安全聚合服务将不同的安全原子服务和安全资源按需聚合成相应的安全服务,为不同的安全应用提供服务保障。安全管理层为整个网络信息动态防御体系提供身份认证、访问控制、资源管理、策略配置、设备控制等统一的安全管理基础设施,支持智能辅助决策、全景态势等功能推介会。安全监控预警主要提供态势融合分析处理、威胁识别、态势评估和预测等功能,可为网络信息系统的动态防御提供情报来源和决策支持。4、系统组成及特点说明网络信息安全动态防御体系以统一的安全基础为基础,以安全按需赋能为核心,以安全管理智能化为保障。在安全检测和预警的支持下,形成“监控-决策-响应-防御”的动态防御体系,实现基于态势变化和安全需求的网络信息系统安全防御。4.1统一安全基础人、设备、数据作为网络信息系统的基本要素,是网络信息安全保护的基本对象,在全网统一的身份认证和访问控制基础设施的支持下,对网络信息进行标准化的安全设计。网络信息系统中的人、设备、数据,形成全网统一的安全防护基础。服务器等网络信息系统基础设施,除使用类似于用户的身份标识外,还利用可信计算、软件合法性控制等手段,保证“物”本身的安全可信;数据保护工作随着智能技术的普及和物联网的日益重要,采用统一的元数据格式对全网信息数据进行编码编码,并根据数据本身的价值属性,对数据进行编码。添加安全属性字段以校准数据。安全级别。通过上述安全设计,网络信息系统可以在整个运行过程中,根据安全需求对网络上的“人”、“物”、“数据”进行安全检测和认证,确保:全网各种实体的身份可识别,权限可控,行为可审计,风险可评估,责任可识别。4.2安全按需赋能安全按需赋能是指网络信息安全防御系统能够根据安全保障需求和安全态势的动态变化,动态调整系统安全服务能力,实现按需加载安全功能。首先,安全服务层将各种安全服务抽象成一组安全原子服务。针对不同的安全服务需求,网络信息安全动态防御系统可以采用基于安全服务云平台的服务聚合方式,按需聚合不同的安全原子服务和所需的安全资源,形成定制化的安全服务功能。其次,安全平台层的基础传输、网络承载、计算终端、信息服务等安全防护设备,采用软硬件解耦的软件定义设计思想,可根据业务应用类型进行多样化、业务通信关系和网络安全情况。根据需求,按需加载定制的安全服务功能插件,从根本上改变现有安全防护产品功能固定、单一的现状,通过软件插件实现所需安全服务功能的定义和赋予-插件。它的模式就像是在智能手机上下载、安装、卸载各种“App”应用。最后,在安全管理层的统一管控决策下,安全服务层将聚合后的安全服务功能在线远程交付给软件定义安全平台,实现安全功能的按需加载。4.3智能安全管理安全管理层采用智能辅助决策技术,能够在网络信息系统运行过程中,根据安全服务需求的变化和安全形势的动态变化,结合管理现状支持兵力部署、安全策略配置等,通过行为深度学习、智能推理决策等手段,可以快速生成安全服务需求规划和策略配置方案,从而大大提高安全管控的自动化和智能化水平,提高安全管理保障的灵活性、有效性和实时性。在交互界面上,安全监控预警为安全管理层提供威胁情报和预警信息。安全服务层接受来自安全管理层的控制指令,聚合相应的安全服务,发送给安全平台层执行。4.4防御系统联动网络信息安全动态防御系统通过对网络信息系统中的人、设备、数据进行统一的安全设计,使安全成为贯穿整个通信网络及其运行过程的基本属性。同时,通过安全管理层、安全服务层、安全平台层和安全监控预警的联动,构建“监控-决策-响应-防御”的动态防御体系,实现基于动态防御。关于网络空间的情况。“监控”是指实时采集系统安全态势数据并融合分析处理,对发现的系统漏洞、非法操作、网络攻击等安全风险进行预警。“决策”是指安全管理层在安全防御辅助决策技术的支持下进行安全服务规划和决策,确定安全服务、安全资源等安全防御调整方案。“响应”是指安全服务层根据安全防御调整方案,向安全平台下发相应的安全服务功能,使安全平台具备应对安全风险的能力。“防御”是指各类支持安全服务功能的软件定义安全平台实施安全防御,报告网络空间安全态势,抵御各种安全风险事件。五、结语在网络空间安全形势日益严峻的背景下,全面提升我国网络信息系统的安全防御能力迫在眉睫。本文结合新形势下我国网络信息系统面临的安全风险,提出了基于统一安全基础,以安全按需赋能为核心,以安全管理智能化为核心的网络信息安全动态防御体系。保证。网络信息系统静态、刚性、被动安全防御现状,可以提高网络信息系统在安全需求多样化、网络空间对抗性强的情况下的系统防御能力,从而为重要网络信息系统的安全防御设计提供技术参考。
