网络空间技术发展迅速,新应用、新技术衍生的网络空间安全风险趋于复杂化和隐蔽化;建立特有的网络空间安全模型是国内外应对复杂安全威胁的常规做法,但现有的网络空间安全模型存在未来发展方向不明确、新技术衍生风险分析能力不足、网络空间安全防御评估所需的安全能力缺失等问题。
一、前言
网络空间是第五大主权领域空间,维护网络空间安全事关人民生命财产安全、关系到国家安全和社会稳定。党的二十大报告提出,加快建设网络强国、数字中国,强化网络、数据等安全保障体系建设,坚决打赢关键核心技术攻坚战。保障网络空间安全,对维护国家网络空间主权、安全和发展具有重要意义。目前,使用单一技术难以应对复杂多变的网络安全风险,需要全面理解和防范网络空间安全威胁,运用多种网络空间安全技术作为支撑,因此,系统梳理网络空间安全技术体系,明晰网络空间安全技术体系的要素,深入探究网络空间安全技术发展,对提升网络安全风险防范能力、促进网络空间安全技术的创新与发展尤为重要。
随着传输控制协议/网际协议(TCP/IP)通信技术和互联网技术的普及,网络空间的研究范围从传统的通信领域扩展到计算机与网络领域,研究主体也逐渐变为计算机、数据库、信息系统和互联网应用等。21世纪以来,随着人工智能、大数据、物联网、工业互联网等技术和应用的不断成熟,网络空间的研究主体也日趋多样化,从互联网转变为关键基础设施、公共服务等。从网络空间的发展历程来看,随着技术的不断发展,网络空间的研究主体也发生变化。
网络空间安全威胁会随着网络空间主体的不断变化而变化,在不同时期产生了应对不同威胁的网络空间安全防护技术。例如,网络空间安全防护技术从语音窃听、信息保密等数据安全通信传输技术发展到网络空间关键基础设施安全防护技术;网络空间安全技术的研究重点从通信保密、计算机安全、网络安全、信息安全保障发展到网络空间安全,从单一化防御技术逐渐变为防御体系。网络空间安全模型是网络空间安全体系的具象化表现,其呈现形式和包含的技术内容也在不断更新。因此,把握安全模型的未来发展方向,建立一种可以适应网络空间安全研究主体变化的体系化模型,具有重要的研究价值。
二、多视角下的网络空间安全模型评估
网络空间发展经历了多个阶段,相应的安全防护技术侧重点有所不同;描述各个安全模型的方法也不唯一,很难从单一视角全面阐述网络空间安全模型。本研究对典型的网络安全模型进行分析整理,梳理网络空间安全模型的发展脉络,分别从技术、学科和产业视角分析我国网络空间安全的发展现状,并将技术视角细化为信息安全保障、攻防对抗、关键信息基础设施安全、零信任、内生安全5个方面(见图1)。
图1技术视角下网络空间安全模型及其演进
(一)技术视角
1.信息安全保障模型
信息安全保障模型是从信息和信息系统防御角度出发建立的信息安全防御模型,以防护、检测和响应为核心,前期加入策略、预警识别等感知因素,后期加入恢复、反击等行动因素组成的防御架构。
1996年,美国国防部首次给出了信息安全保障的定义,并于同年提出了防护、检测、响应、恢复(PDRR)模型。PDRR模型强调运用传统的单一安全防御思想,专注于信息安全保障,涵盖防护、检测、响应和恢复等环节。之后,美国提出了动态网络安全模型P2DR模型,即在防护、检测、响应(PDR)模型的防护环节前加入策略因素,并将其作为模型的核心,使防护、检测和响应环节都按照既定策略实施,体现了在防御之前利用风险评估来分析安全状态的动态过程。
为了保障用户信息及信息系统的安全,1998年美国国家安全局在P2DR模型的基础上,提出了IATF框架。该框架首次引入了“管理”的概念,将人为因素带入到网络安全防御模型中,为美国政府和工业界的信息及信息系统安全提供指南。为了体现安全保障系统化的思想,2014年美国国家标准与技术研究院(NIST)提出了IPDRR模型。该模型在PDRR模型的基础上增加了风险评估环节,主要用于业务优先级确定、风险识别、资源优先级划分等。
在信息安全保障模型方面,我国在21世纪初结合国情,基于PDRR、P2DR等模型提出了WPDRRC模型。该模型包括预警、防护、检测、响应、恢复和反击等6个环节,能够全面反映信息系统安全保障的各方面能力,涵盖人员、策略和技术等方面的要素,以确保安全策略的贯彻执行。从信息保障角度来看,网络空间安全模型以防护、检测、响应为核心,根据需求变化不断增加关键要素以改进模型。
2.攻防对抗模型
攻防对抗模型是以武器化、漏洞利用和攻击对抗为核心组成的攻击架构,对应的安全防御模型通常分为防护、检测和响应3个阶段。
最早的攻防对抗模型是1996年由美国空军提出的F2T2EA模型。2000年、2011年美国又分别提出了基于F2T2EA模型的网络空间防御链模型、“七步杀伤链”模型。其中,“七步杀伤链”模型明确提出,网络攻防过程中攻防双方虽各有优势,但重在识别和评估攻击链中的多个关键步骤,以支持安全专业人员的安全决策。2013年,美国MITRE公司首次提出ATT&CK模型,该模型将已知攻击者行为转化为战术和技术的结构化列表,通过若干矩阵及结构化信息来表示攻防知识库,目前已在攻防能力覆盖评估、高级可持续威胁攻击(APT)情报分析、威胁狩猎系统等领域广泛应用。基于ATT&CK模型,后续也出现了CARTA安全架构(2015年)、主动防御Shield模型(2020年)以及Engage框架(2021年)等。
无论是以经典杀伤链为核心的网络攻防框架,还是以ATT&CK模型为核心提出的攻防知识库框架,均通过研究攻击过程以提升防御能力。以“七步杀伤链”模型为例,前期的侦查、武器化、投递阶段对应的防御手段有网络安全分析、防火墙访问控制等,可对应防御模型中的检测、保护阶段;后期的安装、指挥与控制、行动阶段对应的防御手段有拒绝访问、网络分割、入侵检测、权限降级等,可对应防御模型中的检测、防护、响应阶段。由此可见,攻防对抗模型中的每个防御步骤都与经典模型一致。
3.关键基础设施安全模型
随着物联网、大数据等新应用的不断出现,物理空间逐步扩展到网络空间,关键基础设施安全成为网络空间重要的防护对象。传统单一模块化的网络安全防御手段已经无法满足关键基础设施的安全防护需求。
美国发布了一系列针对关键基础设施保护的法案和技术框架。例如,2002年,美国国土安全部颁布《国土安全法》,规定了针对关键基础设施保护的任务、设施、管理和技术要求;2006年,又发布《国家基础设施保护计划》(NIPP框架),标志着美国全面开展针对关键基础设施的安全保护工作。此后,美国NIST于2014年发布《提升关键基础设施网络安全框架》(CSF框架)。该框架以传统防御框架的识别、防护、检测、响应、恢复为技术核心,融合了可根据预期目标弹性化、定制化防御手段的配置文件层,并且融合了评估网络安全状态的实现层;通过搭建一个具有弹性又兼备评价反馈的复合型防御体系,满足网络空间阶段关键基础设施保护的需求。2016年,美国提出美国联邦政府网络空间安全研发战略规划,其中的DPDA模型为联邦政府的网络空间安全技术发展指明了方向。
由此可见,针对关键基础设施的安全防护模型是不断迭代发展的,以防御不同时期的新风险、满足不断增加的网络安全需求。
4.零信任模型
零信任安全与传统的“信任但验证”的安全观念相比,更加强调“动态防御”概念。零信任模型有助于提高网络安全水平,保障用户、设备或应用程序的数据安全,减少风险并适应日益复杂和威胁严重的网络环境。
5.内生安全模型
为解决网络空间未知风险带来的安全黑洞问题,改变“易攻难守”的固有形势,我国学者提出了拟态安全。这是一种不依赖漏洞后门检测和攻击特征分析等先验知识的内生安全理论与体系,核心策略为动态与弹性防御,利用虚假目标、诱饵和陷阱等手段扰乱攻击者的攻击行为,同时结合调度重构、同质异构和多模裁决等核心算法实现遭受攻击情况下仍能够“带菌生存”。
(二)学科视角
2015年,我国设立了网络空间安全一级学科,将网络空间安全划分为网络空间安全基础、系统安全、网络安全、应用安全、密码学及应用5个方向。2018年,国际上发布了网络空间安全学科知识体系(CSEC)。CSEC主要面向本科教育,将学科知识体系划分为数据安全、软件安全、组件安全、连接安全、系统安全、人员安全、组织安全和社会安全等8个部分。CSEC中不仅包含网络空间的科学和技术,还包含社会学、管理学等人文学因素。学科视角下的网络空间安全技术体系主要从学科知识体系出发,注重网络安全人才培养,将网络空间安全知识体系模块的逻辑性、系统性、完整性方面贯彻于课程体系建设及学生培养的各个环节。
(三)产业视角
网络空间安全产业与网络空间安全技术紧密结合,共同推动着网络空间安全的发展。从网络空间安全产业视角来看,美国的网络空间安全产业体系较为完备,上游产业涵盖技术研发和创新,提供安全防御的软硬件基础设备;中游产业主要完成技术集成,提供网络安全解决方案、网络安全产品和网络安全服务等;下游产业涵盖终端用户,包括企业、政府和用户,由传统互联网、云计算、移动互联网、物联网、大数据、工业等行业支撑,购买和使用中上游企业提供的网络安全技术和服务。
美国网络空间安全产业生态系统中的各部分相互合作,确保网络及信息系统的安全性。《2022年中国网络安全产业研究报告》显示,我国网络空间安全产业链的上游可以提供基础理论、算法、芯片、高质量样本数据等产业基础能力,中游可提供各类网络安全专业设备、应用产品,下游可提供系统集成、工程建设、服务和产品分销。
近年来,我国在网络空间安全战略性政策制定方面落实到位,市场规模占有率增长显著,但对比美国在网络空间安全领域和网络空间安全技术创新方面的先发优势来看,我国仍需加大网络空间安全产业投入,加快网络空间安全关键技术突破,加强网络空间安全产业链建设。
三、现有网络空间安全模型存在的问题
(一)现有模型缺乏对新技术、新应用的安全能力评估
现有的网络空间安全模型大多是为应对网络安全风险而制定的,如ATT&CK模型和基于PDR模型衍生的信息安全保障模型等。虽然基于既有攻防战术建立的防御模型或针对特定风险的网络安全防护模型在日常防御网络空间威胁时有其独特的优势,能够直观地发现防御链条的薄弱点、快速针对威胁行为作出应对,但上述模型缺乏针对新应用和新技术的必要安全能力分析。开展对新技术、新应用的安全能力评估能够提升网络空间技术的自身安全能力,从“头疼医头、脚疼医脚”的发展现状转变为增强自身安全能力,从根源上解决网络空间安全威胁。
(二)现有模型的体系化防护程度不足
现有的网络空间安全模型和框架是在特定历史阶段、瞄准相应时期的战略导向及需求制定的,体系化相对较弱。网络空间技术发展迅速,防护理念也从防御威胁本身发展到减轻网络风险的脆弱性,传统针对不同安全威胁建立的网络空间安全模型无法全面满足网络空间安全发展需要,固化的防御策略不具备风险形态的敏感性。在全面应对网络空间安全复杂多样的威胁时,现有单一的防御手段防护能力明显不足。网络空间安全模型需要进一步提升体系化程度,增加网络空间安全防御韧性,以适应网络空间风险的快速变化。
(三)网络空间安全技术体系的未来发展路径不清晰
当前,网络空间安全模型发展存在演进式发展和创新式发展两种发展路径。纵观美国网络空间安全模型的发展历史,现有的体系框架多数都是从原始核心框架不断衍生和迭代而来。以CSF框架为例,利用IPDRR模型构成CSF框架的核心层,而IPDRR模型是基于PDRR模型升级迭代而来;ATT&CK模型的初始版本只有9个战术,现已更新完善为14个战术,据此衍生的Shield知识库和Engage框架已被广泛应用。
网络空间安全的内涵和范围一直在变化,网络空间安全模型也随着新观念、新理念的提出不断变化。多数网络空间安全模型根据网络空间安全内涵和外延的变化不断演进发展。与之相对,包括零信任模型和内生安全模型在内的创新性安全模型,则是以网络空间安全需求为驱动构建的一种网络空间安全模型。我国为了应对面临的网络空间安全威胁,有必要深入研究采用何种技术体系发展路径,以更好地适应网络空间的现实发展需要。
四、网络空间安全模型的体系化发展
在分析已有网络空间安全模型的基础上,探讨网络空间安全技术体系框架可能的发展形态,构建可扩展、基于技术要素的网络空间安全技术体系框架,为从技术视角探究网络空间安全技术发展提供了新思路。同时,初步开展了典型应用的安全风险防范分析,为网络空间安全模型的体系化发展提供理论支撑。
(一)基于技术要素的网络空间安全技术体系框架
网络空间安全技术作为防御网络空间安全风险的重要手段,与网络空间技术呈现相伴相生、相辅相成的特性,网络空间安全技术的发展依托于网络空间技术的迭代更新。结合现有网络安全模型的特点,本研究从分析网络空间技术的构成要素出发,充分考虑安全技术的发展,构建了可扩展的网络空间安全技术体系框架。此框架模型从伴生角度出发,对网络空间技术本体进行剖析,有利于分析出关键技术存在的网络空间安全风险,也可以预测未来的应用安全风险,解决不断出现的网络空间新威胁,并提供技术分析体系支撑。网络空间技术体系具有可扩展的特性,因而从伴生角度构建的安全技术体系更易适应技术的发展而与时俱进。
结合经典互联网体系结构的分层思想,本研究将网络空间技术体系分为3层(见图2),自下而上依次为:由卫星、第五代移动通信(5G)、无线上网(WiFi)、光纤等物理通信硬件、拓扑结构构成的通信核心技术层;由各类计算机系统技术和互联网连接协议、技术构成的处理器(CPU)、操作系统(OS)和互联网核心技术层;基于云计算、工业互联网、物联网、人工智能等应用构成的上层应用核心技术层。基于网络空间技术与安全技术的关系,对应的网络空间安全技术分别为通信安全技术、系统安全技术、网络安全技术、应用安全技术。此外,网络空间安全基础研究对网络空间安全技术体系具有重要的理论支撑,因此在上述框架中也添加了基础理论核心要素。
图2基于技术要素的网络空间安全技术体系构建逻辑原理
在基于技术要素的网络空间安全技术体系框架中,将网络空间安全技术要素点按照对应的技术分层进行归类,如图3所示。其中,通信安全技术层包含通信线路安全、通信传输安全等技术;系统安全技术层包含芯片安全、操作系统安全、存储安全等技术;网络安全技术层包含路由安全、域名安全、入侵检测、访问控制等技术;应用安全技术层包含人工智能安全、云计算安全、区块链安全等通用技术以及金融、能源、工业互联网等领域的专有应用安全技术;基础理论层包含密码学、博弈论、信息论等网络空间安全基础理论。
该技术体系框架遵循互联网体系结构的演进式发展思路,可以根据网络空间安全技术的不断变化进行扩展,包容不同领域应用的多样化特性。同时,从网络空间技术要素的角度来看,体现网络空间安全各个层面的技术发展趋势,能够较全面地分析新风险应对的防御技术,为网络空间安全技术提高风险和威胁应对能力提供有力支撑。将以防火墙应用和生成式人工智能应用为例,探究此技术体系框架用于分析安全风险及对应防御技术的过程。
图3基于技术要素的网络空间安全技术体系框架构成
(二)网络空间安全技术体系的应用分析
1.已有安全技术的能力分析
以防火墙产品为例,按照实现技术的不同,分为应用程序代理防火墙、包过滤防火墙、检测防火墙等。如图4所示,防火墙产品目前使用的网络空间安全技术包括应用代理技术、包过滤技术、状态检测技术、完全内容检测技术等。
利用基于技术要素的网络空间安全技术体系框架分析防火墙产品,在应用安全技术层使用了防火墙的应用代理技术、完全内容检测技术中的内容过滤与应用识别功能,防火墙的应用安全技术层可以检查所有应用层的信息包,并将检查的内容信息放入决策过程从而提升安全性;在网络安全技术层使用包过滤技术、状态检测技术等,在网络中相互连接的设备上进行访问控制,对通过设备的数据包进行检查,同时检测数据包的状态,限制恶意数据包进出内部网络;在计算系统安全技术层使用内容检测技术中的防病毒检测、漏洞扫描修复等技术。
图4网络空间安全技术体系框架的应用分析
2.新兴技术的安全风险分析
利用基于技术要素的网络空间安全技术体系框架,以生成式人工智能应用为例(见图4),分析其在不同的网络空间安全技术层面可能产生的安全问题。
生成式人工智能应用带来的安全问题主要有3个方面:①大模型训练多采用分布式训练方法,训练结果通过网络传输至终端,而分布式存储和数据传输会带来网络流量侧的安全问题;②大模型训练和数据运算需要在服务器上完成,致使服务器存在相应的安全风险;③在大模型训练后的部署阶段,应用端会存在投毒攻击、隐私泄露问题。对应到网络空间安全技术体系中,将参数服务器交互安全问题分类到网络安全技术层;将图形处理器及其操作系统的安全漏洞问题分类到系统安全技术层;将对抗样本攻击、数据偏见等投毒攻击产生的安全风险以及隐私泄露、数据污染等安全问题分类到应用安全技术层中。
除了生成式人工智能自身存在的安全风险,本研究探讨了人工智能对已有安全防御体系的威胁分析。人工智能赋能网络攻击的典型技术包括网络资产自动探测识别技术、智能社会工程学攻击技术、智能恶意代码攻击技术、自动化漏洞挖掘与利用技术等。自动探测识别技术会威胁到数据安全,可划分到应用安全层内;社会工程学攻击技术一般应用于身份伪造中,可归类至网络安全层中;智能恶意代码攻击技术是对传统攻击的升级迭代,在应用安全层、网络安全层以及系统安全层均有体现;自动化漏洞挖掘与利用技术与传统漏洞利用技术相似,可归纳于系统安全层。
五、网络空间安全模型的发展建议
(一)完善网络空间安全技术体系核心框架
明确适合我国国情的网络空间安全技术体系发展生态,并不断改进和完善技术核心框架;结合多样化应用场景的变化和网络强国发展的实际需要,对技术核心框架进行迭代,形成有特色、有针对性的安全模型。鼓励学界、业界、政府机构等共同参与技术体系建设,组织网络空间安全领域核心技术攻关,取长补短,促进网络空间安全行业良性发展。此外,需要制定相应的评估与认证机制,用于验证技术体系的有效性和可信度。
(二)促进网络空间安全领域“产学研”协同
网络空间安全技术体系的建立离不开技术标准的支撑。技术标准定义了必要的规范、流程和要求,可以确保系统和设备在防御威胁、检测攻击和应对事件方面具备一致性和有效性,在网络空间安全领域发挥着关键的作用。
为了提升我国网络空间安全的国际影响力,争夺科技话语权,需要在网络空间安全技术体系下补充对应的技术标准,制定符合国际通用标准的技术规范,助力我国企业和研究机构更好地融入国际市场,参与全球合作与竞争。此外,技术标准还可以提供通用的参考框架,促进不同组织及行业之间的合作与协同。通过制定一致的规范和接口标准,不同的企业和组织可以高效进行信息交流、技术对接和资源共享,提高整个网络空间安全体系的鲁棒性和防御能力。
(四)全方面体系化解决人工智能的安全威胁
(注:本文内容呈现略有调整,若需可查看原文:多视角下的网络空间安全模型与体系化发展[J].中国工程科学,2023,25(6):116-125.)