随着全球新一轮科技革命和产业变革的蓄势兴起,网络空间与现实世界从过去的相互分离、逐步交叉开始走向全面融合,成为世界各国的“第二生存空间”和领土、领海、领空和太空之外的“第五疆域”,承载着越来越大的国家利益和战略价值。国际上围绕网络空间的竞争日趋激烈,网络空间攻防对抗强度不断升级。在当前各国都加强网络攻防建设的背景下,面对日趋严峻的国内外网络空间安全形势,我国迫切需要发挥覆盖攻击事件发生全过程的网络安全预警、防御和追溯能力对提升网络空间安全的重要前提作用,全面开展威胁监测、态势感知、攻击预警、安全防御和攻击溯源等方面能力建设研究,实现重大攻击威胁的提前发现、提前防御,有效防范和遏制网络空间重大攻击威胁,提升国家整体防御能力,捍卫网络空间国际主权。
一、全球主要国家建设情况
国际上,美国、英国、俄罗斯等主要发达国家和地区纷纷加强网络空间安全部署,从政府、军队、产业界等不同层面采取措施,建设监测预警和攻击溯源手段。
1.美国:政府主导、军方协同、业界支撑的多层次网络空间态势感知能力体系
美国通过建设大型国家性技术项目、突破关键技术,研发相关产品、支持网络安全产业化发展等多种措施支撑其网络空间态势感知能力体系的建设。一是政府主导,部署国家级大型项目。通过《网络安全国家行动计划》(CNCI)的统筹部署,美国在整个联邦政府网络和公共互联网络上,开发并部署了多个安全监测和防护系统,进行检测和基于威胁的决策分析。二是军方协同,强调网络空间的态势共享和实时感知。通过对网络空间多层数据的捕获及快速分析,形成大规模的网络安全监测和分析能力,并强调通过军事网络与各军种和各战斗司令部以及国土安全部实现态势视图的共享。三是产业界大力支撑,显著提升技术创新能力。美国网络安全产业中利用大数据进行安全分析和威胁检测的产品大量涌现,安全产业在网络安全态势感知技术实力上的整体提升,有效弥补了美国在网络安全监测和预警分析等方面的不足。
2.英国:豪取数据,通过大规模情报搜集发现安全威胁并实施应对
英国政府通信总部GCHQ下设联合威胁研究情报组JTRIG,通过代号为“Tempora”和“Hacienda”的监测计划,进行大规模的数据收集、融合处理和分析,并结合目标识别、关联分析、取证、溯源等手段实施相应,发现攻击源并对其联络渠道和服务器进行干扰和攻击。此外,英国军情五处、政府通信总部等情报机构和160家英国企业共同成立了“网络安全信息共享合作机制”,就网络攻击的实时警报、攻击的技术细节、策划攻击的手段及应对措施等信息开展共享合作。
3.欧洲:基于宽带基础设施监测,发现网络安全威胁
早在2004年,欧盟委员会下的IST资助了一项名为“大规模宽带Internet基础设施监测”的研究计划,通过在学校、研究型组织以及一些电信运营商网络出口部署传感器,采用流量镜像的方式,获取包括留信息、包头和完整报文信息在内的数据,进行DoS攻击的检测和跟踪、0day蠕虫扩散的早期预警分析、使用动态端口的应用的精确识别等,并建立了一套应用分析框架,支持可扩展的安全应用的开发。
二、各国能力建设对我启示
总体上看,各国注重不断加强技术手段、系统平台、政企合作等方面的建设,通过各系统间的高效协同,以获取大量数据资源为提升分析能力的突破口,实现政企之间的紧密配合,呈现如下特点。
一是紧密联动,各系统协同配合。美英等西方国家在建设相关系统时,非常重视技术资源的统筹和系统间的联动配合。强调政府部门间技术手段统筹建设,推动网络安全监测预警技术和服务的共建共享,尽量避免对不能提高漏洞、攻击等检出率的系统的重复建设。
二是监测范围扩张,数据存储时间延长。数据是各国进行网络安全监测预警和攻击溯源的基础资源,随着互联网技术业务发展以及数据分析技术的成熟,网络数据能够提供的预测分析、风险判断、决策支撑、追踪溯源等能力日益凸出,各国数据采集渠道不断扩展、监测范围不断扩大,并逐渐采取实时采集、长期存储的模式处理数据。
三是新技术成为能力提升关键。随着大数据、云计算、人工智能等新技术的发展,其对安全领域的提升作用也逐渐凸显。技术实力较强的西方发达国家纷纷利用大数据分析、行为建模等方式,加强预测预警,实现精准分析。
四是政企之间紧密配合。美国等西方国家重视政企之间技术手段的紧密配合和威胁情报的共享。一方面企业在技术上为政府项目提供大量支持,另一方面政府也重视与企业间的信息共享工作。在相关法律和政策文件中,也对企业等私营机构的主体责任有详细的规定。
三、对策建议
根据国际主要国家建设经验,针对我国国情,提升网络安全监测预警和攻击溯源能力,需从顶层设计、增强联动、掌握资源、做好保障等方面入手,加强对体系建设的统筹指导,并充分发挥相关手段的网络安全保障作用。
一是统筹优化技术手段建设,加强顶层设计。面对快速发展的新技术和我国复杂的国情,应加强顶层统筹,统一规划、统一部署,加强资源共享,加快推进新建技术手段的同时,做好现有技术手段的升级改造,确保可持续发展。
二是强化和完善技术协同和共享通报机制。建立威胁信息共享数据规范与共享机制,全方位监测发现国家网络空间威胁、全球网络空间安全态势。完善通报机制,提升企业间、部委间、系统间以及企业和部委间等通报和资源共享的效率。
三是加强数据的掌控能力和分析能力。在大数据环境下,数据资源和对数据资源的分析能力成为网络安全态势感知和预警的关键。在现有漏洞库、资产库构建的基础上,强化对接入层和应用层的基础资源收集和管理,突破大数据分析技术,提高数据—信息转化能力,实现对数据资源的有效分析。
四是充分调动全社会力量,优化研发和建设模式,加速技术创新进程。在国家网络安全监测预警和攻击溯源能力建设规划、涉及、研发和建设过程中,充分引入广大高校、科研机构、第三方智库、国有企业、民营企业、私营机构等多方力量,加强战略、技术、标准等沟通协作,实现协同创新攻关。培育一批技术创新能力强、人才队伍充沛的合作企业,推动核心技术的快速迭代创新。
本文转自d1net(转载)