林伟廷
(火箭军指挥学院,湖北 武汉 430013)
信息安全防护体系创新与发展
林伟廷
(火箭军指挥学院,湖北 武汉 430013)
根据信息技术发展,文章深入分析了信息安全防护体系基本特征,首先提出要深度关联网络安全要素,构建整体联动安全防御体系,同时形成快速应急能力;其次研究了多域分级防护的信息安全防护模式,提出采取分级防护制度“云+超薄客户端”大数据等措施应对网络威胁;最后提出以基地化和实战化方式加强网络安全防护能力评估。
信息安全;防护体系;发展与创新
随着信息技术快速发展,网络攻击手段和技术不断更新,信息网络为了能够有效应对多样化和多元化的攻击威胁,必须构建安全可靠的网络安全防护体系。在不同时代和技术背景下,网络安全防护体系的基本特征、基本防护模式以及信息安全评估方法等都在主动适应各类威胁变化,不断创新与发展。
1.1实时感知信息网络安全态势,深度关联网络安全要素
对信息网络的安全态势的全面感知能力,是构建联防联动安全防护体系的前提和基础。态势感知能力是一种辅助安全分析人员进行决策的能力,通过对IT基础设施安全状况的可视化,区分其关键与非关键部件,掌握攻击者可能采取的行动,调整防御策略,主要包括对环境元素感知、当前态势理解、未来状态推测等3种层次。
随着信息设施不断完善,侦察情报、指挥控制、火力打击、信息对抗以及机动、防护和保障等作战要素依托网络实现互联互通已经是必然趋势。对全网的信息安全态势感知成为信息安全防护的前提和基本要求。为构建联防联动的信息安全防护体系,首先要以信息安全态势感知为牵引,将网络信息安全的各要素进行深度融合,提升信息网络内检测、追踪和确认威胁的能力,为提供信息安全检测、预警、应急、防范等安全态势和区域协同应急提供响应手段,为快速准确实施安全防护提供支撑。
1.2集中监控信息网络运行状态,形成整体联动的安全防御体系
传统信息安全系统的设计采用被动防护模式,针对系统出现的各种情况,安全系统自动或由信息安全人员采取相应的防护措施。这种以应用处理为核心的安全防护思路主要存在的问题有两种:一是信息安全防护人员疲于处理各种故障;二是防护效果不理想,难以对网络的整体防护作出规划和评估。
目前,发展趋势是构建联防联动的安全防护体系,即整合运行状态,集中监控、安全策略、统一监管等能力,形成一个有机整体。一是系统整合,将分散系统整合成一个异构网络系统,数据存储系统整合成网络数据中心,通过存储局域网的形式对系统的各种应用提供数据支持。二是以数据为核心,为数据访问和数据处理提供整体防护解决方案,满足联防联动系统对信息访问、处理速度和交换量的需求。未来,基于联防联动的安全防护体系将集中管理、监控技术,网络安全和数据安全产品有机地结合在一起,在漏洞预防、攻击处理、破坏修复等方面给用户提供整体的解决方案,提高系统防护效果,降低网络管理的风险和复杂性。
1.3建立新型安全应急响应体系,形成快速的应急处理能力
信息安全防护面临的威胁和攻击具有突发性和灾难性的特点,规范高效的应急反应机制能够处理紧急条件下大规模的安全事件,最大限度地缩短与探测和相应有关的反应时间,将攻击、失效和事故对网络与系统的影响减至最小,是提高信息网络安全防护快速反应能力的重要保障。
提升应急处理能力主要有两方面趋势:一是完善应急处理力量,组建网络应急力量,应对大规模网络攻击行动和突发的网络异常事件。二是构建应急响应系统,通过采用智能化信息监控、侦察、分析和反击手段防范信息系统的风险,主要包括:网络实时智能化监控系统、主动式网络安全侦察系统、网络攻击响应和主动反击系统等。
针对信息网络的结构、传输数据类型、保障对象等因素,有效、适当地分等级保护,是信息安全保护工作的关键环节之一,是提高信息安全防护水平的重要方法。
2.1信息网络安全防护实施分级制
分网、分层、分类进行防护成为信息安全防护的重要模式,根据不同单元在系统中的重要程度、面临的风险威胁、安全需求、安全成本等因素,将信息网络划分为不同的安全防护等级并根据相应的安全防护技术和管理措施,制定不同级别的安全防护机制、安全监测机制和安全响应机制。
“分网”是指按照业务应用系统属性,合理区分其承载网络,确保网络系统完成使命任务和网络安全防护策略的一致性。“分级”是指按照保障范围和责任分工,合理区分骨干网络与用户光网络,传输层次与引用层次的安全保密等级,确保实现对不同防护目标的等级保护和安全保密责任界定。“分类”是指按照安全防护要求,合理区分用户群体,确保不同防护等级用户的有效隔离。
2.2“云+超薄客户端”安全防护模式
通过整合信息安全防护资源分布,构建更为高效的“云+超薄客户端”信息安全防护模式,相比目前的分散式安全防护方式,能够更为有效地集中使用信息安全防护资源,形成信息安全防护优势。一是构建统一云平台,通过统筹规划和整合信息安全防护的计算管理、存储网络和设施等资源,实施远程的信息安全配置,提升末端用户的信息安全防护效率。二是将终端用户的安全防护应用迁移至云环境,允许用户的应用和数据不依靠本地设备,实现“超薄客户端”和“零客户端”,将用户端的安全防护风险降低。
2.3利用“大数据”应对高级可持续性威胁
高级持续性威胁(Advanced Persistent Threat,APT)是当前信息安全领域面临的最大威胁之一,在APT攻击中攻击以窃取核心资料为目标,能够采取多种方式渗透物理隔离的信息网络,持续数年进行长期潜伏,传统基于单个时间点的威胁特征监测技术难以有效应对。因此,高级持续性威胁(APT)对信息安全防护防御、监测和响应的能力提出了更高的要求。
“大数据”技术能够发现潜在信息安全风险,是应对APT攻击的有效途径。通过广泛采集网络内信息安全相关数据,进行全网范围内数据的关联性分析。针对具体的网络、系统和应用的运行数据采集分析、捕获、挖掘、修复漏洞,对全网已经发生以及正在发生的网攻击行为进行记录,将海量数据经过多维度的整合分析,生成漏洞库,攻击行为特征库等,可以提前发现攻击行为,进行安全响应。
3.1信息安全防护系统实验实现“基地化”
由于信息网络系统在运行过程中,承担着重要信息传输、处理等职能,无法对网络实施大规模、全面和彻底的网络攻击,以检验其安全防护能力。因此,构建“基地化”的网络靶场,对信息安全防护能力进行实验,即构建网络靶场复制当前及未来武器系统以及作战中复杂的、大规模的异构网络与用户,使用科学的方法进行严格的网络测试,已经成为基本趋势。2009年美国国防部高级研究计划局启动了“国家网络靶场”项目,建成大规模网络和复杂的系统模拟仿真环境,为网络武器研发和作战提供保障。
为了更好地支持网络攻防研究,应当建立网络攻防实验环境,运用实物模拟、软件仿真和模块化构建等方法,为网络攻防技术研究、网络攻防数据采集与分析、网络攻防效果评估提供综合仿真实验环境。
3.2信息安全防护能力评估趋向“实战化”
对于信息安全防护系统的防护能力通过实战化的方式进行评估已成为世界各国的普遍做法,美国依托专业和民间网络作战力量,于2006年,2008年和2010年先后组织了代号为“网络风暴Ⅰ”“网络风暴Ⅱ”和“网络风暴Ⅲ”的军事演习,起到了对信息安全防护评估的良好效果。2013年美国宣布组建了40支网络战部队,其中13支是进攻型网络部队,27支是防御型网络部队,不断加强对信息安全防护领域的实战化演练和评估。
我国要加快专业网络防护力量建设,针对关键信息基础设施和指挥信息系统关键部位,定期开展信息安全防护演练,对信息安全防护体系进行漏洞扫描和攻击检测,测试关键信息基础设施的安全能力和相应水平,提升信息安全整体防护水平。
Innovation and Development of Information Security Protection System
Lin Weiting (Rocket Army Command Academy, Wuhan 430013, China)
According to the development of information technology, this paper gave an in-depth analysis of the basic characteristics of information security protection system, proposing to be associated with the depth of the network security elements to build a security defense system of the overall linkage and to form the rapid emergency capacity; secondly it studied multi domain classified protection of information security model, proposing measures like classification protection system, cloud + thin client and big data to respond to cyber threats. Finally, it put forward the base and practical ways to strengthen the ability of protecting network security assessment.
information security; protection system; development and innovation
林伟廷(1982-),男,福建福州。