严丽娜,谭 薇,杨俊强
(国防科技大学信息通信学院试验训练基地,陕西 西安 710106)
随着互联网的发展,国家和军事信息网络安全威胁与日俱增。美国在全球拥有上千个军事基地,军事网络超过15万个,计算机等各种终端设备超过700万台。美军国防部网络每天都会遭到几百万次刺探,不断有个人或组织尝试对国防部运转所依赖的网络和系统实施利用、破坏和降级。美国国防部信息网络包括国防工业基础网络,面临全方位的网络威胁,其中APT威胁可以绕过商用安全工具和欺骗过最好的通用安全防护。有些国家从未停止对美国国防部信息网络的入侵试探;许多情报机构已具有破坏国防部信息网络和信息系统的能力;许多个人和组织不断威胁要渗透和破坏国防部信息网络和系统。加上几年来披露的各种漏洞和频繁发生的网络安全事件,在如此复杂的网络信息环境下,美军提出了网络安全事件的相关处置规范和手册,并实施了一系类有效措施,这无疑对提升美军的网络空间作战能力具有非常重要的意义。
2018年4月,我国国家互联网应急中心(“CNCERT”)提出,将“网络安全事件共享与处置”作为未来工作的重要部分,以提升中国对网络安全威胁处置的整体能力,提高我国网络安全行业的总体技术水平和竞争力。本文立足研究美军进行网络安全事故处理的基本思路和基本方法,力图为我国有效实施网络安全事故处理提供借鉴。
为了确保在网络空间的控制权,维持美军正常的作战和值勤能力,美国国防部先后发布关于网络事故处理的规范文件,如《CJCSM 6510.01a信息保障(IA)和计算机网络防御(CND)第一卷 事故处理计划》《CJCSM 6510.01b网络事故处理计划》和参谋长联席会议主席手册等,使国防部内部各组织在发现网络事件时,能依据一定的网络事故处理规范和程序响应网络事故。国防部制定的网络事故处理计划,使国防部系统内部能以一种全面规范的、可重复的、可度量的、可相互理解的处理方式处理网络安全事故,显著提升了国防部网络事件和事故的快速检测、识别和响应能力,保障其信息网络和信息系统具备稳定的强大抵御网络入侵和进行快速网络事故处理的能力。相关计划还力图在国防部内各相关单位和其他单位之间展开有效协作,便于监控网络安全态势,采集分析网络活动规律,收集归类和推广应用网络事故处理的经验做法,并采用自动化工具对这些数据进行大数据分析,建立网络事故处理知识库,以快速应对可能发生的任何网络事故[1]。同时,该计划还规定了对网络事故进行处理的组织和个人在处理网络事故时应当遵守的一些通用规则,以及在涉及到相关法律问题时的处理权限等。
对网络事故处理的规范,使得美国国防部能够统一协调各相关单位,并与各单位均按照统一的流程处理网络安全事故,同时保留事故处理过程中的相关记录、经验和证据。这是美军提高和维持网络空间作战能力的重要举措之一。
美国国防部网络事故处理计划围绕网络事故生命周期和各阶段的不同安全防护任务展开,规定了网络事故处理计划的目的、任务范围、组织机构及职责,以及与国防部整体计算机网络防御计划的关系等,阐述了网络事故处理方法,主要包括网络事故处理的目标、流程和方法等,最后分别描述了网络事故报告机制、网络事故分析方法、网络事故响应方法、网络事故协调机制以及网络事故分析工具等网络事故处理计划所涉及的不同要素。
经过认真梳理,美军整个网络事故处理计划的主要思路清晰可见,即依据网络安全事件的类别和优先级确定处理的方式方法、相关单位处理权限和处理时限。首先对网络事故进行分类,确立各类的优先级;在发现可疑事件或事故时,依据事故分类和优先级,确定事故的初步处理,如上报、初步分析、采取初步响应行为等;其次,进行网络事件分析和事件(事故)响应,阻止影响的扩大,并修正防护策略,以阻止该事件(事故)的再次发生;最后,对该事件(事故)进行威胁评估,消除事件(事故)影响,恢复网络和信息系统的正常运行。在整个流程中,会在必要的时候向国防部报告,便于生成全网安全态势,并及时向可能遭受同样攻击的相关单位进行预警,实现“一点受攻击,全网都响应”的主动安全、动态安全策略[2]。
美国国防部网络安全事故处理所涉及的组织结构包括三个等级:第一级(全球级)、第二级(区域/战区级)和第三级(本地级)。这些机构中,第一级是最高级别,第三级是最低级别。低级别机构在发现事故或可疑事件后,依据其分类和优先级向上级机构报告;上级机构根据事故的分类、优先级和影响范围等,决定是否向上级报告,并进行事故分析,指导下级进行事故响应。上级也可根据已经获得的网络安全预警信息,命令下级实施相关的网络安全行动和协作。
事故报告机制是将所有应上报网络事件或事故通过统一的网络事件处理平台进行上报的过程。它确保能通过报告的信息逐步提供对事故准确、有意义的彻底理解,包括初始检测、分析、事故的解决和事件处置过程的关闭等。在网络事故报告机制部分,DoD提出了网络事故报告的途径、格式、时限和注意事项等。这些报告信息为网络安全态势分析、事故处理、数据综合、统筹分析等提供了多种有价值的数据来源。值得注意的是,美军在事件报告阶段,着重上报的时效性,而对关于网络事件信息的完整性要求较低,仅提供能够提供的信息即可,然后通过对事件的逐步调查逐渐完善事故的描述信息,并最终达到对事故的完整描述。
网络事故处理的一般过程包括事件(事故)分类、事件检测、初步分析和识别、初步响应行动、事故分析、网络事故响应和事故后分析等阶段,以及网络事故处理所涉及的协调关系。
2.3.1 网络事件(事故)划分
美军将网络事件根据其对网络或信息系统的危害程度划分为10个类型,优先级分为0~9级。在网络事故或事件适用多个类别时,按照优先级高的类型处理。事件(事故)类型及优先级关系如表1所示。
表1 事件(事故)分类及优先级描述
表1中的事故分类和优先级关系,是后续进行网络事故处理的基本依据。不同类型和优先级的事故,其处理方式、时限等会有不同的要求。
2.3.2 网络事件(事故)处置流程
网络事件处理流程是按照网络事件的生命周期确定的,基本流程可划分为6个阶段——事件的检测,事故的初步分析和识别,初步响应行动,事故分析,响应和恢复,事后分析,如图1所示。
图1 网络事件生命周期
网络事件检测是一个连续过程,是网络事故生命周期的第一个阶段,用于识别任何可能对信息网络、信息系统或作战任务产生不利影响的异常网络或信息系统活动。
事故的初步分析和识别是对已检测到的网络事件进行初步分析,以确定它是否为应上报网络事件或事故的过程。
初级的响应是为保护信息网络或信息系统免遭任何恶意行为的更大破坏而采取的初步应急行动。
事故分析是为了找出事故中到底发生了什么而采取的一系列分析步骤,是比初步分析更详细的取证和分析。事故分析的核心是了解事故的详细信息,通过对一系列事故分析步骤,了解事故的技术细节、问题的根源和潜在影响。事故分析的结果有助于确定收集哪些额外信息、与他人共享协调信息,并制定响应行动方案。
响应和恢复是为防止损害扩大、恢复受影响信息系统的完整性以及实施跟进策略以防止事故再次发生而采取的更具体的响应步骤。
事故后分析是评估事故处理的有效性和效率,产生的数据包括吸取的经验教训、最初的事故根源、行动方案执行中的问题、缺少的政策和程序、不适当的基础设施防御策略等,便于进行后续网络安全事故处理的优化、网络安全防护策略的修正以及各种协调工作的改进[3]。
2.3.3 网络事件(事故)处理的方法步骤
网络事故处理的方法步骤包括9个方面。
(1)收集信息。确定并收集有关该事故的所有相关信息,以备事故分析中使用。
(2)验证事故。对应报告事故进行审查、确认和更新(如可能的话),确保所有信息是准确的,与报告是一致的。
(3)确定传递载体。分析信息以确定威胁者所使用的传递载体。
(4)确定系统的弱点。分析信息以确定任何能防止或减轻事故影响的相关系统的弱点、漏洞或安全控制。
(5)确定根本原因。分析信息以确定特定系统中事故发生的原因。
(6)确定影响。分析收集到的信息来验证和扩大原有的初步分析期间所做的初始影响评估。
(7)研究和制定COA。制定必要的措施,以响应应上报网络事件或事故,修复信息系统,并对信息系统和信息网络进行风险评估。
(8)其他协调工作。与其他相关部门协调工作,收集更多的信息,获得援助和更多的专业知识或指南,并将应上报事件、事故及事故处理活动的状态变化情况通知有关业务和技术部门。
(9)执行相关性和趋势分析。包括分析和确定在短期内事故之间的关系、趋势以及长期内事故之间的模式。
在进行网络安全事故处理过程中,可能涉及到其他部门或者法律等问题,需要在事故处理过程中进行适当协调,便于在遵守法律的前提下,快速、安全、尽可能地在不影响正常业务的情况下,消除网络安全事故的影响。
网络安全是国家安全的重要组成部分,关系到国家政治局势的稳定、经济社会的秩序、金融市场的安定、未来信息化战争的胜负,成为信息化时代各国竞相争夺的战略制高点。习近平主席强调,“网络安全和信息化是事关国家安全和国家发展、事关广大人民群众工作生活的重大战略问题,要从国际国内大势出发,总体布局,统筹各方,创新发展,努力把我国建设成为网络强国”。网络安全已经成为关系国计民生的全局性问题,因此必须树立网络安全大观念,从大处着手,从全局着手,构建包括战略、体制、机制、平台、系统和人才等全方位的网络安全大布局,形成“触一发而动全身”的网络安全大系统,实现网络安全事故发现即通告、发现即处置、发现即阻止的动态安全态势。
在信息化时代,网络安全事件的攻击目标难以琢磨。例如,针对美军遭受的网络攻击,美军已经从国防部到国土安全部,从设备提供商到服务提供商,从人力资源部到各种医疗组织,甚至是社交网站和网上零售商店等,利用大数据、机器学习等技术提取有用的信息,保持对各种网络事件的警惕、感知和自主防御能力。我军网络安全保护的直接对象也应当从单纯的保护军事网络和军事信息系统拓展到保护国防工业基础网络、国家基础网络、教育网络、移动网络以及军事信息网络各种设备提供商、各种服务提供商、各种物流服务商、银行、医院、各种社会服务性机构的内部网络和信息系统,甚至是社交媒体网站等,同时应当覆盖重要的行业和大用户群体,如电信行业、电力行业、手机终端群体、各种智能监控系统和设备,以及涉及国计民生的基础行业,如自来水行业、油气行业等,从中获取网络大数据,分析和预测网络安全事件的发生,并防止从信息网络中刺探军事信息的行为,及时发现,及时制止,防止出现信息的大泄露而对军事信息和军事网络造成危害。
从国家网络安全大观念出发,军事信息网络安全不能仅仅依赖军事网络的安全防护,而应该将军事信息网放在全国的网络安全大局下进行进行网络安全防御部署。网络安全在民用网络和军事网络中有很多可以相互借鉴、相互支持的地方。当前,美军已经将民用网络的安全防护纳入军事网络的安全防护范畴。对我军而言,构建网络安全大局,应当将军事信息网络产品、服务提供商以及相关第三方都纳入军事网络安全防御范畴,对中国移动、中国电信、中国联通、中国网通、中国广电、中国华为、中国中兴等大型电信设备和运营厂商企业以及腾讯、360、百度、京东、搜狐、小米、优酷、新浪、乐视、迅雷等大型公司的网络进行日常流量监测,采集威胁数据并进行大数据分析,得到各种威胁的样本信息,并深入分析各种网络威胁,了解其工作原理、特征以及预防措施和方法,构建网络安全威胁知识库;统计分析网络恶意流量的发展趋势,建模、预测网络流量,形成网络流量模型和流量趋势数据,从而为应对网络安全事件提供第一手的基础大数据支持[4]。网络安全威胁知识库、网络流量模型及流量趋势数据,将成为网络安全领域的关键基础设施之一,为网络安全事故的处置提供直接支持。
随着信息网络技术的发展和各种黑客组织的逐步专业化、功利化,网络安全事件的复杂程度大大增加。近几年发现的震网病毒、Duqu病毒、火焰病毒、勒索病毒等,背后都隐藏着一个有组织、专业化、技术精湛的团队。因此,仅仅依靠某个网络安全机构,在短时间内难以进行有效的分析和防护。以火焰病毒为例,根据卡巴斯基首席安全专家亚历山大·戈斯捷夫表示,由于“火焰”病毒体积较大且编写方式非常复杂,因此可能需花上数年时间才能完全了解该病毒的全部情况。因此,未来应对网络安全控件的各种威胁,必须依靠网络安全公司、厂商以及各种机构、民间团体等的大合作、大协调,才能在短时间内有效分析恶意病毒,找到应对的方法。进行网络安全领域的大合作、大协调,必须建立网络安全协作组织,将各网络安全防护专业部门、各网络安全公司、国家网络安全应急响应力量、国家网络安全支援力量以及各种网络安全相关组织和个人纳入其中,建立有效的合作机制进行高效协调和分工合作,便于紧急应对各种威胁,维持网络运行的安全状态。
网络空间安全人才可以划分为作战指挥类、策略管理类、装备操作类、值勤维护类和技术支持类。
作战指挥类:负责在作战行动中灵活运用网络安全战法,运用网络攻击、网络防御和网络诱骗等手段,以谋取对敌方优势为目标的网络作战指挥人员。
策略管理类:依据网络作战指挥人员的意图,制定和修正网络安全防御策略、网络诱骗策略和网络安全进攻策略的作战辅助人才。网络安全策略管理人才负责制定和维护全军的网络安全基线,设计和修正所辖网络的安全策略、各网络安全装备的具体安全规则,以阻止发生网络安全事件并降低网络安全威胁等任务。
网络安全攻击类:负责依据作战指挥人员的意图,利用相关的攻击武器,对敌方网络展开攻击,以达成作战意图。
装备操作类:能够依据网络安全防御策略、网络诱骗策略和网络安全进攻策略等,对所属的网络安全装备展开规则配置,从而实现策略要求的意图。
值勤维护类:值勤维护类人才是我军网络安全人才领域需求数量较大的一类人才,负责网络安全服务机构的日常值勤和维护,记录所发生的网络安全事件和对网络安全规则进行的各种修改、网络安全日志查看、网络安全事件上报等日常工作。
技术支持类:技术支持类人才处理并解决网络中出现的任何技术类问题,是进行网络运维、网络安全事故处理的主要力量。从网络安全事故处理的角度看,网络安全事故处理中,所需人才数量最大、技术要求最高的是技术支持类人才为恶意代码分析人才。恶意代码分析人才负责对获得的恶意代码进行行为分析、逆向工程等操作,以理解恶意代码的工作原理、所利用的系统弱点、产生的危害、波及的范围、评估其影响等,并提出针对性的防御措施和系统恢复建议,开发网络安全事故恢复工具和清除恶意代码的工具等[5]。由于恶意代码编写的复杂性和源代码的不可获得性,恶意代码分析绝大多数是在逆向工程的基础上进行的,需要的人才数量大、技术要求高,而且分析时间长,短则一周至数周,长则几年至十几年。
网络安全人才的培养可依据其岗位特点区分类别进行。网络安全人才培训内容包括网络安全技术、网络安全装备操作、网络架构设计、网络协议分析、网络安全态势监控、网络安全日志审计、网络追踪与溯源、网络侦察、漏洞挖掘、恶意代码分析、操作系统安全、网络安全协议分析、Web安全、移动安全、Web测试、软件工程、逆向工程、嵌入式系统安全、工业控制系统安全和工业设备安全等方面,培训方法、培训内容、培训的工具等可根据培训对象定制,也可参考美军的网络安全人才培训模式,以网络靶场、模拟任务执行、模拟训练等方式进行培训。
网络空间是各种指令流、信息流传递、存储的空间,也是各种恶意程序蓄意破坏的空间。由于技术、操作系统、开发环境以及在软件开发等的落后,网络安全防御方面的力量较弱。网络安全防御是知识密集型、技能密集型和经验密集型的活动,需要熟练掌握网络基础知识、加解密知识、操作系统知识、网络协议知识、各种安全协议知识、各种漏洞知识和软件配置使用知识等,同时需要熟练掌握常用的网络安全测试、攻击和分析工具、网络安全装备操作技能、网络策略制定及修正技能等。这就需要培训各种人才、主动收集各种威胁数据,积极检测识别各种网络行为,主动了解各种新出现的漏洞和恶意软件等,保持对网络安全领域前沿知识的敏感和关切。同时,要求各种网络安全维护人员能及时根据网络威胁发展的态势,修正所辖的网络安全策略,及时修改、完善各种网络安全规则,保持对网络安全的动态维护和更新,积极主动预防可能到来的网络威胁。
目前,随着互联网技术的全球化使用,我国面临的网络安全威胁日益严重,加强对网络安全事故处理方法和手段的研究也越来越迫切。因此,需要深入分析网络安全事故处理机理和处置流程,各相关单位按照划分的责权范围相互协调,形成良性互动,共同处理网络事故,保护好国家和军事信息网络的安全运行,为国家安全发展奠定基础。