摘要:近年来,我国网络安全技术、产品及人员能力均得到了显著提升。然而,面对日益严峻的网络安全形势,我国网络安全工作总体上仍处于“应对-处置”的被动模式,国家网络安全防护体系与现实需求之间仍存在较大差距。受此影响,我国党政机关、金融机构以及能源等关键领域的信息基础设施
文 | 奇安信科技集团股份有限公司 郑新华;军委后勤保障部信息中心 贺兴华;中国信息安全测评中心 李维杰;北京中测安华科技有限公司 姚轶崭
近年来,我国网络安全技术、产品及人员能力均得到了显著提升。然而,面对日益严峻的网络安全形势,我国网络安全工作总体上仍处于“应对-处置”的被动模式,国家网络安全防护体系与现实需求之间仍存在较大差距。受此影响,我国党政机关、金融机构以及能源等关键领域的信息基础设施频繁遭受网络攻击,这不仅威胁到国家安全,也严重影响社会秩序。2022 年,党的二十大报告提出,“必须坚持系统观念”;2024 年,党的二十届三中全会明确,“加强网络安全体制建设”,强调要以前瞻性思考、全局性谋划、战略性布局、整体性推进,推动党和国家的网络安全事业不断发展。为实现建设网络强国的目标,我们一方面要持续提升现有网络安全防护体系的能力,切实维护我国网络空间的安全、主权和利益;另一方面,必须坚持守正创新,改变被动应急的工作模式,立足网络安全全局,按照系统观念,运用系统方法,积极探索应对网络安全挑战的新策略和新方法。
一、系统观下的网络安全再认识
网络安全问题贯穿计算机系统应用发展的全过程。归根结底,互联网及其衍生的网络空间的基础——计算机系统、网络协议等——在早期设计时均未充分考虑安全因素。例如,基于“冯·诺依曼”体系结构的计算机系统在设计之初没有考虑安全问题,混合存储数据和程序尽管提供了便利,但也给计算机系统埋下了安全隐患。随着计算机的广泛使用及其影响的持续扩散,安全问题日益凸显。实践中,产业界和学术界按照“见招拆招”的思路,针对新出现的各类问题提出具体防护方案。这些举措如同给计算机系统穿上了一层又一层的“马甲”,例如,为应对计算机病毒就研制反病毒软件,为限制不安全访问而就研制防火墙等。然而,随着网络攻击技术和手段不断更新,网络安全防护技术和产品类型也越来越多,但网络安全工作在整体上仍处于被动应付状态,安全问题层出不穷,尚未得到根本性解决。
图1 网络安全系统的构成示意图
如果从全局角度看待网络安全工作并采用系统观念,网络安全涉及多个不同类型的元素,如网络安全产品、网络安全数据、网络安全人员、网络安全制度等。在实际实施中,网络安全产品可细分为端点安全产品、边界安全产品、云安全产品、身份安全产品等不同类型产品;网络安全数据包括网络资产数据、系统日志、网络流量、网络告警、威胁情报等不同类型数据;网络安全人员包括安全管理人员、系统运维人员、安全运营人员、攻防测试人员等不同类型人员;网络安全制度涵盖机构与职能设置、人员管理制度、应急响应制度等。上述元素相互关联,构成了网络安全系统(如图1所示)。从系统角度分析,只有上述元素相互配合,才能实现网络安全的整体功能。因此,网络安全呈现如下系统特征。
网络安全工作统筹具有整体性。系统在整体上展现出的特性,是其各组成部分单独所不具备的,例如,系统功能、系统状态等。这种只有整体才具备而单个系统元素不具有的特性称为“整体性”,而这一特性的形成过程则称为“涌现”。形象地说,系统能够产生“1+1>2”的效果。对于网络安全系统而言,无论是网络安全产品、数据、人员还是制度,任何一类或几类单独的系统元素都无法实现保障网络安全的整体功能,只有将这些不同类型的元素有机协同起来,才能实现系统整体安全的涌现。
网络安全体系构建具有联系性。系统的不同元素之间按一定方式相互联系、相互作用,这种特性称为系统的联系性。系统元素通过关联关系进行物质、能量或者信息的交互。对于网络安全系统而言,需要优化产品、数据、人员以及制度等各类元素之间的关系,使它们之间互相促进、优化,尤其要充分发挥人的积极性和创造力。如果关系处置不当,导致系统元素间形成抑制甚至破坏的关系,那么,系统整体可能呈现“1+1
网络安全建设发展具有演化性。任何系统都要经历一个从产生、发展、成熟到衰退乃至消亡的生命周期。在这一过程中,系统的状态、能力和特征都会发生变化,这就是所谓的系统演化性。网络安全系统处于对抗环境中,攻防能力此消彼长,对抗双方的能力和状态都在快速迭代更新,使得这种演化的特征尤为显著。因此,我们必须以一种动态发展的视角审视网络安全系统,认识到仅仅依靠部署几件安全设备或安全软件并不能实现长久的安全状态,更不可能一劳永逸地解决网络安全问题。
二、用系统方法推进网络安全建设发展
从网络安全的系统特征入手,应用系统观念和系统方法,从整体出发寻求解决网络安全问题的新策略,有助于通过系统优化提升我国的网络安全防护能力。
(一)系统方法
我国著名科学家钱学森提出,系统科学是从系统的角度来研究客观世界的科学部门,将系统当作研究和应用的基本对象,具有交叉性、综合性和整体性的特点,体系结构如图2所示。系统科学的基础理论是系统学,即研究系统结构与功能(如系统的演化、协同与控制)一般规律的科学。系统科学的技术科学包括控制论、运筹学、信息论、事理学等。在工程技术层面,系统科学体现为系统工程,它是组织管理系统的规划、研究、设计、制造、试验和使用的科学方法。系统科学的哲学指导是系统论。此外,系统科学还与工程实践紧密关联,工程实践中产生的经验感受等内容经过科学化整理后就进入了系统科学体系。
图2 系统科学的体系结构
系统方法是从系统观念出发,着重从整体与部分以及各部分之间的相互作用和相互联系的角度,通过分析与综合的辩证结合,从整体上正确认识对象或合理解决问题的方法。系统方法主要用于构建和运营系统,吸收了各专业领域在进行系统分析、系统设计、系统集成、系统验证、系统评价、系统运营等工作中形成的理论成果和最佳实践。例如,系统评价是根据确定的目的来测定对象系统的属性,并将这种属性变为客观定量的计值或主观效用的行为,方法包括专家评价法(如 Delphi 法、列表法、彩色计分法等)、经济分析法(如奥尔森公式、伯西非柯公式等)、运筹学和其他数学方法(如多目标决策方法、DEA 方法、AHP 方法等)以及混合方法等四类。这些方法虽然来源于不同行业,却可以在其他行业的系统评价工作中应用,适用于具有类似评价目的和系统类型的系统。
(二)网络安全建设发展的挑战
网络安全(Cybersecurity)在国内外广受关注。我国在 2015 年将“网络安全”列为一级学科,但除密码学等少数分支外,“网络安全”至今还没有独立的基础理论体系。随着社会信息化的发展,网络安全的内涵已超越了保障信息系统的机密性、完整性、可用性的传统范畴。近年来,网络韧性(Resiliency)、可信赖性(Trustworthy)、零信任(Zero Trust)等新概念如同雨后春笋般涌现,为网络安全产业界、工程界、学术界等都带来了新的启发。尽管如此,网络安全面临的现实挑战却更加突出。归根结底,由于网络安全的内涵和外延不明确,导致在网络安全系统建设和运营过程中,工作边界和责任边界不明确,许多工作无法进行定量、科学的评价,网络安全建设的投入产出效果难以准确评估。
追根溯源,安全性(Security)与可靠性、可用性、安全性(Safety)一样,都是系统整体表现出来的一种特性。网络安全专家与系统科学专家一起研究确定网络安全的严格定义及明确的内涵和外延,有望为网络安全发展奠定坚实基础。进而建立网络安全的指标体系及度量机制,将有助于推动网络安全建设的发展。有了网络安全的明确定义、清晰的指标体系和可操作的度量方法,就可以对网络安全系统进行定性与定量的度量和评价,从而科学、准确地组织网络安全建设与运营工作。
(三)系统方法指导下的网络安全发展建设
目前,网络安全整体上仍是一个基于实践的专业,主要发展驱动力来源于不断吸收创新理论和工程成果,以及不断叠加先进的技术和产品。从系统科学的角度来看,网络安全存在一个重要的发展方向,即优化已有能力组合,从而实现更强的整体能力。
例如,对于一个普通应用系统,其硬件、软件、网络等不同环节都实现了不同的安全防护能力。例如,CPU 建立了可信执行环境,内存做了安全分区,操作系统实现了强访问控制并内置了主机防火墙和杀毒模块,应用软件进行了输入验证和访问资源限制,主机上安装了杀毒软件、日志审计等多种安全软件,网络上配置了防火墙、入侵检测系统等多种安全设备等。一方面,系统安全能力模块可能多达数十个甚至上百个,且能力模块之间还可能存在多处重叠;另一方面,系统仍可能存在安全防守的空白,甚至安全模块之间还会存在冲突。因此,对安全能力模块进行系统分析,解决冲突、填补空白、消除冗余并优化各功能之间的协同关系,是尤为重要的工作。
系统科学已形成了许多成熟的方法和技术,可用于设计和优化网络安全系统的结构,包括运筹学中的线性规划论、非线性规划论、博弈论等;控制论中的最优控制、鲁棒控制、容错控制等;信息论可指导网络安全的底层技术设计;事理学可以将人员、管理制度与技术产品进行统一的优化等。当前,以高级持续性威胁(APT)为代表的高级攻击行为技术链条越来越长,关键信息基础设施网络安全防御工作面越来越宽,攻防双方涉及的软件、硬件、数据和人员操作等越来越多,网络安全工作的难度越来越高。从系统的角度来看,高级攻击行为会触发大量不同的系统状态和复杂的状态转移关系。因此,可以运用运筹学、控制论等系统科学基础的相关方法,优化检测攻击路径,确定安全防御的关键点,提升整体的网络安全能力。
三、建设工程化的网络安全系统
从系统方法的角度分析,网络安全系统与交通系统、能源系统、通用信息化系统等类似,均有明确的任务目标和生存周期,其建设工作有特定的质量、预算、进度要求,都应该按照工程化方法来组织实施。可运用系统工程方法和技术,建设工程化的网络安全系统,满足利益相关方要求,节省投资,缩短工期,控制工程项目风险。经过几十年的发展,系统工程已形成了多种方法和技术,国内外不同组织和机构发布了多种系统工程标准规范,如,ISO/IEC 15288 系列标准、IEEE 1220 系列标准、国际系统工程协会(INCOSE)系统工程手册、美军 MIL-STD-499 系列标准、我国军标 GJB8113、美国航空航天局(NASA)系统工程手册等。归纳起来,系统工程最主要的工作包括系统分析、系统设计、系统集成、系统验证等方面。近年来,系统工程已从传统的系统工程发展到基于模型的系统工程(MBSE),建模方法包括 OOSEM、OPM、Arcadia、MOFLP 等,建模语言包括 SysML、OPL、DSML、KARMA 等,建模工具包括 MagicDraw、Rhapsody、MetaGraph、Modelook 等。采用基于模型的系统工程方法,对系统进行精准建模,可以降低错误率,实现各模型联动关联,实现知识的积累和复用,从而提升工作效率。
系统工程方法在军事、航天、航空等领域得到广泛应用,取得显著的效益。系统工程方法也可在网络安全系统建设中得到应用。钱学森在 20 世纪 90 年代提出,信息网络加用户将构成一个开放的复杂巨系统,要用系统科学、系统工程的方法来组织信息网络建设和管理工作,包括信息网络安全保护和管理工作。美国国家标准与技术研究院(NIST)基于 ISO/IEC 15288 标准框架,提出了构建可信安全的方法,发布了 NISTSP 800-160(卷 1)《工程化可信赖的安全系统》(2022 年)和 NIST SP 800-160(卷 2)《开发韧性的赛博系统:系统安全工程方法》(2021 年)。具体到建设工程化的网络安全系统,可从以下方面着手。
(一)深入细致开展网络安全系统分析
在开展具体的建设工作之前,应全面识别系统环境,通过访谈不同利益相关方(使用方、建设方、运维方、监管单位等)需求,对需求进行整理分析,形成完整、一致、明晰的网络安全建设需求,作为开展后续工作的起点和依据。需求获取工作可采用头脑风暴法、问卷调查法、市场分析法等,需求分析工作可以采用 N2 图、IDEF、FFBD 等方法。
(二)体系统筹开展网络安全系统设计
将网络安全建设需求转化为网络安全建设方案,开展网络安全总体设计,对不同方案进行评价并择优,实现最优建设方案。建设方案包括逻辑方案和物理方案两种不同类型,每一种方案涉及不同系统层级;经过多次的权衡择优和细化分解,最终形成可以直接指导系统元素研制、采购或重用的系统构建方案。根据需要可选择 TOGAF、DoDAF、UAF 等企业架构进行架构设计,采用结构化方法、面向对象方法、敏捷方法等方法开展详细设计。
(三)上下联动推进网络安全系统集成
当系统元素就绪后,就需要开展系统集成工作。主要包括两个层面的集成:在信息产品内部集成安全模块,如,在终端、服务器、工控设备等中集成防病毒、身份与访问管理、审计等安全功能模块;在信息系统内部集成安全产品,如,在网络中部署防火墙、入侵检测、态势感知等网络安全产品。在此阶段,可采用自顶向下、自底向上或双向集成等策略。
(四)多管齐下推进网络安全系统验证
系统验证包括验证和确认两方面的工作,既要验证每个阶段的设计符合上层要求,也要确认最终产品满足用户需要。系统验证可采用测试、仿真、审计、审查等方法。测试按阶段分为单元测试、集成测试、系统测试、验收测试等,按照类型可分为功能测试、性能测试、接口测试、强度测试等,按方法可分为白盒测试、黑盒测试、灰盒测试三类,每类方法又包括多种具体技术。对应于网络安全系统验证,白盒测试方法包括代码走查、代码审计、语句覆盖等,黑盒测试方法包括漏洞扫描、故障注入、模糊测试、暴力破解、社会工程学测试等。
2016 年 4 月 19 日,习近平总书记在网络安全和信息化工作座谈会上提出要树立正确的网络安全观,强调网络安全是整体的而不是割裂的,网络安全是动态的而不是静态的,网络安全是开放的而不是封闭的,网络安全是相对的而不是绝对的,网络安全是共同的而不是孤立的。“正确的网络安全观”具有鲜明的系统特征,为用系统方法构建国家网络安全体系与能力提供了可靠指引。统筹安全与发展的现实需要,强化系统观念,运用系统方法,基于现有的技术基础和物质条件,通过优化关系和改进管理,探索具有中国特色的网络安全建设途径,是一件大有可为的事情。
来源:中国信息安全
