網絡戰如何拒敵于國門之外?

來源︰中國軍網-解放軍報作者︰陳森責任編輯︰姚遠
2016-08-11 09:46

新聞緣由

信息時代,網絡安全對國家安全牽一發而動全身。《國家信息化發展戰略綱要》強調,積極適應國家安全形勢新變化、信息技術發展新趨勢和強軍目標新要求,構建信息安全防御體系,全面提高打贏信息化局部戰爭能力。網絡空間已經成為影響國家安全、社會穩定、經濟發展和文化傳播的全新領域,網絡空間安全隨之成為國際社會日益關注的重要議題。

美國明確宣稱網絡空間為新的作戰領域,大幅擴編網絡司令部和作戰部隊,持續聚力網絡空間武器研發。進入夏季以來,美軍網絡演習接二連三,隱形戰火硝煙彌漫。3月初,“網絡風暴5”率先拉開演練戰幕;4月,“網絡神盾2016”完成第五代升級;6月,“網絡防衛”“網絡奪旗”作為年度聯合演習的核心重裝登場。

網絡安全的本質在于攻防兩端能力較量,目前依賴防火牆、入侵檢測技術和反病毒軟件等靜態的、孤立的、被動式防御難以有效應對有組織的高強度網絡攻擊。構築網絡空間安全防線,需要革除落伍思想,打贏防御理念上的反擊戰。

新“三十六計”之移動目標防御

通過構建動態網絡增加攻擊難度

網絡攻擊行動均需要一定的時間用于掃描和研究目標網絡,探測並利用系統“漏洞”,達到入侵控制目的。從理論上說,攻擊者有無限的時間展開掃描探測工作,總能找到防御薄弱點,最終達成入侵目的。為此,網絡先行者美國致力于籌劃和部署安全防御轉型工作,力求突破傳統防御理念,發展能“改變游戲規則”的革命性技術,移動目標防御即是其中之一。

移動目標防御被稱為網絡空間安全防御新範式,技術策略上通過對防護目標本身的處理和控制,致力于構建一種動態的網絡,增加隨機性、減少可預見性,以提高攻擊難度。若將靜態的網絡空間比喻為一成不變的“城防部署”,勢難固守;而動態的網絡配置堪稱變幻無窮的“八卦陣”,難以破解。目前,移動目標防御技術在美國政府和軍方各類研究中均享有優先權,涵蓋動態平台技術、動態運行環境技術、動態軟件和數據技術等方面。2012年8月,美陸軍授予雷神公司“變形網絡設施”項目,主要研究在敵方無法探測和預知的情況下,對網絡、主機和應用程序進行動態調整和配置,從而預防、遲滯或阻止網絡攻擊。

作為網絡空間安全領域的新思路,移動目標防御反映了未來網絡防御將“死”網絡變成“活”網絡的技術發展趨勢。

新“三十六計”之蜜罐誘騙防御

通過消耗攻擊者的資源減少網絡攻擊威脅

常規的網絡安全防護主要是從正面抵御網絡攻擊,雖然防御措施取得了長足進步,但仍未能改變網絡空間“易攻難守”的基本局面。近年來發展的“蜜罐誘騙防御”則提出了一個“旁路引導”的新理念,即通過吸納網絡入侵和消耗攻擊者的資源來減少網絡攻擊對真正要防護目標的威脅,進而贏得時間以增強防護措施,彌補傳統網絡空間防御體系的不足。

與戰場上有意設置假陣地相仿,蜜罐誘騙防御是主動利用安全防御層級較低的計算機網絡,引誘各類網絡攻擊,監測其攻擊手段和屬性,在真正需要做防護的目標系統上設置相應防御體系,以阻止類似攻擊。蜜罐可分為兩種類型,即產品型蜜罐和研究型蜜罐。前者主要目的是“吸引火力”,減輕防御壓力,後者則為研究和獲取攻擊信息而設計,堪稱情報搜集系統,不僅需要網絡耐攻擊而且力求監視能力強大,以最大限度捕獲攻擊行為數據。

美軍除了建立由灰網、黃網、黑網、綠網4個子網絡組成的虛擬網絡環境攻防實驗室外,還在國際互聯網上精心部署有蜜罐誘騙系統。可以肯定的是,基于誘騙的網絡防御思想將被進一步重視,實現誘騙的技術途徑也將會越來越多。

新“三十六計”之聯動協同防御

整合多種防御技術“拒敵于國門之外”

目前的安全防護設備和防御技術大都是“各自為戰”,網絡防護節點間的數據難共享,防護技術不關聯,導致目前的防御體系是孤立和靜態的,已不能滿足日趨復雜的網絡安全形勢需要。美國“愛因斯坦計劃”最初的動因就在于各聯邦機構獨享互聯網出口,使得整體安全性難以保障。通過協同聯動機制把網絡中相對獨立的安全防護設備和技術有機組合起來,取長補短,互相配合,共同抵御各種攻擊,已成為未來網絡空間安全防御發展的必然選擇。

聯動協同防御是指利用現有安全技術、措施和設備,將時間上分離、空間上分布而工作上又相互依賴的多個安全系統有機組織起來,從而使整個安全系統能夠最大程度地發揮效能。縱向上,是多個安全技術的聯動協同防御,即一種安全技術直接包含或是通過某種通信方式鏈接另一種安全技術。如美國海軍網絡防御體系采用的“縱深防御”機制,針對核心部署層層防護措施,包括基于標志的攻擊檢測、廣域網安全審計、脆弱性警報等,攻擊方須突破多個防御層才能進入系統,從而降低其攻擊成功率。當系統中某節點受到威脅時,能夠及時將威脅信息轉發給其他節點並采取相應防護措施,進行一體化調整和部署防護策略。

昔日的單兵作戰已不能適應當今網絡安全防御的需要,聯動協同防御將躍升為網絡安全領域的主流。整合多種防御技術,建立有組織性的防御體系,“拒敵于國門之外”才能有效防患于未然。

新“三十六計”之最優策略防御

在網絡安全風險和投入之間尋求一種均衡

網絡空間的攻擊越來越復雜,理想的網絡安全防護當然是對所有的弱項或攻擊行為都做出對應的防護,但是從防御資源限制等情況考慮,追求絕對安全的防御顯然是不現實的。基于“適度安全”的理念,最優策略防御呼之欲出。

最優策略防御可以理解為在網絡安全風險和投入之間尋求一種均衡,利用有限的資源做出最合理決策的防御。就投入而言,即便是實力雄厚的美國,也是盡量打造網絡空間集體防御體系。美國與澳大利亞網絡空間防御同盟協定,以及日美網絡防御合作聯合聲明,其“成果共享”背後亦有“成本分攤”的影子。從風險角度看,對絕對安全的追求將會秉持安全至上原則,在制定相關戰略目標和對威脅作出反應時,易忽視所擁有資源和手段的有限性、合法性,難以掌握進退。

最優策略防御主要圍繞博弈論的策略“最優”而展開,集中在網絡空間安全測評、代價分析、安全防御模型構建與演化等研究方向上。將博弈論的思想應用到網絡攻擊和防御中,為解決最優防御決策等難題研究提供了一種新思路。

新“三十六計”之入侵容忍防御

打造網絡空間安全 “最後一道防線”

網絡空間面臨的威脅很多是不可預見、無法抗拒和防不勝防的,防護再好也不能完全避免系統失效甚至崩潰的發生。傳統的可靠性理論和容錯計算技術難以滿足實際需要,這就不得不思考比單純防護更全面、更深層次的問題。在此背景下,新一代入侵容忍防御愈發受到重視。

入侵容忍是第三代網絡安全技術,隸屬于信息生存技術的範疇,被稱作是網絡空間安全防御“最後一道防線”。與傳統網絡安全防御思路不同,入侵容忍防御承認脆弱點的存在,並假定其中某些脆弱點可能會被攻擊者利用而使系統遭到攻擊。防護目標在受到攻擊甚至某些部分已被破壞或被操控時,防護目標系統可以像壁虎一樣“斷尾求生”,完成目標系統的愈合和再生。

入侵容忍技術不再以“防”為主,而是重在系統已遭破壞的情況下如何減少損失,盡快恢復。但入侵容忍畢竟是一個新興研究領域,其成本、代價、效益等將是下一步的研究方向。

輕觸這里,加載下一頁