李林

摘要：隨著網(wǎng)絡(luò)信息技術(shù)的發(fā)展，網(wǎng)絡(luò)安全技術(shù)在維護(hù)國家關(guān)鍵信息安全中發(fā)揮著越來越重要的作用。文章主要通過研究基于主動防御的網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施可信計算保障體系，從而促進(jìn)我國應(yīng)對網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)威脅能力的提升，由被動防御轉(zhuǎn)向主動防御。

關(guān)鍵詞：主動防御；網(wǎng)絡(luò)安全；可信計算技術(shù)；安全保障體系

中圖分類號：TP309? 文獻(xiàn)標(biāo)志碼：A

0 引言

隨著第三次科技革命的展開，人類邁入了信息社會，其中網(wǎng)絡(luò)技術(shù)在短時間內(nèi)得到了迅速發(fā)展，尤其是互聯(lián)網(wǎng)的出現(xiàn)將世界緊密地聯(lián)系在一起，成為國家發(fā)展中不可或缺的因素。在當(dāng)今世界，國家信息技術(shù)的發(fā)展水平直接關(guān)系到社會經(jīng)濟(jì)的發(fā)展，國家建設(shè)也越來越依賴于基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)，互聯(lián)網(wǎng)已經(jīng)滲透到各行各業(yè)中，成為推動行業(yè)發(fā)展的重要動力。不論對于個人還是政府、社會而言，在運(yùn)用網(wǎng)絡(luò)技術(shù)的過程中保障自身的使用安全，成了當(dāng)下的重要議題。但目前我國的網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施可信技術(shù)建設(shè)仍然存在不少問題，阻礙了我國的網(wǎng)絡(luò)安全發(fā)展。本文旨在研究基于主動防御的網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施可信技術(shù)保障體系。

1 我國網(wǎng)絡(luò)安全防御體系的發(fā)展現(xiàn)狀

我國作為一個人口大國，維護(hù)人們的網(wǎng)絡(luò)信息安全有著重要的戰(zhàn)略發(fā)展意義。我國的基礎(chǔ)設(shè)施網(wǎng)絡(luò)主要包括電信、廣播電視、鐵路、海關(guān)、電力、保險等重要行業(yè)中所涉及的網(wǎng)絡(luò)信息系統(tǒng)，依靠信息系統(tǒng)等級保護(hù)的國家標(biāo)準(zhǔn)采取相應(yīng)的防護(hù)手段［1］。我國當(dāng)前的網(wǎng)絡(luò)安全存在諸多問題，首先是計算機(jī)系統(tǒng)受到病毒損害的情況嚴(yán)重，計算機(jī)網(wǎng)絡(luò)具有的開放性、脆弱性以及易受攻擊性，使得網(wǎng)絡(luò)信息系統(tǒng)面臨著大量電腦黑客以及病毒的威脅，其中銀行、金融以及證券機(jī)構(gòu)是黑客攻擊的重點(diǎn)。雖然我國已經(jīng)認(rèn)識到網(wǎng)絡(luò)安全的重要性，但在具體實施技術(shù)中仍然有待發(fā)展。其次我國網(wǎng)絡(luò)信息基礎(chǔ)設(shè)施建設(shè)也面臨著網(wǎng)絡(luò)安全的威脅。我國網(wǎng)絡(luò)信息系統(tǒng)在預(yù)測、反應(yīng)以及防范等方面存在能力不足的問題，與美國、俄羅斯等信息安全強(qiáng)國相比，我國的信息安全防御措施有著較大漏洞，使得我國面臨著信息安全的威脅。

基于此，我國也積極采取措施進(jìn)行應(yīng)對，《信息系統(tǒng)安全等級保護(hù)定級指南》作為我國信息安全防護(hù)的重要文件，將我國的信息安全等級分為了5類，需要根據(jù)信息系統(tǒng)的重要性采取不同程度的安全防護(hù)措施；而《信息系統(tǒng)安全等級保護(hù)基本要求》則對保護(hù)網(wǎng)絡(luò)安全的基本技術(shù)及管理作出了要求；《信息系統(tǒng)等級保護(hù)安全設(shè)計要求》論述了網(wǎng)絡(luò)信息系統(tǒng)的安全設(shè)計要求，這些文件共同組成了我國網(wǎng)絡(luò)安全防護(hù)體系的設(shè)計框架，從而共同維護(hù)我國的網(wǎng)絡(luò)信息系統(tǒng)安全［2］。但隨著網(wǎng)絡(luò)技術(shù)的發(fā)展日新月異，各類的網(wǎng)絡(luò)攻擊手段層出不窮，依靠傳統(tǒng)的封堵查殺的防護(hù)手段，只會讓整個防護(hù)系統(tǒng)處于被動狀態(tài)，只有通過主動防御的形式才能應(yīng)對多重的網(wǎng)絡(luò)攻擊，從而保障我國的網(wǎng)絡(luò)信息系統(tǒng)以及重要基礎(chǔ)設(shè)施網(wǎng)絡(luò)的安全。目前世界各國都認(rèn)識到被動防御的網(wǎng)絡(luò)安全防護(hù)技術(shù)體系中存在的漏洞，而逐漸開始向主動防御的方向進(jìn)行轉(zhuǎn)變，這對于提升國家網(wǎng)絡(luò)信息系統(tǒng)和基礎(chǔ)信息設(shè)施的安全性有著重要意義。因此本文旨在研究基于主動防御的網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施可信技術(shù)保障體系。

2 基于主動防御的網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施可信技術(shù)保障體系的建設(shè)

2.1 主動免疫的可信計算技術(shù)

網(wǎng)絡(luò)空間作為一個具有開放性、互聯(lián)性特點(diǎn)的空間，網(wǎng)絡(luò)實體能夠在未經(jīng)認(rèn)證、審查的前提下實現(xiàn)信息的交互，不少網(wǎng)絡(luò)攻擊會依賴網(wǎng)絡(luò)空間的開放性而進(jìn)行惡意攻擊，因此如果雙方在缺乏信任時進(jìn)行信息交互，很可能造成不必要的損失。為了解決這一問題，在發(fā)展網(wǎng)絡(luò)技術(shù)的過程中要建立一種審查體系或標(biāo)準(zhǔn)，從而判定用戶與進(jìn)行交互的實體之間的安全性和準(zhǔn)確性，從而提升彼此之間的信任度，這也就是可信計算技術(shù)的意義?？尚庞嬎慵夹g(shù)是建立在用戶與交互網(wǎng)絡(luò)之間的一種溝通橋梁，通過認(rèn)證的交互體能夠輕松地與用戶進(jìn)行信息交換，從而保障用戶在網(wǎng)絡(luò)空間使用中的安全性［3］。

在傳統(tǒng)的可信計算技術(shù)中，防火墻、入侵檢測技術(shù)、防病毒等都是以被動防御作為信息安全的檢測原則，而不能通過主動防御的形式來進(jìn)行防護(hù)。要想實現(xiàn)主動免疫的可信計算技術(shù)，首先要保證可信計算的實現(xiàn)，即在計算的過程中也要對網(wǎng)絡(luò)空間的安全進(jìn)行防護(hù)，從而使得計算結(jié)果能夠滿足需要；其次對整個計算過程進(jìn)行監(jiān)控，從而保障計算的安全實施。在可信計算的基礎(chǔ)上，能夠?qū)⑦\(yùn)算與防護(hù)同時進(jìn)行，以此達(dá)到主動免疫的效果。因此，新的可信計算技術(shù)既要保障計算模式中的身份識別、狀態(tài)度量等功能，同時還能夠通過內(nèi)置可信芯片的方式，解決計算機(jī)體系結(jié)構(gòu)中存在的問題，以加強(qiáng)硬件設(shè)施的方式來解決計算機(jī)內(nèi)部體系結(jié)構(gòu)過于脆弱的問題，從而使得計算機(jī)從硬件到軟件都能夠得到系統(tǒng)的防護(hù)，并構(gòu)建一套完整的信任鏈［4］。從設(shè)計網(wǎng)絡(luò)空間安全的硬件芯片開始，一直到應(yīng)用程序的執(zhí)行，每個環(huán)節(jié)都處于可信計算技術(shù)的監(jiān)控中，并劃分相應(yīng)的信任層級，不同的信任程度能夠獲取到不同的信息，從而實現(xiàn)信息系統(tǒng)的自身免疫功能，促進(jìn)網(wǎng)絡(luò)空間安全防護(hù)效果的提升。

2.2 主動防御的可信技術(shù)保障體系的建構(gòu)策略

2.2.1 以訪問關(guān)系完善安全機(jī)制

在網(wǎng)絡(luò)信息安全系統(tǒng)的建設(shè)中，用戶通過操作應(yīng)用程序的方式來完成主體行為，而在這個操作過程中留下的文件、儲存數(shù)據(jù)、設(shè)備等則被視為客體，主體與客體共同構(gòu)成了用戶的使用行為這個實體，即用戶在進(jìn)入網(wǎng)絡(luò)空間后的整個運(yùn)動軌跡，使得用戶的參與性得到體現(xiàn)。而訪問關(guān)系就是實體之間、主體與客體之間的關(guān)系，主體在操作過程中會對客體進(jìn)行讀取，從而建立了兩者間的訪問關(guān)系，那么在完善網(wǎng)絡(luò)空間的安全機(jī)制中，就要通過增加訪問關(guān)系的可信度來實現(xiàn)整體行為的可控［5］。構(gòu)建基于主動防御的網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施可信技術(shù)保障體系，需要對整個網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施中的信息系統(tǒng)進(jìn)行研究，從而梳理系統(tǒng)中會涉及業(yè)務(wù)流程的各主體與客體，理清他們之間的訪問關(guān)系，并對訪問問題的可信度進(jìn)行權(quán)衡，建立完善的可信驗證機(jī)制，從而不斷提升主體和客體的可信度。以圍繞訪問關(guān)系而展開的安全機(jī)制，能夠?qū)χ黧w與客體的行為進(jìn)行有效監(jiān)管，從而使得整體訪問機(jī)制處于可控范圍，以保障網(wǎng)絡(luò)信息系統(tǒng)的有序進(jìn)行。對于異常操作的行為能夠迅速排除并作出反映，使得網(wǎng)絡(luò)信息系統(tǒng)能夠自行排除潛在的安全威脅，成為提升信息系統(tǒng)免疫能力的重要環(huán)節(jié)，并逐漸成為從根本上加強(qiáng)信息系統(tǒng)安全防護(hù)的有效手段。

2.2.2 基于主動免疫的安全保障機(jī)制

安全保障機(jī)制用于確保安全機(jī)制的有效運(yùn)行，能夠檢驗安全機(jī)制的強(qiáng)度。根據(jù)信息系統(tǒng)的目標(biāo)和考核的等級范圍，安全保障機(jī)制能夠在此基礎(chǔ)上進(jìn)行主動免疫可信計算技術(shù)的認(rèn)定，從而建立一套安全的配置，為網(wǎng)絡(luò)信息系統(tǒng)的安全多提供一層保障。但不同的安全機(jī)制在不同的環(huán)境下，所配置的安全信息系統(tǒng)也有著明顯的不同，必須通過設(shè)定的安全機(jī)制，對整個安全管理系統(tǒng)進(jìn)行綜合管理，發(fā)揮安全保障機(jī)制的作用，從而解決網(wǎng)絡(luò)的信息安全隱患。我國目前的信息安全產(chǎn)業(yè)發(fā)展尚未成熟，在很多方面還要依賴于外國的先進(jìn)技術(shù)，這從某種程度上而言也是對我國信息安全的一種威脅［］。因此必須建立基于主動免疫的安全保障機(jī)制，使得整個信息系統(tǒng)置于保障機(jī)制的防護(hù)下，從而提升執(zhí)行部件的可行性，打造一個結(jié)構(gòu)化的安全保障。

2.2.3 以統(tǒng)一管理建立安全策略

雖然安全機(jī)制與安全保障機(jī)制的建立，能夠為網(wǎng)絡(luò)信息系統(tǒng)建立良好的使用環(huán)境，但要實現(xiàn)對計算機(jī)網(wǎng)絡(luò)的安全控制，還需要相關(guān)的安全策略進(jìn)行配合，從而促進(jìn)網(wǎng)絡(luò)基礎(chǔ)設(shè)施可信技術(shù)保障體系的完善。安全策略要以安全機(jī)制作為建立前提，不同的安全機(jī)制所需的安全策略存在明顯不同，首先要統(tǒng)一安全需求，使得安全策略的業(yè)務(wù)流程得到規(guī)范，從而根據(jù)安全需求而制定相應(yīng)的安全策略。安全策略與各安全功能之間息息相關(guān)，單一的策略無法兼顧整個系統(tǒng)的運(yùn)行，因此建立系統(tǒng)化、統(tǒng)一化的安全策略成了主要研究方向。在安全策略的制定過程中，要以安全機(jī)制作為連接口，從而將原本單一的安全策略連接起來，形成一個系統(tǒng)化的整體，將信息網(wǎng)絡(luò)中的各部分聯(lián)合起來，并設(shè)置統(tǒng)一的管理權(quán)限。安全管理員作為安全保障系統(tǒng)的使用者，能夠通過登錄賬號的形式進(jìn)入信息系統(tǒng)，并借由相應(yīng)指令在安全管理中心中進(jìn)行統(tǒng)一管理，從而響應(yīng)不同的安全需求，并從容應(yīng)對各類安全威脅。

2.2.4 基于業(yè)務(wù)流程的安全體系

通過對目前主要的網(wǎng)絡(luò)攻擊手段進(jìn)行分析發(fā)現(xiàn)，在完善信息安全防護(hù)機(jī)制的過程中，建設(shè)對應(yīng)的防御體系是提升安全系數(shù)的重要手段。網(wǎng)絡(luò)攻擊手段隨著網(wǎng)絡(luò)信息技術(shù)的發(fā)展而越發(fā)復(fù)雜，其通過高級持續(xù)性威脅而打造的組合式、立體式的攻擊手段，需要對現(xiàn)有的防御體系進(jìn)行改進(jìn)，從而適應(yīng)多樣的網(wǎng)絡(luò)威脅。其中，縱深防御體系成了首選?？v深防御體系能夠打造出多層次、多位置的防御體系，從而應(yīng)對不同層次的網(wǎng)絡(luò)攻擊?？v深防御體系的構(gòu)建需要對現(xiàn)有的網(wǎng)絡(luò)信息系統(tǒng)業(yè)務(wù)進(jìn)行分類，并對每個流程的具體事項進(jìn)行分析，從而對可能遭受的網(wǎng)絡(luò)威脅進(jìn)行風(fēng)險評估，以此作為縱深防御體系建立的依據(jù)。在完成對業(yè)務(wù)流程的基本分析后，需要在安全機(jī)制的基礎(chǔ)上設(shè)定安全區(qū)域，當(dāng)處于安全區(qū)域時信息受到網(wǎng)絡(luò)攻擊的可能性將大大下降。對安全區(qū)域內(nèi)部的計算環(huán)境、區(qū)域邊界以及通信網(wǎng)絡(luò)等，按照功能的不同而設(shè)置不同的安全機(jī)制，從而建立完善的安全體系。通過建設(shè)基于業(yè)務(wù)流程的縱深安全防御體系，能夠?qū)⒘α考斜Ｗo(hù)網(wǎng)絡(luò)信息的核心區(qū)域，從而對重要信息起到重點(diǎn)防護(hù)作用。

2.3 主動防御的可信技術(shù)保障體系的完善措施

2.3.1 政策扶持，創(chuàng)新驅(qū)動

國家要積極推進(jìn)網(wǎng)絡(luò)信息安全的創(chuàng)新機(jī)制，為可信計算技術(shù)的發(fā)展提供政策扶持，從而為網(wǎng)絡(luò)安全技術(shù)的發(fā)展提供途徑。同時將國家信息安全與企業(yè)利益聯(lián)系起來，讓網(wǎng)絡(luò)安全技術(shù)創(chuàng)新、性能提升與企業(yè)的產(chǎn)業(yè)發(fā)展協(xié)同起來。例如我國涉及軍事、政治以及一些核心要害的產(chǎn)業(yè)，要逐步推動其網(wǎng)絡(luò)信息安全系統(tǒng)的國產(chǎn)化，將創(chuàng)新機(jī)制作為技術(shù)發(fā)展的內(nèi)在動力，從而使得安全信息技術(shù)與我國的實際國情相貼合，不斷提高技術(shù)與產(chǎn)業(yè)的適配度，從而提升信息安全技術(shù)的本土化進(jìn)程。在這個過程中，國家要積極通過政策和資金支持，以專項資金的形式來補(bǔ)貼企業(yè)的信息安全技術(shù)發(fā)展，從而填補(bǔ)企業(yè)的技術(shù)研發(fā)缺口，也引起企業(yè)對安全技術(shù)的重視，不斷促進(jìn)網(wǎng)絡(luò)信息安全保障體系的完善。

2.3.2 互利、開放、共贏的理念指導(dǎo)

網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全保障體系的建設(shè)，要堅持互利、開放、共贏的理念，尤其是涉及國家關(guān)鍵信息與國外企業(yè)的合作中，單純地以企業(yè)預(yù)期利益為目的，容易造成國家關(guān)鍵信息的泄露。因此在研發(fā)信息安全技術(shù)時，企業(yè)要從國家層面出發(fā)，以維護(hù)國家信息安全為基本發(fā)展原則，從而自主研發(fā)相應(yīng)的安全機(jī)制和安全策略。在使用的過程中要注重可信度的點(diǎn)差，以建立主動免疫的信息保障機(jī)制為主，從而建立自身的可控體系。國家要加大對網(wǎng)絡(luò)信息安全技術(shù)的科研投入，以構(gòu)建主動防御的可信計算技術(shù)作為發(fā)展目標(biāo)，從而促進(jìn)我國可信計算技術(shù)的不斷創(chuàng)新。國家可根據(jù)可信計算技術(shù)的實用性，成立專項并納入發(fā)展計劃，通過資金支持的形式促進(jìn)企業(yè)在信息安全上的不斷創(chuàng)新，從而加快網(wǎng)絡(luò)信息安全技術(shù)產(chǎn)品的研發(fā)進(jìn)程。

2.3.3 明確可信計算技術(shù)標(biāo)準(zhǔn)

目前，我國對可信計算技術(shù)的標(biāo)準(zhǔn)并不明晰，使得我國的可信計算技術(shù)發(fā)展受限，因此必須加快建立可信計算的相關(guān)標(biāo)準(zhǔn)，鼓勵在國家重要行業(yè)中開展試點(diǎn)應(yīng)用，觀察可信計算技術(shù)的應(yīng)用效果，從而發(fā)掘其應(yīng)用中的問題，不斷在原有技術(shù)上進(jìn)行改進(jìn)，從而促進(jìn)可信計算技術(shù)的發(fā)展。

3 結(jié)語

綜上所述，網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施可信保障體系的建設(shè)關(guān)系到我國的網(wǎng)絡(luò)信息安全，傳統(tǒng)的網(wǎng)絡(luò)信息安全防御系統(tǒng)主要是基于被動防御而建立的，在承受著越發(fā)復(fù)雜的網(wǎng)絡(luò)攻擊的當(dāng)下，建設(shè)基于主動防御的網(wǎng)絡(luò)安全防御體系，才是提高網(wǎng)絡(luò)安全防御效果的有效途徑。本文通過探究國內(nèi)外網(wǎng)絡(luò)安全防御現(xiàn)狀，對基于主動防御的網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施可信保障體系的建立思路進(jìn)行了設(shè)想并提出了幾點(diǎn)完善措施，以此來促進(jìn)我國可信計算技術(shù)的發(fā)展，不斷維護(hù)我國網(wǎng)絡(luò)信息安全。

參考文獻(xiàn)

［1］梁忠輝，王燕青.關(guān)鍵信息基礎(chǔ)設(shè)施行業(yè)網(wǎng)絡(luò)安全應(yīng)急指揮平臺建設(shè)研究［J］.長江信息通信，2021（11）：150-152.

［2］趙華山，高斌.如何加強(qiáng)煤炭企業(yè)信息基礎(chǔ)設(shè)施保護(hù)與網(wǎng)絡(luò)安全等級保護(hù)制度的有效銜接［J］.電子元器件與信息技術(shù)，2020（5）：32-33，42.

［3］沈昌祥.用主動免疫可信計算構(gòu)筑新型基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保障體系［J］.網(wǎng)信軍民融合，2020（4）：10-13.

［4］鄭理.論關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全——辯證唯物的網(wǎng)絡(luò)安全觀［J］.網(wǎng)信軍民融合，2020（3）：62-64.

［5］張大偉，沈昌祥，劉吉強(qiáng)，等.基于主動防御的網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施可信技術(shù)保障體系［J］.中國工程科學(xué)，2016（6）：58-61.

（編輯 王雪芬）

Research on trusted technology guarantee system of network security infrastructure based on active defense

Li? Lin

（Practice Teaching Center， Sichuan Business Vocational College， Chengdu 610000， China）

Abstract：? With the development of network information technology， network security technology plays an increasingly important role in maintaining key national information security. This paper mainly studies the network security infrastructure trusted computing guarantee system based on active defense， so as to promote the improvement of our countrys ability to deal with network attacks and network threats， from passive defense to active defense.

Key words： active defense; network security; trusted computing technology; security assurance system