當前位置：首頁 >互聯網?IT > 安全 > 網絡威脅 > 正文

我國網絡生態(tài)系統(tǒng)建設思考

來源：中國政府網：佚名 2015-06-04 11:39:18

2011年，美國在網絡安全發(fā)展戰(zhàn)略演進過程中，明確提出了“網絡生態(tài)系統(tǒng)(Cyber Ecosystem)”這一新概念，并隨著這一概念的不斷清晰和成熟，建設網絡生態(tài)系統(tǒng)亦成為了美國網絡空間安全發(fā)展的重點領域。

一、美國提出的“網絡生態(tài)系統(tǒng)”

“網絡生態(tài)系統(tǒng)”以生物體免疫系統(tǒng)和社會公共健康領域的疾病控制為啟發(fā)，設想建立一套類似于生物體免疫系統(tǒng)的網絡空間安全防御體系，利用網絡設備內置的安全功能，通過自動化、標準化程序及協調一致的行動，使網絡空間中的各要素形成一個集體行動、自動防護、自我愈合的健康、抗壓和安全的網絡生態(tài)系統(tǒng)。在該生態(tài)系統(tǒng)中，各網絡實體在實施局部防御措施的同時，還受到全局性、多層次的防御支持，就像人體內的細胞除了具備自身局部的安全防御能力外，還受到來自血液、淋巴系統(tǒng)的全局支持。此外，類似于公共衛(wèi)生領域的疾病控制和預防中心，未來網絡生態(tài)系統(tǒng)還包括威脅和事件監(jiān)視、數據共享、威脅分析、干預和預防措施的協調等。

在當今全球網絡空間安全威脅日益嚴峻的形勢下，美國試圖通過構建“網絡生態(tài)系統(tǒng)”，促進網絡中信任實體的協調互動，提高防御行動的速度，預測、發(fā)現、阻止和限制網絡攻擊行為，提升網絡空間整體防御的主動性和自動化能力，從技術和策略的角度給出一個全面的安全解決方案，以適應網絡空間快速變化的安全環(huán) 境。

二、“網絡生態(tài)系統(tǒng)”帶給我們的啟示

事實上，早在上世紀九十年代，計算機科學專家就提出了基于生物免疫原理的網絡安全防護思想，比如入侵檢測系統(tǒng)，就是依據生物體免疫系統(tǒng)檢測病毒方式提出的安全防護技術。

未來“網絡生態(tài)系統(tǒng)”的內涵就是強調網絡參與方(特別是網絡設備)要發(fā)展自動化、互操作和身份認證等三種相互依存的關鍵能力，從而在政策、策略、技術等方面實現無縫合作。要具備上述三種能力，就要求未來網絡生態(tài)系統(tǒng)中“健康”的網絡實體應具有感知意識、用戶意識、智能性、自主反應、動態(tài)性、復原性、協作性、可信性等內置功能。

美國的“網絡生態(tài)系統(tǒng)”概念無疑對我國的網絡空間安全建設具有以下幾點啟示：

(一)強調集體合作促進防御能力的整體提升

在網絡空間中，政府、私營企業(yè)、非營利組織和個人等多方構成了一個復雜、異構的聯合體，各方安全防護能力是自然分布和獨立操作的，網絡防御活動的協調與合作存在諸多問題。未來網絡生態(tài)系統(tǒng)就是要通過政策、標準、技術等層面的努力，在提高網絡各要素安全能力的同時，加強溝通、協調、合作，倡導集體防御，強調局部防御能力與全局防御能力的相互支撐，從而提高整體防御能力。

(二)強調以機器的速度自動部署和快速實施防御能力

由于大多數網絡攻擊都是精心策劃并瞬間實施的，因此，對防御措施的要求是快速反應和處置。未來網絡生態(tài)系統(tǒng)就是要在當前規(guī)模巨大、復雜多變的網絡環(huán)境中，用安全內容自動化協議(SCAP)實現協調一致的安全配置，為防御行動自動化提供基本能力，促進防御措施和響應行動以近實時地效率快速執(zhí)行，從而改變網絡防御的被動局面。

(三)強調安全防護信息的共享和互操作

如果缺少對安全防護信息共享、交換的動力，網絡防護就難以形成一致、有效的行動。網絡實體間的信任是實現信息共享、提高網絡防護能力的必要基礎。美國強調，未來的網絡生態(tài)系統(tǒng)要依據《網絡空間可信身份國家戰(zhàn)略》作為建立信任、實現信息共享的基礎，而身份識別驗證技術要實現安全性、經濟性、可擴展性、管理性、互操作性和易于使用等五個目標。通過互操作和信息共享，各網絡實體相互交互、協調、作用，擴大和加強網絡空間實體間的合作，提高網絡實體的智能化水平和態(tài)勢感知能力，組成真正意義上的生態(tài)系統(tǒng)。

(四)強調對安全危害的自動隔離和自愈能力

在未來網絡生態(tài)系統(tǒng)中，網絡設備具備對網絡故障和破壞行為的自動隔離和修復能力，以及對其他網絡設備被感染、被入侵的感知能力，并依據一定的策略隔離受感染設備、通知其他健康設備，從而有效阻止網絡惡意行為的傳播。

三、我國網絡生態(tài)系統(tǒng)建設的幾點思考

“網絡生態(tài)系統(tǒng)”概念展示了美國力圖塑造網絡空間公共安全，確保美國利用網絡獲得優(yōu)勢的新藍圖，其反映的新理念、新技術值得我們關注和研究?，F提出建設我國網絡生態(tài)系統(tǒng)的幾點粗淺思考。

(一)加強頂層設計，統(tǒng)籌規(guī)劃我國網絡空間技術發(fā)展藍圖

美一直強調聯邦政府或國防部對新技術的引領和推動，為此，美國制定了網絡與信息技術研發(fā)計劃(NITRD)(1) ，其目標是通過對先進的網絡、計算系統(tǒng)、軟件和相關信息技術進行基礎和長期的研究，確保美國在計算、網絡和信息技術的世界領先地位。該計劃將網絡空間安全和信息保障研發(fā)工作作為其重要任務，從而確保美網絡空間安全發(fā)展的戰(zhàn)略優(yōu)勢?？梢哉f，美國近年來打破傳統(tǒng)思維，提出“網絡生態(tài)系統(tǒng)”等改變游戲規(guī)則的技術和理念，就是要促進其國內各方在網絡空間領域形成統(tǒng)一的安全理念和指導思想，實現政府對網絡空間關鍵技術的引領。這既是美面對日益嚴峻的網絡空間威脅提出的現實應對措施，也是其戰(zhàn)略規(guī)劃思想在網絡空間的集中體現。當前，我國圍繞網絡空間的安全斗爭日趨復雜激烈，國家應從戰(zhàn)略層面，通過啟動重大工程或計劃，統(tǒng)籌規(guī)劃網絡空間技術發(fā)展路線圖。網絡空間安全涉及多學科、多部門、多領域，在網絡空間安全研發(fā)活動中還有許多規(guī)律性、基礎性的問題需要科學方法和基本理論支撐。只有通過對先進的網絡、計算系統(tǒng)、軟件和相關信息技術進行基礎和長期的研究，才能從根本上解決制約網絡空間安全技術長遠發(fā)展的難題，從而提高我網絡空間的集體防御能力，確保我網絡空間安全。

(二)建立合作機制，全面實現異構網絡環(huán)境安全防御

在網絡空間中，組織、人、網絡設備和程序等相互影響、依賴以及交互過程中，其網絡安全防御活動的協調與合作一直是各國政府應對網絡空間安全威脅的難題。而“網絡生態(tài)系統(tǒng)”可以形成各網絡參與方協調一致、共同防護的局面，對實現由政府部門、組織和企業(yè)團體等多方網絡的集體防御，具有很好的現實指導意義。特別是美國在“網絡生態(tài)系統(tǒng)”建設中，提出防御活動的“靈活性、聚焦和會聚”這一全新指揮控制理念，重點解決復雜、異構聯合體達成共同目標的指揮、協調等問題，為開展網絡空間多方合作，實現集體防御提供了很好的理論基礎，具有很好的可操作性和發(fā)展前景。目前，我國已進入網絡安全綜合治理的快速通道，要建設健康的網絡生態(tài)系統(tǒng)需要政府和眾多利益攸關方在理念、政策、管理、技術等多個層面進行合作和努力。目前，可以政府研究機構、學術界已有的安全實踐為基礎，對美國“網絡生態(tài)系統(tǒng)”的思想理念和主要技術進行很好地跟蹤、研究和借鑒，制定綜合發(fā)展框架，在政府、軍方、企業(yè)間建立良性合作機制，全面實現異構網絡環(huán)境安全防御。

(三)加強能力建設，推動我國網絡空間安全的革命性進步

在“網絡生態(tài)系統(tǒng)”中，網絡實體(主要指網絡設備、程序)能夠近實時地進行自我防御和協作，及時預測和阻止攻擊，限制攻擊擴散和攻擊后果，用自動化的集體行動建設一個健康、有活力的網絡空間生態(tài)系統(tǒng)。這一目標的實現要通過促進個人和組織的安全操作，創(chuàng)設和使用值得信賴的網絡協議、產品、服務、配置和結構，建立協作性環(huán)境以及建立透明流程等途徑，推動人機合作方式和計算環(huán)境實現革命性的變化。具體措施應包括：

加強人員的安全意識和技能：一是大力培養(yǎng)網絡安全專業(yè)人才。建立一支強大的網絡安全專業(yè)人員隊伍，深入研究、創(chuàng)新發(fā)展網絡技術，確保成功應對目前和將來的威脅。二是全員普及網絡安全意識和責任。通過“國家網絡安全宣傳周”等活動大力宣傳網絡安全知識，政府相關部門應為網民提供有關工具、建議、教育、培訓、意識以及其他方面的適當幫助，促使每個個體更好地掌握和運用網絡安全技能，使得維護網絡安全成為每個公民的自覺行為。

加強網絡安全技術研發(fā)力度：一是設計能夠快速定制、便于使用、便于管理的可信技術，建設具有多層次的高度安全可信的系統(tǒng)，確保技術能夠對網絡安全性及其環(huán)境的變化進行感知、反應和交流，確?；ヂ摼W絡、系統(tǒng)、軟件及其信息在創(chuàng)建、傳輸、存儲與檢索過程中的可信度，以及與關鍵基礎設施高度集成的網絡系統(tǒng)的可信度。二是研發(fā)網絡設備層面的人機交互技術。通過加速計算技術的發(fā)展、開發(fā)精密的復合軟件系統(tǒng)和社會智能系統(tǒng)、開發(fā)功能更強的數字化工具等等，更好地拓展人機伙伴關系和人機協作新模式。三是提高安全程序的自動化水平。研究和運用各種自動化機制，如可制定各種數字策略，使所有者和操作者能依據策略自動選擇安全行動，改變安全設備的配置，近實時地采取集體行動，預測并預防各種事故，限制事故在設備群中的蔓延，從而加強抵御入侵的能力。

加強網絡空間身份認證和信息共享能力：制定網絡空間身份認證標準、協議和策略，提高網絡傳輸中與個人、組織、網絡、服務和設備特征相關的信任等級。運用認證和授權的最佳做法，對高風險或敏感傳輸使用密碼登陸、數字認證和其他多種認證方法。加強共享網絡空間安全風險信息的能力，通過政府、軍方和企業(yè)的合作，共同發(fā)現威脅環(huán)境，并了解其原因、范圍和影響。同時，共享有關各種網絡協議、產品、服務、配置、結構體系、供應鏈和組織程序的安全有效措施。

主要參考資料：

1. 2011年3月，美國土安全部發(fā)布的《在網絡空間實現分布式安全———用自動化的集體行動建立健康有彈性的網絡生態(tài)系統(tǒng)》的白皮書;

2. 2011年12月，美國土安全部發(fā)布的《國土安全體系網絡安全戰(zhàn)略》。

網絡與信息技術研發(fā)(NITRD)計劃源于1991年的高性能計算法案。高性能計算和通信計劃隨著時間的遷移不斷演變，直到2005年更名為網絡與信息技術研發(fā)計劃(Networking and Information Technology Research and Development ，NITRD)，以更好地反映其已經拓展的使命。該計劃是美國聯邦資助的、力求在先進信息技術(計算、網絡和軟件)領域取得革命性突破的一項重大且長期的跨部門計劃。

編輯：張路麒

關鍵字：網絡威脅生態(tài)建設