李林

摘要：隨著網絡信息技術的發(fā)展，網絡安全技術在維護國家關鍵信息安全中發(fā)揮著越來越重要的作用。文章主要通過研究基于主動防御的網絡安全基礎設施可信計算保障體系，從而促進我國應對網絡攻擊、網絡威脅能力的提升，由被動防御轉向主動防御。

關鍵詞：主動防御；網絡安全；可信計算技術；安全保障體系

中圖分類號：TP309? 文獻標志碼：A

0 引言

隨著第三次科技革命的展開，人類邁入了信息社會，其中網絡技術在短時間內得到了迅速發(fā)展，尤其是互聯(lián)網的出現(xiàn)將世界緊密地聯(lián)系在一起，成為國家發(fā)展中不可或缺的因素。在當今世界，國家信息技術的發(fā)展水平直接關系到社會經濟的發(fā)展，國家建設也越來越依賴于基礎信息網絡和重要信息系統(tǒng)，互聯(lián)網已經滲透到各行各業(yè)中，成為推動行業(yè)發(fā)展的重要動力。不論對于個人還是政府、社會而言，在運用網絡技術的過程中保障自身的使用安全，成了當下的重要議題。但目前我國的網絡安全基礎設施可信技術建設仍然存在不少問題，阻礙了我國的網絡安全發(fā)展。本文旨在研究基于主動防御的網絡安全基礎設施可信技術保障體系。

1 我國網絡安全防御體系的發(fā)展現(xiàn)狀

我國作為一個人口大國，維護人們的網絡信息安全有著重要的戰(zhàn)略發(fā)展意義。我國的基礎設施網絡主要包括電信、廣播電視、鐵路、海關、電力、保險等重要行業(yè)中所涉及的網絡信息系統(tǒng)，依靠信息系統(tǒng)等級保護的國家標準采取相應的防護手段［1］。我國當前的網絡安全存在諸多問題，首先是計算機系統(tǒng)受到病毒損害的情況嚴重，計算機網絡具有的開放性、脆弱性以及易受攻擊性，使得網絡信息系統(tǒng)面臨著大量電腦黑客以及病毒的威脅，其中銀行、金融以及證券機構是黑客攻擊的重點。雖然我國已經認識到網絡安全的重要性，但在具體實施技術中仍然有待發(fā)展。其次我國網絡信息基礎設施建設也面臨著網絡安全的威脅。我國網絡信息系統(tǒng)在預測、反應以及防范等方面存在能力不足的問題，與美國、俄羅斯等信息安全強國相比，我國的信息安全防御措施有著較大漏洞，使得我國面臨著信息安全的威脅。

基于此，我國也積極采取措施進行應對，《信息系統(tǒng)安全等級保護定級指南》作為我國信息安全防護的重要文件，將我國的信息安全等級分為了5類，需要根據(jù)信息系統(tǒng)的重要性采取不同程度的安全防護措施；而《信息系統(tǒng)安全等級保護基本要求》則對保護網絡安全的基本技術及管理作出了要求；《信息系統(tǒng)等級保護安全設計要求》論述了網絡信息系統(tǒng)的安全設計要求，這些文件共同組成了我國網絡安全防護體系的設計框架，從而共同維護我國的網絡信息系統(tǒng)安全［2］。但隨著網絡技術的發(fā)展日新月異，各類的網絡攻擊手段層出不窮，依靠傳統(tǒng)的封堵查殺的防護手段，只會讓整個防護系統(tǒng)處于被動狀態(tài)，只有通過主動防御的形式才能應對多重的網絡攻擊，從而保障我國的網絡信息系統(tǒng)以及重要基礎設施網絡的安全。目前世界各國都認識到被動防御的網絡安全防護技術體系中存在的漏洞，而逐漸開始向主動防御的方向進行轉變，這對于提升國家網絡信息系統(tǒng)和基礎信息設施的安全性有著重要意義。因此本文旨在研究基于主動防御的網絡安全基礎設施可信技術保障體系。

2 基于主動防御的網絡安全基礎設施可信技術保障體系的建設

2.1 主動免疫的可信計算技術

網絡空間作為一個具有開放性、互聯(lián)性特點的空間，網絡實體能夠在未經認證、審查的前提下實現(xiàn)信息的交互，不少網絡攻擊會依賴網絡空間的開放性而進行惡意攻擊，因此如果雙方在缺乏信任時進行信息交互，很可能造成不必要的損失。為了解決這一問題，在發(fā)展網絡技術的過程中要建立一種審查體系或標準，從而判定用戶與進行交互的實體之間的安全性和準確性，從而提升彼此之間的信任度，這也就是可信計算技術的意義?？尚庞嬎慵夹g是建立在用戶與交互網絡之間的一種溝通橋梁，通過認證的交互體能夠輕松地與用戶進行信息交換，從而保障用戶在網絡空間使用中的安全性［3］。

在傳統(tǒng)的可信計算技術中，防火墻、入侵檢測技術、防病毒等都是以被動防御作為信息安全的檢測原則，而不能通過主動防御的形式來進行防護。要想實現(xiàn)主動免疫的可信計算技術，首先要保證可信計算的實現(xiàn)，即在計算的過程中也要對網絡空間的安全進行防護，從而使得計算結果能夠滿足需要；其次對整個計算過程進行監(jiān)控，從而保障計算的安全實施。在可信計算的基礎上，能夠將運算與防護同時進行，以此達到主動免疫的效果。因此，新的可信計算技術既要保障計算模式中的身份識別、狀態(tài)度量等功能，同時還能夠通過內置可信芯片的方式，解決計算機體系結構中存在的問題，以加強硬件設施的方式來解決計算機內部體系結構過于脆弱的問題，從而使得計算機從硬件到軟件都能夠得到系統(tǒng)的防護，并構建一套完整的信任鏈［4］。從設計網絡空間安全的硬件芯片開始，一直到應用程序的執(zhí)行，每個環(huán)節(jié)都處于可信計算技術的監(jiān)控中，并劃分相應的信任層級，不同的信任程度能夠獲取到不同的信息，從而實現(xiàn)信息系統(tǒng)的自身免疫功能，促進網絡空間安全防護效果的提升。

2.2 主動防御的可信技術保障體系的建構策略

2.2.1 以訪問關系完善安全機制

在網絡信息安全系統(tǒng)的建設中，用戶通過操作應用程序的方式來完成主體行為，而在這個操作過程中留下的文件、儲存數(shù)據(jù)、設備等則被視為客體，主體與客體共同構成了用戶的使用行為這個實體，即用戶在進入網絡空間后的整個運動軌跡，使得用戶的參與性得到體現(xiàn)。而訪問關系就是實體之間、主體與客體之間的關系，主體在操作過程中會對客體進行讀取，從而建立了兩者間的訪問關系，那么在完善網絡空間的安全機制中，就要通過增加訪問關系的可信度來實現(xiàn)整體行為的可控［5］。構建基于主動防御的網絡安全基礎設施可信技術保障體系，需要對整個網絡安全基礎設施中的信息系統(tǒng)進行研究，從而梳理系統(tǒng)中會涉及業(yè)務流程的各主體與客體，理清他們之間的訪問關系，并對訪問問題的可信度進行權衡，建立完善的可信驗證機制，從而不斷提升主體和客體的可信度。以圍繞訪問關系而展開的安全機制，能夠對主體與客體的行為進行有效監(jiān)管，從而使得整體訪問機制處于可控范圍，以保障網絡信息系統(tǒng)的有序進行。對于異常操作的行為能夠迅速排除并作出反映，使得網絡信息系統(tǒng)能夠自行排除潛在的安全威脅，成為提升信息系統(tǒng)免疫能力的重要環(huán)節(jié)，并逐漸成為從根本上加強信息系統(tǒng)安全防護的有效手段。

2.2.2 基于主動免疫的安全保障機制

安全保障機制用于確保安全機制的有效運行，能夠檢驗安全機制的強度。根據(jù)信息系統(tǒng)的目標和考核的等級范圍，安全保障機制能夠在此基礎上進行主動免疫可信計算技術的認定，從而建立一套安全的配置，為網絡信息系統(tǒng)的安全多提供一層保障。但不同的安全機制在不同的環(huán)境下，所配置的安全信息系統(tǒng)也有著明顯的不同，必須通過設定的安全機制，對整個安全管理系統(tǒng)進行綜合管理，發(fā)揮安全保障機制的作用，從而解決網絡的信息安全隱患。我國目前的信息安全產業(yè)發(fā)展尚未成熟，在很多方面還要依賴于外國的先進技術，這從某種程度上而言也是對我國信息安全的一種威脅［］。因此必須建立基于主動免疫的安全保障機制，使得整個信息系統(tǒng)置于保障機制的防護下，從而提升執(zhí)行部件的可行性，打造一個結構化的安全保障。

2.2.3 以統(tǒng)一管理建立安全策略

雖然安全機制與安全保障機制的建立，能夠為網絡信息系統(tǒng)建立良好的使用環(huán)境，但要實現(xiàn)對計算機網絡的安全控制，還需要相關的安全策略進行配合，從而促進網絡基礎設施可信技術保障體系的完善。安全策略要以安全機制作為建立前提，不同的安全機制所需的安全策略存在明顯不同，首先要統(tǒng)一安全需求，使得安全策略的業(yè)務流程得到規(guī)范，從而根據(jù)安全需求而制定相應的安全策略。安全策略與各安全功能之間息息相關，單一的策略無法兼顧整個系統(tǒng)的運行，因此建立系統(tǒng)化、統(tǒng)一化的安全策略成了主要研究方向。在安全策略的制定過程中，要以安全機制作為連接口，從而將原本單一的安全策略連接起來，形成一個系統(tǒng)化的整體，將信息網絡中的各部分聯(lián)合起來，并設置統(tǒng)一的管理權限。安全管理員作為安全保障系統(tǒng)的使用者，能夠通過登錄賬號的形式進入信息系統(tǒng)，并借由相應指令在安全管理中心中進行統(tǒng)一管理，從而響應不同的安全需求，并從容應對各類安全威脅。

2.2.4 基于業(yè)務流程的安全體系

通過對目前主要的網絡攻擊手段進行分析發(fā)現(xiàn)，在完善信息安全防護機制的過程中，建設對應的防御體系是提升安全系數(shù)的重要手段。網絡攻擊手段隨著網絡信息技術的發(fā)展而越發(fā)復雜，其通過高級持續(xù)性威脅而打造的組合式、立體式的攻擊手段，需要對現(xiàn)有的防御體系進行改進，從而適應多樣的網絡威脅。其中，縱深防御體系成了首選。縱深防御體系能夠打造出多層次、多位置的防御體系，從而應對不同層次的網絡攻擊?？v深防御體系的構建需要對現(xiàn)有的網絡信息系統(tǒng)業(yè)務進行分類，并對每個流程的具體事項進行分析，從而對可能遭受的網絡威脅進行風險評估，以此作為縱深防御體系建立的依據(jù)。在完成對業(yè)務流程的基本分析后，需要在安全機制的基礎上設定安全區(qū)域，當處于安全區(qū)域時信息受到網絡攻擊的可能性將大大下降。對安全區(qū)域內部的計算環(huán)境、區(qū)域邊界以及通信網絡等，按照功能的不同而設置不同的安全機制，從而建立完善的安全體系。通過建設基于業(yè)務流程的縱深安全防御體系，能夠將力量集中保護網絡信息的核心區(qū)域，從而對重要信息起到重點防護作用。

2.3 主動防御的可信技術保障體系的完善措施

2.3.1 政策扶持，創(chuàng)新驅動

國家要積極推進網絡信息安全的創(chuàng)新機制，為可信計算技術的發(fā)展提供政策扶持，從而為網絡安全技術的發(fā)展提供途徑。同時將國家信息安全與企業(yè)利益聯(lián)系起來，讓網絡安全技術創(chuàng)新、性能提升與企業(yè)的產業(yè)發(fā)展協(xié)同起來。例如我國涉及軍事、政治以及一些核心要害的產業(yè)，要逐步推動其網絡信息安全系統(tǒng)的國產化，將創(chuàng)新機制作為技術發(fā)展的內在動力，從而使得安全信息技術與我國的實際國情相貼合，不斷提高技術與產業(yè)的適配度，從而提升信息安全技術的本土化進程。在這個過程中，國家要積極通過政策和資金支持，以專項資金的形式來補貼企業(yè)的信息安全技術發(fā)展，從而填補企業(yè)的技術研發(fā)缺口，也引起企業(yè)對安全技術的重視，不斷促進網絡信息安全保障體系的完善。

2.3.2 互利、開放、共贏的理念指導

網絡基礎設施安全保障體系的建設，要堅持互利、開放、共贏的理念，尤其是涉及國家關鍵信息與國外企業(yè)的合作中，單純地以企業(yè)預期利益為目的，容易造成國家關鍵信息的泄露。因此在研發(fā)信息安全技術時，企業(yè)要從國家層面出發(fā)，以維護國家信息安全為基本發(fā)展原則，從而自主研發(fā)相應的安全機制和安全策略。在使用的過程中要注重可信度的點差，以建立主動免疫的信息保障機制為主，從而建立自身的可控體系。國家要加大對網絡信息安全技術的科研投入，以構建主動防御的可信計算技術作為發(fā)展目標，從而促進我國可信計算技術的不斷創(chuàng)新。國家可根據(jù)可信計算技術的實用性，成立專項并納入發(fā)展計劃，通過資金支持的形式促進企業(yè)在信息安全上的不斷創(chuàng)新，從而加快網絡信息安全技術產品的研發(fā)進程。

2.3.3 明確可信計算技術標準

目前，我國對可信計算技術的標準并不明晰，使得我國的可信計算技術發(fā)展受限，因此必須加快建立可信計算的相關標準，鼓勵在國家重要行業(yè)中開展試點應用，觀察可信計算技術的應用效果，從而發(fā)掘其應用中的問題，不斷在原有技術上進行改進，從而促進可信計算技術的發(fā)展。

3 結語

綜上所述，網絡安全基礎設施可信保障體系的建設關系到我國的網絡信息安全，傳統(tǒng)的網絡信息安全防御系統(tǒng)主要是基于被動防御而建立的，在承受著越發(fā)復雜的網絡攻擊的當下，建設基于主動防御的網絡安全防御體系，才是提高網絡安全防御效果的有效途徑。本文通過探究國內外網絡安全防御現(xiàn)狀，對基于主動防御的網絡安全基礎設施可信保障體系的建立思路進行了設想并提出了幾點完善措施，以此來促進我國可信計算技術的發(fā)展，不斷維護我國網絡信息安全。

參考文獻

［1］梁忠輝，王燕青.關鍵信息基礎設施行業(yè)網絡安全應急指揮平臺建設研究［J］.長江信息通信，2021（11）：150-152.

［2］趙華山，高斌.如何加強煤炭企業(yè)信息基礎設施保護與網絡安全等級保護制度的有效銜接［J］.電子元器件與信息技術，2020（5）：32-33，42.

［3］沈昌祥.用主動免疫可信計算構筑新型基礎設施網絡安全保障體系［J］.網信軍民融合，2020（4）：10-13.

［4］鄭理.論關鍵信息基礎設施網絡安全——辯證唯物的網絡安全觀［J］.網信軍民融合，2020（3）：62-64.

［5］張大偉，沈昌祥，劉吉強，等.基于主動防御的網絡安全基礎設施可信技術保障體系［J］.中國工程科學，2016（6）：58-61.

（編輯 王雪芬）

Research on trusted technology guarantee system of network security infrastructure based on active defense

Li? Lin

（Practice Teaching Center， Sichuan Business Vocational College， Chengdu 610000， China）

Abstract：? With the development of network information technology， network security technology plays an increasingly important role in maintaining key national information security. This paper mainly studies the network security infrastructure trusted computing guarantee system based on active defense， so as to promote the improvement of our countrys ability to deal with network attacks and network threats， from passive defense to active defense.

Key words： active defense; network security; trusted computing technology; security assurance system