摘要:
本文深入讨论了更健康、易恢复、本质上更为安全的未来网络生态系统理念。在这样的网络生态系统中,各种参与者能够尽快实时的协作起来,共同预测、组织网络攻击,限制其传播速度,减少危害,尽快将网络生态系统恢复至可信状态。
关键词:
网络生态系统;健康;基础
1安全网络生态系统概述
我们当前的网络空间安全能力是自然分布的,私营部门和各级政府存在各种大量的专长。诸如漏洞扫描器、入侵检测系统和杀毒软件等安全产品并不交换数据,安全政策不一致。相互竞争的制造商开发这一技术,没有共享信息或确保协调性反应的动力。结果产生的环境就是安全产品保护的是单一团体、单一用户或者甚至单一用户的一个方面。相互防御几乎就是碰巧。网络生态系统是全球性的,包括政府和私营部门的信息基础设施;各种互动的人、程序、信息和通信技术;影响网络安全的条件。根据这一设想,各种参与者能够尽快实时的协作起来,共同预测、阻止网络攻击,限制其传播速度,减少危害,尽快将网络生态系统恢复至可信状态。为实现这一未来,安全能力必须被嵌入在网络中的各种设备内部,它允许在设备内或设备间采取一些预防性和防御性行为,防御能力分布在所有网络生态系统的参与者之中;而近似实时的协作防御能够实现,得益于设备的内嵌互操作安全能力,以及可信信息交换、配置策略共享等因素的组合。对于健康的网路生态系统,各类参与者能够在遭受攻击后广泛、有效合作,反应敏捷,快速恢复。如果有了安全协作机制、通用策略、预定义的措施、标准的信息交换机制,以及健康的网路参与者,健康的网络生态系统就可以抵御所有已知的和新兴的网络攻击,改善关键信息基础设施的可靠性和适应性,更好地保护隐私、商务及政务活动。
2网络生态系统健康的三大基础
2.1基础一:自主化行动
自主化行动是针对网络攻击所需要采取的策略,包括了决策和行动。自动化将人类解放出来去做他们做得更好的事情——思考、提问和对复杂情况做出判断。自动化使得网络防御响应速度接近网络攻击的速度,有了这种快速响应能力,网络安全技术人员就能更好地适应入侵者的攻击行动周期,从容应对网络攻击。此外,自动化可以使采用和适应新的或经过验证的安全解决方案更加容易。一个健康的网络生态系统可能采用固定的局部防御自动化策略,并被活动的和全局性多层级的防御所支持。这样的一个策略可以使网络生态系统在应对网络攻击的同时,维持自身运行,支持正常业务开展;此外它可以使网络生态系统不断强化自己以预防网络本身的“免疫性疾病”。除了跨级别设备间通告和反应同步之外,每个级别的设备还应具有同步分析能力。例如,所有用户级设备可以共享安全策略和资源分析结果汇集,所有机构网络级设备也可以如此。因为,一个机构网络可以与商业企业网络、政治团体网络或某地区网络、甚至全世界互联网络环境共享信息、协调活动和同步ACOA。
2.2基础二:互操作
互操作性允许由策略定义网络区域而不是由技术来约束,并允许网络成员在自主化的社区防护上进行无缝和动态协作。互操作促使了一般作战图片与形式警觉共享的出现和迅速传播。新型情报技术的创造(比如融合传感器输入),加上同时在人机两个层次的快速学习,可以从根本上改变网络生态系统。遗憾的是,目前在的网络安全方面,许多可用的设备(例如防火墙、文件完整性检查、病毒扫描、入侵检测系统、恶意程序防范软件等)都独立运行,并使用既不交换数据也没有一致性的安全策略。在这些设备中,可能每一个都是由不同的甚至是互为竞争对手的厂商开发,没有遵守国际公认的开放标准。另一方面,相关标准尚未成熟。因而,在今天的网络生态系统中,协作是可以做到的,但是难度很大。我们必须到达成共识,对于横跨设备、人员和组织的协作来说唯一的障碍是选择实施的政策。
2.3基础三:身份认证
身份认证应确保网络在线事务处理是可信的、安全的。几乎每一个在线事务都涉及网络上的各种资源和参与者。身份认证应以一种不泄露个人隐私的方式,确保参与者的身份是可信的。对于健康的网络生态系统,身份认证不仅限于网络用户,还包括网络中的各种设备和参与者(例如计算机、软件、信息)。由于通信和内容属性是安全决策的关键要素,身份认证对网络防御至关重要,同时也是网络防御其他许多功能的基础。在健康的网络生态系统中,信息发送方和接收方应相互知晓并为自己的行为负责,但在必要的时候要执行可信的匿名交易。消费者可以判断服务者及其服务的可信度,服务者可以确认消费者是否有权访问相关信息。身份认证机制能有效防止身份盗窃和欺骗,同时成本合理,易于使用和管理,可扩展,易互操作。常用的身份验证技术依靠(1)你所知道的东西(如密码),(2)你所拥有的东西(如数字凭证),(3)你自身的东西(如生物识别)。这些技术在影响安全强度、成本可接受的程度、易于使用和管理性、可扩展性、以及互操作性方面都各有特色,重要的考虑因素包括易于集成到新出现的和已部署的设备及应用软件中,以及便于进行跨网络和组织的交换与联合。遗憾的是,在当今的市场上,系统开发商和业主找不到几个技术能实现所有五个业务目标。通常的办法是划分企业功能和用户人群以控制和改变目标从而得到优化。这就形成了多种认证技术的复杂景观:有限的互操作性,脆弱的安全接缝以及企业或组织系统变革的障碍。一个健康的网络生态系统可具有基于标准的身份验证技术,更加全面地实现所有五个业务目标。近期将用户指南,评价相关技术,帮助系统开发商及用户做出技术选择。对于自动化网络防御,一个健康的网络生态系统应具有强大的基于标准的设备验证,包括小型的和通常由无线设备组成的大规模可伸缩的网格。最后,一个健康的生态系统应具有广泛的方法来表达和管理信任,将关于人、业务、技术和信息的信任属性结合到新的决策框架和指标中。这种框架承认,根据不断变化的业务和环境因素,信任不是二进制或静态的,而是流动的和有条件的。
作者:贾玮娜 单位:内蒙古电子信息职业技术学院
