网络安全期待“预”能力 记者:随着各级对网络安全重视度的不断提高,信息网络预警技术得到迅速发展,对此您如何看待? 邬江兴: 一般来说,人们认为网络安全技术基本上就是“老三样”:防火墙、杀毒和入侵检测。
随着网络安全与网络攻击的博弈,人们发现入侵检测也不能完全达到网络安全预警的期望值,有资料表明相当一部分网络安全问题是由“内鬼”或“非恶意触发”引起的。此外,网络安全防护还有一个特殊的问题就是“要在网络的内外两侧同时作战”。因而,有人就开始把目光转向安全审计、态势感知、证书认证、可信模块等其它技术领域,希望寻找到第四种、第五种以至于第N种技术元素,以达到网络安全预警的初衷——“防患于未然”。
预测、预警本质上都属于试图通过对某一或某类事件的异常跟踪,发现特定进程发展到某一预设阶段,就采取“中止”、“隔离”或“清除”等措施制止不良事态继续蔓延,并即时上报,通过警报体系预报疑似对象的特点与特征。对于这类立足进程跟踪的“提前量判断”举措,可称之为“预”的能力。尽管凡“预立”之事总免不了“虚警”的困扰,但从目前看来,仍不失为从系统全局层面最大程度降低危害的可取举措之一。
记者:您认为建设一个相对完备的网络安全预警系统,应该具有哪些功能? 邬江兴: 一般认为网络安全预警系统的近期建设目标,需要具备“数据挖掘、信息融合、态势感知、应急响应”四大重要功能。数据挖掘,就是要从海量信息的检测中,提取出预警系统所需要的病毒、木马、蠕虫、恶意代码等特征信息,从被染网络安全防范系统中汇总出基本态势信息。信息融合,就是对提取和汇总出来的信息进行多级别、多方面、多层次的处理,从而得到完整性、实时性、统一性的可供决策处理的信息形态。态势感知,就是对当前和未来一段时间内网络安全状态进行预设指标的定量和定性的评价,通过感知主动地做出决策,提高自身的安全防护强度。应急响应,就是在得到网络安全预警信息后迅速通知网络管理者,管理者在辅助决策工具的协助下,做出是否启动什么样的应急处理预案的决定。这四个功能,形成了网络预警系统的一个“闭合环链”,使信息网络具备了基于“主动实时发现”的多维协同防护机制和能力。
第 1 2 3页
制度建设要先行一步 记者:对于一个信息网络系统,加装了完备的预警技术是否能够实现“高枕无忧”? 邬江兴: 攻与防这一对矛盾总是此消彼长的,任何时候都不能有“高枕无忧”的思想,对此我们必须保持足够清醒的认识。
从客观上说,现实对于网络入侵行为的本质特征尚没有一个十分准确的认识,在理论上属于“无漏洞证明”问题,目前的预警技术都是建立在对已有入侵行为的多维分析或者建立在对其特征数据、特征行为、特征态势的再学习或有限推论的基础之上,因此这种预警系统具有很强的相对性和对先验知识的严重依赖性,尤其是面对日益发展的网络入侵技术,预警作为一门技术,其脆弱性可见一斑。
从主观上说,人们都希望构建一个具有“全域发现能力”的网络预警系统,希望通过这根“稻草”来消除网络安全隐患。这种超出现实能力的预期是目前商化的网络预警技术系统难以达到的,其检测和防范能力都需要进行科学的再评估。
同时,我们还必须注意到,网络入侵技术本身的发展也受制于“漏洞发现”、宿主间传播机理、密码保护强度等因素的制约,同样也存在难以克服的理论障碍,尚处于经验探索和积累阶段。从“攻防”双方现实的技术博弈状况来说,“防”的技术成熟度或可用的技术总体上要高于“攻”的水平,至少密码防护可以作为防御方的最后手段,其技术状态仍然大幅度地领先密码破译技术。所以在设置了合适强度的网络预警防御体系后,即使是有组织的攻击者也很难再获得对不设防网络初期侵入的那种成就感,通常也不具备网络战科幻小说中所描述的那种无所不能的手段和神话般的威力,除非软硬件装置上已被人做了手脚,预设了陷阱,里应外合那就是另一回事了。
第 1 2 3页
记者:网络安全预警系统是技术防范和制度建设相结合的产物,您认为如何统筹好这两者之间的关系? 邬江兴: 要坚持“标本兼治、制度先行”的建设思路,尤其是在我军信息网络预警技术发展相对滞后的阶段,通过构建相对完备的安全预警机制,可以在一定程度上弥补技术上的“漏洞”和“短板”。
一是要建立起分布式预警检测网络,发挥我军的组织优势,采用群防群治的办法,广泛撒网,重点监控,形成覆盖军队各级、各类网络,并具有信息采集、信息发布功能的安全预警体系。
二是建立网络安全事件、态势信息定期发布制度,信息中心要对一定时期内可能出现的安全问题进行预测和预报,对可能存在的安全隐患和安全威胁及时公布,并给出相应的解决方案和系统升级方法。
三是建立信息报告制度,在各个单位的网络管理中心和重点网络终端设立信息员、安全员,通过分布式预警检测网络,及时向信息中心报告网络安全的基本态势,遇到网络入侵行为或突发安全事件可以直接上报。
同时,还要通过常态化制度化的宣传教育,提高官兵的基本信息安全素养,使“预防为主”的理念深入人心,使“主动报告安全隐患、主动上报网络入侵现象、主动保护网络安全日志”成为规范化的行为,不断推进分布式预警、分等级响应的各项制度与措施落到实处。
第 1 2 3页
《变形金刚2》送票!
