“新基建”涉及諸多產(chǎn)業(yè)鏈,綜合來看呈現(xiàn)三網(wǎng)并發(fā)態(tài)勢,即信息網(wǎng)、交通網(wǎng)、能源網(wǎng)。整體結(jié)構(gòu)向科技端傾斜,不同程度地依賴信息化基礎(chǔ)設(shè)施建設(shè)已取得的成果繼續(xù)深化發(fā)展。從產(chǎn)業(yè)布局來看,信息網(wǎng)為交通網(wǎng)、能源網(wǎng)提供“數(shù)字土壤”,是實現(xiàn)高質(zhì)量、高端化發(fā)展的基石。
發(fā)展網(wǎng)絡(luò)安全核心自主技術(shù)
信息網(wǎng)涉及領(lǐng)域?qū)τ谛畔⒓夹g(shù)表現(xiàn)出的強依賴性,使信息技術(shù)產(chǎn)業(yè)發(fā)展快速增長,而中國信息技術(shù)產(chǎn)業(yè)大發(fā)展的直接挑戰(zhàn)就是中國制造自主可控。習(xí)近平總書記曾強調(diào)“努力實現(xiàn)關(guān)鍵核心技術(shù)自主可控,把創(chuàng)新主動權(quán)、發(fā)展主動權(quán)牢牢掌握在自己手中”。自主可控與國家網(wǎng)絡(luò)安全緊密相關(guān),網(wǎng)絡(luò)安全本身也是信息技術(shù)產(chǎn)業(yè)快速發(fā)展的一個直接挑戰(zhàn)?!靶禄ā毕碌木W(wǎng)絡(luò)攻擊正在從數(shù)字空間延伸到物理空間,眾多信息產(chǎn)業(yè)優(yōu)秀科技成果可能在圖謀不軌的網(wǎng)絡(luò)攻擊面前一擊斃命。2020年3月3日,我國首次公開美國中央情報局的國家級網(wǎng)絡(luò)攻擊組織對中國進行長達11年的網(wǎng)絡(luò)攻擊與滲透。在此期間,中國航空航天、科研機構(gòu)、石油行業(yè)、大型互聯(lián)網(wǎng)公司以及政府機構(gòu)等多個單位均遭到不同程度的攻擊。
中國網(wǎng)絡(luò)信息安全產(chǎn)業(yè)正在跨入增量市場,大發(fā)展的前提是核心技術(shù)自主可控,避免網(wǎng)絡(luò)安全領(lǐng)域出現(xiàn)“卡脖子”現(xiàn)象。國家層網(wǎng)絡(luò)安全不同于傳統(tǒng)的工業(yè)、制造業(yè),確切地說網(wǎng)絡(luò)安全是一個組織或者國家的免疫能力,這種能力不能全部依靠外部力量構(gòu)建,應(yīng)該是由內(nèi)而外地自我生成。
網(wǎng)絡(luò)流量分析技術(shù)至關(guān)重要
網(wǎng)絡(luò)流量分析又稱NTA技術(shù),在2017年被GARTNER評為十大頂尖信息安全技術(shù)之一,被定義為“通過監(jiān)控網(wǎng)絡(luò)流量、連接和對象,找出惡意的行為跡象。那些正在尋求基于網(wǎng)絡(luò)的方法,來識別繞過周邊安全性的高級攻擊的企業(yè)應(yīng)該考慮使用NTA技術(shù)來幫助識別、管理和分類這些事件?!?/span>
NTA技術(shù)對于網(wǎng)絡(luò)安全發(fā)展至關(guān)重要,是解決那些未知的、高級的、新型的網(wǎng)絡(luò)安全威脅的關(guān)鍵技術(shù)。針對日益嚴(yán)峻的網(wǎng)絡(luò)安全環(huán)境,基于數(shù)據(jù)包級別的網(wǎng)絡(luò)流量分析是保障網(wǎng)絡(luò)安全行之有效的方法。不論何種高級攻擊都會留下網(wǎng)絡(luò)痕跡,從網(wǎng)絡(luò)流量入手,甄別流量中的異?;顒幽軌蚋咝У陌l(fā)現(xiàn)未知威脅。
NTA技術(shù)是如何發(fā)現(xiàn)網(wǎng)絡(luò)威脅的?首先是全流量采集與保存,在將網(wǎng)絡(luò)流量全部保存下來的同時,實時提取其中的網(wǎng)元數(shù)據(jù),并在數(shù)據(jù)庫中索引、保存,以實現(xiàn)快速檢索與分析。其次,全行為分析是威脅檢測的核心,網(wǎng)絡(luò)攻擊者的行為和我們正常的網(wǎng)絡(luò)訪問行為所產(chǎn)生的數(shù)據(jù)不一樣。面對未知威脅,可通過對網(wǎng)絡(luò)流量原始數(shù)據(jù)的透視與分析,從大流量數(shù)據(jù)中快速發(fā)現(xiàn)并定位網(wǎng)絡(luò)異常行為。最后,通過全流量回溯,發(fā)現(xiàn)高級威脅。很多高級威脅產(chǎn)生的活動痕跡在大規(guī)模網(wǎng)絡(luò)流量中只會占到非常小的比例,但正是這少量的通訊流量對于攻擊檢測分析尤為關(guān)鍵和重要,需要通過事后的多線索關(guān)聯(lián)和回溯分析后才能有效定性和取證,這就要求必須對原始全流量數(shù)據(jù)包進行一段時間的完整保存,保全證據(jù),并能快速回溯所有流量。有了原始流量的存儲,就能將當(dāng)前檢測到的攻擊行為與歷史流量進行關(guān)聯(lián),實現(xiàn)完整的攻擊溯源和取證分析,并在責(zé)任界定時提供真實可靠的證據(jù)依據(jù)。
對于網(wǎng)絡(luò)流量分析技術(shù)的研究和使用,前提是對網(wǎng)絡(luò)協(xié)議的透徹理解。網(wǎng)絡(luò)協(xié)議是網(wǎng)絡(luò)為了進行數(shù)據(jù)交換而建立的規(guī)則、標(biāo)準(zhǔn)或是約定的集合,如同我們?nèi)祟惖恼Z言,需要建立在一定的標(biāo)準(zhǔn)上,才能相互理解相互溝通。因此,無論是從事網(wǎng)絡(luò)運維或安全相關(guān)的工作,還是深層次地理解網(wǎng)絡(luò),都需要對網(wǎng)絡(luò)協(xié)議及它們之間的關(guān)系有著系統(tǒng)、清晰的認(rèn)識。而想要進行深層次、精細(xì)化地分析,就需要具備識別和解析不同網(wǎng)絡(luò)協(xié)議的能力。以不同場景來分析NTA技術(shù)的作用:
工業(yè)互聯(lián)網(wǎng)安全:過去幾年來,工業(yè)領(lǐng)域網(wǎng)絡(luò)攻擊事件顯著上升,由2012年197件上升到2019年報告數(shù)量的329件,烏克蘭電網(wǎng)被攻擊、委內(nèi)瑞拉大范圍停電、印度核電公司遭受攻擊,在我國也有部分醫(yī)療電力系統(tǒng)遭受勒索軟件攻擊。低廉的攻擊代價與高危的攻擊結(jié)果,讓工業(yè)領(lǐng)域成為黑客們緊盯的目標(biāo)。
工業(yè)互聯(lián)網(wǎng)是“新基建”的一大方向,其安全已成為國家基礎(chǔ)設(shè)施安全的重要組成部分,隨著工業(yè)互聯(lián)網(wǎng)系統(tǒng)與設(shè)備間日益互聯(lián)互通,互相協(xié)同,保護好工業(yè)互聯(lián)網(wǎng)數(shù)字空間以及延伸出的物理空間安全變得尤為關(guān)鍵。對工業(yè)互聯(lián)網(wǎng)絡(luò)通信協(xié)議進行解碼分析,可實現(xiàn)入侵檢測與安全審計,發(fā)現(xiàn)和分析其脆弱性及安全漏洞,提高工業(yè)網(wǎng)絡(luò)安全檢測和事后取證追查能力,強化對工業(yè)互聯(lián)網(wǎng)系統(tǒng)的安全態(tài)勢感知與防御能力。
物聯(lián)網(wǎng)安全:萬物互聯(lián),萬物智聯(lián),近年來IoT聯(lián)網(wǎng)設(shè)備無論是在數(shù)量上、還是復(fù)雜度上均呈現(xiàn)幾何級數(shù)增長,這些新的連接形態(tài)必定會產(chǎn)生海量的數(shù)據(jù)。對物聯(lián)網(wǎng)協(xié)議的識別與解碼,能夠幫助深入而系統(tǒng)地了解IoT網(wǎng)絡(luò),理解在IoT網(wǎng)絡(luò)中的數(shù)據(jù)流動。通過不斷挖掘數(shù)據(jù)之間復(fù)雜聯(lián)系的價值,讓其成為企業(yè)重要的數(shù)據(jù)資產(chǎn),實現(xiàn)對周邊世界認(rèn)知能力的革命性飛躍。物聯(lián)網(wǎng)的雛形就像互聯(lián)網(wǎng)早期的形態(tài)局域網(wǎng)一樣,雖然發(fā)揮的作用有限,但其昭示著的遠大前景已經(jīng)有目共睹。
顯然,協(xié)議的識別與解碼分析是對網(wǎng)絡(luò)流量分析技術(shù)進行研發(fā)的基礎(chǔ),目前已被識別的上萬種網(wǎng)絡(luò)協(xié)議及應(yīng)用可參考《金瀚網(wǎng)絡(luò)通訊協(xié)議圖》,通過對TCP/IP、IoT、工控等八大協(xié)議簇分類呈現(xiàn)的方式,幫助網(wǎng)絡(luò)安全工作者更深入的了解網(wǎng)絡(luò)語言。
新技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用
網(wǎng)絡(luò)安全技術(shù)對于我國“新基建”領(lǐng)域起到了保駕護航的作用,同時“新基建”技術(shù)亦可應(yīng)用于現(xiàn)有信息安全領(lǐng)域,促進信息安全技術(shù)再革新,二者互相推動、發(fā)展、融合,對我國推動信息技術(shù)應(yīng)用創(chuàng)新領(lǐng)域發(fā)展具有重要意義。
以人工智能領(lǐng)域為例,中國已是全球人工智能合作網(wǎng)絡(luò)的中心,深刻影響全球人工智能的發(fā)展。隨著人工智能在網(wǎng)絡(luò)安全領(lǐng)域應(yīng)用逐步走向成熟,流量數(shù)據(jù)將是人工智能技術(shù)最為核心和基礎(chǔ)的組成部分,網(wǎng)絡(luò)安全廠商應(yīng)該思考如何積累有效的高價值數(shù)據(jù)。傳統(tǒng)安全分析系統(tǒng)從數(shù)據(jù)源獲取方面就存在數(shù)據(jù)信息的細(xì)節(jié)損失不可控的問題,高價值、高質(zhì)量的網(wǎng)絡(luò)數(shù)據(jù)只能來自于網(wǎng)絡(luò)全流量大數(shù)據(jù)。當(dāng)采集到有價值的數(shù)據(jù)后,再利用人工智能技術(shù)強大的理解和推理能力快速分析判斷網(wǎng)絡(luò)流量中是否存在異常。如果出現(xiàn)新的病毒攻擊或黑客入侵,人工智能還可以事后利用自身的學(xué)習(xí)能力將相關(guān)特征記錄在安全數(shù)據(jù)庫中,實現(xiàn)安全態(tài)勢感知與安全防范。
在“新基建”的七個領(lǐng)域中,均不同程度地依靠互聯(lián)網(wǎng)實現(xiàn)產(chǎn)業(yè)智能化轉(zhuǎn)型與升級,而網(wǎng)絡(luò)流量分析將是保障“新基建”數(shù)字化轉(zhuǎn)型穩(wěn)步安全推進的有力手段。目前,全球超90萬用戶正在使用網(wǎng)絡(luò)流量分析技術(shù),遍布全球110多個國家和地區(qū),專業(yè)網(wǎng)絡(luò)分析產(chǎn)品和解決方案,已在政府、金融、能源、運營商、軍工等眾多關(guān)鍵領(lǐng)域落地。未來,這項技術(shù)將與更多“新基建”應(yīng)用場景融合落地,幫助更多用戶發(fā)現(xiàn)、分析原有網(wǎng)絡(luò)體系的脆弱點及安全漏洞,實現(xiàn)網(wǎng)絡(luò)平穩(wěn)、高效、安全的運行。