澎湃Logo
下载客户端

登录

无障碍
  • +1

冯登国:富有弹性的网络空间安全保障体系的实现路径思考

2024-04-11 16:13
来源:澎湃新闻·澎湃号·媒体
字号

原创 冯登国 中国网信杂志冯登国

中国科学院院士、北京信息科学技术研究院院长

弹性化已成为未来网络空间安全的发展趋势。“弹性(Resilience)”一词在网络安全(注:本文中的网络安全是指Cybersecurity,而不是Network Security)领域最早出现于20世纪80年代中期,人们在研究序列密码相关攻击的对抗策略时提出弹性函数的概念,也称为平衡相关免疫函数。21世纪初,人们在研究高安全等级公钥基础设施(PKI)时提出“弹性PKI”和“弹性证书认证机构(CA)”的概念,也称为“入侵容忍PKI或CA”。2013年,美国白宫发布了第21号总统政策指令《关键基础设施安全和弹性》(PPD-21),旨在加强和维护关键基础设施的安全性、运营性和弹性。该指令将“弹性”定义为:准备好应对并适应不断变化的条件,以及承受破坏并从中快速恢复的能力;弹性还包括经受敌意攻击、事故或自然发生的威胁和事件并从中恢复的能力。2021年12月,美国国家标准技术研究所(NIST)正式发布了《开发网络弹性系统——系统安全工程方法》,标志着全球首部网络弹性技术文件正式出台。该文件将“弹性”定义为:对使用网络资源或由网络资源支持的系统的各种不利条件、压力、攻击或者危害进行预防、抵御、恢复或适应的能力。近年来,欧盟、英国等纷纷出台网络空间安全战略和规划,将网络弹性作为国家战略重点进行规划和部署。2023年3月,美国白宫发布了《国家网络安全战略》(National Cybersecurity Strategy),以“通向富有弹性的网络空间之路”为目标,旨在塑造一个“可防御、富有弹性”的数字生态系统。由此可见,弹性要求从组件发展到系统,再发展到空间,也就是从点到面再到体,最后被其国家战略机构确认。该文件确立的“弹性”战略思想成为2023年网络空间安全领域最值得盘点的事件之一。打造富有弹性的网络空间安全保障体系势在必行且任重道远。

加强风险管控,打造富有弹性的供应链安全体系

众所周知,安全问题往往涉及母体问题,即“谁的安全问题”,就像日常生活中的食品安全问题和交通安全问题一样,没有食品、交通这些母体就没有相关的安全问题。因此,在以母体为基础的条件下,讲安全才具有实际意义。网络空间安全的母体就是网络空间,因此,构建网络空间的技术、组件、设备和系统等的供应保障是基础。首要任务是确保供应链安全。供应链安全问题主要源于以下几个方面:一是开发商、制造商或恶意行为体故意制造风险;二是技术、设计或实现存在缺陷或漏洞;三是断供或关键产业链条被管控或垄断。解决上述任何一个方面导致的供应链安全问题都是十分困难的,解决叠加产生的问题难度更大。

当前,各国都非常关注供应链攻击等高级持续性威胁(APT)。随着时间的推移,APT攻击不仅不会减弱,还会愈演愈烈,或将成为网络空间安全领域永恒的对抗课题之一。供应链攻击利用开源、云共享等技术应用,以及软件供应链逐渐多元化的特点,通过污染合法应用的源代码、程序组件或更新机制的方式,嵌入恶意代码。攻击者直接向供应链加入不安全的协议实现、有漏洞的代码,在软件供应商还未意识到使用的第三方代码、组件、开发工具等存在恶意代码的情况下,公开发布被污染的软件,使得嵌入的恶意代码获得与该软件相同的信任和权限运行。

供应链攻击不仅严重危害个人和企业的信息安全,还会威胁国家安全。由于供应链本身具有链条长、参与者众多、环节复杂等特点,相比其他攻击方式而言,供应链攻击面更加宽广,因而,应对供应链攻击也很容易因“木桶效应”导致功亏一篑。美国于2009年发布的《网络空间政策评估》报告将信息与通信技术(ICT)供应链安全提高到国家战略层面。但在2020年的SolarWinds供应链攻击事件(2020年12月,全球多家网络安全公司发布报告,声称SolarWinds公司旗下Orion平台遭到黑客入侵)中,美国国务院、五角大楼、国土安全部等多个政府部门仍遭到软件供应链攻击。目前,美国拥有最强的信息安全攻防能力,但相关部门仍无法避免供应链遭受攻击,其防范难度可见一斑。

2023年8月21日,河南郑州,网络安全科技馆。

为塑造富有弹性的供应链安全体系,可采取以下措施:一是严格控制不可信、不可靠的技术、产品和服务进入市场。一方面,要压实开发者、服务商等各方的安全责任;另一方面,要不断提高用户的安全意识,大力提升检测部门的能力和水平,强化检测和验证。二是加强国内外跨行业全方位的合作与协作,共同管控供应链安全风险,尤其是跨境的供应链安全风险管控。三是构建各方之间的信任基础,建立良好的互信关系,坚持自主创新和自主研制,坚持开放开源,充分利用国际上最先进的技术和成果,通过“建立信任+自主研制+可控利用”的模式来全方位塑造富有弹性的供应链安全体系。

······

以上文章摘取自《中国网信》2024年第3期,如需获取全文,请点击以下卡片跳转至《中国网信》电子刊。

↓↓↓戳↓↓↓

原标题:《冯登国:富有弹性的网络空间安全保障体系的实现路径思考》

阅读原文

    本文为澎湃号作者或机构在澎湃新闻上传并发布,仅代表该作者或机构观点,不代表澎湃新闻的观点或立场,澎湃新闻仅提供信息发布平台。申请澎湃号请用电脑访问http://renzheng.thepaper.cn。

    +1
    收藏
    我要举报

            扫码下载澎湃新闻客户端

            Android版

            iPhone版

            iPad版

            沪ICP备14003370号

            沪公网安备31010602000299号

            互联网新闻信息服务许可证:31120170006

            增值电信业务经营许可证:沪B2-2017116

            © 2014-2024 上海东方报业有限公司

            反馈