智库视点｜基于“正向建、反向查”，构建安全可靠的韧性网络

随着数字经济快速发展和成熟，网络安全重要性和在数字经济中的地位越来越高，国家相继出台了一系列法律法规、政策标准和具体举措，以期加强网络安全防护。但安全事件仍时有发生，对国家安全、公共安全和社会稳定造成了持续的高强度挑战。如何应对高强度的网络攻击，有效提升网络安全防护能力，已成为当前最急迫解决的问题。

严重的网络攻击威胁是我国在安全领域的重大挑战

当前，全球正处于百年未有之大变局，国际环境日趋复杂。网络霸权主义不断对世界和平与发展构成威胁，网络空间对抗趋势更加突出。针对关键网络基础设施的大规模攻击行为频繁发生，安全漏洞、数据泄露、网络欺骗、断网断供等风险大幅上升。网络攻击所造成的损失不断创下新的历史记录。根据GoUpSec的统计分析，2022年全球网络攻击主要以政府、银行、航空、汽车、医疗等行业为主。根据Cybersecurity Ventures最新发布的“网络犯罪报告”，预计2023年网络犯罪将给全世界造成约8万亿美元损失。

我国是面临网络攻击威胁最严重的国家之一，尤其针对关键信息基础设施（简称“关基”）的攻击行为日益加剧。2022年5月，澳门健康码连续两天遭受境外网络攻击300多万次，珠澳出入境大受影响，关口一度人流拥挤。2022年9月，国家计算机病毒应急处理中心和360公司发布了关于西北工业大学遭受境外网络攻击的调查报告，在调查中发现A国下属特定入侵行动办公室（TAO）对中国国内的网络目标实施了上万次的恶意网络攻击，控制了数以万计的网络设备，包括：网络服务器、上网终端、网络交换机、电话交换机、路由器、防火墙等，窃取了超过140GB的高价值数据。

基于“正向建、反向查”，构建安全可靠的韧性网络

“正向建、反向查”网络架构是“威胁防御”体系（“反向查”）的扩展，增加了“正向建”体系，即在信息系统建设期，构建“内生信任体系”。该体系定义了系统内行为合法模型，构建系统内安全确定性，同时继续增强“威胁防御”体系。后者增加了基于业务行为白名单的主动防御技术，消减外部威胁引入的安全不确定性，使威胁限定在可控的范围内。“运营管理”体系构建在两个体系之上，一旦发现攻击或业务异常及时纠偏，收敛系统不确定性。通过三个体系共同作用，保障业务系统在有限成本内，动态处于安全状态。

（1）“正向建”体系架构。由三部分构建，一是设备可信部分，保证设备自身的实现，具备符合业务要求的安全机制、尽量没有漏洞、做到开发流程可靠。二是身份和连接可信部分，实现系统内的所有实体都能可靠标识，所有系统行为，包括谁、操作、对象、允许/禁止等，都可基于标识形式化描述，对于行为和权限的要求符合安全设计，比如使用IPv6中的SRv6技术实现确定性路由。三是行为可验证部分，保证系统内各实体部件自身安全，系统内行为可基于身份可靠建模之后，要对系统内关键实体的行为进行安全性验证，确保实体行为符合安全定义。一旦检测到实体发生不符合预期的行为，需要通过预先制定的安全策略进行相应处置。

（2）“反向查”体系架构。防御体系的目的是尽量减少系统因为威胁所造成的安全不确定性，实现尽力而为的防护。当前“反向查”防御体系的主要方法论，依然是“纵深防御”理论，纵深防御思路在威胁防御体系内依然是有效的。

（3）“运营管理”体系架构。包括安全保障流程驱动的系统全生命周期风险评估与确定性保障流程，以及相对应的技术工具，包括检测算法、脚本等。安全运营管理体系基于IPDRR进行组织，其目标是随时发现异常状态并纠正到正常状态，实现系统安全风险的快速收敛，使得系统免于攻击损失。运营管理体系会通过算法和脚本使用到“正向建”体系、“反向查”体系中的各项数据、功能，完成动态的安全保障活动。
“正向建、反向查”网络架构能够提供对业务无感知的动态安全保障。即该架构不是所有的威胁都可被成功检测和防御。它的价值在于防御失效后，具备持续动态的业务恢复机制，只要修复足够快，就可让系统一直处于动态安全状态而业务无感知。

(整理/国研智库未来产业发展研究中心 步超，来源：《新经济导刊》2023年第3期)