劉建兵 王振欣

(北京北信源軟件股份有限公司 北京 100195)

網(wǎng)絡(luò)安全形勢(shì)日益嚴(yán)峻，傳統(tǒng)的網(wǎng)絡(luò)安全基于被動(dòng)防護(hù)的思路，外掛式、補(bǔ)丁式的安全技術(shù)和產(chǎn)品以及由此衍生的解決方案無法抵御不斷演化的威脅和攻擊；采用新的理念、研發(fā)新的網(wǎng)絡(luò)安全技術(shù)和產(chǎn)品，實(shí)現(xiàn)網(wǎng)絡(luò)內(nèi)生安全和主動(dòng)安全是解決網(wǎng)絡(luò)安全問題的可能路徑，幾年來作者團(tuán)隊(duì)沿著這一途徑作了有益的探索，形成了新的理念和技術(shù)成果，希望和網(wǎng)絡(luò)安全界同行共同探討.本系列文章基于社會(huì)控制原理，深入探索網(wǎng)絡(luò)安全問題，從網(wǎng)絡(luò)安全的角度重新審視網(wǎng)絡(luò)架構(gòu)的缺陷，提出了內(nèi)生安全和主動(dòng)安全的網(wǎng)絡(luò)架構(gòu)，力圖使安全能力回歸網(wǎng)絡(luò)架構(gòu)，從根本上彌補(bǔ)網(wǎng)絡(luò)安全的先天不足，形成網(wǎng)絡(luò)與安全一體化的解決方案，為擺脫網(wǎng)絡(luò)安全困境開辟新途徑.

1 網(wǎng)絡(luò)安全問題的根源

網(wǎng)絡(luò)安全問題的根源是一個(gè)值得深入思考的話題，只有真正認(rèn)清網(wǎng)絡(luò)安全問題產(chǎn)生的根源，才能從根本上解決網(wǎng)絡(luò)安全問題，才能有的放矢、事半功倍.面對(duì)日趨嚴(yán)峻的形勢(shì)，業(yè)界已對(duì)網(wǎng)絡(luò)安全問題進(jìn)行了長期多方面的研究和探討，試圖從認(rèn)識(shí)、社會(huì)、技術(shù)、管理、法制、政治、軍事、經(jīng)濟(jì)[1]等多方面尋找原因，形成了對(duì)網(wǎng)絡(luò)安全問題的多角度認(rèn)識(shí)，為網(wǎng)絡(luò)安全問題的解決提供了多種認(rèn)識(shí)和方法.遺憾的是這些認(rèn)識(shí)和方法沒有跳出外掛式、補(bǔ)丁的思維定式，仍然沒有觸及網(wǎng)絡(luò)安全的根源.

1.1 網(wǎng)絡(luò)安全問題的歷史根源

回顧互聯(lián)網(wǎng)的發(fā)展歷史可以發(fā)現(xiàn)網(wǎng)絡(luò)安全問題的歷史根源.從安全的角度回望網(wǎng)絡(luò)的發(fā)展歷史，不難發(fā)現(xiàn)互聯(lián)網(wǎng)的發(fā)展可以分為3個(gè)階段：從1961—1978年是互聯(lián)網(wǎng)的孕育階段.美國ARPAnet(Advanced Research Project Agency)項(xiàng)目作為美國國防部軍事研究項(xiàng)目起始，其關(guān)注的焦點(diǎn)是異構(gòu)主機(jī)的互聯(lián).1973年9月國際網(wǎng)絡(luò)工作組(INWG)會(huì)議提出了互聯(lián)網(wǎng)的基本概念，至TCP/IP協(xié)議問世標(biāo)志著互聯(lián)網(wǎng)骨架基本形成.TCP/IP協(xié)議對(duì)于互聯(lián)網(wǎng)的另一個(gè)重大意義在于，將ARPAnet從主機(jī)互聯(lián)轉(zhuǎn)變到局域網(wǎng)的廣域互聯(lián)上來.這段時(shí)間涌現(xiàn)的大量研究成果賦予了互聯(lián)網(wǎng)未來擴(kuò)展的無限潛在能力，但卻沒有一件事是關(guān)于網(wǎng)絡(luò)安全的，可以說這一階段安全概念還未出現(xiàn)在互聯(lián)網(wǎng)先驅(qū)們的頭腦里，互聯(lián)網(wǎng)在孕育期就缺少網(wǎng)絡(luò)安全的基因.

1978—1993年，ARPAnet全部轉(zhuǎn)移到TCP/IP協(xié)議上，并且ARPAnet分拆為軍用的MILnet(military network)和科研的ARPAnet，這一階段以應(yīng)用開發(fā)為主線，連接的節(jié)點(diǎn)和網(wǎng)絡(luò)主要是大學(xué)，并在互聯(lián)的基礎(chǔ)上研發(fā)各種應(yīng)用，在此期間產(chǎn)生了支撐互聯(lián)網(wǎng)發(fā)展的大部分重要應(yīng)用，包括：Email、聊天軟件、以太網(wǎng)、Ftp、News、DNS、JAVA、游戲、社區(qū)、音頻流技術(shù)和視頻廣播等，特別是WWW(world-wide web)技術(shù)的發(fā)展極大地推動(dòng)了互聯(lián)網(wǎng)的發(fā)展和廣泛應(yīng)用.開發(fā)這些應(yīng)用的大學(xué)分布在西方的多個(gè)國家，處于松散的無組織狀態(tài).這些應(yīng)用雖然依托互聯(lián)網(wǎng)，但對(duì)互聯(lián)網(wǎng)的基本架構(gòu)已經(jīng)沒有什么影響力，如果說TCP/IP是互聯(lián)網(wǎng)的骨架，這些應(yīng)用就是互聯(lián)網(wǎng)的血肉，互聯(lián)網(wǎng)作為教育和科學(xué)研究在這一階段枝繁葉茂，但其枝干已經(jīng)定型.在此期間，1980年10月27日，一種狀態(tài)信息病毒的自我繁殖致使ARPAnet完全停止運(yùn)行.1988年11月2日，蠕蟲在互聯(lián)網(wǎng)上蔓延，大約6 000個(gè)節(jié)點(diǎn)受到影響，潛在的安全問題已經(jīng)初露端倪，即將隨著應(yīng)用的廣泛和深入浮出水面，但人們對(duì)互聯(lián)網(wǎng)未來的安全問題仍未覺醒.

1993年以后互聯(lián)網(wǎng)進(jìn)入了爆發(fā)式的野蠻生長期，互聯(lián)網(wǎng)刮起Mosaic旋風(fēng)，WWW在互聯(lián)網(wǎng)上通信量的年增長率達(dá)到341 634%.聯(lián)合國等國際組織、歐美主要國家政府、教育科研機(jī)構(gòu)紛紛在互聯(lián)網(wǎng)上提供在線服務(wù)，全球主要國家的工業(yè)、商業(yè)、金融、媒體、政府迅速加入互聯(lián)網(wǎng)的潮流，大規(guī)模的互聯(lián)網(wǎng)時(shí)代到來了.隨著應(yīng)用的規(guī)模擴(kuò)大和深化，互聯(lián)網(wǎng)安全問題隨之而來，并且愈演愈烈，直至今天網(wǎng)絡(luò)安全成為困擾全球的大問題[2].

1.2 網(wǎng)絡(luò)安全問題的文化根源

互聯(lián)網(wǎng)是西方自由文化的產(chǎn)物，互聯(lián)網(wǎng)安全問題帶有顯著的文化根源.從互聯(lián)網(wǎng)的成長歷史中不難看出，互聯(lián)網(wǎng)發(fā)展的第2階段已經(jīng)脫離了ARPA的既定軌道，進(jìn)入了歐美特別是美國大學(xué)和商業(yè)機(jī)構(gòu)自由發(fā)揮的野蠻生長模式，以至于最終以TCP/IP協(xié)議顛覆并替代了ARPAnet的NCP(Network Control Protocol)協(xié)議.大量的互聯(lián)網(wǎng)應(yīng)用都是以匿名方式進(jìn)行的，互聯(lián)網(wǎng)上充斥了形形色色的自由言論和色情內(nèi)容，伴隨互聯(lián)網(wǎng)成長起來的黑客肆意橫行.具有諷刺意義的是，禁止在網(wǎng)絡(luò)上擴(kuò)散色情材料的美國正當(dāng)通信法案CDA(Communications Regulation Act)在獲得通過的幾個(gè)月后遭到反對(duì)，并于1997年被最高法院以該法案違反憲法為由終止.在此期間，大量的病毒產(chǎn)生并肆虐互聯(lián)網(wǎng)，出現(xiàn)了WWW蠕蟲(W4)，接著出現(xiàn)了蜘蛛、漫游者、爬蟲和蛇等，互聯(lián)網(wǎng)成為自人類進(jìn)入文明社會(huì)以來最大規(guī)模的自由市場，在這里全無規(guī)則約束，各色人等為所欲為.自由化思想不僅是互聯(lián)網(wǎng)誕生的土壤，也是互聯(lián)網(wǎng)成長的文化環(huán)境，西方自由化思想深刻地融入了互聯(lián)網(wǎng)的技術(shù)產(chǎn)品之中，這是互聯(lián)網(wǎng)安全問題的文化根源.

1.3 網(wǎng)絡(luò)安全問題的技術(shù)根源

前面2個(gè)根源投射到技術(shù)層面的結(jié)果就是TCP/IP協(xié)議設(shè)計(jì)缺陷，該協(xié)議的自由開放性決定了網(wǎng)絡(luò)架構(gòu)的自由互聯(lián)，我們從協(xié)議的數(shù)據(jù)包結(jié)構(gòu)、傳輸過程無驗(yàn)證、源地址目的地址無驗(yàn)證、網(wǎng)絡(luò)設(shè)備互聯(lián)無驗(yàn)證、主機(jī)接入網(wǎng)絡(luò)無驗(yàn)證，特別是網(wǎng)絡(luò)訪問的唯一標(biāo)識(shí)IP地址的松散隨意性、沒有任何現(xiàn)實(shí)因素關(guān)聯(lián)、隨意設(shè)置、隨意修改、不記錄難追蹤等方面驚奇地發(fā)現(xiàn)，安全的最基本要素，如身份、驗(yàn)證、追溯、訪問控制都不在協(xié)議內(nèi)容中，為網(wǎng)絡(luò)安全埋下了無窮的隱患[3].

互聯(lián)網(wǎng)安全問題歷史根源和文化根源的集中投射在TCP/IP協(xié)議中全部體現(xiàn)出來，歸結(jié)為網(wǎng)絡(luò)安全問題的技術(shù)根源.若要解決網(wǎng)絡(luò)安全問題，必須從技術(shù)根源入手，對(duì)歷史和文化造成的缺陷予以彌補(bǔ)才可能形成安全的網(wǎng)絡(luò)架構(gòu).

2 社會(huì)控制原理的思考

社會(huì)控制是社會(huì)學(xué)重要原理之一，是維持文明社會(huì)正常秩序的重要工具，對(duì)于維護(hù)社會(huì)整體安全有重要作用.當(dāng)今的互聯(lián)網(wǎng)從規(guī)模和覆蓋范圍考量，與真實(shí)的人類社會(huì)堪比伯仲，我們不得不從社會(huì)學(xué)的角度思考網(wǎng)絡(luò)安全問題.

2.1 社會(huì)控制發(fā)展歷程

社會(huì)控制是社會(huì)組織運(yùn)用社會(huì)規(guī)范對(duì)人們的行為實(shí)行制約和限制，使之與既定的社會(huì)規(guī)范保持一致，從而實(shí)現(xiàn)社會(huì)總體秩序目標(biāo)的社會(huì)過程.社會(huì)控制是建立在既定的社會(huì)規(guī)范之上的，并主要表現(xiàn)為外在力量的施加，但它并不排除個(gè)人內(nèi)在約束力的發(fā)揮.社會(huì)控制有廣義和狹義之分：廣義的社會(huì)控制泛指對(duì)一切社會(huì)行為的控制；狹義的社會(huì)控制特指對(duì)偏離行為或越軌行為的控制.

社會(huì)控制理論大體經(jīng)過了社會(huì)學(xué)、控制論和社會(huì)哲學(xué)等發(fā)展階段[4]，形成了社會(huì)控制較為系統(tǒng)的理論認(rèn)識(shí)[5]，為社會(huì)控制作用的發(fā)揮起到了理論支撐作用.

從發(fā)展歷程來看社會(huì)控制是隨著社會(huì)的發(fā)展而產(chǎn)生，并隨著社會(huì)的不斷演化而進(jìn)化，成為社會(huì)生態(tài)結(jié)構(gòu)的重要組成部分.

原始社會(huì)時(shí)期限于活動(dòng)范圍和群體規(guī)模，無法形成廣泛社會(huì)規(guī)范認(rèn)同，社會(huì)組織形式原始自然，基本上是自然秩序[6](一定數(shù)量的個(gè)體為了解決自己的需要，在實(shí)踐活動(dòng)中相互影響相互作用自然而然形成的社會(huì)連接方式)左右個(gè)體自由活動(dòng)，整個(gè)社會(huì)系統(tǒng)沒有控制和協(xié)調(diào)各部分行動(dòng)的機(jī)制，沒有社會(huì)控制力，經(jīng)常導(dǎo)致社會(huì)系統(tǒng)出現(xiàn)震蕩，社會(huì)系統(tǒng)穩(wěn)定性差.

進(jìn)入古代文明人類社會(huì)得到了極大的發(fā)展，社會(huì)規(guī)模不斷擴(kuò)大，需要人們的活動(dòng)符合整體的利益目標(biāo)，以此保持社會(huì)穩(wěn)定和成員的個(gè)體安全.特別是通過生存和生產(chǎn)、分配活動(dòng)，基于族群安全、文化和利益的社會(huì)共識(shí)逐漸形成，古代文明國家的出現(xiàn)系統(tǒng)性地加強(qiáng)了社會(huì)共識(shí)的約束性，由此出現(xiàn)了初級(jí)意義的社會(huì)控制.

現(xiàn)代文明社會(huì)，社會(huì)控制以多種形態(tài)融合于社會(huì)制度之中，包括意識(shí)形態(tài)、道德共識(shí)、行為規(guī)范、法律法規(guī)、制度規(guī)章、行業(yè)規(guī)則以及應(yīng)急機(jī)制等.這些社會(huì)控制措施部分是軟性的，部分是硬性的，其約束力和強(qiáng)制程度有很大的不同，但都是以現(xiàn)代社會(huì)組織形式為依托，國家、政府、行業(yè)組織是強(qiáng)制性社會(huì)控制的實(shí)施主體，以此保證社會(huì)控制的有效性和相應(yīng)整體目標(biāo)的實(shí)現(xiàn)[7].

在社會(huì)系統(tǒng)運(yùn)行中，個(gè)體自由行為和社會(huì)控制措施充分融合，相互協(xié)調(diào)，個(gè)體在適度的自由空間保持適應(yīng)性和創(chuàng)新性，社會(huì)控制通過中心化優(yōu)勢(shì)，克服個(gè)體自在越軌行為的缺陷，實(shí)現(xiàn)社會(huì)系統(tǒng)的基本穩(wěn)定，以整體利益的實(shí)現(xiàn)保證個(gè)體利益和自由的實(shí)現(xiàn).

運(yùn)用社會(huì)控制原理解決在現(xiàn)代社會(huì)問題的成功實(shí)踐比比皆是，從公共安全的角度選取一二以作注腳.航空領(lǐng)域以《民航法》為支撐的民航安檢制度是民用航空領(lǐng)域的重要社會(huì)控制措施，該措施強(qiáng)制性要求并實(shí)現(xiàn)威脅航空安全的物品不得帶上飛機(jī)，實(shí)現(xiàn)了中國民航長期的安全運(yùn)行.

本文寫在疫情期間，現(xiàn)實(shí)就是例證，新冠肺炎國內(nèi)外疫情形勢(shì)的強(qiáng)烈對(duì)比，正在證明合理實(shí)施社會(huì)控制對(duì)于防控疫情保證社會(huì)整體安全的重要性.中國及時(shí)采取了嚴(yán)格的大范圍社會(huì)控制措施，武漢封城，全民隔離，很快遏制住了疫情的發(fā)展，從全球疫情中心和重災(zāi)區(qū)華麗轉(zhuǎn)身成為全球防疫的最安全國家.反觀國外，由于采取控制措施不及時(shí)，不嚴(yán)格，猶豫觀望甚至放任不作為，造成西方主要國家疫情蔓延，深陷泥潭不能自拔，至今還看不到疫情的盡頭.

2.2 社會(huì)控制原理要素分析

從理論和實(shí)踐2個(gè)方面可以發(fā)現(xiàn)社會(huì)控制對(duì)于現(xiàn)代社會(huì)管理目標(biāo)實(shí)現(xiàn)的重要作用，科學(xué)有效的社會(huì)控制目標(biāo)的實(shí)現(xiàn)有賴于以下3個(gè)特征的有機(jī)結(jié)合：

1)基于廣泛的社會(huì)共識(shí)，符合大多數(shù)社會(huì)成員的利益，以社會(huì)最大利益實(shí)現(xiàn)為目標(biāo)，保證社會(huì)控制的方向正確性；

2)通過中心化的統(tǒng)一組織協(xié)調(diào)為保障，以科學(xué)有效的控制方法和策略為支撐，調(diào)動(dòng)系統(tǒng)各個(gè)要素統(tǒng)一實(shí)施和持續(xù)優(yōu)化；

3)以有效的基層執(zhí)行能力為依托，保障中心化的控制方法和策略變成全體成員的行為和行動(dòng)，從而約束少部分威脅整體目標(biāo)實(shí)現(xiàn)的個(gè)體行為.

上述3個(gè)要素決定社會(huì)控制措施的效果，作為基礎(chǔ)的社會(huì)共識(shí)必須得到絕大多數(shù)社會(huì)成員的認(rèn)同，否則反對(duì)的力量會(huì)成為施行社會(huì)控制的阻力；中心化的組織體系是社會(huì)控制的組織者和具體措施的制定者，缺少這個(gè)核心社會(huì)控制措施都可能是軟弱的、無力的，甚至是無效的；基層執(zhí)行能力是社會(huì)控制措施的實(shí)踐者，數(shù)量大，面積廣，是決定控制措施社會(huì)效果的根本因素，缺少這個(gè)執(zhí)行能力前面2個(gè)要素就會(huì)流于形式和空泛；三者的協(xié)同配合才能發(fā)揮社會(huì)控制的作用.

社會(huì)控制在推進(jìn)社會(huì)發(fā)展方面起著重要作用，是人類現(xiàn)代文明的一個(gè)重要標(biāo)志.正是有了社會(huì)控制，促進(jìn)了社會(huì)結(jié)構(gòu)進(jìn)化，管理中心化的出現(xiàn)可以協(xié)調(diào)社會(huì)運(yùn)行的各個(gè)系統(tǒng)之間的關(guān)系，修正它們的運(yùn)行軌道，控制它們的運(yùn)行方向和運(yùn)行速率，使之功能耦合、結(jié)構(gòu)協(xié)調(diào)、相互配套、盡量使各社會(huì)運(yùn)行系統(tǒng)同步運(yùn)行，促進(jìn)了社會(huì)良性運(yùn)行和協(xié)調(diào)發(fā)展.

2.3 網(wǎng)絡(luò)安全之于社會(huì)安全

“網(wǎng)絡(luò)虛擬社會(huì)”早已是人們的共識(shí)，網(wǎng)絡(luò)虛擬社會(huì)作為現(xiàn)實(shí)社會(huì)在計(jì)算機(jī)網(wǎng)絡(luò)上的映射和延伸，其展現(xiàn)給每個(gè)人的時(shí)空范圍遠(yuǎn)大于其可接觸的現(xiàn)實(shí)世界，網(wǎng)絡(luò)擴(kuò)展了人可操控的范圍，是現(xiàn)實(shí)世界的擴(kuò)展[8].作為新的社會(huì)形態(tài)，社會(huì)控制原理同樣適用于網(wǎng)絡(luò)虛擬社會(huì).

對(duì)比現(xiàn)實(shí)社會(huì)和網(wǎng)絡(luò)虛擬世界，以及回顧互聯(lián)網(wǎng)發(fā)展的歷史、社會(huì)控制發(fā)展的歷史，如果我們把網(wǎng)絡(luò)類比為人類社會(huì)，可以發(fā)現(xiàn)網(wǎng)絡(luò)虛擬社會(huì)的發(fā)展大大滯后于現(xiàn)實(shí)社會(huì).筆者認(rèn)為，1993年以前的互聯(lián)網(wǎng)類似于原始社會(huì)，不論是互聯(lián)網(wǎng)本身的能力還是網(wǎng)絡(luò)虛擬社會(huì)的共識(shí)都未形成，網(wǎng)絡(luò)安全概念處于萌芽狀態(tài)，網(wǎng)絡(luò)安全能力幾乎為零.1993年以后，互聯(lián)網(wǎng)進(jìn)入了文明社會(huì)的初期，發(fā)展階段大致處于封建社會(huì)前期的春秋時(shí)代，從安全的角度考量，思想大爆發(fā)，規(guī)則遠(yuǎn)未形成.社會(huì)控制的3個(gè)要素從互聯(lián)網(wǎng)內(nèi)生性來說都未出現(xiàn)，這是筆者的一個(gè)基本判斷.互聯(lián)網(wǎng)相對(duì)現(xiàn)實(shí)社會(huì)發(fā)展的完善過程還相當(dāng)漫長.

如果我們把網(wǎng)絡(luò)類比現(xiàn)實(shí)社會(huì)，網(wǎng)絡(luò)安全之于網(wǎng)絡(luò)，社會(huì)安全之于社會(huì)，就存在眾多相通之處.參照現(xiàn)實(shí)社會(huì)的社會(huì)控制原理，治理網(wǎng)絡(luò)安全就有了新的思路，補(bǔ)充完善網(wǎng)絡(luò)虛擬世界的社會(huì)控制3要素，應(yīng)該成為我們探索的方向.社會(huì)控制的思想、理念以及實(shí)踐所取得的良好效果對(duì)網(wǎng)絡(luò)控制具有直接明確的指導(dǎo)意義.社會(huì)結(jié)構(gòu)類比網(wǎng)絡(luò)架構(gòu)，個(gè)人類比終端，個(gè)人的行為類比終端的行為，社會(huì)控制中心類比網(wǎng)絡(luò)控制中心，社會(huì)規(guī)則類比網(wǎng)絡(luò)訪問規(guī)則.社會(huì)控制對(duì)個(gè)體行為采用社會(huì)規(guī)則進(jìn)行規(guī)范，通過強(qiáng)制控制個(gè)人越軌行為從而實(shí)現(xiàn)社會(huì)整體安全穩(wěn)定；網(wǎng)絡(luò)安全對(duì)終端訪問行為零信任，采用網(wǎng)絡(luò)安全策略統(tǒng)一規(guī)范終端行為，通過統(tǒng)一訪問規(guī)則強(qiáng)制控制終端違規(guī)行為，從而實(shí)現(xiàn)網(wǎng)絡(luò)整體安全.

網(wǎng)絡(luò)安全控制可通過引入社會(huì)控制理論和實(shí)踐經(jīng)驗(yàn)，從根本上關(guān)注和管理并規(guī)定IT資產(chǎn)的網(wǎng)絡(luò)行為，以社會(huì)控制原理的最佳實(shí)踐為范例，擺脫傳統(tǒng)的信息安全邏輯，從治理終端資產(chǎn)安全轉(zhuǎn)到治理網(wǎng)絡(luò)安全，以零信任為出發(fā)點(diǎn)，以規(guī)則規(guī)范行為，不追求個(gè)體的安全完美，容忍個(gè)體瑕疵，追求以網(wǎng)絡(luò)訪問規(guī)則規(guī)范個(gè)體對(duì)資源的訪問行為，實(shí)現(xiàn)以網(wǎng)絡(luò)規(guī)則保護(hù)個(gè)體安全，實(shí)現(xiàn)網(wǎng)絡(luò)全局安全.

3 安全視角的網(wǎng)絡(luò)架構(gòu)

基于社會(huì)控制原理的網(wǎng)絡(luò)控制給網(wǎng)絡(luò)安全根本問題的解決提供了新的思路.網(wǎng)絡(luò)安全根本問題的解決之道需要從安全的角度重新審視一下網(wǎng)絡(luò)結(jié)構(gòu)，需要建立網(wǎng)絡(luò)結(jié)構(gòu)的內(nèi)生免疫組成部分——管控中心，梳理網(wǎng)絡(luò)中個(gè)體的行為和統(tǒng)一安全策略的關(guān)系，強(qiáng)調(diào)統(tǒng)一控制規(guī)則的控制主動(dòng)性，并在融合各種安全模型精華的基礎(chǔ)上，重新形成網(wǎng)絡(luò)架構(gòu)的安全結(jié)構(gòu)和安全能力，促進(jìn)網(wǎng)絡(luò)安全防護(hù)新的理念思路的落地和防護(hù)能力的實(shí)質(zhì)提升.

3.1 網(wǎng)絡(luò)安全模型框架

國際化標(biāo)準(zhǔn)組織提出的OSI安全體系結(jié)構(gòu)定義了網(wǎng)絡(luò)7層參考模型、5種安全服務(wù)和8種安全機(jī)制，如圖1所示.

圖1 OSI安全體系結(jié)構(gòu)

OSI安全體系結(jié)構(gòu)體現(xiàn)出分層的思想，不同的層面部署不同的安全服務(wù)與機(jī)制，具有適應(yīng)靈活性.但在網(wǎng)絡(luò)、互聯(lián)網(wǎng)設(shè)計(jì)之初，TCP/IP協(xié)議族中并沒有涉及上述安全服務(wù)和機(jī)制，各種安全服務(wù)和機(jī)制都是根據(jù)后續(xù)的應(yīng)用安全需求逐步后補(bǔ)產(chǎn)生.正是由于各種安全技術(shù)后天產(chǎn)生而非先天融合產(chǎn)生，才導(dǎo)致該結(jié)構(gòu)的網(wǎng)絡(luò)靜態(tài)安全防護(hù)方式對(duì)于持續(xù)變化的內(nèi)外部安全威脅缺乏動(dòng)態(tài)的威脅監(jiān)測和應(yīng)對(duì)能力.

PDR模型[9]：從技術(shù)上考慮信息安全問題，包括保護(hù)、檢測和響應(yīng)，是體現(xiàn)主動(dòng)防御思想的一種網(wǎng)絡(luò)安全模型，強(qiáng)調(diào)應(yīng)急響應(yīng)的重要地位，明確具有快速安全響應(yīng)的能力對(duì)網(wǎng)絡(luò)和系統(tǒng)而言至關(guān)重要.

P2DR模型[10]：除保護(hù)、檢測和響應(yīng)外，加入了安全策略.策略是模型的核心，所有的防護(hù)、檢測和響應(yīng)都是依據(jù)總體和具體安全策略實(shí)施.防護(hù)、檢測和響應(yīng)組成了一個(gè)完整的、動(dòng)態(tài)安全循環(huán)，在安全策略指導(dǎo)下保證信息系統(tǒng)安全.

PDR和P2DR模型雖然給出了安全防護(hù)的大致思路，但沒有給出實(shí)現(xiàn)的具體路徑，是偏理論的思想.

信息安全保障技術(shù)框架[11](IATF)強(qiáng)調(diào)人、技術(shù)、操作這3個(gè)核心原則，指出信息安全保障體系實(shí)質(zhì)上是一個(gè)安全管理的體系，包括策略管理、組織管理、技術(shù)管理和操作管理等；技術(shù)是防護(hù)、檢測、響應(yīng)、恢復(fù)并重的動(dòng)態(tài)技術(shù)體系；操作或者叫運(yùn)行，構(gòu)成了安全保障主動(dòng)防御體系，包括安全監(jiān)測、響應(yīng)恢復(fù)等.IATF相對(duì)于PDR和P2DR有了長足的進(jìn)步，幾乎是一個(gè)包羅萬象的理想架構(gòu)，但在技術(shù)上仍未走出補(bǔ)丁式外掛式的技術(shù)路線，在此模型指導(dǎo)下仍未出現(xiàn)符合其期望的成功技術(shù)和產(chǎn)品.

雖然如此，但PDR,P2DR模型和IATF框架的方向是正確的，網(wǎng)絡(luò)安全需要構(gòu)建整體安全結(jié)構(gòu)體系，建立網(wǎng)絡(luò)安全管控體系，在統(tǒng)一策略指導(dǎo)控制下實(shí)施安全措施，主動(dòng)動(dòng)態(tài)的安全響應(yīng)能力是網(wǎng)絡(luò)安全防護(hù)的重要保障，這些思想極富指導(dǎo)意義，需要尋找更接近其主旨的實(shí)現(xiàn)路徑.

3.2 網(wǎng)絡(luò)架構(gòu)安全能力

當(dāng)今的互聯(lián)網(wǎng)是眾多局域網(wǎng)絡(luò)通過廣域互聯(lián)形成的復(fù)雜體系，局域網(wǎng)分布在全球不同地區(qū)和國家，局域網(wǎng)可以說是互聯(lián)網(wǎng)的細(xì)胞，而網(wǎng)絡(luò)安全很大程度上是在這些局域網(wǎng)意義上的安全，因此，我們從局域網(wǎng)安全架構(gòu)入手來研究網(wǎng)絡(luò)架構(gòu)的安全問題，其實(shí)今天的局域網(wǎng)規(guī)模已經(jīng)十分龐大，大型機(jī)構(gòu)的局域網(wǎng)甚至大過中等國家的互聯(lián)網(wǎng).

前述分析類比了網(wǎng)絡(luò)和社會(huì)、網(wǎng)絡(luò)安全和社會(huì)安全，從中受到的啟示就是把社會(huì)控制原理的3要素引入網(wǎng)絡(luò)架構(gòu)中來.社會(huì)控制的3要素對(duì)應(yīng)到網(wǎng)絡(luò)中，就是共識(shí)一致的安全策略、全域集中統(tǒng)一的策略控制、網(wǎng)絡(luò)內(nèi)生有效可靠的邊緣執(zhí)行能力，這3個(gè)方面正是局域網(wǎng)缺乏的.將這3個(gè)要素回歸網(wǎng)絡(luò)本身，以網(wǎng)絡(luò)內(nèi)生能力踐行統(tǒng)一的安全策略，實(shí)現(xiàn)基于內(nèi)生能力的主動(dòng)安全、動(dòng)態(tài)安全意義下的彈性安全能力，是我們追求的目標(biāo).實(shí)現(xiàn)這個(gè)目標(biāo)基本的技術(shù)路徑主要在以下3個(gè)方面：

1)共識(shí)一致的安全策略.對(duì)于局域網(wǎng)來說基礎(chǔ)是堅(jiān)實(shí)的，局域網(wǎng)都是有管理的網(wǎng)絡(luò)，安全策略共識(shí)本身就是網(wǎng)絡(luò)管理組織的內(nèi)在需求，甚至已有成熟的策略，需要解決的問題是如何形成與網(wǎng)絡(luò)架構(gòu)內(nèi)生安全能力一致的表達(dá)方式.

2)全域集中統(tǒng)一的策略控制.當(dāng)前的局域網(wǎng)尚未形成這個(gè)能力，需要構(gòu)建新的網(wǎng)絡(luò)策略控制中心，提供相應(yīng)的技術(shù)平臺(tái)，并將安全策略表達(dá)轉(zhuǎn)變?yōu)榭晒芾砜刂频陌踩呗詢?nèi)容.

3)網(wǎng)絡(luò)內(nèi)生有效可靠的邊緣執(zhí)行能力.從傳統(tǒng)局域網(wǎng)結(jié)構(gòu)來看，網(wǎng)絡(luò)邊緣對(duì)應(yīng)架構(gòu)的接入層、局域網(wǎng)接入層是網(wǎng)絡(luò)功能最簡單的層級(jí)，顯然是沒有內(nèi)生安全能力的，強(qiáng)化接入層的內(nèi)生安全執(zhí)行能力是需要重點(diǎn)解決的問題.

在網(wǎng)絡(luò)架構(gòu)上解決了以上3個(gè)問題就可以完成和社會(huì)控制機(jī)制相類似的網(wǎng)絡(luò)安全控制能力，從而形成包含新要素的網(wǎng)絡(luò)架構(gòu)，具備上述安全特征的網(wǎng)絡(luò)架構(gòu)，相比傳統(tǒng)的網(wǎng)絡(luò)架構(gòu)具有明顯的安全防護(hù)優(yōu)勢(shì)，其安全防護(hù)能力也更勝一籌.社會(huì)控制原理、先進(jìn)安全防護(hù)模型框架精華、安全合規(guī)要求等，都可以在新的網(wǎng)絡(luò)架構(gòu)下落實(shí)體現(xiàn)，真正形成主動(dòng)動(dòng)態(tài)安全網(wǎng)絡(luò)架構(gòu)、安全結(jié)構(gòu)協(xié)調(diào)、安全能力內(nèi)生、安全結(jié)構(gòu)和能力隨著網(wǎng)絡(luò)演進(jìn)同時(shí)進(jìn)化，安全防護(hù)統(tǒng)一管控，安全措施嚴(yán)肅執(zhí)行，安全防護(hù)主動(dòng)性、適應(yīng)性強(qiáng)，安全防護(hù)效率和效果好.

4 主動(dòng)安全網(wǎng)絡(luò)架構(gòu)的價(jià)值

基于社會(huì)控制原理的主動(dòng)安全網(wǎng)絡(luò)架構(gòu)將網(wǎng)絡(luò)安全轉(zhuǎn)到主動(dòng)和動(dòng)態(tài)的思維上來，其核心在于網(wǎng)絡(luò)內(nèi)生安全能力，以及基于網(wǎng)絡(luò)內(nèi)生安全能力所帶來的網(wǎng)絡(luò)安全結(jié)構(gòu)的完善，讓網(wǎng)絡(luò)安全回歸網(wǎng)絡(luò)，網(wǎng)絡(luò)安全的主路徑防護(hù)、網(wǎng)絡(luò)安全的統(tǒng)一管控、網(wǎng)絡(luò)安全的主動(dòng)防護(hù)等安全防護(hù)新優(yōu)勢(shì)和能力，最終將顯著提高網(wǎng)絡(luò)安全防護(hù)的效率和效果，提高網(wǎng)絡(luò)安全投資回報(bào).

4.1 網(wǎng)絡(luò)安全主路防護(hù)

網(wǎng)絡(luò)安全能力依賴于網(wǎng)絡(luò)安全結(jié)構(gòu).傳統(tǒng)網(wǎng)絡(luò)安全結(jié)構(gòu)是基于被動(dòng)防護(hù)思路，安全功能各個(gè)構(gòu)件如入侵檢測、流量審計(jì)、認(rèn)證訪問等[12]多以外掛式安全應(yīng)用為主，如圖2所示.外掛安全應(yīng)用獨(dú)立或者旁路部署，網(wǎng)絡(luò)主路安全防護(hù)門戶大開；旁路安全應(yīng)用安全檢測滯后于攻擊，且以檢測為前提的事后補(bǔ)救自動(dòng)化程度低，響應(yīng)能力不足；旁路外掛安全應(yīng)用離散分布，安全功能不耦合、結(jié)構(gòu)不協(xié)調(diào)、相互不配套，導(dǎo)致安全應(yīng)用各自為戰(zhàn)、安全防護(hù)體系化程度低、安全防護(hù)效率低、安全防護(hù)聯(lián)動(dòng)能力差等問題普遍存在.

圖2 傳統(tǒng)外掛安全應(yīng)用示意圖

網(wǎng)絡(luò)安全攻防與實(shí)際軍事攻防原理一致，“以正合、以奇勝”是不變的勝利法則.奇勝的前提是正合，在正面、主路、主干道上能夠頂?shù)米」?，才能給奇勝爭取時(shí)間、空間和機(jī)會(huì)，如果主路徑直接被攻破，等同于正面被徹底攻陷，奇勝便失去了意義.因此，網(wǎng)絡(luò)安全要在網(wǎng)絡(luò)的主路徑上多投入資源，將網(wǎng)絡(luò)安全能力內(nèi)化到網(wǎng)絡(luò)主路徑上，形成網(wǎng)絡(luò)內(nèi)在結(jié)構(gòu)的安全內(nèi)功，而非旁路的外掛結(jié)構(gòu).網(wǎng)絡(luò)安全能力內(nèi)化到網(wǎng)絡(luò)內(nèi)在結(jié)構(gòu)，形成網(wǎng)絡(luò)內(nèi)生安全能力[13]，是提高網(wǎng)絡(luò)安全防護(hù)能力的根本辦法，也是應(yīng)對(duì)日益進(jìn)化的安全威脅攻擊的科學(xué)路徑.

4.2 網(wǎng)絡(luò)安全統(tǒng)一管控

目前多種外掛安全應(yīng)用安全能力分散，安全管控智慧和能力不集中，應(yīng)用之間協(xié)調(diào)聯(lián)動(dòng)性差，是眾多組織安全投入大、安全防護(hù)效果不佳的主要原因.

主動(dòng)安全網(wǎng)絡(luò)架構(gòu)通過統(tǒng)一管控中心進(jìn)行網(wǎng)絡(luò)安全策略管控，以零信任為前提強(qiáng)制控制所有個(gè)體越軌行為，通過優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu)形成安全管控中心，進(jìn)行入網(wǎng)資源全面嚴(yán)格認(rèn)證、安全策略集中管理、安全訪問統(tǒng)一控制，可大幅提高網(wǎng)絡(luò)系統(tǒng)安全性和穩(wěn)定性.

傳統(tǒng)的安全認(rèn)證是在設(shè)備認(rèn)證前已經(jīng)可以穿透網(wǎng)絡(luò)訪問認(rèn)證服務(wù)器，實(shí)質(zhì)是不嚴(yán)格的、半信任的認(rèn)證，設(shè)備未認(rèn)證、網(wǎng)絡(luò)通路已經(jīng)打開，原因就在于安全認(rèn)證方是游離于網(wǎng)絡(luò)之外的，是外掛旁路式的；而網(wǎng)絡(luò)內(nèi)生的認(rèn)證能力才能保證先認(rèn)證再入網(wǎng)，可把住網(wǎng)絡(luò)安全的第一道關(guān)口，為后續(xù)的一切安全能力提供基于身份的管控基礎(chǔ).

安全策略是網(wǎng)絡(luò)安全防護(hù)的中央指揮大腦，安全訪問控制的快速執(zhí)行是網(wǎng)絡(luò)安全防護(hù)的戰(zhàn)術(shù)實(shí)現(xiàn).沒有大腦指揮統(tǒng)一作戰(zhàn)結(jié)果可想而知；有了指揮大腦，戰(zhàn)術(shù)執(zhí)行不暢，安全防護(hù)效果差強(qiáng)人意.目前網(wǎng)絡(luò)沒有統(tǒng)一策略管控中心，策略文件紙質(zhì)化、離散化、形式化，執(zhí)行自動(dòng)化程度低，無法實(shí)質(zhì)作用于網(wǎng)絡(luò)安全防護(hù)，導(dǎo)致組織安全防護(hù)是多盤散棋分盤慢下，而非一盤整棋通盤快下的難管難控局面普遍存在.這類問題在主動(dòng)安全網(wǎng)絡(luò)架構(gòu)下將會(huì)迎刃而解.

借鑒社會(huì)控制原理形成的主動(dòng)安全網(wǎng)絡(luò)架構(gòu)，在內(nèi)生安全能力支撐下，形成統(tǒng)一嚴(yán)格的認(rèn)證中心和策略管控中心，接入層內(nèi)生認(rèn)證準(zhǔn)入和策略執(zhí)行能力，保證策略制定全面管理、策略執(zhí)行統(tǒng)一控制、設(shè)備入網(wǎng)嚴(yán)格認(rèn)證，從根本上解決外掛安全應(yīng)用安全能力分散、安全管控智慧和能力不集中、應(yīng)用之間協(xié)調(diào)聯(lián)動(dòng)性差等問題，切實(shí)提高網(wǎng)絡(luò)安全防護(hù)水平.

4.3 網(wǎng)絡(luò)安全主動(dòng)防御

網(wǎng)絡(luò)內(nèi)生安全能力使得網(wǎng)絡(luò)安全結(jié)構(gòu)協(xié)調(diào)、功能配套，像人體內(nèi)在免疫系統(tǒng)一樣，可隨敵而動(dòng)、隨變而應(yīng)，主動(dòng)動(dòng)態(tài)地進(jìn)行安全防護(hù).

傳統(tǒng)的安全防護(hù)模式是針對(duì)各種安全應(yīng)用監(jiān)控檢測的安全威脅告警或事件，形成有針對(duì)性的安全策略并盡快在網(wǎng)內(nèi)部署執(zhí)行，以期有效阻止或削弱威脅攻擊帶來的影響或后果，理論上似乎天衣無縫，實(shí)際情況卻是，響應(yīng)式的安全防御工作基本上斷檔或者零星的處于手工部署執(zhí)行狀態(tài)[14].沒有一個(gè)統(tǒng)一智能的安全結(jié)構(gòu)支撐，分散的安全智能無法迅速集成，并形成落地策略快速執(zhí)行實(shí)現(xiàn)主動(dòng)動(dòng)態(tài)防御.大量安全投資形成的分散安全智能和能力，實(shí)質(zhì)上無法真正發(fā)揮出合力作用，安全投資回報(bào)遠(yuǎn)遠(yuǎn)低于預(yù)期.

作為智慧大腦的網(wǎng)絡(luò)安全管控中心，統(tǒng)一集成聯(lián)動(dòng)各種外掛安全應(yīng)用的安全能力，根據(jù)安全威脅動(dòng)態(tài)檢測態(tài)勢(shì)并有針對(duì)性的形成安全策略，主動(dòng)快速下發(fā)執(zhí)行，形成主動(dòng)動(dòng)態(tài)防御機(jī)制，達(dá)到協(xié)同防御目的.通過網(wǎng)絡(luò)結(jié)構(gòu)內(nèi)生安全能力，形成整個(gè)組織安全防御一盤整棋，安全攻防動(dòng)態(tài)聯(lián)動(dòng)、威脅攻擊主動(dòng)抵御的良性網(wǎng)絡(luò)安全運(yùn)行機(jī)制[15]，使所有安全應(yīng)用形成合力，有效提高安全投資的能力價(jià)值.

5 總 結(jié)

網(wǎng)絡(luò)安全問題根源深植，積重難返，面對(duì)持續(xù)增加的網(wǎng)絡(luò)安全威脅，外掛式的安全解決方案愈加難以持續(xù)，堆砌式的安全設(shè)備和產(chǎn)品讓用戶不堪重負(fù).傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)和產(chǎn)品不足以應(yīng)對(duì)日益加劇的網(wǎng)絡(luò)安全威脅，基于社會(huì)控制原理、融合網(wǎng)絡(luò)安全框架思想精華的主動(dòng)安全網(wǎng)絡(luò)架構(gòu)是解決安全防護(hù)問題的出路所在.

本文主要介紹了主動(dòng)安全網(wǎng)絡(luò)架構(gòu)產(chǎn)生的背景思路和設(shè)計(jì)理念，篇幅所限，難以展開技術(shù)細(xì)節(jié)討論.主動(dòng)安全網(wǎng)絡(luò)架構(gòu)的全部內(nèi)容將通過大約6篇文章介紹，下一篇介紹的是主動(dòng)安全網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)，敬請(qǐng)期待.