今日荐文的作者为中电科技国际贸易有限公司专家王金泉。本篇节选自论文《面向国际市场的赛博指控中心研究与设计》,发表于《中国电子科学研究院学报》第14卷第7期。
摘 要:本文通过对当前世界网络强国的网络安全(Cybersecurity)战略、网络安全组织机构和网络安全技术的研究,并针对国际市场上对网络安全防御技术的需求,尤其是赛博指控中心(Cyber Command Center)的建设需求,设计了面向国际市场的赛博指控中心系统。该系统设计了三级赛博指控体系架构,包括建在国防部的国家级赛博指控中心,建在各军兵种司令部的战术级赛博指控中心和建立在各军种防区司令部的区域级赛博指控中心。本文通过对三级赛博指控中心的作战任务定义、组织机构和指挥作战流程设计,解决了建设赛博指控中心的三大关键问题。
关键词: 网络安全;赛博指控中心;网络安全态势;网络安全防御
论文全文摘编如下,仅供学术交流与参考
引言
当今世界已经进入到了万物互联的世界,截止到2019年3月,世界上有超过43.46亿的用户[1]通过不同接入方式连接到互联网。互联网在改变人类生活,给人们带来便利的同时,网络安全也威胁到个人和国家的安全。例如个人的财产安全、数据安全,国家的基础设施安全、军事安全等,都无时无刻不受到网络攻击的威胁。
没有网络安全,就没有国家安全。网络空间已经成为继陆海空天之后的第五大主权领域空间,美国、以色列、俄罗斯等世界网络强国,都已经把网络安全上升为国家安全战略,建立了专业化的网络部队,由独立的网络司令部来负责网络部队的建设和作战指挥。
2017年8月18日,美国总统特朗普发表声明,宣布美国网络司令部由战略司令部下属的二级司令部升级为一级司令部,成为美军第10大联合作战司令部[2]。这是美军在网络空间领域调整改革的一大举措,使美国网络部队的网络行动更有效率。
世界各网络强国都在不断扩大网络部队规模,逐渐完善网络战指挥控制体系,更加正规化和系统化的建设网络部队。
从概念和内涵来分析,网络空间和赛博空间是有区别的,美军定义的赛博空间包括互联网、电信网、计算机系统和各类嵌入式处理器、控制器[3]。赛博本身是从英文Cyber音译过来的,因此本文在考虑国内习惯用语的基础上,把网络空间和赛博空间,网络安全和赛博安全,赋予相同的含义。同样,从技术角度上分析,本文的赛博指控中心就是赛博司令部即网络司令部。本文通过参考美国等不同国家的网络部队建设情况,结合国际市场上对网络防御体系建设的实际需求情况,研究设计了面向国际市场应用的赛博指控中心系统。
1. 总体设计
1.1 战略任务定义
作为第五大空间领域,赛博空间的安全代表了国家安全战略,美国国防部公布的赛博空间作战战略,提出了五大战略倡议[4]。本文定义的赛博指控中心战略作战任务主要包括四个方面:
(1) 在网络空间领域防护国家关键信息基础设施。
(2) 防御国家军事通信网络,确保其安全运行。
(3) 在军事作战行动中提供网络支援。
(4) 增强网络安全技术,培养网络安全专业人才。
1.2 总体架构设计
如图1所示,军队赛博指挥控制体系由三级架构组成,包括国家级赛博指控中心,战术级赛博指控中心和区域级赛博指控中心。
国家级赛博指控中心由国防部直接管理,负责对全军的网络安全态势进行监控和应急指挥控制。
战术级赛博指控中心由各军兵种司令部管理,负责对军种所辖的网络安全态势进行监控和应急指挥控制。
区域级赛博指控中心由各军兵种下属的防区司令部管理,负责对各防区内的网络安全态势进行监控和应急指挥控制。
图1 赛博指控中心三级指挥架构
2. 国家级赛博指控中心设计
2.1 作战任务
作为国家级指控中心,国防部赛博指控中心的作战任务主要包括如下七个方面:
(1) 管理、运维和防护国防部所属网络,确保其安全运行。
(2) 对整个国家的军队网络安全态势进行监控。
(3) 制定国家军队网络防御战略、政策和标准。
(4) 统一指挥国家军队网络防护的作战行动和训练行动。
(5) 负责研发网络防御新技术和新工具。
(6) 负责在军事行动中提供网络安全防御支援。
(7) 负责协调与其它政府部门的联合网络安全防御行动和共享网络安全情报。
2.2 组织机构
图2是国家级赛博指控中心的基本组织机构。各部门的具体职责描述如下:
(1) 司令办公室,主要有三个职责,一是负责指挥官的日常工作;二是负责与国防部其它部门的业务对接;三是负责与国家其它部门的业务对接,例如内政部或安全部等。
(2) 联合作战中心,由陆、海、空各军兵种的作战指挥人员构成,主要负责网络安全威胁态势分析、作战计划制定、作战行动指挥和作战效果评估等。
(3) 情报监控中心,负责国防部信息资产的监控和管理;负责国防部网络安全威胁的探测、分析、显示和告警;负责接收各军兵种上报的网络安全态势并融合显示。
(4) 培训试验中心,负责制定全军的网络安全培训计划;负责组织全军的网络安全专业技术人员培训;负责网络安全防御新技术、新工具的测试评估;负责组织全军网络安全联合演习。
(5) 技术管理部,负责制定全军网络安全防御战略;负责制定全军网络安全防御标准;负责研发网络安全防御新技术和新工具。
(6) 安全审计部,负责对全军的网络安全管理情况、网络安全制度执行情况和网络安全防护策略的实施情况进行监督审查。
(7) 网络防御小组,负责对国防部网络安全威胁情况进行及时响应、及时处置和及时恢复,保证国防部网络在遭受网络攻击时能够安全可靠运行。
(8) 人力资源部,负责网络安全专业技术人才的招募和管理。
(9) 财务部,负责制定全军网络安全防御的预算。
(10) 行政管理部,负责国家级赛博指控中心的日常运营管理工作。
图2 国家级赛博指控中心组织机构
3. 战术级赛博指控中心设计
3.1 作战任务
作为战术级指控中心,在各军种建设的赛博指控中心,主要作战任务包括如下几个方面:
(1) 管理、运维和防护军种所属网络,确保其安全运行。
(2) 对军种所属网络安全态势进行监控;并向国防部赛博指控中心实时发送网络安全态势情报。
(3) 统一指挥军种所属网络的安全防御行动;接受国防部赛博指控中心的联合指挥。
(4) 负责军种所属网络部队的日常训练工作;根据国防部赛博指控中心的培训和联合演练计划,负责军种的参训组织工作。
(5) 负责在军事行动中提供网络安全防御支援。
3.2 组织机构
图3是战术级赛博指控中心的组织机构,各部门的具体职责如下描述:
(1) 司令办公室,负责赛博指挥官的日常工作;负责与国防部赛博指控中心的业务对接;负责与其它军种赛博指控中心的业务对接。
(2) 作战指挥中心,主要负责军种所属网络安全威胁态势分析、作战计划制定、作战行动指挥和作战效果评估等。
(3) 情报分析中心,负责军种总部信息资产的监控和管理;负责军种总部网络安全威胁的探测、分析、显示和告警;负责接收军种区域总部上报的网络安全态势并融合显示;负责向国防部赛博指控中心实时传输军种所属网络的安全态势情报。
(4) 训练中心,负责军种所属网络安全防御部队的日常训练工作;根据国防部赛博指控中心的培训和演练计划,负责所辖网络防御部队的参训组织工作。
(5) 安全审计部,根据国防部赛博指控中心制定的网络安全防御策略和制度,负责对军种所属的网络安全管理情况、网络安全制度执行情况和网络安全防护策略的实施情况进行监督审查。
(6) 网络防御小组,负责对军种总部网络安全威胁情况进行及时响应、及时处置和及时恢复,保证军种总部网络在遭受网络攻击时能够安全可靠运行。负责对军种区域级赛博指控中心进行作战支援行动。
(7) 人力资源部,根据军种网络安全防御发展需求,负责网络安全专业技术人才的招募和管理。
(8) 财务部,负责制定军种网络安全防御的预算。
(9) 行政管理部,负责区域级赛博指控中心的日常运营管理工作。
图3 战术级赛博指控中心组织机构
4. 区域级赛博指控中心设计
4.1 作战任务
在军种所辖防区(或者是战区)建设的军种区域级赛博指控中心,主要有如下作战任务:
(1) 管理、运维和防护防区内所属网络,确保其安全运行。
(2) 对防区所属网络安全态势进行监控;并向军种总部赛博指控中心实时发送网络安全态势情报。
(3) 指挥防区所属网络的安全防御行动;接受军种总部赛博指控中心的统一指挥。
4.2 组织机构
图4是区域级赛博指控中心的组织机构,各部门的主要职责如下描述:
(1) 作战指挥中心,主要负责防区内所辖网络的安全威胁态势分析、作战计划制定、作战行动指挥和作战效果评估等;接受军种总部赛博指控中心的统一指挥。作战指挥中心根据网络安全防护对象,下设六个行动小组:终端安全防护小组、数据安全防护小组、网络边界安全防护小组、军队业务系统安全防护小组、网络安全威胁响应和处置行动小组和军队网络安全运维管理小组。
(2) 情报分析中心,负责防区所辖信息资产的监控和管理;负责防区所辖网络安全威胁的探测、分析、显示和告警;负责向军种总部赛博指控中心实时传输防区所辖网络的安全态势情报。
(3) 综合管理部,主要负责日常的人力资源管理、行政管理和财务管理。
图4 区域级赛博指控中心组织机构
5. 作战指挥流程设计
本文设计了国家级、战术级和区域级三级赛博指挥控制体系的作战流程,包括情报流程、指控流程以及各单位、各部门在整个作战流程中的任务和职责。
图5是典型网络防御作战流程图,具体描述如下:
1) 时间:凌晨0:00~0:30;地点:空军某防区数据中心;事件:网络异常流量。
2) 空军区域级情报探测小组探测到了该异常流量,抓取了流量数据包,并搜集了相关的日志数据;情报探测小组把相关数据发送给情报分析小组;
3) 空军区域级情报分析小组对相关数据进行分析,定位到被入侵的服务器,发现该服务器被注入了恶意软件,通过对恶意软件进行逆向分析,确定该恶意软件主要是窃取服务器文件数据并发送给远端服务器。情报分析小组把相关情报报送给空军区域级指控中心。
4) 空军区域级指控中心经过综合研判后,命令区域赛博防御小组,查杀恶意病毒,并对病毒进行追踪溯源,确定入侵方式。
5) 空军区域级赛博防御小组接到命令后,对病毒进行了清除,对被入侵的服务器进行了漏洞扫描,发现了某应用系统存在安全漏洞,病毒就是利用了这个漏洞对该服务器成功入侵。防御小组制定了漏洞修补策略,对服务器进行了成功修复,并将整体情况向指控中心汇报。
6) 空军区域级赛博指控中心收到赛博防御小组的报告后,命令赛博防御小组对整个防区内的网络进行检查和修补漏洞。同时,空军区域赛博指控中心向空军战术级赛博指控中心汇报了此次安全事件并提交了相关技术材料。
7) 空军战术级赛博指控中心收到空军区域级赛博指控中心的报告后,命令空军总部赛博防御小组对空军总部的军事网络进行检查和修补漏洞,同时命令空军其它区域级赛博指控中心对所辖网络进行检查和修补漏洞。按程序要求把此次安全事件上报给国防部国家级赛博指控中心。
8) 空军其它区域级赛博指控中心收到空军战术级赛博指控中心的命令后,对防区内的网络进行了检查并对相关漏洞进行了修补。
9) 国防部国家级赛博指控中心收到空军战术级赛博指控中心的报告后,命令国防部赛博防御小组对国防部网络进行检查和修补漏洞,同时给陆军和海军战术级指控中心发布命令,要求检查整个军网。
10) 陆军和海军的战术级赛博指控中心收到国防部国家级指控中心的命令后,命令总部赛博防御小组对总部网络进行检查,同时给各自下属的区域级赛博指控中心发布命令,检查各防区内的军事网络。
11) 陆军和海军的区域级赛博指控中心收到各自战术级赛博指控中心的命令后,对防区内的网络进行了检查并对相关漏洞进行了修补。
图5 典型网络防御作战流程
6. 技术架构设计
赛博指控中心的建设根据作战任务的不同,指挥体系分为国防部国家级、军种战术级、军种区域级三级架构,并设置了不同的组织机构。但是,从技术角度上分析,各级的网络安全防御策略、方法和工具,都是统一和共享的。
图7是网络安全防御的三层技术架构:网络安全态势感知、网络安全运行中心和网络安全防御处置。
(1) 网络安全态势感知(SA, Situation Awareness)。多源安全数据的汇聚与存储、面向威胁情报的大数据分析是网络安全态势感知的基本能力[5]。SA系统围绕用户的业务安全,通过各类检测系统等数据收集工具,能够实时不间断地监控网络设备、安全设备、服务器主机、数据库、中间件、通用服务、业务服务等信息系统的运行状态。同时,利用云计算和大数据分析技术,通过各种攻击模型场景发现网络中的各种网络攻击行为、用户异常访问和操作行为等威胁事件。
(2) 网络安全运行中心(SOC, Security Operation Center)。SOC系统是一个以IT资产为基础,以业务信息系统为核心,从分析、监控、管理、运维四个维度建立起来的网络安全综合分析平台和网络安全管理平台。实现对业务信息系统进行可用性与性能的监控、配置与事件的分析审计预警、风险与态势的度量与评估、安全运维流程的标准化例行化常态化,有效保障业务信息系统的持续安全运营。
(3) 网络安全防御处置(PRRC, Protection Response Restore Control)。主要包括网络安全静态防护、网络安全威胁及时响应、网络系统快速恢复和网络安全威胁有效控制。根据目前的网络安全态势分析,APT(Advanced Persistent Threat)攻击具有“长期隐蔽侦察、精心策划准备、定向精确攻击”的特点,如果仅仅采用传统的“堡垒”式和“纵深防御”式的网络安全防护策略已不合时宜,需要建立动态、综合的防护理念。如图8所示,从海量网络安全数据搜集,到利用大数据进行分析,最后形成网络安全态势情报的“塔式”防护策略,从“安全设备”到“安全服务”防御理念的转变,代表了目前网络安全防御策略的发展方向。
图7 网络安全防御技术架构
图8 “塔式”防御策略
结语
基于目前国际市场的基本国情现状和网络安全体系建设的实际需求,本文设计的赛博指控中心三级架构,详细定义了各级指控中心的作战任务和组织机构,并设计了完整的作战流程,其中涉及的网络安全培训中心子系统,已经成功在“一带一路”某些国家开展了分步建设工作,取得了良好的效果。
【参考文献】
1. Internet World Stats,WORLD INTERNET USAGE AND POPULATION STATISTICS MARCH, 2019,https://www.internetworldstats.com/stats.htm.
2. 汪涛、彭浩泰,“幕后黑手”—美军网络部队的发展演变,《军事文摘》2017年第23期.
3. 杨帆、郭庆丰等,网络电磁空间与赛博空间的区别分析,《国防》2017年第2期.
4. 周小坤. 美国防部公布首份《国防部赛博空间作战战略》,《装备指挥技术学院学报》,2011, (5):42.
5. 管磊,胡光俊,王专,基于大数据的网络安全态势感知技术研究. 《信息网络安全》,2016年.
声明:本文来自学术plus,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
