基于知识服务的网络空间安全战略风险管理研究

０引言随着人类信息化技术的进步，网络空间逐步形成并发展，同时与传统的陆海空天等物理空间相互渗透，形成了虚拟与现实交织的人类生产生活的新空间。在网络空间的赋能和媒介作用下，人与人、人与物、物与物的关联越来越密切。虚拟的服务、个体甚至社会持续繁荣，对国家政治、经济、文化、社会以及国防等领域的作用和影响不断增强。但与此同时，世界范围内网络安全威胁和风险也日益突出，成为国家安全的全新挑战。网络空间的安全风险主要归因于承载信息生成、交换、存储、共享和使用的网络底层设备、操作系统及高层应用自身固有的难以消除的脆弱性，促使攻击者因利益、使命或其他动机发起了各类攻击行为。对于网络空间安全风险，就受害目标而言，包括网络基础设施、终端及计算平台、系统及终端服务、数据及数字资产和认知及网络社会等领域；就作用影响而言，它包括导致系统完整性、信息机密性、服务可用性，以及物理设施、社会系统、声誉信用被破坏的诸多潜在能力；就利用方式而言，有的攻击强度高，有的攻击范围大，有的隐密程度高，有的甚至集成了多个尚未披露的高价值漏洞，具备干扰国家政治、经济和国防运行的效果。基于风险存在的客观性与普遍性，开展安全防御、预警和防范工作应围绕面临的风险进行识别和分析，从而提升安全资源投入的效率和收益。本文将探索网络空间战略风险的定义、特征、检测和评估机制。第1章将简要介绍网络空间风险要素和战略性风险；第2章讨论网络空间战略风险评估与预警的数据来源及运行机制；第3章设计了一个可实用的基于知识服务的层次化网络空间安全战略风险管理系统；第4章总结全文。１网络空间战略风险1.1网络空间风险要素维护网络安全首先要知道风险在哪里，是什么样的风险，什么时候发生风险。没有意识到风险才是最大的风险。网络空间风险通常是指由人或自然因素导致的网络安全系统的脆弱性、面临的威胁以及脆弱性被威胁资源利用后所产生的实际负面影响，包括在物理环境、网络结构、系统平台、应用服务以及数据资源等层面存在的技术、管理脆弱性因素。如同物理空间通过雷达对空天目标、来袭武器进行监视和预警一样，网络空间也需要密切关注风险的产生、变化和发展。越早识别风险、检测到风险，就能越早清除风险，从而把风险造成的危险降到最低。网络空间的物理域风险指环境、场地、周界和设备安全风险；逻辑域风险指网络协议、计算平台和软件服务安全风险；认知域风险指数据隐私、机密信息和数字资产安全风险；社会域风险指意识形态、社会认知和网络文化安全风险；跨域安全风险指在两个或多个域之间因传导、扩散导致的衍生式、级联式安全风险，有可能对某一个域施加影响，而在另一个域显现。网络空间广泛相联的网络、计算和应用基础设施是一把双刃剑，既便利了使用者，又便利了攻击者。连接无处不在、数据无处不在、服务无处不在的便利性更容易为攻击者所利用，因此“攻击无处不在”成为网络空间设计者必须面对的现实。在风险成因中，动机是攻击者发起的意愿，脆弱性是系统存在可被攻击的入口，而连接是攻击者访问到这一入口的可能性，三个条件缺一不可。攻击者依托既有的工具、能力和经验，在一定的时空条件下针对网络空间目标发起基于“发现—定位—跟踪—瞄准—打击—评估”杀伤链的敌对行动，从而获取巨大的经济、政治和军事利益。1.2网络空间战略风险网络空间主流的攻击对抗方式具备广维度、多目标、高烈度、短猝发以及强隐蔽等特点，为安全防护带来了极大的复杂性和不确定性。在攻击事件和活动中，网络空间既可能成为直接或间接的攻击目标，也可能是攻击的载体和媒介而使其他陆海空天空间成为攻击目标。在不同的攻击者能力大小、不同的攻击发起时机、不同的防御者应对能力和不同的资产重要等级配比下，风险的规模、水平、发生概率和破坏能力具有显著的差异化。与危害较轻的“战术级”风险相比，网络空间安全“战略性”风险一般在核心性、结构性以及系统性上具有鲜明的特点，可能对全球网络空间及关联空间的结构、功能、组织造成显著破坏，给目标系统造成综合或连锁反应影响，甚至导致国家关键信息基础设施瘫痪、重要数据资源泄露、经济金融紊乱以及工业生产停摆等严重后果。网络空间安全战略风险的显著特点包括体现国家意志、蕴含重大破坏、跨越巨大时空以及持久负面影响4个方面。（1）体现国家意志。需要国家级平台和资源作为实施条件，是有组织、有目的的长期对抗设计。风险背后操纵者的意图、动机和意识形态较为明显。（2）蕴含重大破坏。融合网络空间安全威胁的基础性、长期性、全面性和强对抗性属性特点及发展规律，可对重要网络、关键基础设施和高价值目标造成难以估量的损失。（3）跨越巨大时空。在时间角度，风险的产生需要一定的预备时间和历史、技术条件。在空间角度，不仅对网络空间本身构成风险，也对关联的其他空间带来了危害。（4）持久负面影响。风险的检测、发现与处置抑制，通常需要在较高的技术积累、产业规模和资源投入水平上与多域力量协同联动才能够有效实施，且风险影响在很长一段时期内都难以消除。战术风险的识别和防范是网络安全主动防御的一项具体任务，而战略风险的检测、控制和防范是一项体系工程，需要将传统风险理论和方法向网络空间拓展、延伸和有机融合，深化对战略风险的定义、识别机制、方法研究和深入实践。管理网络空间安全战略风险的首要环节是评估与预警。网络空间安全评估是确定防护对象及重要资产的安全威胁和脆弱性，并估计可能由此造成的损失或影响的过程。网络空间安全预警是通过数据采集、关联分析和研判决策，对潜在或正在发生的围绕网络空间的攻击和威胁活动进行识别、分析、预测和告警的技术和活动集合。科学评估和有效预警通过把握安全风险发生的本质与规律，准确预测风险的性质、特点、动向和趋势，从而尽可能为联合处置力量组织防御和响应争取时间。２网络空间战略风险评估与预警2.1数据化风险预警体系在当今充分数字化和信息化的世界，特别是网络空间环境中，任何行为与活动都不可避免地留下了痕迹，形成了可供追踪的碎片化信息。尽管安全事件的发生具有一定的随机性和不确定性，但事实上在不同的网络空间场所存在大量的诱因和线索。各类与网络空间安全风险相关的数据能够以“拼图”方式还原安全事件的历史信息，为态势感知、早期预警和应急响应提供支撑。网络空间安全风险预警的数据化、情报化是在新的威胁形式和对抗环境下，提升风险辨识、认知和预警能力的必然选择。网络空间风险预警体系的运行以大数据基础设施为载体，以数据和信息的采集、汇聚、分析、运用为前提和条件。整个体系突出数据和证据在网络空间战略风险研判中的重要作用，以及组织、技术、人员、投资以及策略所产生的风险在全球尺度网络空间格局中的反映，体现出在复杂时空条件下网络与信息系统安全保障的能力需求。从整体上看，基于数据资源的获取、数据内涵的提炼、数据关联的建立和数据价值的挖掘，分析主要战略对手、合作伙伴和技术团体在网络空间安全发展、利用、治理、保障和掌控等相关的活动，以此调整相应网络空间战略、技术、机构和力量关系，在人员、策略和技术3大要素的作用下，以人员为核心，以策略为桥梁，以技术为保证，使安全目标成为安全现实。2.2风险数据的来源网络空间战略风险数据的来源非常广泛。从采集途径看，它主要包括政府官方发布、研究型智库发布、安全企业发布、网络安全研究者、恶意团伙发布或系统设备主动上报的不同来源数据。从形式上分，它主要包括威胁情报、日志、协议类结构化信息和文本、视频、音频、网页等非结构化和半结构化信息。从描述的内容看，它主要有动向型、技术型、事件型、漏洞型、资源型和综合研究型。威胁情报（ThreatIntelligence）是战略风险研判重要、规范的结构化数据来源，包括情境、机制、指标、暗示和可供操作的建议，通过描述正在发生或者即将出现的针对网络空间资产的威胁或危险，能够被用于通知相关主体对这些威胁或危险做出响应决策。两个比较流行的威胁情报格式包括结构化威胁信息描述语言（StructuredThreatInformationExpression，STIX）和ATT&CK（AdversarialTactics，Techniques，andCommonKnowledge）。其中，STIX是为威胁情报采集、分析和交流而设计的一种语言，以结构化的方式来支持更有效的网络威胁管理流程化和应用自动化。许多企业已经支持通过STIX进行威胁情报和安全知识的共享。ATT&CK是由MITRE公司提出的站在攻击者的视角来描述攻击中各阶段用到的技术的模型，主要应用于评估攻防能力覆盖、APT情报分析、威胁溯源及攻击模拟等领域。非结构化数据的来源相对更为广泛，包括用各种语言文字存储的互联网网页、文档、电子书、出版物、智库报告、博客、微博、论文、简报、内参和各类数据库等。机器学习、网络爬虫、智能图像分析研究自然语言处理等人工智能技术在数据的获取过程中广泛应用，使得大规模、高质量、多样化且极具战略风险情报价值的信息能够被及时发现和记录。非结构化数据在使用中需统合多个来源和多种格式，将其转化为统一的战略风险知识表达形式，在保留原始信息的同时，便于知识检索、管理、查找和推理。2.3风险数据的组织与管理知识和情报的价值在于传递和共享。战略风险信息内在结构复杂，内容丰富，用法多样，受众广泛。为了最大限度地节约使用者的资源和精力，它的处理过程必须尽可能自动化，从而对机器与机器之间实现情报内容的可读、可理解的规范化交换提出了迫切要求。目前，无论是威胁情报的共享交换还是文本、多媒体数据的自动化处理，都需要建立统一的风险描述框架和语言体系，核心是将关键数据和信息本体化。本体通过减少概念和术语上的歧义，为使用不同语言、具有不同背景和目的的个体提供一致性的框架和语义模型，从而使不同组件间的理解和交流成为可能。本体的这种特性使得它尤其适用于战略风险情报这类概念众多、关联复杂、更新迅速以及信息共享需求迫切的场景。2.4风险数据的决策和应用根据不同的风险管理与控制需求，战略风险评估将包括3类具有不同时效性的预警输出。（1）直前预警是最紧迫、最现实的预警样式，针对的是已发生或很快发生并即将造成破坏的战略风险。通过网络入侵检测、行为审计系统采集监测异常行为信息进行分析，对高价值基础设施或重要系统等关键部位发出预警。（2）近期预警是前瞻性、强证据的预警样式，针对的是未发生但很快蔓延或有发起迹象的攻击。基于监测全球僵尸网络构建、蠕虫病毒传播、黑客组织活动等战略风险的推理分析，需不断修正以提升精确度。（3）中长期预警是预防式、预见型的预警样式，针对的是未发生但潜在重大影响或长期趋势的战略风险。它以人员参与的深度研判为主，包括识别系统、体系性的后门、风险和缺陷，同时需尽早布局封堵，防止未来被对手利用。直前预警的响应手段包括关闭系统、终止服务、封堵端口、更新规则、修改配置、安装补丁、启动蜜罐、隔离网络以及增添安全设备等，强调响应的快速、精准和有效。近期预警的响应手段包括安全机制调整、大范围安全策略更新、恶意代码溯源反制以及安全运维组织建设等；中长期预警的响应手段则需要调动更广泛的安全力量和资源推动实施，包括转移安全战略、发布规章制度、推动技术研发以及促进产业发展等。如何响应不同层级的战略风险取决于先前制订的安全目标和防御策略。依据希望达成的安全能力水平，对风险进行筛选、评估和优先级划分，以目标为导向，以数据为驱动，以情报为线索，以资产为中心，在实践和运行中不断改进。３基于知识服务的风险管理系统知识是人们在改造客观世界的实践中积累起来的认识和经验，是一切智能行为的基础。网络空间由海量实体及其间的关系构成。不同的实体功能差异巨大，实体间联系的方式也千变万化。因此，建立网络空间安全领域知识概念、术语、能力及事件描述，构建安全知识元数据的定义、分类、描述语言及规范，研究表征网络空间安全风险、脆弱性、安全防护能力等的指标体系及计算模型，能够提高安全知识管理、知识查询以及知识共享方面的效率，进而为安全事件的快速分析与定位提供高效的数据支撑能力。网络空间战略风险管理中知识的服务化体现在两个层面。一方面，从原始数据到安全信息再到安全战略风险预警，知识的表达、联系、共享和推理作用对于有效预警的形成至关重要。需要通过一致的、无歧义的知识表示和组织方式提升数据的质量和指向性，并在研判和印证过程中借助安全专家的知识和历史经验进行辅助判定，以提升准确率。另一方面，系统内的风险知识能够以服务化的方式对外提供。这种高质量、内容一致、实时性强的知识可以以用户选择的方式按需调用，或是无缝集成至用户的系统流程中。多个战略风险评估系统节点间可以加强信息共享和系统联动，形成全方位、大纵深、多层次的网络空间的持续、全面战略风险观测与预警能力。基于知识服务的风险管理体系结构如图1所示。图1基于知识服务的风险评估体系基于知识服务的风险评估体系给出了与战略风险相关的安全信息采集、融合、分析、检测、管理、运维等相关技术的层次化支撑依赖关系。网络空间战略风险评估由位于网络空间各个位置、以不同方式运作、完成不同任务的组件、模块、代理等构成。这些组件承担信息采集、传播、路由、计算、存储或分析等功能。在一致的协同交互协议的联系下，各组件自身的任务和活动能够从整体上得到有效调度、协调和并发控制，且对外展现出安全信息采集、存储、管理、维护、加工和利用一体化，体现模块间的无缝集成，从而在战略风险预警的有效支撑下，推动信息安全体系主动防御、快速反应、妥善处理以及联动服务等进阶能力的形成。数据平台及处理模块对多个不同来源的数据进行整编、映射和均一化处理，可支持多个来源和多种格式数据，并将其转化为统一战略风险知识框架表达。数据的具体组织形式为网状关联数据、规则数据、模型数据等，为战略风险预警体系提供知识检索、知识推理计算、知识存储及管理能力。数据平台及处理模块在运行中，按照战略风险数据处理的应用类别不同，将计算任务分为离线计算类、机器学习类、实时计算与推理类，同时利用多种分布式计算引擎，结合知识模型对数据的约束和合并规则，对各类结构化及非结构化的信息资源进行相应处理，将分析处理后的中间结果数据提供给知识服务或业务系统中进行复用。数据服务子系统以使用者的业务目标和习惯为驱动，在风险数据的时效周期内实现情报按需、顺畅、安全共享。知识服务提供的情报内容、类型、及时性、数据来源、可信度、适用范围、服务方式、增值业务、使用难易度、价格、服务质量以及响应速度等能够进行相应调整，从而帮助需求方制订安全战略