【摘 要】 網(wǎng)絡(luò)安全架構(gòu)的規(guī)劃與部署直接影響網(wǎng)絡(luò)整體安全防護(hù)的效果。為了加強(qiáng)對(duì)其的掌握，本文從邊界防御架構(gòu)、縱深防御架構(gòu)、零信任架構(gòu)、可信計(jì)算架構(gòu)4個(gè)方面分析了國(guó)內(nèi)外現(xiàn)有的網(wǎng)絡(luò)安全架構(gòu)，介紹了每種架構(gòu)的特點(diǎn)及局限性，在此基礎(chǔ)上，對(duì)網(wǎng)絡(luò)安全體系架構(gòu)的主要發(fā)展趨勢(shì)進(jìn)行了總結(jié)和展望，以期為后續(xù)相關(guān)研究提供有益參考。

【關(guān)鍵詞】 網(wǎng)絡(luò)安全架構(gòu) 邊界防御 可信計(jì)算 主動(dòng)防御

1 引言

近年來(lái)，隨著信息技術(shù)的持續(xù)發(fā)展和廣泛應(yīng)用，各種網(wǎng)絡(luò)攻擊方式和安全事件層出不窮，網(wǎng)絡(luò)安全面臨著日益嚴(yán)峻的挑戰(zhàn)。

眾所周知，軟硬件在開發(fā)和設(shè)計(jì)過(guò)程中存在漏洞難以避免，而不同種類的攻擊方式始終層出不窮。如果對(duì)存在的風(fēng)險(xiǎn)缺乏統(tǒng)一的思考和防范，網(wǎng)絡(luò)系統(tǒng)沒(méi)有構(gòu)建體系性的防御措施，網(wǎng)絡(luò)安全防護(hù)工作就會(huì)變成一種臨時(shí)性的應(yīng)激操作，網(wǎng)絡(luò)運(yùn)行管理人員需要不斷應(yīng)對(duì)來(lái)自不同方向、不同種類的難以預(yù)測(cè)的攻擊，而多數(shù)結(jié)果等同于亡羊補(bǔ)牢，在造成數(shù)據(jù)的失泄密后再行補(bǔ)救則為時(shí)已晚。為了對(duì)網(wǎng)絡(luò)內(nèi)的重要信息和設(shè)施進(jìn)行保護(hù)，有必要建立一套體系性的防護(hù)框架，在攻擊發(fā)生之前使系統(tǒng)具有防御能力，防患于未然。

世界范圍內(nèi)大部分國(guó)家對(duì)網(wǎng)絡(luò)安全的重視程度越來(lái)越高，在理念、機(jī)制、舉措等方面積極制定網(wǎng)絡(luò)安全政策，構(gòu)建自身的網(wǎng)絡(luò)安全體系，提升網(wǎng)絡(luò)安全防護(hù)能力。例如，拜登政府上臺(tái)后，把網(wǎng)絡(luò)安全作為重大的國(guó)家安全問(wèn)題和首要任務(wù)，并迅速在網(wǎng)絡(luò)安全體系形成了包括網(wǎng)絡(luò)威脅戰(zhàn)略認(rèn)知、網(wǎng)絡(luò)防御重點(diǎn)、統(tǒng)籌協(xié)調(diào)機(jī)制和網(wǎng)絡(luò)防御能力等內(nèi)容的四大體系架構(gòu)。

為了清晰梳理網(wǎng)絡(luò)安全架構(gòu)的發(fā)展情況，本文分析總結(jié)了國(guó)內(nèi)外現(xiàn)有的網(wǎng)絡(luò)安全架構(gòu)，從邊界防御架構(gòu)、縱深防御架構(gòu)、零信任架構(gòu)、可信計(jì)算架構(gòu)4個(gè)方面進(jìn)行了詳細(xì)分析，介紹了每種架構(gòu)的特點(diǎn)，并對(duì)其優(yōu)點(diǎn)及局限性進(jìn)行了探討。在此基礎(chǔ)上，對(duì)網(wǎng)絡(luò)安全架構(gòu)的主要發(fā)展趨勢(shì)進(jìn)行了展望和總結(jié)。

2 常見的網(wǎng)絡(luò)安全架構(gòu)

國(guó)內(nèi)外普遍認(rèn)為網(wǎng)絡(luò)安全架構(gòu)應(yīng)該是一個(gè)動(dòng)態(tài)的、不斷完善的過(guò)程，大量科研人員及學(xué)者進(jìn)行了長(zhǎng)期的研究工作，并設(shè)計(jì)了各類動(dòng)態(tài)安全保障體系模型。其中，最具代表性的模型包括邊界防御架構(gòu)、縱深防御架構(gòu)、零信任架構(gòu)、可信計(jì)算架構(gòu)等。

2.1 邊界防御架構(gòu)

“邊界防御”架構(gòu)于2012年被國(guó)內(nèi)安全企業(yè)率先提出并應(yīng)用，通過(guò)在網(wǎng)絡(luò)邊界處嚴(yán)密設(shè)防，如代理、網(wǎng)關(guān)、路由器、防火墻、加密隧道等，監(jiān)控進(jìn)入終端的外界程序，在惡意代碼尚未運(yùn)行時(shí)即對(duì)其安全性進(jìn)行鑒定，從而最大限度地保障本地計(jì)算機(jī)的安全。其中，4類較為常見的邊界防御技術(shù)分別是防火墻技術(shù)、多重安全網(wǎng)關(guān)技術(shù)、網(wǎng)閘技術(shù)，以及虛擬專用網(wǎng)（VPN）技術(shù)。

如圖1所示，邊界防御架構(gòu)可以控制外部網(wǎng)絡(luò)對(duì)內(nèi)部網(wǎng)絡(luò)的訪問(wèn)，強(qiáng)化內(nèi)部網(wǎng)絡(luò)安全。邊界防御技術(shù)還可通過(guò)對(duì)進(jìn)入內(nèi)部網(wǎng)絡(luò)的文件進(jìn)行安全鑒定，防止內(nèi)部信息外泄，隱藏內(nèi)部網(wǎng)絡(luò)的敏感信息。由于內(nèi)外網(wǎng)之間數(shù)據(jù)的傳輸必須經(jīng)過(guò)邊界防御，一切未被允許的就是禁止的，只有被授權(quán)合法的數(shù)據(jù)，即在邊界防御系統(tǒng)安全策略中允許的數(shù)據(jù)才能穿過(guò)網(wǎng)絡(luò)邊界，保障了內(nèi)部網(wǎng)絡(luò)的整體安全。此外，邊界防御架構(gòu)通過(guò)提供日志記錄，對(duì)網(wǎng)絡(luò)存取和訪問(wèn)進(jìn)行監(jiān)控審計(jì)。在邊界防御架構(gòu)中，部署的邊界防護(hù)機(jī)制是內(nèi)、外部網(wǎng)絡(luò)的唯一通信通道，它們可以詳細(xì)記錄所有針對(duì)內(nèi)部網(wǎng)絡(luò)的訪問(wèn)，形成完整的日志文件，以此達(dá)到監(jiān)控審計(jì)的目的。

邊界防御架構(gòu)的優(yōu)勢(shì)主要集中在3個(gè)方面。首先，可以快速鑒別未知文件是否安全。未知文件一旦到達(dá)網(wǎng)絡(luò)邊界，將觸發(fā)邊界防御對(duì)其安全性迅速做出判斷，從而保證安全防護(hù)的效率。其次，無(wú)需安裝專門的殺毒軟件。避免傳統(tǒng)殺毒軟件對(duì)系統(tǒng)資源的不合理占用，解放了系統(tǒng)資源，同時(shí)人機(jī)界面良好，用戶配置方便。最后，低成本實(shí)現(xiàn)有效防御。由于傳統(tǒng)殺毒軟件重客戶端輕服務(wù)端，客戶端對(duì)抗病毒的成本高昂，而邊界防御架構(gòu)只需配置防火墻等防御機(jī)制，就能控制外部網(wǎng)絡(luò)對(duì)內(nèi)部網(wǎng)絡(luò)的訪問(wèn)，保障內(nèi)部網(wǎng)絡(luò)的安全。

邊界防御架構(gòu)雖然在網(wǎng)絡(luò)邊界處部署了防護(hù)機(jī)制，但受限于其產(chǎn)生的時(shí)代背景，該架構(gòu)在當(dāng)前來(lái)看存在一定的局限性。首先，無(wú)法防范來(lái)自網(wǎng)絡(luò)內(nèi)部的安全威脅。由于邊界防御架構(gòu)只在網(wǎng)絡(luò)邊界處設(shè)置防護(hù)措施，將不安全的外部威脅擋在邊界外，而內(nèi)部惡意用戶和缺乏安全意識(shí)的用戶的存在，都會(huì)給系統(tǒng)內(nèi)部帶來(lái)安全風(fēng)險(xiǎn)。其次，無(wú)法防范繞過(guò)邊界防御的攻擊。邊界防御是單一的、靜態(tài)的安全防護(hù)技術(shù)，只要攜帶病毒的文件通過(guò)某種手段繞過(guò)邊界防御的檢測(cè)，便可以進(jìn)入網(wǎng)絡(luò)內(nèi)部散播病毒，威脅整個(gè)系統(tǒng)的安全。最后，無(wú)法抵御數(shù)據(jù)驅(qū)動(dòng)型攻擊。在邊界防御架構(gòu)中，它通常無(wú)法抵御數(shù)據(jù)投毒等數(shù)據(jù)驅(qū)動(dòng)型網(wǎng)絡(luò)攻擊。這意味著，在當(dāng)前以高隱蔽性復(fù)雜攻擊為新安全挑戰(zhàn)的網(wǎng)絡(luò)環(huán)境中，邊界防御正面臨著極大危機(jī)。

2.2 縱深防御架構(gòu)

由于攻擊方式的多樣性，任何單一防御機(jī)制都不足以對(duì)抗所有類型的攻擊，網(wǎng)絡(luò)存在被攻破的可能性，為此“縱深防御”架構(gòu)應(yīng)運(yùn)而生。“縱深防御”也被稱為深度防護(hù)策略（Defense in Depth，DiD），是一種采用多樣化、多層次的防御措施來(lái)保障信息系統(tǒng)安全的策略，其主要目標(biāo)是在攻擊者成功破壞某種防御機(jī)制的情況下，仍能夠利用其他防御機(jī)制繼續(xù)為信息系統(tǒng)提供保護(hù)。

縱深防御架構(gòu)的基本思路是將各類網(wǎng)絡(luò)安全防護(hù)措施有機(jī)結(jié)合，針對(duì)保護(hù)對(duì)象，部署合適的安全措施，形成多道保護(hù)線，在各安全防護(hù)措施相互支持和補(bǔ)救下，盡可能地阻斷攻擊者的威脅。根據(jù)美國(guó)國(guó)防部提出的PDRR（Pro-tection,Detection,Reaction,Reco-very）模型，即防護(hù)、檢測(cè)、響應(yīng)、恢復(fù)4道防線，縱深防御架構(gòu)通過(guò)在這些技術(shù)框架區(qū)域中實(shí)施保障機(jī)制，最大程度地降低風(fēng)險(xiǎn)，應(yīng)對(duì)攻擊并保護(hù)信息系統(tǒng)的安全。

如圖2所示，縱深防御架構(gòu)不是安全設(shè)備或系統(tǒng)的簡(jiǎn)單堆積，而是在各個(gè)層面有針對(duì)性且合理地部署各類防護(hù)或檢測(cè)系統(tǒng)，形成系統(tǒng)間的優(yōu)勢(shì)互補(bǔ)，從而實(shí)現(xiàn)對(duì)安全態(tài)勢(shì)的全面感知。縱深防御架構(gòu)通過(guò)多點(diǎn)布防、以點(diǎn)帶面、多面成體，形成一個(gè)多層次、立體的全方位防御體系來(lái)維護(hù)網(wǎng)絡(luò)安全，其特點(diǎn)可概述為以下3點(diǎn)。

（1）多點(diǎn)防護(hù)

部署位置主要包括網(wǎng)絡(luò)和基礎(chǔ)設(shè)施、區(qū)域邊界、計(jì)算環(huán)境和支撐性基礎(chǔ)設(shè)施，通過(guò)在這4個(gè)重點(diǎn)方位布置全面的防御機(jī)制，將信息系統(tǒng)的安全風(fēng)險(xiǎn)降至最低。

（2）分層防御

在攻擊者和目標(biāo)之間部署多層防御機(jī)制，每個(gè)機(jī)制都能對(duì)攻擊者形成一道屏障，且各防御機(jī)制在功能上相互協(xié)同和補(bǔ)充。根據(jù)網(wǎng)絡(luò)的層次化體系結(jié)構(gòu)，分層部署防護(hù)和檢測(cè)措施形成了層次化的安全配置，增加攻擊被檢測(cè)到的概率，大大提高了攻擊成本。

（3）分級(jí)防護(hù)

根據(jù)信息系統(tǒng)各部分的重要性等級(jí)，在對(duì)應(yīng)安全強(qiáng)度下配置防護(hù)措施，以平衡縱深防御架構(gòu)建設(shè)成本和安全需求之間的關(guān)系。

縱深防御架構(gòu)雖然搭建了多層防護(hù)屏障，避免了對(duì)單一安全機(jī)制的依賴，但其仍然存在3個(gè)方面的局限性。

首先，各區(qū)域安全措施相對(duì)獨(dú)立，缺乏統(tǒng)一的管理。由于縱深防御架構(gòu)模型將人作為核心要素，安全人員一旦發(fā)現(xiàn)潛在風(fēng)險(xiǎn)，需要對(duì)所有安全措施進(jìn)行逐個(gè)配置，增加了管理復(fù)雜度。而且縱深防御體系的各層防御之間的協(xié)同機(jī)制薄弱，其中的檢測(cè)手段多是基于規(guī)則和黑白名單，對(duì)于抱有經(jīng)濟(jì)政治目的的專業(yè)黑客，攻克這種防御體系也只是時(shí)間問(wèn)題。

其次，缺乏主動(dòng)防御安全威脅的機(jī)制。盡管各重點(diǎn)區(qū)域都部署了安全檢查和防御措施，但并沒(méi)有主動(dòng)進(jìn)行安全威脅檢查和防御。隨著攻擊方式的不斷演進(jìn)、病毒特征的不斷變化，如果不及時(shí)主動(dòng)更新防御機(jī)制，就會(huì)有新的中毒風(fēng)險(xiǎn)。目前，一些專門用來(lái)對(duì)付縱深防御模式的高級(jí)網(wǎng)絡(luò)攻擊工具可被輕易獲取，導(dǎo)致網(wǎng)絡(luò)攻擊數(shù)量大幅增加，以至于縱深防御架構(gòu)面臨巨大的安全威脅。

最后，沒(méi)有考慮虛擬網(wǎng)絡(luò)的防御問(wèn)題。縱深防御架構(gòu)模型主要針對(duì)傳統(tǒng)物理信息系統(tǒng)設(shè)計(jì)，沒(méi)有考慮云數(shù)據(jù)中心虛擬化帶來(lái)的虛擬網(wǎng)絡(luò)特點(diǎn)。虛擬網(wǎng)絡(luò)運(yùn)行在現(xiàn)有物理網(wǎng)絡(luò)之上，具有網(wǎng)絡(luò)邊界彈性、生命周期短暫等動(dòng)態(tài)特征，而傳統(tǒng)縱深防御模型尚未考慮虛擬網(wǎng)絡(luò)的安全防護(hù)問(wèn)題。

2.3 零信任架構(gòu)

零信任架構(gòu)是一種端到端的網(wǎng)絡(luò)架構(gòu)，重點(diǎn)關(guān)注身份、憑證、訪問(wèn)管理、操作、終端、主機(jī)環(huán)境和互連基礎(chǔ)設(shè)施。美國(guó)技術(shù)委員會(huì)-工業(yè)咨詢委員會(huì)（ACT-IAC）于2019年發(fā)布了《零信任網(wǎng)絡(luò)安全當(dāng)前趨勢(shì)》（Zero Trust Cybersecurity Current Trends），同年，美國(guó)國(guó)防部國(guó)防創(chuàng)新委員會(huì)發(fā)布了零信任架構(gòu)白皮書《零信任安全之路》（The Road to Zero Trust Security），強(qiáng)調(diào)了對(duì)零信任架構(gòu)的重視。

傳統(tǒng)的安全方案只注重邊界保護(hù)，對(duì)授權(quán)用戶開放過(guò)多的訪問(wèn)權(quán)限，而零信任的主要目標(biāo)是基于身份的細(xì)粒度訪問(wèn)控制，以應(yīng)對(duì)日益嚴(yán)重未經(jīng)授權(quán)的水平移動(dòng)風(fēng)險(xiǎn)。零信任的本質(zhì)是在新互聯(lián)網(wǎng)環(huán)境下零信任安全架構(gòu)的主體和客體之間構(gòu)建一個(gè)基于身份的動(dòng)態(tài)可信訪問(wèn)控制系統(tǒng)。該架構(gòu)的主要特點(diǎn)可以概括為：以身份作為訪問(wèn)控制的基礎(chǔ)，業(yè)務(wù)安全訪問(wèn)、持續(xù)的信任評(píng)估，以及動(dòng)態(tài)訪問(wèn)控制。

圖3是零信任網(wǎng)絡(luò)架構(gòu)示意圖。如圖中所示，在零信任網(wǎng)絡(luò)架構(gòu)中，身份是零信任的基石。為了構(gòu)建基于身份而不是基于網(wǎng)絡(luò)位置的訪問(wèn)控制系統(tǒng)，首先需要給網(wǎng)絡(luò)中的人和設(shè)備賦予相應(yīng)的身份，在運(yùn)行時(shí)結(jié)合識(shí)別的人和設(shè)備來(lái)構(gòu)建訪問(wèn)主體，并設(shè)置最小訪問(wèn)權(quán)限。零信任架構(gòu)還具有以下3個(gè)特點(diǎn)。

（1）業(yè)務(wù)的安全訪問(wèn)。零信任架構(gòu)側(cè)重于業(yè)務(wù)防護(hù)面的構(gòu)建，通過(guò)業(yè)務(wù)防護(hù)面來(lái)實(shí)現(xiàn)對(duì)資源的保護(hù)。在零信任架構(gòu)中，應(yīng)用、服務(wù)、接口和數(shù)據(jù)被認(rèn)為是業(yè)務(wù)資源。通過(guò)對(duì)業(yè)務(wù)保護(hù)的操作，要求對(duì)所有服務(wù)默認(rèn)隱藏，根據(jù)授權(quán)結(jié)果最小權(quán)限開啟。所有服務(wù)訪問(wèn)請(qǐng)求都應(yīng)進(jìn)行加密和強(qiáng)制授權(quán)。

（2）持續(xù)的信任評(píng)估。持續(xù)的信任評(píng)估是零信任體系中從無(wú)到有建立信任的關(guān)鍵手段。通過(guò)信任評(píng)估模型和算法，可以實(shí)現(xiàn)基于身份的信任評(píng)估能力。同時(shí)需要判斷訪問(wèn)上下文環(huán)境的風(fēng)險(xiǎn)，識(shí)別訪問(wèn)請(qǐng)求的異常行為，以調(diào)整信任評(píng)估結(jié)果。

（3）動(dòng)態(tài)訪問(wèn)控制。動(dòng)態(tài)訪問(wèn)控制是零信任架構(gòu)安全閉環(huán)能力的重要體現(xiàn)。通常采用基于角色的權(quán)限控制（RBAC）和基于屬性的權(quán)限控制（ABAC）相結(jié)合來(lái)實(shí)現(xiàn)靈活的訪問(wèn)控制基線，基于信任級(jí)別來(lái)實(shí)現(xiàn)分層業(yè)務(wù)訪問(wèn)。同時(shí)，當(dāng)訪問(wèn)上下文和環(huán)境存在風(fēng)險(xiǎn)時(shí)，應(yīng)進(jìn)行訪問(wèn)權(quán)限的實(shí)時(shí)干預(yù)，評(píng)估訪問(wèn)主體的信任度。

零信任架構(gòu)關(guān)鍵能力的實(shí)現(xiàn)需要通過(guò)特定的邏輯架構(gòu)組件來(lái)實(shí)現(xiàn)。零信任的核心理念是沒(méi)有人的參與。網(wǎng)絡(luò)內(nèi)外的設(shè)備/系統(tǒng)默認(rèn)不信任，需要基于認(rèn)證和授權(quán)重構(gòu)訪問(wèn)控制的信任基礎(chǔ)。單個(gè)IP地址、主機(jī)、地理位置、網(wǎng)絡(luò)等不能作為可信憑證。零信任顛覆了訪問(wèn)控制范式，引領(lǐng)安全系統(tǒng)架構(gòu)從“網(wǎng)絡(luò)中心化”走向“身份中心化”。它的本質(zhì)要求是基于身份和環(huán)境來(lái)控制訪問(wèn)，在多個(gè)場(chǎng)景方面具有極大的優(yōu)勢(shì)。

零信任架構(gòu)的局限性主要表現(xiàn)在權(quán)限集中、實(shí)時(shí)性與控制精度之間的矛盾、數(shù)據(jù)處理難度等方面。

在零信任架構(gòu)中，策略引擎需要解決對(duì)所有資源訪問(wèn)的授權(quán)工作，一旦策略引擎出現(xiàn)問(wèn)題，對(duì)業(yè)務(wù)連續(xù)性和數(shù)據(jù)安全性都會(huì)產(chǎn)生較大的影響，因此設(shè)計(jì)開發(fā)高可用性的策略引擎，是零信任領(lǐng)域下一步研究的重點(diǎn)方向。其次，零信任架構(gòu)需要對(duì)對(duì)象進(jìn)行實(shí)時(shí)校驗(yàn)，通過(guò)實(shí)時(shí)監(jiān)督認(rèn)證用戶的行為，動(dòng)態(tài)調(diào)整授權(quán)的范圍，對(duì)應(yīng)策略執(zhí)行點(diǎn)與策略引擎，既要做到實(shí)時(shí)控制，又要做到最小化權(quán)限的精準(zhǔn)度，無(wú)論是算法、性能還是認(rèn)證邏輯方面都面臨比較大的挑戰(zhàn)。此外，零信任的成熟度很大程度取決于對(duì)相關(guān)數(shù)據(jù)的收集、分析與處理能力。首先需要對(duì)設(shè)備、用戶、應(yīng)用、歷史行為的各類數(shù)據(jù)進(jìn)行收集。分散的數(shù)據(jù)來(lái)源會(huì)導(dǎo)致數(shù)據(jù)的準(zhǔn)確性、完整度、格式化等方面存在問(wèn)題。在解決數(shù)據(jù)收集、過(guò)濾、歸并、存儲(chǔ)等問(wèn)題后，需要高效地對(duì)這些數(shù)據(jù)進(jìn)行處理，該過(guò)程對(duì)策略引擎的算法和性能要求非常高。因此，設(shè)計(jì)實(shí)現(xiàn)高效的數(shù)據(jù)處理算法，也是零信任架構(gòu)需要重點(diǎn)關(guān)注的問(wèn)題。

2.4 可信計(jì)算架構(gòu)

可信計(jì)算架構(gòu)的核心是基于可信且可靠設(shè)備，為設(shè)備提供給定系統(tǒng)狀態(tài)的證據(jù)。信任被定義為對(duì)系統(tǒng)狀態(tài)的期望，被認(rèn)為是安全的，它需要可信平臺(tái)模塊（TPM）中可信且可靠的實(shí)體來(lái)提供有關(guān)系統(tǒng)狀態(tài)的可信證據(jù)。TPM規(guī)范由稱為可信計(jì)算組織（TCG）的國(guó)際標(biāo)準(zhǔn)組織維護(hù)和開發(fā)，TCG不僅發(fā)布了TPM規(guī)范，還發(fā)布了移動(dòng)可信模塊（MTM）、可信多租戶基礎(chǔ)設(shè)施和可信網(wǎng)絡(luò)連接。

可信平臺(tái)的基本框架是有一個(gè)信任根，其作用是衡量一個(gè)系統(tǒng)的可信度。TCG規(guī)范中的信任根結(jié)合了測(cè)量信任根（RTM）、存儲(chǔ)信任根（RTS）和報(bào)告信任根（RTR）。RTM是一個(gè)獨(dú)立的計(jì)算平臺(tái)，具有最少的指令集，這些指令被認(rèn)為是可信任的，用于測(cè)量系統(tǒng)的完整性矩陣。在典型的臺(tái)式計(jì)算機(jī)上，RTM是基本輸入輸出系統(tǒng)（BIOS）的一部分，在這種情況下，它被稱為測(cè)量信任的核心根（CRTM）。RTS和RTR基于獨(dú)立、自給自足且可靠的計(jì)算設(shè)備，該計(jì)算設(shè)備具有預(yù)定義的指令集以提供身份認(rèn)證和證明功能，這種設(shè)備稱為可信平臺(tái)模塊（TPM）。傳遞信任背后的基本原理是，如果實(shí)體信任平臺(tái)的TPM，它也會(huì)信任其測(cè)量。可信平臺(tái)架構(gòu)如圖4所示。

可信平臺(tái)TPM最大的優(yōu)勢(shì)在于安全啟動(dòng)和報(bào)告操作。現(xiàn)階段的可信計(jì)算熱潮是從可信電腦客戶端平臺(tái)起步,但是它涉及了廣泛的研究和應(yīng)用領(lǐng)域，主要包含關(guān)鍵技術(shù)、理論基礎(chǔ)和應(yīng)用等3個(gè)方面。關(guān)鍵技術(shù)指可信計(jì)算的系統(tǒng)結(jié)構(gòu)、TPM的系統(tǒng)結(jié)構(gòu)、可信計(jì)算中的密碼技術(shù)、信任鏈技術(shù)信任的度量、可信軟件和可信網(wǎng)絡(luò)。理論基礎(chǔ)包括可信計(jì)算模型、可信性的度量理論、信任鏈理論和可信軟件理論。可信計(jì)算技術(shù)的應(yīng)用是可信計(jì)算發(fā)展的根本目的。可信計(jì)算技術(shù)與產(chǎn)品主要用于電子商務(wù)、電子政務(wù)、安全風(fēng)險(xiǎn)管理、數(shù)字版權(quán)管理、安全檢測(cè)與應(yīng)急響應(yīng)等領(lǐng)域。

基于TPM設(shè)計(jì)目標(biāo)，它可以為潛在的“安全且不可破解”的數(shù)字版權(quán)管理(DRM)框架提供一個(gè)平臺(tái)，然而同時(shí)會(huì)引發(fā)計(jì)算機(jī)控制權(quán)的問(wèn)題，從而掩蓋了TPM潛在的有益特性，如安全啟動(dòng)、安全存儲(chǔ)和加密密鑰的安全管理。目前，越來(lái)越多的電腦客戶端具有內(nèi)置的TPM，但這些模塊中的大部分并未由其各自的用戶啟用，此外，使用TPM功能為用戶提供附加安全和隱私服務(wù)的應(yīng)用程序并不多。因此，最終用戶似乎沒(méi)有充分的理由積極使用TPM來(lái)滿足其安全和隱私要求。

隨著對(duì)計(jì)算平臺(tái)的依賴日益增加，TPM將在提供安全計(jì)算平臺(tái)方面發(fā)揮越來(lái)越重要的作用。此外，普通用戶也開始意識(shí)到可能導(dǎo)致他們激活TPM的潛在安全問(wèn)題。然而，雖然TPM的采用可能會(huì)增加，但該規(guī)范并未隨著計(jì)算技術(shù)的變化而改變。

3 安全體系架構(gòu)的發(fā)展趨勢(shì)

隨著云計(jì)算、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)、人工智能、大數(shù)據(jù)、區(qū)塊鏈等技術(shù)的飛速發(fā)展，傳統(tǒng)的安全體系架構(gòu)已經(jīng)難以滿足日新月異的網(wǎng)絡(luò)安全需求。同時(shí)，網(wǎng)絡(luò)面臨著層出不窮的新型攻擊方式。針對(duì)以上挑戰(zhàn)，近年來(lái)國(guó)內(nèi)外出現(xiàn)了多種新型網(wǎng)絡(luò)安全防護(hù)技術(shù)作為對(duì)傳統(tǒng)安全體系架構(gòu)的補(bǔ)充，其中具有代表性的有主動(dòng)防御技術(shù)、安全態(tài)勢(shì)感知技術(shù)等。

3.1 主動(dòng)防御技術(shù)

多年來(lái)，傳統(tǒng)安全防護(hù)構(gòu)建了以系統(tǒng)為核心，以網(wǎng)絡(luò)邊界為防護(hù)重點(diǎn)的“硬殼軟心”邊界防御體系。傳統(tǒng)的、靜態(tài)的各類安全機(jī)制無(wú)法適應(yīng)動(dòng)態(tài)變化的網(wǎng)絡(luò)安全環(huán)境，其本質(zhì)上發(fā)揮的是“傳感器”“探測(cè)器”作用，一旦攻擊威脅突破邊界進(jìn)入內(nèi)部網(wǎng)絡(luò)，其被動(dòng)防御機(jī)制將形同虛設(shè)。此外，被動(dòng)防御缺少對(duì)網(wǎng)內(nèi)未知的橫向移動(dòng)威脅的應(yīng)對(duì)策略和封控辦法，更不具備對(duì)攻擊威脅的主動(dòng)清除和溯源反制能力，無(wú)法應(yīng)對(duì)高級(jí)持續(xù)的未知網(wǎng)絡(luò)攻擊。

與被動(dòng)防御相比，網(wǎng)絡(luò)主動(dòng)防御（Proactive Defense）具有預(yù)測(cè)性和主動(dòng)性，其理念和技術(shù)已經(jīng)引起國(guó)內(nèi)外政府界、學(xué)術(shù)界等廣泛關(guān)注，成為網(wǎng)絡(luò)安全領(lǐng)域的研究熱點(diǎn)。主動(dòng)防御手段主要是防御者針對(duì)攻擊者攻擊行為主動(dòng)采取規(guī)避性、欺騙性的防御技術(shù)，比如獵殺、拒絕、欺騙等，綜合運(yùn)用網(wǎng)絡(luò)動(dòng)態(tài)變化和網(wǎng)絡(luò)欺騙等方法，在攻擊行為對(duì)信息系統(tǒng)發(fā)生影響之前，干擾攻擊者認(rèn)知、捕獲早期攻擊偵察特征、動(dòng)態(tài)調(diào)整防御策略，改變傳統(tǒng)防御體系“被動(dòng)應(yīng)對(duì)”的不利局面。

目前網(wǎng)絡(luò)主動(dòng)防御仍處于研究探索階段，其概念內(nèi)涵還沒(méi)有標(biāo)準(zhǔn)化的定義，業(yè)界普遍接受的是美國(guó)國(guó)土安全部下屬研究中心在2016年提出的主動(dòng)防御定義：主動(dòng)防御是處于傳統(tǒng)的被動(dòng)防御和進(jìn)攻之間的一系列主動(dòng)防御手段。對(duì)比美國(guó)，我國(guó)主動(dòng)防御技術(shù)理論研究起步較晚。隨著主動(dòng)防御技術(shù)的演進(jìn)發(fā)展，我國(guó)相關(guān)研究機(jī)構(gòu)相繼提出了主動(dòng)防御技術(shù)理論，產(chǎn)業(yè)界的原型系統(tǒng)和商業(yè)產(chǎn)品不斷被研發(fā)應(yīng)用，具有代表性的有擬態(tài)防御技術(shù)、中國(guó)科學(xué)院信息工程研究所的“網(wǎng)絡(luò)空間內(nèi)置式主動(dòng)防御”技術(shù)等。隨著主動(dòng)防御技術(shù)產(chǎn)業(yè)化逐漸成熟，國(guó)內(nèi)主動(dòng)防御技術(shù)的規(guī)模應(yīng)用日趨廣泛，主動(dòng)防御技術(shù)手段也在國(guó)家級(jí)網(wǎng)絡(luò)防護(hù)任務(wù)中發(fā)揮了關(guān)鍵作用，防御效能顯著。

3.2 安全態(tài)勢(shì)感知技術(shù)

網(wǎng)絡(luò)安全體系架構(gòu)中的網(wǎng)絡(luò)安全產(chǎn)品從設(shè)備、網(wǎng)絡(luò)、數(shù)據(jù)等不同維度提供了網(wǎng)絡(luò)的縱深防御手段，但目前的現(xiàn)狀是不同網(wǎng)絡(luò)安全產(chǎn)品相互孤立，產(chǎn)品間缺乏有效協(xié)同，所采集的運(yùn)行數(shù)據(jù)以及生成的大量網(wǎng)絡(luò)告警事件無(wú)法關(guān)聯(lián)，用戶面對(duì)海量的告警事件難以處理，也無(wú)法掌握安全態(tài)勢(shì)的全局。安全態(tài)勢(shì)感知技術(shù)就是為了呈現(xiàn)網(wǎng)絡(luò)安全體系的整體情況，包括對(duì)外部惡意攻擊的抵御能力、對(duì)網(wǎng)絡(luò)脆弱性的防護(hù)能力及面對(duì)內(nèi)部攻擊時(shí)的防失泄密能力。

網(wǎng)絡(luò)態(tài)勢(shì)感知（Cyberspace Situational Awareness，CSA）的概念于1999年由Tim Bass首次提出，定義為在大規(guī)模網(wǎng)絡(luò)環(huán)境中對(duì)引起網(wǎng)絡(luò)態(tài)勢(shì)發(fā)生變化的要素進(jìn)行獲取、理解、展示以及對(duì)發(fā)展趨勢(shì)進(jìn)行預(yù)測(cè)，從而幫助決策和行動(dòng)。美國(guó)自2003年開始研制網(wǎng)絡(luò)空間態(tài)勢(shì)感知系統(tǒng)“愛因斯坦”，至2013年，已完成3次迭代。“愛因斯坦1”基于流量的分析技術(shù)來(lái)進(jìn)行異常分析檢測(cè)和總體趨勢(shì)分析，“愛因斯坦2”基于深度包解析（DPI）技術(shù)實(shí)現(xiàn)惡意行為分析，“愛因斯坦3”基于之前的技術(shù)，結(jié)合網(wǎng)絡(luò)攻防經(jīng)驗(yàn)積累下來(lái)的特殊攻擊特征，可實(shí)時(shí)地感知網(wǎng)絡(luò)基礎(chǔ)設(shè)施面臨的威脅，并更迅速地采取恰當(dāng)?shù)膶?duì)策。截至2019年9月，已有76個(gè)聯(lián)邦民事機(jī)構(gòu)完全實(shí)現(xiàn)了“愛因斯坦3”計(jì)劃的基本能力。

在國(guó)內(nèi)，安全態(tài)勢(shì)感知技術(shù)的發(fā)展也受到高度重視。2021年我國(guó)網(wǎng)絡(luò)安全重要法規(guī)《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》中明確提到，“掌握關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)行狀況、安全態(tài)勢(shì)，預(yù)警通報(bào)網(wǎng)絡(luò)安全威脅和隱患，指導(dǎo)做好安全防范工作”。近幾年，國(guó)內(nèi)在網(wǎng)絡(luò)安全態(tài)勢(shì)感知方面具有代表性的研究性工作包括，大數(shù)據(jù)環(huán)境下的網(wǎng)絡(luò)安全態(tài)勢(shì)感知評(píng)估方法的提出，基于深度學(xué)習(xí)的網(wǎng)絡(luò)流量分類及異常檢測(cè)方法的提出，以及對(duì)網(wǎng)絡(luò)安全威脅感知關(guān)鍵技術(shù)的研究。但是，目前已有的網(wǎng)絡(luò)態(tài)勢(shì)感知系統(tǒng)依然存在著數(shù)據(jù)源單一、難以落地實(shí)現(xiàn)的問(wèn)題。但是越來(lái)越多的企業(yè)單位開始意識(shí)到網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)對(duì)于網(wǎng)絡(luò)風(fēng)險(xiǎn)發(fā)現(xiàn)、預(yù)測(cè)、響應(yīng)的重要性，國(guó)內(nèi)的安全廠商近些年紛紛推出包含分析和情報(bào)、響應(yīng)、安全編排的態(tài)勢(shì)感知系統(tǒng)，并廣泛應(yīng)用于政府、金融、電力、教育等多個(gè)行業(yè)。隨著網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)的發(fā)展，其將在網(wǎng)絡(luò)安全防護(hù)中起到越來(lái)越重要的作用。

4 結(jié)語(yǔ)

隨著網(wǎng)絡(luò)安全防護(hù)技術(shù)的復(fù)雜化，網(wǎng)絡(luò)安全體系的構(gòu)建仍是國(guó)內(nèi)外的研究熱點(diǎn)。歸納來(lái)講，網(wǎng)絡(luò)安全防護(hù)體系的建設(shè)不能簡(jiǎn)單依靠各種安全產(chǎn)品的疊加，而是需要結(jié)合不同網(wǎng)絡(luò)架構(gòu)及業(yè)務(wù)應(yīng)用固有的特性，對(duì)多種安全機(jī)制進(jìn)行有機(jī)融合，形成一套動(dòng)態(tài)、有效、全面的整體防御體系。網(wǎng)絡(luò)安全防護(hù)建設(shè)是一個(gè)長(zhǎng)期、循序漸進(jìn)的過(guò)程，隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，必然會(huì)出現(xiàn)各種新的威脅。因此，信息安全防護(hù)建設(shè)也應(yīng)隨之不斷完善和調(diào)整，才能構(gòu)建一道保護(hù)網(wǎng)絡(luò)信息安全的銅墻鐵壁。

（原載于《保密科學(xué)技術(shù)》雜志2022年8月刊）