“網(wǎng)絡(luò)空間已經(jīng)成為繼海���、陸�、空�����、天之后的第五疆域���,對其空間布局進行摸排并形成地圖�,是維護網(wǎng)絡(luò)空間安全的基礎(chǔ)性工作����。”7月3日全球數(shù)字經(jīng)濟大會期間,DayDayMap全球網(wǎng)絡(luò)空間資產(chǎn)測繪平臺發(fā)布����。該平臺研發(fā)方盛邦安全董事長權(quán)小文告訴科技日報記者,隨著數(shù)字經(jīng)濟的發(fā)展�,數(shù)據(jù)轉(zhuǎn)化為無形資產(chǎn),但對于這些無形資產(chǎn)的分布�����,即便是擁有資產(chǎn)的機構(gòu)也難以盡數(shù)掌握����,任何節(jié)點都有可能發(fā)展為導致安全隱患的漏洞。
那么�����,如何構(gòu)建網(wǎng)絡(luò)空間的“地圖”���?既然擁有機構(gòu)都無法掌握�����,如何測算精準呢���?網(wǎng)絡(luò)空間是什么樣的,空間地圖如何呈現(xiàn)利用?
發(fā)展數(shù)字經(jīng)濟�����,網(wǎng)絡(luò)空間安全呈現(xiàn)新格局
“雖然互聯(lián)網(wǎng)出現(xiàn)已經(jīng)幾十年�����,但當前的網(wǎng)絡(luò)空間和最初的‘internet’已經(jīng)有了天壤之別�����。”權(quán)小文解釋���,過去的網(wǎng)絡(luò)安全策略是“防御”�,只要守住自己的網(wǎng)站���、數(shù)據(jù)庫等等�����,做防火墻��、打補丁���,當前的網(wǎng)絡(luò)空間已經(jīng)滲透到現(xiàn)實中的各個領(lǐng)域�,成為立體的矩陣����,安全維護的范圍需要無限延伸���。
隨著物聯(lián)網(wǎng)技術(shù)的發(fā)展�,物聯(lián)網(wǎng)設(shè)備類型和接入方式多樣且難部署傳統(tǒng)防御措施����,正成為網(wǎng)絡(luò)攻擊的焦點;由于數(shù)據(jù)中心�、云服務等技術(shù)的發(fā)展,數(shù)據(jù)存儲�����、網(wǎng)絡(luò)資源的分布呈現(xiàn)零散��、隨機的趨勢��,使得外圍突破“防不勝防”�。
“尤其是數(shù)字經(jīng)濟的發(fā)展�,對網(wǎng)絡(luò)安全提出了更高的要求�����。”權(quán)小文表示�����,數(shù)字經(jīng)濟下�����,能源����、化工等行業(yè)的設(shè)備、數(shù)據(jù)(統(tǒng)稱為資產(chǎn))實現(xiàn)聯(lián)網(wǎng)�,一方面數(shù)字化后,其存放形態(tài)分散����,全面鎖定困難;另一方面�,如果沒有有效的保護,資產(chǎn)數(shù)字化聯(lián)網(wǎng)后的狀態(tài)將從“高墻里鎖著”變?yōu)?ldquo;網(wǎng)上裸奔”����,潛藏著極大的安全風險��。
為了支撐數(shù)字經(jīng)濟的發(fā)展���,國家相關(guān)部門全面加強網(wǎng)絡(luò)安全工作,先后出臺了《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》(第二版)《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》等�����,并指導各單位進行實戰(zhàn)化網(wǎng)絡(luò)攻防演習�����,從各個層面加強網(wǎng)絡(luò)安全建設(shè)��。
“我們也會扮演‘藍軍’為相關(guān)單位提供攻防演練服務���,但在實戰(zhàn)中往往發(fā)現(xiàn)即便對方防守嚴密,也會由于網(wǎng)絡(luò)資產(chǎn)‘摸底’不完備而產(chǎn)生漏洞�����。”盛邦安全防護產(chǎn)品線高級總監(jiān)聶曉磊表示�����,實戰(zhàn)經(jīng)驗進一步表明,通過全要素網(wǎng)絡(luò)資產(chǎn)測繪并形成“地圖式”的全局掌控����,對于安全防御、管理乃至整個建設(shè)運營工作非常必要���。
空間測繪����,產(chǎn)學研合作打造靈敏“探針”
網(wǎng)絡(luò)空間是虛擬的�����,如何進行測繪��?網(wǎng)絡(luò)空間是龐大的�,IPv4(互聯(lián)網(wǎng)通信協(xié)議第4版)已經(jīng)為全球分配了43億個地址,而IPv6(互聯(lián)網(wǎng)通信協(xié)議第6版)有望將地址空間擴大到2的128次方個����,如何快速測繪如此多的地址?網(wǎng)絡(luò)空間是動態(tài)的�����,每個地址不斷生成,并接入新類型的設(shè)備�����,如何全面準確地掌握��?
“為了保證探測數(shù)據(jù)的準確性���、可靠性和科學性�����,并能夠清晰揭示出互聯(lián)網(wǎng)資產(chǎn)的暴露邊界,精準識別各類資產(chǎn)屬性����,我們把這些問題轉(zhuǎn)變?yōu)榭茖W問題,與清華大學等科研單位開展緊密合作���。”權(quán)小文說���,IPv4時代通過“發(fā)信息包��、接受反饋”等類似“地理信息實地勘測”的方式���,可以實現(xiàn)對網(wǎng)絡(luò)空間資產(chǎn)所在位置、匹配設(shè)備等信息的探測�����,但這一方法在IPv6時代失效了��。
為此�����,盛邦安全和清華大學合作���,聚焦全球IPv6網(wǎng)絡(luò)空間測繪����,攻克了IPv6網(wǎng)絡(luò)空間設(shè)備隱匿性強�����、探測效率低、探測成本高等挑戰(zhàn)�,提出活躍IPv6地址探測方法體系,實現(xiàn)高效拓撲發(fā)現(xiàn)����、網(wǎng)絡(luò)安全策略遙測等先進技術(shù),使得活躍地址發(fā)現(xiàn)速度提升30-911倍��,端口探測效率提升136倍����,顯著降低探測成本。
基于更高效�、更準確的探測技術(shù)等,研發(fā)團隊研制了IPv6網(wǎng)絡(luò)空間資產(chǎn)測繪平臺�����,支持主被動資產(chǎn)測繪����、資產(chǎn)類型識別等���,當前發(fā)現(xiàn)110億活躍IPv6地址���,覆蓋超過92%的全球路由前綴空間����、28個行業(yè)��、33大類�����、1100個子類�,是目前識別IPv6資產(chǎn)最多的公開測繪平臺。相關(guān)成果發(fā)表在NDSS(網(wǎng)絡(luò)與分布式系統(tǒng)安全研討會)�����、ATC(操作系統(tǒng)技術(shù)研討會)�����、CoNEXT(未來網(wǎng)絡(luò)與通信國際會議)等國際會議和期刊���,并獲網(wǎng)絡(luò)安全領(lǐng)域國際四大學術(shù)會議之一的NDSS 2023的杰出論文獎���。
“當前的網(wǎng)絡(luò)空間地圖在不斷地精準化����、規(guī)范化�����。”權(quán)小文表示��,盛邦安全與主管研究機構(gòu)��、產(chǎn)業(yè)單位�、高校院所等聯(lián)合發(fā)起的國家標準《網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)空間測繪數(shù)據(jù)交換格式》編制工作正在進行,標準的形成以及合作單位的加入�����,將會使網(wǎng)絡(luò)空間地圖在網(wǎng)絡(luò)空間安全風險監(jiān)管與預警���、智慧城市數(shù)字資產(chǎn)感知與運營���、IPv6資產(chǎn)發(fā)現(xiàn)與攻擊面管理、網(wǎng)絡(luò)空間掛圖作戰(zhàn)監(jiān)測與處置等多個場景中得到更進一步應用���。
原文鏈接
