從自衛到護衛：新時期網絡安全保障體系構建與發展建議

田志宏 ，方濱興 ＊，廖清 ，孫彥斌 ，王曄 ，楊旭 ，馮紀元

（1. 廣州大學網絡空間安全學院，廣州 510006；2. 哈爾濱工業大學（深圳）計算機科學與技術學院，廣東深圳 518055）

一、前言

近年來，隨著網絡信息技術的不斷發展，網絡攻防對抗日趨頻繁，網絡安全領域面臨一系列新的挑戰。一是被保護目標更加多樣。社交網絡、政企內網、重大活動網絡平臺、關鍵信息基礎設施等都是網絡安全保障體系的保護目標[1]，不同的網絡具有差異化的特點和網絡安全防護等級需求。二是網絡條件和場景環境不斷變化。當前網絡條件朝著更高速、更廣泛、更智能的方向發展，云計算平臺更是呈現出不確定的環境狀態，網絡場景環境呈現規?；?、協同化、動態化的發展態勢[2]。三是攻擊源頭和攻擊手段更加隱蔽，未知攻擊層出不窮[3]。隨著攻防技術的持續演化，黑客的攻擊手段也不斷進化，未知攻擊越來越多。高級可持續威脅攻擊（APT）因其具有攻擊持續性、技術專業性、目標針對性等特點，成為黑客組織廣泛使用的網絡攻擊手段。四是系統保護目標可能不能完全配合保護者提出的相關保護要求。以國際運動賽事為例，比賽用信息系統所有者與保護者通常不屬于一個國家，為保密起見，很難按照保護者的要求對其信息系統進行安全整改與加固，甚至可能不會去分享相應的安全信息，這為國際活動的安全保障帶來了較大挑戰。

目前，我國網絡安全保障體系側重于以“自衛模式”為核心的安全防護理念，依靠強健系統自身的防護能力來解決安全問題，如等級保護[4]、漏洞掃描[5]、護網演練、合規性測評[6]等。然而，這種被動式防御體系存在較多不足之處：一是主動探查能力不足，即防御者處于被動位置，只能在攻擊行為發生之后采取措施；二是綜合研判能力缺失，即不同開發商的信息系統和網絡安全管理平臺之間沒有建立協同感知威脅情報研判中心，缺乏威脅情報數據的共享，不利于跨平臺、跨域進行關聯分析；三是協同處置能力偏弱，即隸屬于不同機構的網絡通常具有不同的安全等級，致使當前我國網絡環境沒有形成統一、跨設備、覆蓋從應用層到網絡層的協同處置體系。

以“自衛模式”為核心的網絡安全保障體系在實際應用中稍顯被動，可通過改變已有的被動防御為主動防御。例如，在2022年北京冬奧會和2023年第31屆世界大學生夏季運動會的保障過程中，我國網絡安全保障體系需要保護來自不同國家的信息系統，而這些系統的安全防護能力水平不一且無法對其提出額外的安全能力建設要求，使得僅依靠系統自身防護能力的“自衛模式”難以充分發揮作用。因此，在傳統“自衛模式”的基礎上，探索出一種以“護衛模式”為核心的新型主動安全防御體系，建立了一套集設陷探查、關聯研判和應對攔截為一體的聯動機制，實現了網絡安全“零事故”的記錄，提升了我國網絡的安全性和可用性。

本文總結當前以“自衛模式”為主的網絡安全保障體系發展現狀，分析其面臨的風險和挑戰，在對比“護衛模式”“自衛模式”兩種網絡安全保障體系建設成本和保障層次的基礎上，研判構建基于“護衛模式”的網絡安全保障體系的重點任務，提出保障網絡安全體系發展的對策建議，為新時期網絡安全建設研究提供參考。

二、基于“自衛模式”的網絡安全保障體系運行現狀

（一）網絡安全保障體系

國際上，為應對網絡安全領域的挑戰，美國等發達國家提出了基于動態保護的主動防御網絡安全保障體系。美國在2011年提出“移動目標防御”的概念，通過部署隨機動態變化的網絡和系統來主動欺騙攻擊者、擾亂攻擊者視線、誘騙攻擊者實施攻擊行為，從而使攻擊者觸發告警，形成網絡防御的主動態勢。此外，美國國土安全部主導的網絡空間安全自動監測項目“愛因斯坦”計劃，通過對政府網絡的入侵行為進行監測，保護政府網絡的安全[7]；經過多年的迭代更新，實現了從被動防御到主動檢測、從單一威脅分析到綜合威脅分析、從情報分析到情報共享、從單方負責到多方協同配合的演進。該計劃在第一階段采用網絡流量檢測引擎和網絡流量分析技術，查找網絡中的可疑行為；在第二階段，采用入侵檢測系統、惡意代碼分析技術、安全信息與事件管理系統等構建網絡空間信息共享與協作平臺；在第三階段，采用主動入侵防御系統自動檢測網絡威脅，實現主動網絡安全防御。

近年來，美國積極開展對零信任架構的研究和應用。零信任架構假設網絡中所有實體和網絡流量均不可信，對網絡中所有的訪問請求都進行細粒度的身份認證；按照最小權限策略嚴格實施訪問控制，以確保訪問的安全性，同時訪問控制策略隨狀態變化而動態調整[8]。理想的零信任網絡架構核心邏輯組件通常包括策略執行點、策略引擎和策略管理員。當訪問主體向策略執行點發送訪問請求時，策略執行點將請求轉發至策略引擎，策略引擎根據本地和外部的安全策略數據源對本次請求進行評估；策略管理員根據策略引擎的評估結果建立或者拒絕訪問主體與資源之間的會話；當會話建立后，訪問主體通過策略執行點與資源進行通信，在此過程中策略引擎持續進行信任評估，并將訪問策略通過策略管理員轉發給策略執行點進行更新；當發現存在風險時，策略執行點可以及時斷開連接，起到快速保護資源安全的作用[9]。

在國內，網絡空間擬態防御不再追求建立無漏洞、無后門、無缺陷的運行場景和防御環境，而是通過在軟硬件系統中采取可迭代收斂的廣義動態控制策略來防御網絡空間的各種安全威脅[10~12]。該策略對當前運行的執行體集合進行不定期的變換，重構異構冗余體，通過虛擬化等技術改變運行環境配置，使系統對外呈現結構上的隨機性和不可預測性[13]，從而使攻擊者難以再次復現成功的攻擊場景。

主動免疫可信計算是一種加強網絡信息系統自身防護能力的網絡安全保障體系。主動免疫可信計算技術采用運算和防護并行的新計算模式，以密碼為基因進行身份識別、狀態度量、保密存儲，在統一管理策略支撐下對數據信息和系統服務資源進行可信檢驗判定，及時識別“自己”和“非己”成分，從而破壞和排斥進入機體的有害物質，為網絡信息系統培育免疫免疫免疫能力，進而實現智能感知的主動防御。主動免疫可信計算技術適用于服務器、終端和嵌入式系統，可在行為源頭判斷異常并進行防范，實現已知病毒不查殺而自滅、未知病毒免疫抵御及利用未知漏洞的攻擊；在結構上，可采取在處理器內部構建可信核模塊、外接可信插卡、在主板內增加可信系統級芯片等方式安裝防護部件，保障網絡信息系統的安全。

（二）威脅探測

在網絡威脅感知方面，當前以“自衛模式”為主的網絡安全保障體系通常采用基于蜜罐技術的欺騙防御策略。HoneyToken[14]是基于蜜罐技術的典型欺騙防御策略，其本質是對攻擊者感興趣的目標進行去價值化偽造，如訪問鏈接、文檔、可執行文件、數據庫入口等。Honeyfile[15]在Doc、PDF等格式的文檔中嵌入可追蹤和自動回溯的腳本代碼，當攻擊者打開文檔時即可發送報警信息給Honeyfile的所有者。HoneyDatabase[16]通過故意設置存在漏洞且包含大量偽造機密信息的數據庫來吸引攻擊者訪問。HoneyCredential[17]通過故意泄漏系統登錄憑據來誘惑攻擊者使用該憑據進行身份認證。HoneyAccount[18]通過故意泄漏類似管理員賬號的方式來吸引攻擊者登錄，—旦該賬號登錄即判定為入侵行為并采取安全應急響應措施。

（三）攻擊觀測

以“自衛模式”為主的網絡安全保障體系通常采用基于模式匹配的Web應用防火墻（WAF）等前置探測技術來為Web應用提供安全保障?；谀Ｊ狡ヅ涞腤AF是一種典型的應用系統防護產品，其本質是通過檢測訪問服務器的數據流量來保護應用系統的安全。例如，通過基于簽名的WAF來檢測超文本傳輸協議（HTTP）請求中的異常流量，防止Web應用層遭受攻擊[19]；或是采用多層緩存系統保證白名單的動態適用性，提高WAF的檢測能力[20]?；谧詫W習的WAF，將Web應用的頁面參數分為固定參數、列舉參數和用戶輸入參數，對頁面參數進行學習形成初始規則庫，再通過持續學習擴大用戶的正常行為模式，以適應用戶的需求變化[21]；此外，還可以通過采用主動安全加固算法，提高WAF產品對會話劫持、HTTP隱藏按鈕篡改、Cookie篡改等攻擊的防御能力[22]。

（四）安全聯動

以“自衛模式”為主的網絡安全保障體系通常采用基于聯動的網絡安全管理策略?；诼搫硬呗缘木W絡安全運營中心是當前網絡安全聯動管理策略的一種主流形式。例如，天融信科技集團的安全管理系統可以對整個網絡中的設備進行集中統一管理，監控網絡狀態，收集、過濾、分析各種安全產品的事件信息，并根據安全風險調整安全策略，作出快速響應。啟明星辰信息技術集團股份有限公司的泰合信息安全運營中心為網絡安全運營管理人員提供統一的安全策略配置方案，解決口令、認證、訪問控制等方面的安全風險問題。美國思科公司推出基于IETF策略管理框架的服務質量（QoS）策略管理產品[23]，通過集中的QoS監測，實現策略控制盒轉換過程的自動化，保障企業網絡的服務質量。美國3Com公司提出的Transcend系統軟件增加了虛擬局域網策略服務功能，管理人員可以集中設置虛擬局域網策略，并強制各個網絡交換機執行。

（五）追蹤溯源

以“自衛模式”為主的網絡安全保障體系通常采用基于攻擊行為感知的探測技術。采集攻擊行為并進行感知分析是對攻擊者進行追蹤溯源的主要方式。蜜標技術[24]是一種追蹤溯源的探測技術，可以在數據或文件中嵌入特定的標識信息，如腳本、統一資源定位符等。攻擊者一旦訪問標識信息，其操作行為會被記錄并傳回至遠程服務器，管理員接收服務器告警并利用標識信息獲取攻擊者的網絡地址、瀏覽器指紋等信息，從而溯源定位攻擊者身份。此外，受害者通過路由調試技術[25]向上游路由器發送帶有簽名的攻擊數據包，遞歸地調查上游鏈路，直到發現攻擊者?；诨ヂ摼W控制消息協議（ICMP）的追蹤技術[26]要求每個路由器生成包含溯源信息的ICMP數據包，內有下一跳和上一跳的IP地址、時間戳、MAC地址等參數，通過分析該數據包即可溯源攻擊者。

三、基于“自衛模式”的網絡安全保障體系存在的問題

（一）“捕不全”問題

在網絡威脅感知方面，當前我國網絡安全保障體系是一種被動防御體系，只能在攻擊者作出行動后才能被動地采集數據并分析攻擊行為，這種方式往往難以提前、準確地感知攻擊者的意圖。因此，當前以“自衛模式”為主的網絡安全保障體系對攻擊行為存在“捕不全”的問題。一是蜜罐技術的設計初衷就是不拒絕任何人對其訪問，因此訪問者身份是不確定的，只能通過攻擊者的行為來進行判斷。如果攻擊者采取的是未知攻擊，不貿然地獲取相關信息，那么即使攻擊者進入了蜜罐，蜜罐也無法識別其身份，從而解決不了針對未知APT類攻擊的捕捉。二是攻擊探測面窄，傳統蜜罐技術僅能就針對蜜罐實施攻擊的行為作出反應，而對沒有踩中蜜罐的攻擊行為視而不見，易出現系統漏防的情況。三是易被攻擊者識別，如果攻擊者辨別出用戶的系統為蜜罐，就會避免與該系統進行交互，并在蜜罐沒有發覺的情況下潛入用戶所在組織。

（二）“攔不住”問題

在網絡入口防御方面，當前我國網絡安全保障體系的保護對象多為用于日常管理的網絡信息系統。經過多年的技術積累，這些系統依賴的軟硬件環境各不相同，部分系統存在大量難以補救的安全漏洞、安全能力難以升級、易被各種攻擊手段攻破。以“自衛模式”為主的網絡安全保障體系對網絡攻擊行為存在“攔不住”的問題。一是網關防御僅對外部威脅有效，對內部威脅無法發揮作用；二是不支持加密HTTPS請求的分析和處理，對于加密流量的攻擊行為無法探測；三是現有系統對基于源IP地址訪問者的訪問頻次關注不夠，而在實際攻防對抗過程中，首次訪問和多次訪問是需要給予不同關注度的；四是依靠規則進行防御的本質是防御已知威脅，攻擊者了解WAF的防御機理，所采取的未知攻擊手段能夠規避WAF網關的檢測，從而可以輕易地穿越WAF網關進行攻擊；五是HTTP協議和業務場景的復雜性導致難以形成統一的策略規范，且WAF抽離于業務代碼邏輯以外，攻擊者應用這些耦合上的瑕疵可以繞過WAF防護系統，從而攔不住攻擊者的網絡攻擊行為。

（三）“看不清”問題

在安全聯動方面，當前我國網絡安全保障體系僅依靠單個節點和事件很難判定APT行為。再加上，我國現有的信息系統具有不同的安全等級且相互隔離，沒有建立協同感知的威脅情報研判中心。因此，以“自衛模式”為主的網絡安全保障體系對網絡攻擊行為存在“看不清”的問題。一是聯動體系缺乏統一標準，各研究機構及安全設備廠商都有各自的描述語言、實現模型、協議和應用程序接口（API）函數，導致不同的安全策略管理系統 / 安全產品之間缺乏兼容性和互操作接口；二是仍需突破有關安全策略制定、存儲、驗證、查詢和執行等方面的關鍵技術，特別是缺少對安全策略進行統一描述和對實際攻防環境進行定制的策略；三是現有的設備聯動方法不能給出系統全面的全網解決方案，存在安全日志只報告不聚合、僅展示統計結果、不具備協同探測能力等不足。

（四）“抓不住”問題

在追蹤溯源方面，當前我國網絡安全保障體系主要關注如何防止各類攻擊行為和有效檢測未知網絡威脅，易忽略攻擊事件發生后的復盤分析，如對攻擊者進行用戶畫像和對攻擊行為進行溯源取證。因此，以“自衛模式”為主的網絡安全保障體系對網絡攻擊行為存在“抓不住”的問題。一是探測手段相對單一，缺乏多輪次交互的粘隨效果，對抗能力不強，如攻擊者可以使用偽造的IP地址、代理服務等對抗網絡溯源探測技術。二是網絡追蹤溯源技術多部署在攻擊路徑的靠后位置，雖然可以在一定程度上保護系統安全，卻不能減少系統所遭受的攻擊次數，更不能對系統所面臨的未知網絡威脅進行有效防御。三是已有的防御手段主要防范攻擊行為而非攻擊者，致使攻擊者的攻擊成本和代價較低，缺乏有效手段來甄別攻擊者身份，無法有效震懾攻擊者。

研究新型網絡安全防御體系，提供更為健全的網絡安全保障服務，成為推進我國信息化發展的迫切需要，對進一步加強和提升我國網絡的安全性、可用性具有重要意義。

四、基于“護衛模式”的網絡安全保障體系構建

（一）保障體系構建模式

1. “自衛模式”與“護衛模式”的對比

從防御模式來看，“自衛模式”是一種被動防御方式，以被保護目標為核心，具有“視野”較為狹窄、僅關注針對自身的攻擊行為、需要不斷跟蹤最新攻擊技術、需要根據新發現的攻擊手段來被動發展針對性防護技術等特點?！白o衛模式”則是一種主動防御方式，以護衛者為核心，支持護衛者可以從全局出發綜合分析被保護系統的所有信息，更容易從更高的層面通過碰撞、關聯等手段發現攻擊者痕跡；可以根據資產狀況進行針對性攻擊探測，通過誘捕的方式主動發現攻擊者，并研判其威脅等級。從防御視角來看，以“自衛模式”為代表的網絡安全保障體系側重于從局部視角發現攻擊，在對特定目標進行攻擊時，由于每個安全系統都是相互獨立的，信息獲取存在一定的不對稱性和不確定性，極易產生誤報或者難以研判的情況；以“護衛模式”為代表的網絡安全保障體系則側重于從全局視角發現攻擊，通過全局聯動將所有信息匯聚起來，并進行有序化安排，從而發現更多的攻擊。

2. 保障體系框架

針對當前以“自衛模式”為主的網絡安全保障體系僅能對既有行為進行異常分析、主動探查能力不足等問題，本研究構建了“護衛模式”網絡安全保障體系研究框架（見圖1）?！白o衛模式”網絡安全保障體系采用以“護衛模式”為主的主動式防御理念，以“欺騙誘捕、設陷探測”為思想指導，圍繞設陷探測、攻擊探查、安全聯動和威懾溯源4個方面，發展近身蜜點、前置蜜庭、網關蜜陣、外溢蜜洞的“四蜜”威脅感知體系，涵蓋支持縱深威脅感知的蜜點技術、支持攻擊觀測和判別的蜜庭技術、支持協同聯動的蜜陣技術和支持網絡威懾與攻擊繪制的蜜洞技術。該網絡安全保障體系提升了對高隱蔽攻擊行為的感知和威懾能力，將現有的網絡安全保障體系的防御重心從關注保護對象自身安全轉變為發現和阻斷攻擊者，可為統籌構建國家級整體防御體系提供研究參考，有助于從根本上解決現有體系存在的四大安全問題。

圖1 “護衛模式”網絡安全保障體系研究框架

（二）重點發展的技術任務

1. 支持縱深威脅感知的蜜點技術

在設陷探測方面，針對以“自衛模式”為主的網絡安全保障體系面臨的“捕不全”問題，“護衛模式”安全保障體系策略從被動防御變為主動探查。因此，新型的網絡安全保障體系面向攻擊者進入真實系統之前和之后兩個階段，通過在被保護系統周圍部署大量多種蜜點等陷阱 / 絆線方式，全方位、多層次地主動感知系統面臨的安全威脅。與蜜罐不同，蜜點并不主動散布自己的存在，而是放在常規用戶不會訪問的路徑上，一旦蜜點被訪問，則可確認該行為為非正常訪問。在網絡中，研究基于位置蜜點的網絡絆線和系統絆線技術，即通過設置大量“自動觸發器”，如地址圍欄蜜點、域名變換蜜點、域控賬號蜜點等，來防御系統外部面臨的橫向移動、域名爆破、域控制器等攻擊，實現對網絡攻擊的主動防御。在系統內，研究基于寄生蜜點的系統絆線實現技術，即通過在系統服務中部署不會被正常用戶使用的“暗功能”，或復現系統已有業務，部署功能誘餌蜜點、面包屑文件蜜點、特定賬號密碼蜜點和路徑陷阱等寄生蜜點，隱藏真實功能和系統業務，防御攻擊者對系統內部資源的獲取，使攻擊者即便突破了系統外圍的防御，仍會在系統內部盜取資源時被發現，最終形成縱深安全威脅探測能力。

縱深威脅感知技術通過設置系統外部蜜點可快速感知外部威脅，一旦外部蜜點被觸發，即可判斷系統當前正在遭受攻擊，使系統在網絡攻擊的起始階段就有機會發現攻擊者的動向。設置系統內部蜜點可更精準捕獲攻擊者行為，由于陷阱不會被用戶的正常行為觸發，因此內部蜜點一旦被觸發即可以較高的置信度認定系統正在遭受入侵，從而定位入侵位置，實現對內部威脅的精準感知?？偟膩碚f，縱深威脅感知技術可以更全面地感知系統內外的安全態勢，更早地發現針對系統的網絡攻擊，實現對攻擊的快速響應。此外，在部署大量蜜點的系統中，攻擊者需要花費更多的時間去甄別攻擊目標，區分蜜點和真正的系統資源、系統漏洞，從而消耗攻擊者的精力、增加攻擊成本、降低攻擊成功率。

2. 支持攻擊觀測和判別的蜜庭技術

在攻擊探查方面，針對以“自衛模式”為主的網絡安全保障體系所面臨的“攔不住”問題，新型的網絡安全保障體系通過部署可控的蜜庭等代理方式，既可以正常提供部分系統服務，讓攻擊者感覺不到并沒有進入到真實的服務系統，又可以對攻擊者進行訪問軌跡研判，形成隱匿攻擊判別能力。在攻擊觀測階段，研究基于服務代理的前置蜜庭技術，即在蜜庭中構建外顯相同的服務代理來建立與真實系統之間的安全隔離通道，以便消除惡意負載，提高代理響應速度，觀察用戶行為并進行數據收集。在攻擊判別階段，研究基于研判決策的信任判別方法，構建信任模型和用戶IP信譽度判別規則，即對代理服務中的流量、命令、數據、網絡連接等行為數據進行監測和收集并上報研判中心。一旦攻擊者試圖通過不斷變化來源IP地址來規避對其訪問軌跡的觀察時，研判中心就會對不斷出現的新地址進行歸并研判，從而發現潛在攻擊者，實現對目標系統的前置防護。

攻擊觀測和判別技術將真實系統與外部網絡環境進行安全隔離，降低了網絡攻擊直達系統所帶來的安全風險。在攻擊觀測階段，蜜庭可以觀測攻擊者的每一步行為，發現攻擊者的攻擊方式和攻擊策略，為安全團隊提供攻擊數據的新視角，獲取攻擊者使用的工具和方法等信息。在攻擊判別階段，蜜庭可以對監測數據進行分析，全面判斷用戶行為所帶來的影響，準確捕獲由攻擊行為所引起的系統數據異常，從而發現更隱蔽的網絡攻擊。此外，蜜庭收集到的監測數據也可以反映系統當前存在的安全漏洞和威脅，幫助安全人員提高系統的安全性，制定相應的安全策略。

3. 支持協同聯動的蜜陣技術

在安全聯動方面，針對以“自衛模式”為主的網絡安全保障體系所面臨的“看不清”問題，新型的網絡安全保障體系對蜜點、蜜庭及傳統防御設備進行統一調度，構建基于蜜陣的探測感知部署策略，形成全網聯動的探測能力。首先，蜜陣整合蜜點、蜜庭等防御點，對其進行統一命名和管理，使防御點名字唯一且數據可區分。其次，蜜陣統一通信協議標準，定義數據規范和配置接口，實現蜜點、蜜庭、蜜陣的互聯互通；同時，蜜陣為各防御點的管理、部署提供策略支持，根據系統安全態勢實時調整防御點的類型和位置，建立主動防御措施的動態變化機制。最后，蜜陣根據專家知識庫和歷史攻擊數據評價防御效果，分析防御點效用，迭代優化部署策略，降低防御成本，提高防御能力。

協同聯動的蜜陣技術充分利用各安全系統和設備的優勢，使其能夠實時共享安全情報和攻擊信息，增強系統應對安全威脅的能力；也有助于分析系統整體的網絡安全狀況并作出更加明智的決策，幫助整個安全系統迅速、全面地應對威脅，使網絡安全保障體系更加全面高效。

4. 支持網絡威懾與攻擊繪制的蜜洞技術

在威懾溯源方面，針對以“自衛模式”為主的網絡安全保障體系所面臨的“抓不住”問題，新型的網絡安全保障體系基于蜜洞對網絡攻擊者進行威懾并記錄其身份信息，鎖定攻擊者，對攻擊者進行畫像繪制，形成“事前威懾、事中粘隨、事后繪制”的跨越式攻擊溯源能力。首先，蜜洞對所有訪問用戶的硬件設備編號、軟件應用信息等唯一標識進行強制認證，構建指紋，跟蹤用戶行為。在攻擊者獲取關鍵資源時強制要求提供唯一標識，讓攻擊者意識到其行為已被發現，形成事前網絡威懾，從而停止進一步攻擊。其次，由于蜜洞向攻擊者投遞浮動程序，用以探查攻擊者的資源和信息。對于原本要向攻擊目標投遞攻擊程序的攻擊者來說，需要接收對方投遞過來的浮動程序，而攻擊者通常會拒絕接受，從而暴露了其身份。因此，蜜洞技術可以實現對可疑行為的快速精準響應，并對非法訪問進行阻斷和粘隨遠控，使攻擊者付出更高的成本和代價，達到持續性的粘隨威懾效果。最后，蜜洞結合攻擊者身份信息，繪制攻擊者畫像，將其鎮定并溯源。

支持網絡威懾與攻擊繪制的蜜洞技術，可以有效震懾攻擊者，增加攻擊者的攻擊成本和代價，降低系統被攻擊的風險，減少系統受到的攻擊次數和規模，保護系統和數據的安全。此外，還可以為攻擊研判提供全面、詳實的攻擊者數據和情報，有效識別和溯源攻擊者，輔助安全人員快速、有針對性地調整系統安全策略。

（三）重點發展的產業任務

在產業支撐方面，以“自衛模式”為主的網絡安全保障體系側重于被動抗打擊和不被攻垮，難以有效支撐各領域的網絡系統、適應日益突出的網絡空間安全威脅和風險。以“護衛模式”為代表的網絡安全保障體系側重于預防攻擊和發現攻擊者，與網絡安全保險產業相結合，有助于從整體上提高網絡安全風險的治理水平，推動網絡安全產業發展，為數字經濟發展和網絡強國建設提供重要支撐。

首先，在網絡安全保險投保前的風險評估階段，研判被保企業或單位的攻擊感知能力，通過在被保企業設置蜜點的方式來提升企業對網絡攻擊的感知能力。其次，在網絡安全保險的承保過程中，保險企業可以委托相應的安全支撐企業以低成本的方式在被保企業中廣泛布設蜜點，并將其匯總到統一的針對被保企業所構建的安全監測中心。該中心對所保護企業之間的攻擊情況進行統籌，及時發現大范圍的關聯攻擊，以最小的代價在最大的程度上及時發現攻擊者的存在，降低網絡安全事故的發生概率。一旦發現“踩蜜”行為，則意味著攻擊者的身份暴露，被保企業可以立即進行整改并清理被訪問的系統；安全支撐企業也可以通過日志溯源攻擊者。最后，在出險后的響應和理賠階段，如果造成損失的攻擊者是已經被發現的“踩蜜者”，則需深入研究系統遭受攻擊的原因，并依據保險合同中所明確的蜜點作用、蜜點處置規范和基于蜜點的免責條款等判斷是否需要理賠及計算理賠額度。

發展由蜜點加持的網絡安全保險產業，有助于被保企業構建并完善網絡安全風險管理體系，強化網絡安全風險應對能力，降低企業面臨的網絡安全壓力，對構建新型的網絡安全生態，促進數字經濟的健康有序發展具有重要價值。

五、我國網絡安全保障體系的發展建議

（一）探索“護衛模式”網絡安全保障機制，全面提升國家網絡安全防護水平

在現有基于“自衛模式”的網絡安全保障體系的基礎上，從國家層面制定相關政策法規引導和推動“護衛模式”網絡安全保障體系的發展，將兩種模式相結合，優勢互補，全面提升國家網絡安全防護水平。① 在政策引導方面，倡導構建以“四蜜”為代表的“護衛模式”網絡安全保障體系，前期可通過意見、建議等形式對“護衛模式”安全防護技術及方案進行推廣，后期可結合“網絡安全等級保護2.0制度”等國家安全防護要求，將“護衛模式”相關要素融入國家標準。② 在資金支持方面，設立專項資金支持“護衛模式”網絡安全保障體系的建設和應用推廣，以科技攻關項目推動技術研發，突破核心關鍵技術，形成體系化技術方案，開展應用示范項目和試點工程以驗證技術的有效性，并通過成功案例向企事業單位展示技術優勢和應用前景。③ 在宣傳教育方面，結合國家網絡安全宣傳周、重要網絡安全學術會議等開展網絡安全宣傳、教育和學術活動，向研究人員、企業和公眾介紹“護衛模式”網絡安全保障體系的理念、技術、優勢及應用效果，提高公眾對“護衛模式”的認知，推動更多研究人員和企業的參與，促進“護衛模式”方案的推廣和應用。

（二）探索“護衛模式”安全防護技術研究和應用，實現新舊安全防護技術的融合統一

建立“護衛模式”安全防護技術研發路線圖，組織科研院所、網絡安全企業等參與關鍵技術研究和平臺開發，突破布陷感知、前置觀測、協同聯動以及粘隨威懾等關鍵技術，構建“護衛模式”縱深威脅感知技術體系。同時，與現有的“自衛模式”安全防護技術（如可信防護、態勢感知）結合，建立威脅共享和聯動機制，實現新技術與原有技術的融合統一，有效支撐“護衛模式”技術的推廣和應用。推動以“四蜜”為代表的“護衛模式”安全防護技術和應用的標準化，從架構體系、技術標準、部署標準、管理標準、網絡安全等級保護要求等方面細化“護衛模式”技術及應用要求，增加新技術的可信度和推廣力度，支撐開發者和用戶進行技術開放共享與平臺應用。推動“護衛模式”“殺手級”應用探索，面向工業、金融、通信等領域的關鍵信息基礎設施，梳理“護衛模式”的應用需求；組織企業用戶從實際應用和場景特點出發，提出符合企業需求的安全防護應用模式，以應用需求為導向對“護衛模式”相關技術和平臺進行迭代更新，從而建立符合實際需求的技術體系和應用平臺，并通過在關鍵信息基礎設施上的應用，進一步驗證“護衛模式”的有效性，形成良好的示范應用效果。

（三）探索面向“護衛模式”的網絡安全人才培養新模式，培育創新實踐型網絡人才

面向“護衛模式”網絡安全保障體系研發及應用需求，依托國家戰略型人才和創新實踐型人才培養目標，培養和挖掘一批具有戰略視野、跨領域、創新思維、技能過硬的網絡安全人才，形成人才培養戰略規劃。借鑒廣州大學方濱興院士班的“654321”網絡安全人才培養模式，從人才培養具體實施角度，探索將“護衛模式”體系與網絡安全人才培養相結合，將思辨能力和實踐能力納入人才培養目標，培育具有獨立思考和技能過硬的創新實踐型網絡人才，推動“護衛模式”網絡安全保障體系的不斷進步。例如，“方班研討廳”機制通過知名專家和專業老師研討點評的教學模式使學生快速掌握“求源、熵減、思辨”方法，從而培養創新和實踐能力。探索人才培養與業務需求深度結合機制，將人才培養真正服務于安全防護需求，做好人才與需求對接，建立需求單位和人才之間的供需協調機制。例如，“方班演武堂”機制通過組織學生參與2022年北京冬季奧運會、2023年杭州第19屆亞運會以及護網演練等大型活動網絡安全保障任務，培養學生快速掌握“分析 - 驗證 - 工程”方法，鍛煉實戰實踐能力。積極鼓勵民間團體組織各類網絡攻防安全大賽，培養和挖掘“護衛模式”安全防護技術及運維人員，通過積極推進網絡安全對抗，提升“護衛模式”的安全防護能力。

六、結語

本文針對當前“自衛模式”安全保障體系在應對APT攻擊時所面臨的“捕不全”“攔不住”“看不清”和“抓不住”等問題，提出了以“四蜜”為代表的“護衛模式”網絡安全保障體系?！八拿邸蓖{感知體系遵循“欺騙誘捕、設陷探測”的指導思想，使護衛者可以在暗處觀察攻擊者行為，發現其未知攻擊的真相，從而更有效地鎖定APT攻擊者，顯著降低發現APT攻擊的時間。多次重大活動的網絡安全保障案例均表明“四蜜”威脅感知體系在主動發現安全威脅、提高系統安全性方面發揮了重要作用。建議從政策引導、資金支撐、宣傳教育、技術研發、標準規劃、應用探索以及人才培養等多方面發展以“四蜜”為代表的“護衛模式”網絡安全保障體系，提升對高隱蔽安全威脅的感知和威懾能力，以期能夠開啟統籌構建國家級整體防御體系的新階段。

利益沖突聲明

本文作者在此聲明彼此之間不存在任何利益沖突或財務沖突。

Received date:August 22, 2023;Revised date:October 30, 2023

Corresponding author:Fang Binxing is a professor of the Cyberspace Institute of Advanced Technology, Guangzhou University, and a member of the Chinese Academy of Engineering. His major research field is cyberspace security. E-mail: fangbx@cae.cn

Funding project:Chinese Academy of Engineering project “Strategic Research of Cybersecurity Assurance System” (2022-JB-04)