nist網路安全框

㈠ NIST發布《SP 800-53 第5版 信息系統和組織的安全和隱私控制》

        9月23日，NIST發布《SP 800-53 第5版 信息系統和組織的安全和隱私控制》，該文件一直被視作NIST信息安全的支撐性文件，本次更新旨在開發一個全面的安全和隱私控制目錄，用於管理不同規模的組織從超級計算機到工業控制系統再到物聯網（IoT）設備的所有類型的系統風險。這些控制措施提供了一種主動而又系統的方法，以確保關鍵的系統、組件和服務具有足夠的可信度和必要的網路彈性，從而維護美國的國家安全和經濟利益。

      【注】SP800（SP，Special Publications）是美國國家標准與技術研究院（NIST）發布的一系列關於「信息安全的指南」。在NIST的標准系列文件中，雖然NIST SP並不作為正式法定標准，但在實際工作中，已經成為美國和國際安全界得到廣泛認可的事實標准和權威指南。NIST SP800系列成為了指導美國信息安全管理建設的主要標准和參考資料。

        SP 800-53是信息安全風險管理框架的重要組成部分，為選擇和規定信息系統安全控制措施提供了指導原則。主要介紹了安全控制措施選擇和規范化的基本概念以及為信息系統選擇和說明控制措施的過程，以幫助組織達到對信息系統安全和風險的有效管理。

         SP 800-53 是不定期更新的文檔，第5版的重要變更如下：

         控制要求變為結果導向：從控制說明中刪除了「由信息系統、組織滿足控制要求」，強調通過應用來實現安全保障作用。為了與上版內容保持連貫，新版在附錄C（控制的總結）中額外增加了內容為「由『系統/組織』實現」的一列。

         合並控制目錄：將信息安全和隱私控制集成到系統和組織的統一控制目錄中。原修訂版4附錄J中的隱私控制已合並到新的隱私體系和現有的程序管理體系中。此外，一些隱私控制還被合並到當前的安全控制中，從而使這些控制既可以服務於安全又可以保護隱私，進一步提升了控制功能。

         整合供應鏈風險管理：建立了一個新的供應鏈風險管理（SCRM）控制體系，並將這個新的體系與已有體系相結合，以保護關鍵系統和基礎設施中的系統組件、產品和服務。SCRM控制體系有助於解決國家乃至全球供應鏈在整個系統開發生命周期中的隱私安全和威脅問題。

         將選擇控制過程與控制目錄分離：新版本擁有一個統一的、獨立的控制目錄，可允許系統工程師、安全架構師、軟體開發人員、企業架構師、系統安全和隱私工程師、業務所有者等各類人員根據組織策略和業務需要使用個性化的流程來選擇控制，並使其更好地協作。

         將控制基線和裁剪指南轉移到單獨的出版物：將控制基線移到了新的NIST SP 800-53B《信息系統和組織的控制基線》中。這三條安全基線和一條隱私基線適用於聯邦機構，反映了《聯邦信息安全現代化法案（FISMA）》和《管理和預算辦公室（OMB）A-130號通知》的具體要求。其他組織可根據其業務需要和組織風險承受能力，選擇制定自己的定製基線。

         改進對內容關系的描述：澄清了要求和控制之間的關系，以及安全和隱私控制之間的關系。這些關系有助於用戶判斷是在企業級選擇和實施控制，還是將其作為基於生命周期的系統工程過程的一部分。

         新增可實踐控制：隨著網路威脅的迅速發展，需要新的保障措施和對策來保護組織的重要資產，包括個人隱私和個人身份信息。版本5基於最新的威脅情報和網路攻擊數據增加了新的控制（如支持網路彈性、安全系統設計、安全和隱私治理等）。

         目前，NIST SP 800系列已經出版了近90本同信息安全相關的正式文件，形成了從計劃、風險管 理、安全意識培訓和教育以及安全控制措施的一整套信息安全管理體系，如：

NIST SP800-53和SP800-60描述了信息系統與安全目標及風險級別對應指南

NIST SP800-26和SP800-30分別描述了自評估指南和風險管理指南

NIST SP800-51描述通用缺陷和暴露（CVE）缺陷命名方案的使用

NIST SP800-30分別描述了自評估指南和風險管理指南

NIST SP800-34信息技術系統應急計劃指南

NIST SP800-34安全內容自動化協議（SCAP）指南

         此外，NIST還陸續發布了多種框架來幫助用戶選擇和實施這些控制，包括風險管理框架（RMF）、網路安全框架（CSF）、隱私框架（PF）。這次新版控制目錄的內容NIST將以不同格式陸續發布，詳情可參見NIST官網：https://csrc.nist.gov。

㈡ 關於電信網路關鍵信息基礎設施保護的思考

文 華為技術有限公司中國區網路安全與用戶隱私保護部 馮運波 李加贊 姚慶天

根據我國《網路安全法》及《關鍵信息基礎設施安全保護條例》，關鍵信息基礎設施是指「公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的網路設施和信息系統」。其中，電信網路自身是關鍵信息基礎設施，同時又為其他行業的關鍵信息基礎設施提供網路通信和信息服務，在國家經濟、科教、文化以及 社會 管理等方面起到基礎性的支撐作用。電信網路是關鍵信息基礎設施的基礎設施，做好電信網路關鍵信息基礎設施的安全保護尤為重要。

一、電信網路關鍵信息基礎設施的范圍

依據《關鍵信息基礎設施安全保護條例》第 9條，應由通信行業主管部門結合本行業、本領域實際，制定電信行業關鍵信息基礎設施的認定規則。

不同於其他行業的關鍵信息基礎設施，承載話音、數據、消息的電信網路（以 CT 系統為主）與絕大多數其他行業的關鍵信息基礎設施（以 IT 系統為主）不同，電信網路要復雜得多。電信網路會涉及移動接入網路（2G/3G/4G/5G）、固定接入網、傳送網、IP 網、移動核心網、IP 多媒體子系統核心網、網管支撐網、業務支撐網等多個通信網路，任何一個網路被攻擊，都會對承載在電信網上的話音或數據業務造成影響。

在電信行業關鍵信息基礎設施認定方面，美國的《國家關鍵功能集》可以借鑒。2019 年 4 月，美國國土安全部下屬的國家網路安全和基礎設施安全局（CISA）國家風險管理中心發布了《國家關鍵功能集》，將影響國家關鍵功能劃分為供應、分配、管理和連接四個領域。按此分類方式，電信網路屬於連接類。

除了上述電信網路和服務外，支撐網路運營的大量 IT 支撐系統，如業務支撐系統（BSS）、網管支撐系統（OSS），也非常重要，應考慮納入關鍵信息基礎設施范圍。例如，網管系統由於管理著電信網路的網元設備，一旦被入侵，通過網管系統可以控制核心網路，造成網路癱瘓；業務支撐系統（計費）支撐了電信網路運營，保存了用戶數據，一旦被入侵，可能造成用戶敏感信息泄露。

二、電信網路關鍵信息基礎設施的保護目標和方法

電信網路是數字化浪潮的關鍵基礎設施，扮演非常重要的角色，關系國計民生。各國政府高度重視關鍵基礎設施安全保護，紛紛明確關鍵信息基礎設施的保護目標。

2007 年，美國國土安全部（DHS）發布《國土安全國家戰略》，首次指出面對不確定性的挑戰，需要保證國家基礎設施的韌性。2013 年 2 月，奧巴馬簽發了《改進關鍵基礎設施網路安全行政指令》，其首要策略是改善關鍵基礎設施的安全和韌性，並要求美國國家標准與技術研究院（NIST）制定網路安全框架。NIST 於 2018 年 4 月發布的《改進關鍵基礎設施網路安全框架》（CSF）提出，關鍵基礎設施保護要圍繞識別、防護、檢測、響應、恢復環節，建立網路安全框架，管理網路安全風險。NIST CSF圍繞關鍵基礎設施的網路韌性要求，定義了 IPDRR能力框架模型，並引用了 SP800-53 和 ISO27001 等標准。IPDRR能力框架模型包括風險識別（Identify）、安全防禦（Protect）、安全檢測（Detect）、安全響應（Response）和安全恢復（Recovery）五大能力，是這五個能力的首字母。2018 年 5 月，DHS 發布《網路安全戰略》，將「通過加強政府網路和關鍵基礎設施的安全性和韌性，提高國家網路安全風險管理水平」作為核心目標。

2009 年 3 月，歐盟委員會通過法案，要求保護歐洲網路安全和韌性；2016 年 6 月，歐盟議會發布「歐盟網路和信息系統安全指令」（NISDIRECTIVE），牽引歐盟各國關鍵基礎設施國家戰略設計和立法；歐盟成員國以 NIS DIRECTIVE為基礎，參考歐盟網路安全局（ENISA）的建議開發國家網路安全戰略。2016 年，ENISA 承接 NISDIRECTIVE，面向數字服務提供商（DSP）發布安全技術指南，定義 27 個安全技術目標（SO），該SO 系列條款和 ISO 27001/NIST CSF之間互相匹配，關鍵基礎設施的網路韌性成為重要要求。

借鑒國際實踐，我國電信網路關鍵信息基礎設施安全保護的核心目標應該是：保證網路的可用性，確保網路不癱瘓，在受到網路攻擊時，能發現和阻斷攻擊、快速恢復網路服務，實現網路高韌性；同時提升電信網路安全風險管理水平，確保網路數據和用戶數據安全。

我國《關鍵信息基礎設施安全保護條例》第五條和第六條規定：國家對關鍵信息基礎設施實行重點保護，在網路安全等級保護的基礎上，採取技術保護措施和其他必要措施，應對網路安全事件，保障關鍵信息基礎設施安全穩定運行，維護數據的完整性、保密性和可用性。我國《國家網路空間安全戰略》也提出，要著眼識別、防護、檢測、預警、響應、處置等環節，建立實施關鍵信息基礎設施保護制度。

參考 IPDRR 能力框架模型，建立電信網路的資產風險識別（I）、安全防護（P）、安全檢測（D）、安全事件響應和處置（R）和在受攻擊後的恢復（R）能力，應成為實施電信網路關鍵信息基礎設施安全保護的方法論。參考 NIST 發布的 CSF，開展電信網路安全保護，可按照七個步驟開展。一是確定優先順序和范圍，確定電信網路單元的保護目標和優先順序。二是定位，明確需要納入關基保護的相關系統和資產，識別這些系統和資產面臨的威脅及存在的漏洞、風險。三是根據安全現狀，創建當前的安全輪廓。四是評估風險，依據整體風險管理流程或之前的風險管理活動進行風險評估。評估時，需要分析運營環境，判斷是否有網路安全事件發生，並評估事件對組織的影響。五是為未來期望的安全結果創建目標安全輪廓。六是確定當期風險管理結果與期望目標之間的差距，通過分析這些差距，對其進行優先順序排序，然後制定一份優先順序執行行動計劃以消除這些差距。七是執行行動計劃，決定應該執行哪些行動以消除差距。

三、電信網路關鍵信息基礎設施的安全風險評估

做好電信網路的安全保護，首先要全面識別電信網路所包含的資產及其面臨的安全風險，根據風險制定相應的風險消減方案和保護方案。

1. 對不同的電信網路應分別進行安全風險評估

不同電信網路的結構、功能、採用的技術差異很大，面臨的安全風險也不一樣。例如，光傳送網與 5G 核心網（5G Core）所面臨的安全風險有顯著差異。光傳送網設備是數據鏈路層設備，轉發用戶面數據流量，設備分散部署，從用戶面很難攻擊到傳送網設備，面臨的安全風險主要來自管理面；而5G 核心網是 5G 網路的神經中樞，在雲化基礎設施上集中部署，由於 5G 網路能力開放，不僅有來自管理面的風險，也有來自互聯網的風險，一旦被滲透攻擊，影響面極大。再如，5G 無線接入網（5GRAN）和 5G Core 所面臨的安全風險也存在顯著差異。5G RAN 面臨的風險主要來自物理介面攻擊、無線空口乾擾、偽基站及管理面，從現網運維實踐來看，RAN 被滲透的攻擊的案例極其罕見，風險相對較小。5G Core 的雲化、IT 化、服務化（SBA）架構，傳統的 IT 系統的風險也引入到電信網路；網路能力開放、用戶埠功能（UPF）下沉到邊緣等，導致介面增多，暴露面擴大，因此，5G Core 所面臨的安全風險客觀上高於 5G RAN。在電信網路的范圍確定後，運營商應按照不同的網路單元，全面做好每個網路單元的安全風險評估。

2. 做好電信網路三個平面的安全風險評估

電信網路分為三個平面：控制面、管理面和用戶面，對電信網路的安全風險評估，應從三個平面分別入手，分析可能存在的安全風險。

控制面網元之間的通信依賴信令協議，信令協議也存在安全風險。以七號信令（SS7）為例，全球移動通信系統協會（GSMA）在 2015 年公布了存在 SS7 信令存在漏洞，可能導致任意用戶非法位置查詢、簡訊竊取、通話竊聽；如果信令網關解析信令有問題，外部攻擊者可以直接中斷關鍵核心網元。例如，5G 的 UPF 下沉到邊緣園區後，由於 UPF 所處的物理環境不可控，若 UPF 被滲透，則存在通過UPF 的 N4 口攻擊核心網的風險。

電信網路的管理面風險在三個平面中的風險是最高的。例如，歐盟將 5G 管理面管理和編排（MANO）風險列為最高等級。全球電信網路安全事件顯示，電信網路被攻擊的實際案例主要是通過攻擊管理面實現的。雖然運營商在管理面部署了統一安全管理平台解決方案（4A）、堡壘機、安全運營系統（SOC）、多因素認證等安全防護措施，但是，在通信網安全防護檢查中，經常會發現管理面安全域劃分不合理、管控策略不嚴，安全防護措施不到位、遠程接入 VPN 設備及 4A 系統存在漏洞等現象，導致管理面的系統容易被滲透。

電信網路的用戶面傳輸用戶通信數據，電信網元一般只轉發用戶面通信內容，不解析、不存儲用戶數據，在做好終端和互聯網介面防護的情況下，安全風險相對可控。用戶面主要存在的安全風險包括：用戶面信息若未加密，在網路傳輸過程中可能被竊聽；海量用戶終端接入可能導致用戶面流量分布式拒絕服務攻擊（DDoS）；用戶面傳輸的內容可能存在惡意信息，例如惡意軟體、電信詐騙信息等；電信網路設備用戶面介面可能遭受來自互聯網的攻擊等。

3. 做好內外部介面的安全風險評估

在開展電信網路安全風險評估時，應從端到端的視角分析網路存在的外部介面和網元之間內部介面的風險，尤其是重點做好外部介面風險評估。以 5G 核心網為例，5G 核心網存在如下外部介面：與 UE 之間的 N1 介面，與基站之間的 N2 介面、與UPF 之間的 N4 介面、與互聯網之間的 N6 介面等，還有漫遊介面、能力開放介面、管理面介面等。每個介面連接不同的安全域，存在不同風險。根據3GPP 協議標準定義，在 5G 非獨立組網（NSA）中，當用戶漫遊到其他網路時，該用戶的鑒權、認證、位置登記，需要在漫遊網路與歸屬網路之間傳遞。漫遊邊界介面用於運營商之間互聯互通，需要經過公網傳輸。因此，這些漫遊介面均為可訪問的公網介面，而這些介面所使用的協議沒有定義認證、加密、完整性保護機制。

4. 做好虛擬化/容器環境的安全風險評估

移動核心網已經雲化，雲化架構相比傳統架構，引入了通用硬體，將網路功能運行在虛擬環境/容器環境中，為運營商帶來低成本的網路和業務的快速部署。虛擬化使近端物理接觸的攻擊變得更加困難，並簡化了攻擊下的災難隔離和災難恢復。網路功能虛擬化（NFV）環境面臨傳統網路未遇到過的新的安全威脅，包括物理資源共享打破物理邊界、虛擬化層大量採用開源和第三方軟體引入大量開源漏洞和風險、分層多廠商集成導致安全定責與安全策略協同更加困難、傳統安全靜態配置策略無自動調整能力導致無法應對遷移擴容等場景。雲化環境中網元可能面臨的典型安全風險包括：通過虛擬網路竊聽或篡改應用層通信內容，攻擊虛擬存儲，非法訪問應用層的用戶數據，篡改鏡像，虛擬機（VM）之間攻擊、通過網路功能虛擬化基礎設施（NFVI）非法攻擊 VM，導致業務不可用等。

5. 做好暴露面資產的安全風險評估

電信網路規模大，涉及的網元多，但是，哪些是互聯網暴露面資產，應首先做好梳理。例如，5G網路中，5G 基站（gNB）、UPF、安全電子支付協議（SEPP）、應用功能（AF）、網路開放功能（NEF）等網元存在與非可信域設備之間的介面，應被視為暴露面資產。暴露面設備容易成為入侵網路的突破口，因此，需重點做好暴露面資產的風險評估和安全加固。

四、對運營商加強電信網路關鍵信息基礎設施安全保護的建議

參考國際上通行的 IPDRR 方法，運營商應根據場景化安全風險，按照事前、事中、事後三個階段，構建電信網路安全防護能力，實現網路高韌性、數據高安全性。

1. 構建電信網路資產、風險識別能力

建設電信網路資產風險管理系統，統一識別和管理電信網路所有的硬體、平台軟體、虛擬 VNF網元、安全關鍵設備及軟體版本，定期開展資產和風險掃描，實現資產和風險可視化。安全關鍵功能設備是實施網路監管和控制的關鍵網元，例如，MANO、虛擬化編排器、運維管理接入堡壘機、位於安全域邊界的防火牆、活動目錄（AD）域控伺服器、運維 VPN 接入網關、審計和監控系統等。安全關鍵功能設備一旦被非法入侵，對電信網路的影響極大，因此，應做好對安全關鍵功能設備資產的識別和並加強技術管控。

2. 建立網路縱深安全防護體系

一是通過劃分網路安全域，實現電信網路分層分域的縱深安全防護。可以將電信網路用戶面、控制面的系統劃分為非信任區、半信任區、信任區三大類安全區域；管理面的網路管理安全域（NMS），其安全信任等級是整個網路中最高的。互聯網第三方應用屬於非信任區；對外暴露的網元（如 5G 的 NEF、UPF）等放在半信任區，核心網控制類網元如接入和移動管理功能（AMF）等和存放用戶認證鑒權網路數據的網元如歸屬簽約用戶伺服器（HSS）、統一數據管理（UDM）等放在信任區進行保護，並對用戶認證鑒權網路數據進行加密等特別的防護。二是加強電信網路對外邊界安全防護，包括互聯網邊界、承載網邊界，基於對邊界的安全風險分析，構建不同的防護方案，部署防火牆、入侵防禦系統（IPS）、抗DDoS 攻擊、信令防護、全流量監測（NTA）等安全防護設備。三是採用防火牆、虛擬防火牆、IPS、虛擬數據中心（VDC）/虛擬私有網路（VPC）隔離，例如通過防火牆（Firewall）可限制大部分非法的網路訪問，IPS 可以基於流量分析發現網路攻擊行為並進行阻斷，VDC 可以實現雲內物理資源級別的隔離，VPC 可以實現虛擬化層級別的隔離。四是在同一個安全域內，採用虛擬區域網（VLAN）、微分段、VPC 隔離，實現網元訪問許可權最小化控制，防止同一安全域內的橫向移動攻擊。五是基於網元間通信矩陣白名單，在電信網路安全域邊界、安全域內實現精細化的異常流量監控、訪問控制等。

3. 構建全面威脅監測能力

在電信網路外部邊界、安全域邊界、安全域內部署網路層威脅感知能力，通過部署深度報文檢測（DPI）類設備，基於網路流量分析發現網路攻擊行為。基於設備商的網元內生安全檢測能力，構建操作系統（OS）入侵、虛擬化逃逸、網元業務面異常檢測、網元運維面異常檢測等安全風險檢測能力。基於流量監測、網元內生安全組件監測、採集電信網元日誌分析等多種方式，構建全面威脅安全態勢感知平台，及時發現各類安全威脅、安全事件和異常行為。

4. 加強電信網路管理面安全風險管控

管理面的風險最高，應重點防護。針對電信網路管理面的風險，應做好管理面網路隔離、運維終端的安全管控、管理員登錄設備的多因素認證和許可權控制、運維操作的安全審計等，防止越權訪問，防止從管理面入侵電信網路，保護用戶數據安全。

5. 構建智能化、自動化的安全事件響應和恢復能力

在網路級縱深安全防護體系基礎上，建立安全運營管控平台，對邊界防護、域間防護、訪問控制列表（ACL）、微分段、VPC 等安全訪問控制策略實施統一編排，基於流量、網元日誌及網元內生組件上報的安全事件開展大數據分析，及時發現入侵行為，並能對攻擊行為自動化響應。

（本文刊登於《中國信息安全》雜志2021年第11期）

㈢ 從認知技能到自動網路安全響應

摘要： 組織應該面對網路安全攻擊，這可以強烈影響他們的操作流程，業務形象，和關鍵信息的安全。建立安全機制有助於減少可能被攻擊者利用的弱點;然而，它們並不總是足夠的，而且一次攻擊可能會成功侍指殲。因此，組織需要建立計劃或過程來處理這些安全事件，甚至構建稱為CSIRTs的事件響應團隊。由於不同形式的攻擊和海量數據的增長，處理網路安全事件需要適應新的安全管理策略。從這個意義上說，將大數據、人工智慧和數據分析應用於網路安全，被定義為認知安全，提出了一種可行的替代方案，但有必要考慮，如果沒有對網路安全專家進行充分培訓，或者如果使用了他們的技術和非技術技能，技術解決方案就會缺乏有效性。在人類技能和技術解決方案之間建立密切的相互關系可以幫助設計一個充分和有效的檢測和自動化過程，從而改進安全事件的處理。本研究分析了認知安全技術解決方案與網路安全專家技能之間的相互關系。提出了一個通過建立態勢感知來進行決策的自動化事件響應框架。

一、引言

由於技術在不同領域的擴展，如金融服務、醫療服務、公共服務以及水、電、電信等關鍵基礎設施，計算機安全已成為社會的一個基本要素。根據麻省理工學院(MIT)的說法，安全團隊將面臨的風險主要是針對物聯網(IoT)設備、區塊鏈和關鍵基礎設施[1]的攻擊;例如，麻省理工學院提到，攻擊者在2019年主要使用人工智慧和量子技術進行攻擊。這種情況涉及有準備充分的組織和有能力面對這些新挑戰的安全專業人員;在國際層面上，一些組織已經定義了通過稱為計算機事件響應小組(CSIRTs)[2]的專家和研究人員團隊快速響應安全風險的策略。CSIRT由來自網路安全、法律、心理學和數據分析師等領域的專家組成。CSIRT根據預先設定的程序和政策，對網路安全事件做出快速有效的反應，並降低網路攻擊的風險。

CSIRTs中的安全分析人員需要處理大量的數據，以便i)確定觸發可能的攻擊警報的模式或異常，ii)更快速和有效地執行檢測過程。CSIRTs的成員正在尋求基於技術解決方案的新策略，如大數據、機器學習和數據科學[3]。為了加快數據分析方法[4]的研究進程，美國國家標准與技術研究院(NIST)等國際組織啟動了數據科學研究計劃(DSRP)。在網路安全領域，認知科學在信息安全過程中的應用推動了認知安全[5]的概念;這允許進行預測性和說明性分析，從而提供安全攻擊的可能影響的視圖。CSIRTs成功的另一個關鍵因素是團隊協作能力和對不同環境的適應能力。在21世紀的[7]時代，安全專業人員需要團隊合作、批判性思維和溝通等技能。2015年9月,一個之間的協作計算機協會(ACM), IEEE計算機協會(IEEE CS),信息系統協會特殊利益集團對信息安全和隱私(AIS SIGSEC),以及國際信息處理聯合會技術委員會信息安全教育(11.8聯合會WG)提出了一個網路安全教育課程指南提到非技術技能計價的軟技能,對於安全專業人員來說至關重要，並專注於:團隊合作、溝通、情景感知的生成，以及使用不同組織文化[8]的操作。

在組織中產生網路安全態勢感知的能力允許確定積極的策略來面對正在進行的和即將到來的攻擊或威脅。情境意識產生於三個認知過程:認知、理解和投射。認知過程是人類行為固有的，它會受到不同因素的影響，例如:壓力、疲勞、分心、物理或環境條件。分析任務的績效以及這些因素的影響是一些研究者感興趣的。例如，Robert Karasek提出了需求控制模型[9]，該模型研究了計算機人員在不同工作領域的認知、情感和身體需求，計算機人員的心理需求水平較高。在此背景下，發展認逗隱知策略在信息加工的各個層面都是必要的;此外，還需要分析執行功能如何通過:抑止控制、工作記憶處理[10]優化來整合各級信息處理，從而幫助網路安全專業人員高效工作和充足的響應時間。

在這項研究中，我們提出了一個模型來整合網路安全領域的認知技能、團隊合作和數據分析，如圖1所示。認知安全可以利用安全分析人員的認知能力的特點，將這種知識和智能轉移到計算機系統中;通過這樣做，他們可以向安全團隊執行一個即時響應動作或通知，以做出針對安全攻擊的決策，如圖1所示。

研究的其餘部分組織如下。第二節介紹了有關自老沖動網路安全響應的相關工作。第三節介紹了心理學在網路安全中的重要性的背景。第四部分提出了一個基於認知過程的自動化網路安全框架的建議。最後，第六部分總結了本文的研究結論，並提出了今後的工作方向。

二、相關工作

根據麻省理工學院評論[11]的分析，在2018年，城市將安裝多層感測器來監測空氣質量、垃圾水平或交通量;這一預測，加上Gartnert對2020年的預測，[12]將有204億台聯網設備。在新的安全場景中，組織必須面對網路或計算平台的規模和復雜性的急劇變化，這些網路或計算平台是組織支持服務提供和設備連接的基礎。在這種新的背景下，傳統的安全解決方案的行動能力和人類對安全事件的檢測和響應能力受到了限制。為組織和研究人員評估的網路安全的替代方案是使用認知模型作為一種提議，以增強計算環境的安全性和擴大人類的分析能力。

在[13]中，作者提出了一個基於機器學習的檢測與基於時間邏輯的分析的組合，允許區分異常和啟用動態網路響應。在[14]中，包括對個人設備的認知安全的使用，以允許設備識別所有者和自主安全，以便設備採取自己的安全決策。基於函數和依賴關系[15]的知識，可以實現診斷的自動化。在「數字服務生態系統中的自主計算方法調查」[16]中，提出了應用自主計算概念的25種不同的數字生態系統，在[13]中，提出了認知安全方法如何能夠建立「良好異常」來建立正常的操作參數，以及任何變化如何生成網路設備的自動自動重新配置來控制數據流。

三、認知技能和網路安全

a 態勢感知

態勢感知被定義為，從心理學領域，作為一種能力，產生對他的生活的理解，基於他的經驗[17]。這一概念已適用於計算機系統領域;例如，Lewis將計算系統的自我意識定義為基於內部和外部事件[18]獲取自身知識的能力。在[19]中，自我意識被定義為為計算機系統生成關於自身和環境的知識，並根據這些知識決定將要執行的行動的能力。

1)網路安全態勢感知(CSA):態勢感知(SA)的概念描述了組織當前的威脅和攻擊情況，可能的攻擊的影響，以及攻擊者的識別和用戶行為[20]。分析人員必須了解安全情況並確定影響的可能性。為了生成態勢感知，我們可以使用OODA循環。Breton提出的認知OODA循環是基於感知、理解和投射[21]的認知過程。表一展示了認知階段、認知過程和根據Brenton的提案產生的產品之間的關系。

2)網路認知態勢感知(CCSA):

為了建立組織的網路安全態勢意識，我們可以依靠面向決策過程的認知方面的支持。適應了網路空間的感知、理解和投射的認知過程，我們將擁有如表二所示的關系。

b .非技術技能

美國國土安全部(DHS)和國家網路安全聯盟(NCSA)等組織都開展了國家網路安全意識月活動，在2018年慶祝了第15屆[22]，以促進社區了解數字環境中的風險和威脅的相關方面。在這些領域中，安全專業人員必須具有非技術技能，以便能夠以清晰和一致的方式向一組沒有技術背景的人員傳播知識。針對組織內的網路安全，防禦策略基於風險管理，如圖2所示分為四個級別的網路安全風險管理生命周期。

在網路安全風險管理生命周期內，至少需要以下人員:

•團隊領導/協調員;

•負責系統和信息安全;

•溝通團隊或公關;

•分類器或分類;

•事件管理團隊-二級;

•法律團隊。

這強調了在一個由不同學科的專業人員共同協作的環境中發展協作技能的必要性，因此團隊合作對於網路安全專家來說是一項非常重要的技能。Newstrom提到，21世紀的組織或公司更加靈活，能夠迅速適應變化，橫向關系更加有效;因此，今天的組織更加重視靈活的結構和橫向溝通。任務和角色以更開放的方式定義，環境更加動態，團隊的創建允許實現所描述的方面。莫林認為，復雜性和多學科工作是21世紀的一部分，未來的教育必須以人類狀況和人類之間的多樣化關系為中心。Morin在《21世紀教育》中提到的另一個重要方面是讓學生准備好面對日常生活中不同事件所產生的不確定性。

關於Morin提到的關於關注學生人性方面的第一個方面，開始強調以加強技能為重點的培訓可能是很重要的。芒福德將技能分為四類[25]:

1)認知能力;

2)人際交往能力;

3)業務技能;

4)戰略技能。

一般來說，在網路安全領域的大學主要關注提高認知、商業和戰略技能，但不太關注非技術技能。根據Mumford提出的分類，團隊合作、協作、溝通和網路被包括在人際交往技能的類別中。未來的網路安全專業人士正在大學學習;因此，工程教育需要鼓勵非技術技能的發展。Kyllonen提出了21世紀需要的技能，其中以下提到[7]:

•批判性思維;

•口頭和書面溝通;

•勞動倫理;

•團隊合作;

•合作;

•專業;

•故障排除。

良好的網路安全工作人員框架[26]為安全專業人員建立了一套知識、技能和能力與非技術方面相關，如:

•有能力參與計劃小組，協調小組和任務小組的工作;

•能夠運用合作技巧和策略;

•應用批判性閱讀/思考技能的能力;

•與他人有效合作的能力。

關於Morin在計算機科學領域提出的第二個方面，即不確定性，一些作者如[27]和[28]提到，軟體開發過程中的不確定性可能與人的參與、並發性和問題領域的不確定性有關。在軟體環境中，產品的開發和用戶最初提出的需求的變化之間可能會出現不確定性。在網路安全領域，不確定性可能與其他方面有關，如時間、類型和網路攻擊的目標。

團隊合作也會產生不確定性;在[29]中，作者提到，不確定性可以在人的功能和環境工作中產生，取決於諸如先見者、利他主義智力、收獲和意外收獲等變數。在[30]中，作者認為，不確定性取決於團隊的結構和成員之間的相互作用。

如圖3所示，在21世紀的教育背景下，對計算機科學工程專業的學生進行網路安全領域的教育，主要有四個方面是必須要做的。

四、基於認知技能的網路安全自動反應

我們對事件反應自動化的建議是基於建立態勢意識的重要性，在理解組織安全的積極和消極方面的基礎上做出正確的決策。我們的提議利用了協作的方法來產生自我意識和決策，是基於安全分析師的認知過程的重要性，以能夠確定一個安全事件在多個事件之間，它必須被識別出一個異常行為，可以警告攻擊。我們的建議中考慮的一個方面是為了加強認知過程。在2017年RSA會議上，IBM[31]展示了安全分析師在調查事件時必須執行的認知任務，在表III中，我們提出了網路安全認知任務和認知過程之間的聯系。

對於自動響應安全事件的過程，我們提出了如圖4所示的分層架構。我們的建議強調分析層，在分析層中對不同來源(如感測器、日誌或安全博客)獲得的數據進行理解。此外，在這一層中，安全分析人員的經驗和有效的溝通是最基本的，因為它將預測充分評估事件，並將其歸類為事件，並建立最適當的決策，以減少攻擊的影響。具體地說，在這一層中，我們提出了兩個允許建立情境意識的子組件:i)自動學習的子組件和ii)團隊合作。這兩個子組件共享一種直接交流的方式，目的是生成標簽，用於培訓基於分析人員通過互動和交換思想生成的知識的監督學習演算法。另一方面，無監督學習演算法可以檢測不容易檢測到的模式或異常，並提醒安全分析人員確定它們是否與共同的安全攻擊相對應。

設計了一個基於數據管理流程的框架，以確保不同層次數據的完整性和質量;然後,它包括:

•收集;

•准備;

•分析;

•可視化;

•訪問。

在下面的圖4中，我們將詳細描述組成我們所提議的框架的層。

a)網路收集層:涵蓋將用於創建網路安全態勢感知的信息來源。在資料來源中，可以考慮下列情況:

•網路模擬平台;

•感測器;

•入侵檢測系統;

•脆弱性分析;

•安全門戶、博客或訂閱源;

•netflow;

•伺服器和網路設備日誌。

b)基礎設施層:基礎設施層包含以下組件:

•數據收集伺服器，在這些伺服器中，將對不同來源的信息進行數據攝取處理。至少考慮三個伺服器來實現負載平衡和高可用性。

•索引伺服器，在這些伺服器中執行數據索引的過程，並在此基礎上定義屬性，在此基礎上對數據進行調試和處理，生成可視化層的信息。至少考慮兩台伺服器用於負載平衡和高可用性進程。

•隊列管理伺服器,該伺服器建立流程管理大數據解決方案的處理資源在多個請求信息同時執行報告伺服器和數據可視化,這個伺服器處理數據可視化工具,允許與分析師能夠執行的交互信息的查詢。

•入侵檢測伺服器，在此伺服器中定義了檢測與安全攻擊相關的模式的規則，伺服器可以訪問安全感測器。

•警報管理伺服器，在此伺服器中，警報管理被定義為在檢測到異常模式時通知分析師，在此伺服器中包含了一個事件管理系統，允許在檢測到安全事件前對升級進行流控制。

c)索引層:用於定義搜索字典。

d)態勢感知層:這一層是我們的核心建議。在這一層的目標是建立一個基線安全狀態的一個組織,為此我們考慮兩個部分,第一個組成的機器學習演算法,允許識別模式或異常基於預處理來自不同數據源的數據伺服器日誌,第二部分稱為團隊合作產生自我意識的建立基於CSIRT安全分析人士的合作。基於團隊產生的知識，你可以訓練學習演算法來提高它們的准確性。

e)分類層:它定義了針對安全分析師、CsIRT或事件管理過程中的其他參與者生成的警報。根據良好做法，明智的做法是定義警報級別的分類。

f)自動響應層:它定義了可以自動的響應動作，因為這對於建立安全事件管理計劃是必要的。

五、討論

在心理學研究中，工作績效是一個尋求提高工作績效的話題，考慮到個人和環境變數。我們在這項研究中分析的變數是在網路安全領域執行事件管理的專業人員的認知技能。我們認為，與執行功能相關的認知過程越高，安全分析人員所解決的任務的性能就越好，這是由於對減少攻擊影響的快速響應要求越高。出於這個原因，加強認知靈活性是至關重要的，以便i)擴大事件數據的分析，ii)能夠可視化更多的可能性，以面對網路攻擊，ii)發展抑制控制，以提高其決策的精確度和有效性。另一方面，工作記憶對於經驗的儲存和隨後對這些信息的使用起著至關重要的作用，所以這種認知過程也有助於對組織所面臨的風險和威脅的情況形成意識。另一個關鍵變數與事件管理專業人員工作中的壓力管理有關，以制定策略，使他們能夠抵消勞動力需求。

在基於態勢感知的網路安全管理模型中，分析執行功能是否集成感知、理解和投射過程，以提高任務績效，可以增強決策過程。非技術技能在許多方面起著至關重要的作用，因為如果沒有足夠的溝通和建立共享知識的能力，網路安全團隊將無法達到應對安全攻擊所需的效率。例如，在面對出現的事件或問題時，處理復雜性不應該由安全分析人員進行簡單的推理，而是要能夠生成表示復雜性的心理模型，並作為一個團隊進行工作。這種理解可能很復雜，因此，管理共享的心理地圖等建議可能具有重要意義。另一個事實是多學科工作，來自不同領域的專家必須一起參與，但是由於對這對搭檔的知識有限、不同的技術詞彙和異質的工作方法，存在交互問題。最後，處理活動或與其他團隊成員交互的結果的不確定性。

提出的大數據模型涵蓋了網路安全狀態(網路安全態勢感知)知識生成必須考慮的不同組成部分。僅僅實現一個大數據架構是不足以解決處理海量數據處理的問題的，我們應該致力於尋找可靠的信息源，建立數據質量控制流程，生成安全承諾指標，並定義更新數據時間。

為了從安全分析師可以處理的信息中建立態勢感知，我們提出了一個由4個模塊組成的框架，如圖5所示:來源、認知過程、協作安全任務和軟技能。團隊合作支持四個模塊。在[23]中，作者提到團隊的目標是鼓勵成員分析他們一起工作的方式，識別他們的弱點，並開發新的協作形式。要做到這一點，學習過程必須把重點放在任務上。按照裝備建設[23]的Newstrom模型，我們在網路安全領域提出以下建議:

•經過培訓的專家識別問題;

•數據收集;

•反饋行動計劃的制定;

•生成態勢感知;

•解決方案經驗;

•持續改進。

六、結論和未來工作

技術和社會的變化產生了動態和復雜的環境，產生了大量的數據。這一事實給安全分析人員帶來了新的挑戰，他們必須處理數據以確定允許識別威脅或安全攻擊的模式或異常情況。認知安全的使用提供了在短時間內處理大量不同格式數據的能力，從而提高了安全操作的有效性。在網路安全領域，大數據主要用於監控行動和異常檢測，這些行動集中在反應性安全策略上，但其他安全活動可以通過大數據分析增強，用於主動戰略，如威脅搜索或網路欺騙。

事件管理的網路安全任務包括識別有關事件的數據，以確定攻擊場景的振幅。從有關威脅和攻擊的數據中發展經驗，可以建立對網路安全狀況的意識。建立網路安全態勢意識需要認知和情感技能，其中認知過程的能力至關重要;感知和注意是允許安全分析人員從外部環境收集信息的第一個過濾器。與工作記憶、認知靈活性和抑制性控制相關的高級認知過程參與決策和事件管理任務中外部化的行為。

通過以下兩種技能，可以實現安全分析師認知過程的持續改進:

1)過程式控制制。過程式控制制是團隊成員的一項重要技能，因為它幫助成員有建設性地感知、理解和反應。

2)反饋讓你有數據支撐你的決定，根據他們對團隊其他成員的看法自我修正。

關於大數據和機器學習在安全領域的應用，在商業和學術領域有不同的建議;然而，它們並沒有得到廣泛實施。我們認為，今後一項可能的工作是分析造成這種情況的原因，一般來說，可能是預算、人員經驗、技術支持不足。此外，通過焦點小組進行的綜述可能是補充本研究的重要貢獻。

㈣ 第七章、網路安全

1）被動式攻擊

2）主動式攻擊
幾種常見的方式：
① 篡改：
攻擊者篡改網路上傳送的報文，比如，徹底中斷，偽造報文；

② 惡意程序：包含的種類有：

③ 拒絕服務（DoS，Denial of Service）
攻擊者向互聯網上的某個伺服器不停地發送大量分組，使該伺服器無法提供正常服務，甚至完全癱瘓。

④ 交換機攻擊
攻擊者向乙太網交換機發送大量偽造源 MAC地址的幀，交換機收到MAC地址後，進行學習並記錄，造成交換表很快被填滿，無法正常工作。

人們一直希望能夠設計出一種安全的計算機網路，但不幸的是，網路的安全性是不可判定的，只能針對具體的攻擊設計安全的通信協議。

計算機網路安全的四個目標
1）保密性：要求只有信息的 發送方 和 接收方 才能懂得所發送信息的內容，而信息的截獲者則看不懂所截獲的內容。以此，對付 被動攻擊 ；
2）端點鑒別：要求計算機網路必須能夠 鑒別 信息的 發送方 和 接收方 的真實身份。對付 主動攻擊 ；
3）信息的完整性：要求信息的內容沒有被人篡改過；
4）運行的安全性：要求計算機系統運行時的安全性。 訪問控制 是一種應對方法。對付 惡意程序 和 拒絕服務攻擊 。

發送者向接受者發送明文 P，通過加密演算法運算，得到密文 C。接收端通過解密演算法解密，得到明文P。

如果不論截取者獲得多少密文，但在密文中都沒有足夠的信息來唯一的確定出對應的明文，則這一密碼體制稱為 無條件安全的 ，或成為 理論上是不可破的 。

在無任何限制的條件下，目前幾乎所有的密碼體制均是可破的。

人們關心的是研製出 在計算機上（而不是理論上）是不可破的密碼體制 。如果一個密碼體制中的密碼，不能在一定時間內被可以使用的計算機資源破譯，那麼這一密碼體制稱為 在計算上是安全的 。

2）發展史

對稱密碼體制，也就是， 加密密鑰 與 解密密鑰 使用相同的密碼體制。
1）數據加密標准（DES）
屬於對稱密鑰密碼體制。1977年，由 IBM公司提出，被美國定位聯邦信息標准，ISO 曾將 DES 作為數據加密標准。

2）高級加密標准（AES）

1976年，由斯坦福大學提出，使用不同的 加密密鑰 和 解密密鑰 ；
1）公鑰密碼出現的原因
① 對稱密鑰密碼體制的密鑰分配問題；
② 對數字簽名的需求。

2）對稱密碼的挑戰
對稱密碼體制中，加密/解密的雙方使用的是 相同的密鑰 。
那麼，如何讓雙方安全的擁有相同的密鑰？
① 事先約定：給密鑰管理和更換帶來極大的不便；
② 信使傳送：不該用於高度自動化的大型計算機系統；
③ 高度安全的密鑰分配中心：網路成本增加；

3）三種公鑰
① RSA 體制：1978年正式發表，基於數論中的大數分解問題的體制；

4）差異：

公鑰加密演算法開銷較大，並不會取代傳統加密演算法。

5）密碼性質
任何加密演算法的安全性取決於密鑰的長度，以及攻破密文所需的計算量。

書信或文件是根據親筆簽名或印章來證明其真實性的。（偽造印章，要坐牢）

1）核實：接受者能夠核實發送者對報文的簽名，也就是，確定報文是否是發送者發送的；
2）無篡改：接受者確信所收到的數據和發送者發送的完全一樣，沒有被篡改過。稱為 報文的完整性 。
3）不可否認：發送這時候不能抵賴對報文的簽名，叫 不可否認 。

1）A用其私鑰對報文進行D運算，獲得密文；
2）接收方，通過A的公鑰解密，核實報文是否是A發送的。

1）核實保證：只有A有私鑰，加密有唯一性；
2）無篡改：篡改後，無A的私鑰，無法加密；
3）不可否認：其他人無A的私鑰；
疑問：是否利用產生一個A的公鑰可以解密的私鑰，就可以冒充A？

上述操作，對數據進行了簽名，但是，沒有對數據進行加密。所有，擁有公鑰的人都可以破解。

1）具有保密性的數字簽名：
① 發送方，利用A的私鑰對數據進行簽名；
② 發送方，利用B的公鑰對數據進行加密；
③ 接收方，利用B的私鑰對數據進行解密；
④接收方，利用A的公鑰對數據進行鑒權。

鑒別 是要驗證通信的雙方確實是自己所要通信的對象，而不是其他的冒充者。
並且，所傳送的報文是完整的、沒有被他人篡改過。

0）動機
① 數字簽名：就是一種**報文鑒別技術；
② 缺陷：對較長的報文進行數字簽名會給計算機增加非常大的負擔，因此這就需要進行較多的時間來進行計算；
③ 需求：一種相對簡單的方法對報文進行鑒別；
④ 解決辦法：密碼散列函數；

1）密碼散列函數
作用：保護明文的完整性；
① 散列函數 的特點：

② 密碼散列函數 的特點：

2）實用的密碼散列函數：MD5 和 SHA-1
① MD5

② SHA
美國技術標准協會 NIST 提出 SHA 散列演算法。

3）報文鑒別碼
① 散列函數的缺點：可能被其他人篡改，然後，計算相應的正確散列值；
② 報文鑒別碼：生成報文的散列後，對散列進行加密生成報文鑒別碼；

1）差別

2）鑒別方法
A向遠端的B發送帶有自己身份A和口令的報文，並使用雙方約定好的共享對稱密鑰進行加密；

3）存在的問題
可能攻擊者處於中間人，冒充A向B發送口令，並發送公鑰，最後，成功冒充A，獲取A的重要數據；

4）總結
重要問題：公鑰的分配，以及公鑰的真實性。

密碼演算法是公開的，網路安全完全基於密鑰，因此 密鑰管理 十分重要；包括：

1）挑戰
① 密鑰數量龐大：n個人相互通信，需要的密鑰數量 n(n-1)；
② 安全通信：如何讓通信雙方安全得到共享密鑰；

2）解決方案
密鑰分配中心：公共信任的機構，負責給需要秘密通信的用戶臨時分配一個會話密鑰（使用一次）；

3）處理過程
① 用戶 A 發送明文給蜜月分配中心 KDC，說明想和用戶 B通信。
② KDC 隨機產生 「一次一密」 的會話密鑰KAB，然後，用KA加密發送給A 密鑰KAB和票據。
③ B收到A轉來的票據，並根據自己的密鑰KB解密後，就知道A要和他通信，並知道會話密鑰KAB。

4）

這一系統現在已廣泛用於電子護照中，也就是下一代金融系統使用的加密系統。

移動通信帶來的廣泛應用，向網路提出了更高的要求。

量子計算機的到來將使得目前許多使用中的密碼技術無效，後兩字密碼學的研究方興未艾。

㈤ 美國網路安全相關部門的整理

國土安全部 (DHS = Department of Homeland Security)有一項重要使命：保護國家免受面臨的諸多威脅。這需要超過 240,000 名員工緻力於從航空和邊境安全到應急響應，從網路安全分析師到化學設施檢查員的各種工作。DHS的職責范圍很廣，DHS的目標很明確——保護美國的安全。

網路安全和基礎設施安全局( CISA=Cybersecurity and Infrastructure Security Agency) 領導國家努力了解、管理和降低我們的網路和物理基礎設施的風險。CISA將行業和政府中的利益相關者相互聯系起來，並與資源、分析和工具聯系起來，以幫助他們建立自己的網路、通信和物理安全性和彈性，進而幫助確保為美國人民提供安全和有彈性的基礎設施。

美國國家標准與技術研究院 (NIST=National Institute Standards and Technology) 成立於 1901 年，現在是美國商務部的一部分。NIST 制定網路安全標准、指南、最佳實踐和其他資源，以滿足美國行業、聯邦機構和更廣泛公眾的需求。我們的活動范圍從產生組織可以立即付諸實踐的特定信息到預測技術進步和未來挑戰的長期研究。

一些 NIST 網路安全任務由聯邦法規、行政命令和政策定義。例如，管理和預算辦公室 (OMB) 要求所有聯邦機構實施 NIST 的網路安全標准和針對非國家安全系統的指南。我們的網路安全活動也受到美國行業和廣大公眾需求的推動。NIST積極與利益相關者合作，確定優先事項，並確保我們的資源解決他們面臨的關鍵問題。

NIST 還增進了對隱私風險的理解並改進了管理，其中一些與網路安全直接相關。

NIST 貢獻並計劃更多關注的優先領域包括密碼學、教育和勞動力、新興技術、風險管理、身份和訪問管理、測量、隱私、可信賴網路和可信賴平台。

外交安全局(DSS=Diplomatic Security Service)是美國國務院的聯邦執法和安全局。外交安全局的任務是確保外交安全並保護美國旅行證件的完整性，在美國聯邦執法機構中擁有最大的全球影響力，在美國 29 個城市和全球 270 多個地點設有辦事處，並在全球 270 多個地點保護國務院的信息和信息技術 (IT) 資產。這包括保護由網路和移動設備組成的全球網路基礎設施。

自 1986 年成立以來，DSS 不斷擴展其網路安全能力，並於 2017 年 5 月成立了網路和技術安全局。該局使用先進的技術和運營安全專業知識來更好地識別和應對網路風險和威脅，包括來自黑客、流氓運營商、民族國家和內部威脅的安全挑戰。

DSS 網路安全核心職責包括：

國家安全局/中央安全局 (NSA/CSS) 在密碼學領域領導美國政府，包括信號情報 (SIGINT) 洞察和網路安全產品和服務，並使計算機網路運營能夠為國家和我們的盟友獲得決定性優勢。在整個站點中，NSA/CSS 將統稱為 NSA。

中央安全局 為軍事密碼學界提供及時准確的密碼學支持、知識和幫助，同時促進國家安全局與武裝部隊密碼學部門之間的夥伴關系。

cisa.gov
nist.gov/cybersecurity
state.gov/cybersecurity
dhs.gov