一种基于连接和安全熵的网络空间整体安全认识和方法

摘　要

网络空间自身构造多元性、接入随遇性、多域联动性等特征使得针对其安全态势的安全视角、内涵和要素需要不断适应新的网络形态的发展和变化。在分析了国内外网络空间安全发展现状的基础上，指出当前网络空间面临的安全风险和挑战；基于对网络形态和网络存在价值的理解，从网络连接的观察视角出发，引入安全熵的概念对基于连接的网络空间安全问题展开分析和讨论，提出了“D-I-D-E 网络数据驱动环”的网络空间整体安全理念，并探讨了其应用价值。目的是通过新视角提出一种安全问题的解决思路，进一步拓展和补充当前网络空间安全认知，并为网络信息系统规划、设计、建设和后期的安全强化、加固提供理论参考。

网络空间是一种包含互联网、物联网、通信网、工控网等的信息基础设施 ，由“人—机—物”相互连接、相互作用而成的虚实一体的空间。网络连接是网络的基本前提，数据交换是网络的基本功能，驱动执行是网络的基本目标。网络不但将信息数据连接到网络空间进行处理和交换，也将现实实体连接到网络空间进行执行和反馈。因此，在增强了现实实体在网络中的价值和作用的基础上，网络空间实现了由网络连接来驱动执行的虚实紧密连接、融合一体的新空间。

随着信息技术和设备的加速迭代和部署，网络规模得到进一步扩大，但各种子网、终端设备、应用的接入融合，也给网络空间带来了更多的安全风险。一是主动连接端的安全防护措施差异给网络带来的控制性风险；二是伪造、被劫持、包含病毒、主动攻击的恶意连接带来的破坏性风险。随着近年来一些新的焦点问题相继显露，网络空间安全问题已经上升到国家间体系级对抗的层面，危害网络空间安全的重大事件频频发生。

2010 年，伊朗核电站的工业控制计算机系统受到震网病毒攻击；2013 年，美国“棱镜计划”被曝光，即自 2007 年起美国国家安全局开始实施绝密的电子监听计划，通过美国网际网络公司的中心服务器可以直接挖掘数据、收集情报，其涉及海量的个人聊天日志、存储的数据、语音通信、文件传输、个人社交网络数据等信息；2015 年 12 月，乌克兰首都基辅部分地区和乌克兰西部地区的 140 万名居民遭遇了一次长达数小时的大规模停电，乌克兰电力公司表示遭到木马 BlackEnergy 网络入侵，使变电站出现故障导致断电；2018 年 8 月，美国总统特朗普撤销PPD-20 总统令，更便于国防部发起网络攻击；2019 年 6 月，针对伊朗击落无人机行动，美国转而对伊导弹指挥和控制系统发起网络攻击；2020 年 2 月，外媒曝出隐匿 4 年的“透明部落”瞄准印度军方展开系列间谍活动，同年 8 月，外媒再次曝出，“透明部落”瞄准全球的政府和军队发起新一轮的网络间谍活动。不但如此，网络空间发生的“潜伏”，例如侦察、窃密、劫持等明暗对抗，也极大地模糊了平时与战时的对抗时限，和平时期的网络空间对抗或许会对战时的结果起到深远又重大的影响。上述种种安全事件的发生，凸显了网络空间仍然面临着从物理安全、系统安全、运行安全到数据安全等各个层面的挑战。

本文从当前网络空间安全问题现状出发，以网络连接为观察视角，通过安全熵分析网络空 间 安 全 问 题， 提 出 一 种 基 于“D（Data）-I（Information）-D（Driving）-E（Execution） 网络数据驱动环”的网络空间整体安全理念，并从两个方面探讨了其应用价值。目的是进一步拓展和补充当前网络空间安全认知，并为网络信息系统规划、设计、建设和后期的安全强化、加固提供理论参考。

１、网络空间安全防护发展现状及挑战

物联网、云计算、大数据、人工智能等新兴信息技术为网络空间的拓展和应用的延伸带来巨大推动的同时，也引入了新的网络安全威胁和挑战。网络空间安全的影响不仅体现在国防层面，还关系着国民经济的发展和社会的稳定。

1.1　发展现状

在建设兼顾防御和威慑能力的网络空间安全体系的国际竞赛中，美国始终走在世界的前列。从政府主导的“美国国家网络安全综合纲领”和“爱因斯坦计划”等大规模网络安全倡议和项目，到一系列相关法案、政策、指南，再到“棱镜计划”以及维基解密曝光的网络空间进攻体系和技术发展水平，反映出美国在网络空间中强大、体系化的攻击和主动防御能力。

相比之下，我国在网络空间安全建设方面起步较晚，对系统性的网络空间安全防护体系架构的研究工作与发达国家还存在一定的差距。随着中国共产党中央网络安全和信息化委员会的成立，以及《国家网络空间安全战略》《中华人民共和国网络安全法》等相关重要政策的陆续出台，都将进一步加速和推进我国网络空间安全体系研究和建设。目前，在网络空间安全防护体系架构的研究与探讨方面，国内相关专家提出了多个层次模型架构，论证了各个层次模型所包含的安全要素和关键技术，形成了一系列的研究成果。例如，方滨兴院士提出了网络空间安全的 4 层次模型，包括设备层安全、系统层安全、数据层安全、应用层安全。罗军舟等人 提出了“四横一纵”的层次化网络空间安全研究体系，其中，四横包括物理层安全、系统层安全、网络层安全、数据层安全；一纵是指安全基础理论和方法。李晖等人从网络空间安全学科的角度提出 3 层知识体系，其中底层是网络空间安全基础理论，中间层包括物理安全、网络安全和系统安全，顶层是数据与信息安全。这些研究成果均是以网络空间分层分级的理念为出发点，来描述、论证和解答网络空间安全问题和网络空间安全体系所包含的要素和技术方向。

1.2　面临挑战

对标美国网络空间安全技术发展现状，分析当前网络空间安全防护面临的主要挑战，具体来说表现在以下几个方面。

（1）新网络形态导致新威胁，传统安全领域面临新挑战。未来的网络空间是卫星网络、互联网规模的专用网络、多接入边缘计算、专用网络 / 特殊用途网络、密级网络、网络—网络接口、运营商—运营商等不同网络之间的连接与深度融合，网络空间体系庞大，接入终端更是不计其数。传统网络重视功能实现，忽视从孪生、内生、根生等角度进行安全设计，无法从根本上解决安全问题，出现问题后进行的安全加固措施也进一步增加了系统的运行负担。

（2）新计算模式诱发新问题。随着云计算、大数据、深度学习等新技术在网络空间领域的深度融合与应用发展，网络中的数据安全问题凸显，使数据安全防护面临新挑战。2022 年以来，深度学习等人工智能技术作为前沿科技持续吸引网络恶意攻击者的目光。进攻性人工智能在自动分析防御机制，针对特定薄弱区域定制攻击，模拟行为模式以绕过安全控制等方面持续发力的同时，逐渐向高度定制、复杂化方向发展，引发更具欺骗性的新一代网络攻击的出现。

（3）新网络形态使不可控安全风险增加。物联网、移动互联网等多种新型网络形态的出现和连接，使得整个网络内部具有安全隐患的节点和端口数量剧增，带来更多的不可控安全风险。物联网由于“物物相连、物网相连”的基本特征，其存在的安全隐患不仅会带来更多类型的信息泄露，往往还会带来物理性损失，具有威胁多元化的特点。分布式拒绝服务攻击（Distributed Denial of Service，DDoS）、勒索软件和社交工程可以窃取个人和组织的关键数据，攻击者会利用物联网基础设施中的安全漏洞来执行复杂的网络攻击。

２、对基于连接和安全熵的网络空间总体安全的思考

网络连接是网络的基本前提，网络将信息数据连接到网络空间进行处理和交换，从而发挥网络的价值。未来网络空间形态表现为多种网络之间的相互接入和深度融合。图 1 为根据不同的网络功能组成的网络空间体系。

图 1　网络空间体系组成

引入“熵”W 的概念来分析网络空间安全问题。“熵”是热力学中用来描述物质状态，即描述微观系统的无序。越是无序，熵值越高；越是有序，熵值越低。从无序的高熵，变成有序的低熵，需要一定的外部“能量”输入；而从有序的低熵，转化为无序的高熵，则是自发、内在的，无需外部能量。同理，针对特定的网络系统而言，网络安全性能的变化也是一个典型的“熵”的演化过程。推动网络安全演化的力量主要来自 3 个方面：一是网络系统中各个连接节点的自然退化；二是网络节点遭受的网络攻击；三是网络节点的安全防护措施 。因此，网络系统的安全熵的变化 ∆W 由 3 个要素组成：为系统内部本身的不可逆过程（比如非人为的设备老化或自然故障等）所引起的熵增， 为外部网络攻击带来的熵增，为实施安全防御措施后带来的熵减。网络系统安全熵的变化为：

式中：、为非负，为负值。

若 ，则 ∆W为负值，表明网络系统所采取的安全防护措施抵消了网络攻击和自然退化所引起的熵增，从而导致网络系统整体的安全性增强。

2.1　基于连接和安全熵的网络空间安全问题的数学模型

在上述分析的基础上，结合信息熵理论，根据文献 [7] 和文献 [8] 中关于信息熵的相关理论，探索网络空间安全熵的数学模型。定义安全熵：指随机产生的包含多个子网的网络空间体系中网络节点的安全情况，设 X是一个取有限个值的离散随机变量，其概率分布为。

安全熵的表达式为：

式中：为1到 n 个网络节点异常情况出现的概率。

设 M 为针对不同网络节点出现异常情况，结合式（2）可得到安全熵为：

式中：n 为不同网络节点异常情况中存在独立值的个数。决定了系统网络安全受到威胁的程度，结合概率论可知，该值越低，说明系统越稳定；该值越高，说明系统越混乱。

另外，对网络系统来说，存在一个保持其稳定性的“临界值”，即保持自身网络安全特质并可以与其他网络特质相区别的阈值。当网络系统中的演化运动所引起的安全扰动达到或超过一定的阈值时，就会使原有系统的安全结构遭到破坏。因此，要想保持网络安全稳定性，就要将系统的演化运动控制在一定的阈值（即临界值）内，否则，网络系统的安全结构就会被破坏。本文用网络系统的安全熵的阈值来表示“临界值”。

2.2　网络空间整体安全探讨

在网络系统中，数据与连接是网络的核心要素，连接是网络的基本形态，数据交互驱动是网络系统的价值所在。在网络系统的各个网络节点中，网络的运行首先体现在数据的产生和依靠连接的交换，其次是生成信息，最后是信息驱动决策和人、机行动，而人、机的行动及其响应又会形成新一轮的数据迭代。因此，网络空间运行的本质可以理解为基于网络连接的“D-I-D-E”过程。其中，D 为 Data，即“数据”；I 为 Information，即“信息”；D 为 Driving，即“驱动”；E 为 Execution，即“执行”。本文将网络空间整体安全问题限定在基于网络系统的“D-I-D-E”中，分析和求解网络系统中基于连接和数据交互驱动的各个网络节点上的新的安全熵改变，通过安全熵的变化来分析网络空间整体安全问题。

综上，本文提出的基于连接和安全熵的网络空间整体安全理念可表述为：网络空间整体安全以网络整体安全熵减为目标，以网络连接为基础，以威胁为防护方向，以数据交互驱动为中心，通过提升网络系统内各个网络节点的安全防护能力来减缓重要网络节点的安全熵增演化时间周期，通过强化网络总体安全的“设计—仿真—评估—测试验证”能力，调整科研流程来减缓网络系统整体安全熵增的演化时间周期。同时，依据威胁数据库，形成体系化的网络安全熵关联矩阵，建立从技术、装备到系统整体安全熵的可评估演化模型。最终形成以依托业务为目标的，包含业务网、任务网、其他支撑网、人在系统等的网络空间整体安全防护新能力。

另外，网络空间整体安全能力的有效发挥须依赖于优秀的系统集成建设能力。优秀的系统集成建设能力能够最大限度地规避系统安全短板和漏洞，最大化地发挥系统整体作战效能。要加强整体安全理念的构建和实施，研究集成后的作战环境出现的新问题、新威胁，特别关注主体功能网络与其他网络的连接特性。建立基于不同层级的安全防护分层分级保护模型，重点对涉及跨网跨域的不同网络之间的不同安全等级网络互联时产生的安全隐患采取必要的措施（控制），形成系统集成核心技术能力。

３、网络空间整体安全方法的应用

通过对网络空间整体安全方法内涵和理念的研究与分析，可以为解决网络空间安全问题如网络信息系统的规划、设计、建设和后期的安全强化、加固提供参考，为网络信息系统整体安全问题的分析等提供多种思路。

3.1　为网络信息系统规划、设计、建设和后期的安全强化、加固提供参考

基于安全熵随时间的演变过程，给出如下推论：

（1）对于给定的网络系统，一定存在一个安全熵的临界值，使得网络不再安全；（2）单一网络中的安全熵随时间的拉长呈单调递增趋势；（3）相同时间内，多个网络的连接会导致整体安全熵值增大；（4）网络连接点越多，安全熵的熵值变化速率越大，整体安全熵到达安全临界值所需的时间越短。

基于上述推论，采用定性描述的方法讨论网络空间中的网络连接与安全熵的发展趋势。

如图 2 所示

图 2　安全熵随时间演变过程的发展趋势

图中，横坐标为安全熵W ，纵坐标为时间T 。为单一网络空间（如局域网）安全熵随时间演化的发展趋势；为增加 1 个子网后整体网络空间安全熵随时间演化的发展趋势；为增加 2 个子网后整体网络空间安全熵随时间演化的发展趋势；为增加到 n 个子网后整体网络空间安全熵随时间演化的发展趋势。当网络信息系统的安全受到威胁时，比如数据流量发生变化时，某些节点的熵值会增大。由此，可通过临界值来分析系统的安全威胁问题。

安全熵相关推论的指导意义在于，在设计起始阶段，从整体层面统筹考虑系统联合、集成后的安全问题。通过分析网络空间整体安全熵与时间的关系，不但可以为不同网络及其连接控制设计方案提供安全熵的选择性比较，也可以为系统的前期规划设计和后期的安全强化、加固提供指导性参考。在系统性工程中，一是要重点关注安全熵临界值；二是要重点关注系统到达安全熵临界值所需的时间。在网络系统连接设计中要尽量拉长系统到达安全熵临界值所需的时间，在该时间范围内，还应该对系统的整体安全性进行在线监测，对引起安全熵值增大的安全隐患及时进行动态排除、加固或重点强化，以此提升系统的整体安全度，平衡安全成本。而系统安全熵临界值可借助仿真、试验测试等手段进行分类、分层分析和比较，此处不做深入讨论。

3.2　对网络信息系统安全问题进行整体安全分析

基于 3.1 节中关于网络连接与安全熵的发展趋势，不难得出如下推论：（1）系统的安全性会随时间演化而降低；（2）不同安全等级的网络互联必然带来安全溢出的问题；（3）考虑整体的安全性比考虑局部的安全性成本更低；（4）整体安全理念越靠前，综合费效比越低。

采用基于连接和安全熵的网络空间安全理念对典型的 C4ISRK 系统（综合电子信息系统）内部多个网络节点的安全问题进行分析和阐述，为典型 C4ISRK 系统提供一种新的分析视角和思路。重点在于将系统中典型网络节点与所提出的基于“D-I-D-E”网络数据驱动环进行合理映射，从而得出系统内部安全熵发生演化运动的重要节点和产生安全熵变的机理，以此对这些安全熵变节点进行安全防护。而关于各个节点安全熵随时间演变的具体数据需要进行一定周期内的仿真和测试。

典型的系统（综合电子信息系统）内包含了指挥、控制、通信、计算机、监视、侦察、打击等多个子系统，该系统的实质是具有“融合”作用的武器系统，它能够将所有信息数据库和数据汇集起来，达成信息“共享”“共用”和“共调”，构成一个灵活、机动、可靠、无缝的网络，进而支持各方需求和指挥中心之间的信息数据交换，增强指挥的时效性和准确性。该系统主要功能为搜索并发现目标、跟踪与监视目标、识别目标、决策、持续识别、打击目标、损伤评估，将这些功能形成一条强有力的“打击链”。在正常工作状态下，各个子系统之间要进行协同、组网、数据流转等任务，C4ISRK 系统数据关系如图 3 所示。

图 3　C4ISRK 系统数据关系

依据当前先进国家网络电磁空间作战技术能力和已出现的网络空间威胁，在结合“D-ID-E”环这一视角的基础上，对现有网络空间环境可能遭受的攻击途径做了如下想定。

（1）攻击途径在“D（驱动）”环上的场景。该场景攻击路径的典型案例有两种：一是针对网络环境内计算机网络、工控系统、基础设施、供应链等甚至是一些专用设备实施网络病毒攻击，造成关键节点无法正常工作，甚至硬件损伤，实现对重要目标的定向精确打击和全面打击；二是核心技术国家通过在销售的设备中预置“后门”，并在合适的时机实施远程攻击。

（2）攻击途径在“I（信息）”环上的场景。该场景攻击路径的典型案例有 3 种：一是通过发送电子邮件等方式实施网络心理战；二是通过光缆窃听情报；三是通过先进的声、光、电磁等接收设备对网络环境进行信息侦察、还原、分析。

（3）攻击途径在“D（数据）-I（信息）”环上的场景。该场景攻击路径的典型案例有 4 种：一是利用网络空间探测扫描和网络分析工具，通过定位网络环境内网络关键节点、扫描网络拓扑结构、分析网络流量等方式获取情报信息；二是对网络内人员进行网络监控、电话监听，通过大数据分析和可视化，获取网络环境内部的重要情报及位置信息；三是对关键设备和系统实施侧信道攻击，获取重要信息；四是通过无线注入技术，对无线网络链路植入木马，实施信息窃取、网络侦听。

（4）攻击途径在“D（驱动）-E（决策）”环上的场景。该场景攻击路径的典型案例有 3种：一是采用电子战对网络环境实施电磁干扰和电磁压制；二是利用浏览器的软件漏洞、服务器系统漏洞、主板漏洞等漏洞向目标系统或安全设备植入后门程序，在未经授权的情况下进入、访问或破坏网络环境信息网络；三是通过大功率的电磁脉冲武器，高功率微波炸弹等攻击重要电子信息平台，过电流、过电压使得系统内部电源系统、计算终端等设备的电子元器件、PCB 板烧毁，造成系统失灵、瘫痪。

（5）攻击途径在“D（驱动）-I（信息）-D（驱动）-E（决策）”环上的场景。该场景攻击路径的典型案例有两种：一是在网络环境内部与核心网络之间建立虚拟专网，进行数据隐蔽传输，注入虚假数据包，进行信息欺骗；二是釆取密码破译手段，取得对网络、信息的控制权。

从这 5 种攻击途径设定的分析可以看出，“D-I-D-E”所对应的网络系统内的几个重要网络节点均为网络系统内熵增演变的重要节点，这些节点的安全熵增会大幅度提高网络系统整体的安全熵增。因此，可以用 “D-I-D-E”映射分析网络空间安全中的各个子网连接所带来的安全问题，对现有的网络信息系统安全性发展趋势进行安全性预测。

此外，安全问题的对象除应关注“虚拟”的数据以及信息交换外，还应关注与此交换过程伴随发生的物理现象，即声、光、电磁、热等经典物理量之间的交换。不可避免的需要建立多维物理量相互转化的物理和数学模型，以及对应的安全评估规则。

４、结　语

网络空间安全是事关国家安全和国家发展的重大战略问题。鉴于美国等发达国家在网络空间安全领域的部署和行动，以及当前网络空间面临着从物理层安全接入到数据层用户数据安全保护等各个层面的挑战，迫切需要进行全面且系统化、体系化的安全论证和技术研究。

网络系统的安全性是一个客观的概念，包罗万象，对于网络系统来说，除要考虑逻辑上的安全性外，网络系统内部连接带来的安全性同样需要引起足够的重视，因此，有必要对网络空间整体安全的理念展开研究和探索。本文以网络的连接为分析视角，提出了一种基于网络连接和安全熵的视角来探讨网络空间整体安全问题的解决途径和方法，提出了“以连接为基础，以威胁为防护方向，以数据为中心”的网络空间整体安全理念，整体安全理念越靠前，综合费效比越低。该理论成果进一步拓展和补充了当前网络空间安全认知，为网络信息系统规划、设计、评估预测、建设和后期的安全强化、加固提供参考，对网络空间安全问题的理论研究和工程设计均具备一定的指导价值。