威胁情报驱动的军事信息内容安全研究
2022-03-18李留英孙亦祥
◆李留英 孙亦祥
威胁情报驱动的军事信息内容安全研究
◆李留英 孙亦祥
(国防大学政治学院 上海 200433)
随着军队信息化智能化建设的不断推进,其面临的军事信息内容安全日益突出。本文阐述了军事信息内容安全威胁的来源,分析了网络威胁情报的作用,构建了基于威胁情报的军事信息内容安全监管模型,探讨了加强军事信息内容安全监控的具体措施。
威胁情报;军事信息内容安全;监管模型
1 引言
网络空间已成为大国角逐博弈的第五大战略空间和新型作战域,其呈现出的强战略性、对抗性、实战性、军事性使得网络空间安全问题日益突显,网络安全内涵不断延伸,网络安全步入大安全时代[1]。
自十八大以来,党中央和国务院高度重视网络安全,习近平主席深刻指出,没有网络安全就没有国家安全,过不了网络关就过不了时代关,将网络安全提升到了国家战略高度。
然而,各方在利益的博弈驱动下,网络中充斥着海量的异构化、碎片化的暴恐、色情、谣言等有害不良信息,假新闻、网络仇恨、深度伪造等虚假片面信息和破坏性内容泛滥,大规模水军、僵尸机器人账号肆虐问题依然存在,网络舆情危机、网络恐怖主义等更加复杂多样化,混乱失序的内容大数据对国家安全、社会稳定及个人信息保护提出新挑战,网络空间的和谐发展面临着持续威胁。
一些社交媒体平台故意混淆视听、颠倒黑白,为私利掩盖事实真相,转移大众视线。2019年新冠肺炎暴发以来,有关疫情的信息充斥互联网,隐私泄露、网络暴力、网络恐怖主义、网络欺诈等内容安全事件频繁爆雷,造成恶劣影响[2]。西方国家为摆脱疫情不利影响,利用资本操控社交媒体,发布大量虚假消息;敌对势力借助网络攻击、虚假信息行动等频频进行政治干扰。随着网络形态的发展,黑灰产攻防升级,国际网络舆论斗争日趋复杂,涉军话题和涉军舆情成为炒作热点,迫切需要提升军事内容安全监管水平。
2 军事信息内容安全的威胁来源
军事内容中有关安全方面的信息主要来自互联网生产发布的各类信息;军队发布的各类文件、宣传材料、刊物资料,通过公开网络发布的各类信息;军队网络发布的各类信息;军队业务工作信息等[3]。
军队信息内容安全问题主要涉及互联网不良信息的快速传播、军事信息的窃取、泄漏和攻击、网络涉军舆情监控、灰色信息监管、官兵个人隐私信息的泄漏和监管等。
军事信息内容安全的威胁来源主要分为外部和内部两个方面。随着5G商用的发展,万物互联,万物皆媒,移动手机、可穿戴设备、其他可感知设备都将成为终端以及信息传播的渠道。网络平台和用户复杂多变,使得网络不良信息来源复杂。一是传统的报刊、电视媒介、电商平台、搜索引擎、不良网站、社交媒体圈、垃圾短信、移动应用程序、网盘、暗网、物联终端设备等各种违规信息,冲击官兵的认知,损害官兵的经济利益。二是敌对势力或网络战专业人才,为了政治经济利益,通过各种媒体、社交平台散布辱华言论、涉军不良信息,制造谣言及各种话题,煽动网络情绪,进行污名攻击。三是敌对势力通过社交工程方法,利用APT等攻击手段突破物理隔离,攻击重要信息系统、数据中心或武器平台,窃取涉密系统内部信息。
内部威胁主要包括内部人员的有意或无意泄露涉密信息、恶意发布和宣传把控。主要表现为:一是通过随意下载的手机APP、扫描带病毒的二维码、定位功能等方式泄露官兵的个人隐私信息和地理位置等;二是通过短信、微信、朋友圈或通话方式,以语音、文字、视频泄露军事活动;三是未经授权访问密级信息;四是私自通过媒体、微博、自媒体账号发布不实言论,引发负面舆情。如面对复杂的新冠肺炎疫情及动荡的国际形势,一些人员私自接受采访,擅自通过朋友圈或互联网账号发表不当言论,造成不良影响。
内容安全是网络信息安全的最后一道防线,通常关注信息内容的保密性、政治性、健康性、隐私性、产权性、防护性等方面[4]。面对内外威胁,军事信息内容安全对军事信息的保密性、政治性、完整性、真实性、对抗性、防护性提出更高的要求,迫切需要提升军事信息内容安全主动防御能力。
3 威胁情报驱动的军事信息内容安全监控模型
面对复杂的网络空间态势以及APT攻击、0Day攻击、虚假信息行动、网络恐怖主义等多元化新型威胁,如何快速检测威胁攻击并做出合理应对,增强信息安全主动防御能力,成为迫切需要解决的问题,网络安全威胁情报由此而生。2015年至今,网络威胁情报连续多年成为美国RSA大会的热词,也是国家、政府、资本及军方投资的热点。利用安全威胁情报可以及时获取网络中存在的各类安全威胁信息,为网络信息内容检测、响应及处置提供决策情报。
全国信息安全标准化技术委员会发布的《信息安全技术网络安全威胁信息表达模型》将威胁定义为“能够通过未授权访问、毁坏、揭露、数据修改和/或拒绝服务对系统造成潜在危害的任何环境或事件”,威胁信息(Threat intelligence)定义为“是一种基于证据的知识,包括环境上下文、机制、指标、影响和可行建议等信息,用于描述现有的或可能出现的威胁,从而实现对威胁的响应和预防”[5]。威胁主要包括意图、能力和机会三要素。
2016年10月NIST发布的《SP 800-150:Guide to Cyber Threat Information Sharing》给出的定义:网络威胁是指“对信息系统的未授权访问、损害、信息披露或修改、拒绝服务可能会对组织运营(包括任务、职能、形象或声誉)、组织资产、个人、其他组织或国家造成潜在不利影响的情形或事件”[6]。威胁信息是指与威胁相关的、可帮助组织防护威胁或者检测威胁活动的任意信息,美国情报界把网络威胁视为美国面临的最严重威胁。智能时代的网络威胁危害成倍增长,催生出网络威胁情报。
网络威胁情报是一种以互联网为依托,以证据为基础的信息。它利用多渠道、多样化的技术手段,采集大规模碎片式的异常数据,通过深度融合、归并和分析网络资产可能面临的风险与威胁,形成与信息系统有关的信息线索,为情报界制定网络威胁应对策略提供情报支持,并提出阻止敌方网络攻击的行动建议,从而进行针对性主动式的预警、检测和防护,以降低威胁防御成本,保护国内重要网络资产免遭破坏[5]。云计算、大数据、人工智能和区块链等新技术的不断应用,将有利于实时响应突发安全事件,预测网络安全威胁态势,构建主动的自适应安全体系,提高组织机构的安全防御能力。与基于攻击链的纵深防御等思想的融合,形成了新一代的网络安全动态防御体系的基石,从而确保网络舆情有序可控、用户隐私安全可控、信息内容可信可控、安全事件溯源能控[7]。网络威胁情报是网络安全体系的战略战术核心,可以将阻止发现威胁的速度提高10倍,保证了国家政府的感知能力和先发制人的战略视野。自2012年开始,美国国土安全部开始建立覆盖基础设施的威胁情报中心。经过多年发展,美欧网络威胁情报能力已发挥重要作用。
根据我国实际情况,内容安全包括不良信息监测与过滤、舆情监控与引导、邮件安全、隐私数据安全等。将网络威胁情报贯穿军事信息内容安全的生命周期,将大幅提升军事信息内容安全监控的主动性和前置能力。为此,根据美国ISS公司提出的P2DR安全模型和前期研究[7],针对军事信息内容安全,提出了威胁情报驱动的军事信息内容安全监控模型-TP2DE安全模型(如图1所示)。
图1 TP2DE安全模型
TP2DE安全模型包括培训引导、威胁防范、动态防护、实时监测与溯源取证五个模块。
培训引导主要是加强对军队人员内容安全意识及技能的培训,强化军队内容安全的内部管理,同时扩展信息传播渠道,不断加大法律法规宣传力度。通过民众进军营等活动以及短视频推送,让民众更加直观了解军队,对涉军舆情事件案例有针对性地加强教育引导,化解官兵不满,树立正确的网络舆论导向、正面形象和价值取向,以正确面对军事内容安全问题。
威胁防范分为外部威胁和内部威胁防范,主要通过对内部外部威胁的分析,构建相关内容安全威胁情报,通过融合、分析与识别潜在风险,以便提前预警,提升事前防范能力。外部威胁分析主要通过对涉及军队重大活动、事件或重要时间节点的舆情、互联网涉军话题、舆情态势等进行分析,获取相应的威胁信息,根据引起舆情危机的话题、信息传播方式、信息传播渠道、信息传播工具等,构建军事信息内容安全事件威胁情报。
动态防护是指对军事信息内容安全威胁进行确认,对已有威胁情报进行融合分析,对重大军事内容安全威胁情报及时上报,阻断信息内容传播链并进行应急处置,同时通报给涉事单位,发布辟谣信息,加强正面宣传。
实时监测是指根据内容安全威胁情报,通过内容审核、知识推理等,及时发现新出现的涉军不良信息,并进行内容告警。利用深度学习算法对新威胁情报进行自主学习,是实现实时监测的重要手段和关键。
溯源取证是指利用军事信息内容安全威胁情报,及相关的漏洞情报及资产情报,对涉军信息的发布背景、方法、目的、支撑团队等进行追踪溯源,形成军事信息内容安全事件背后的隐蔽组织画像,便于适时反制。溯源取证的目的主要有四点:一是还原涉军不良信息的传播过程,对涉法行为进行取证,便于依法追责;二是掌握涉事人员违法全过程,补充和完善处置策略和方式,以便适时反制;三是对信息发布者的个人信息、幕后组织、社交圈层、信息收发渠道等进行画像,便于答疑解惑,同时可丰富军事信息内容安全威胁情报知识库;四是复盘军事内容安全事件的整个过程,改善主动监控流程和应急策略,尤其是舆情应对措施。
TP2DE安全模型适用于平时和特定形势下的军事信息内容安全问题。随着大数据、云计算、人工智能等的应用,尤其是军事信息内容安全威胁情报大数据和知识库的建设,将大力提升军事信息内容安全威胁情报实时动态感知、共享和分析的能力,有效推进军事信息内容安全主动监控体系的建设。
4 加强军事内容安全监控的有效措施
为提升应对军事信息内容安全危机的主动性,需要加强内容安全监管力度,采取如下有效措施。
一是加强军民融合,加大商用技术产品的运用,加快军事信息内容安全生态治理。
SolarWinds黑客事件的根源之一是美国许多关键基础设施由私营部门运营掌控,私营部门因为担心法律责任、品牌声誉及收入损失,不愿意与政府合作共享黑客攻击或数据泄露的网络威胁情报。为此,可依据《中华人民共和国网络安全法》《互联网信息内容管理行政执法程序规定》《国家网络安全事件应急预案》《关于加快建立网络综合治理体系的意见》和《网络信息内容生态治理规定》,完善军队网络信息内容安全监管体系和军民融合的应急响应体系。组建专业的内容安全团队,建立人工审核+机器审核相结合的模式,加快大数据技术、AI技术、区块链技术在军事信息内容安全治理中的落地,加大算法算力的改进。规范军事信息内容安全事件的响应处置流程和程序,提升应急响应能力,尤其是涉军舆情处置的速度,促进军事内容安全的整体生态治理迈上新台阶。
二是构建军事信息内容安全威胁情报共享平台和知识管理体系。
2017年9月13日,工业和信息化部发布《公共互联网网络安全威胁监测与处理办法》(工信部网安[2017]202号),界定了四类威胁,但缺少对信息内容威胁的处理。为此,依据等保2.0,对军事信息内容实行分级管理;利用政府机构和私营部门构建的网络威胁情报共享平台和联盟,构建军事信息内容安全威胁情报共享平台和知识体系,作为支撑网络安全运维的知识库。根据军事信息内容安全威胁情报知识间的语义联系,基于深度学习方法进行隐含知识挖掘和推理等,从而推断涉军舆情发起范围、传播链路,不利信息的关联组织等,构建相关安全事件事例图谱,实现军事信息内容安全的智能化风险评估和生态治理。
三是加强军事信息内容安全风险意识培训,筑牢思想安全防线。
社交平台、新媒体的发展加速了科技巨头和网络霸权国家的信息控制,社交平台的无担当导致违法信息屡禁不止。在网络安全防御体系中,人员是最薄弱的环节,也是最容易突破和利用的漏洞。为此,需要严明政治纪律和宣传纪律,通过多种形式的宣传和引导手段,使官兵高度重视移动终端内容安全、信息发布中的内容安全等,提高遵守规章制度的能力。
5 结束语
军事信息内容安全生态治理是一项长期的战役。威胁情报驱动的安全管理已经达成共识,利用内容安全威胁情报可以有效提升军事信息内容安全的事前防范能力以及生态治理的主动性、精确性,也大大提升了军队应对网络涉军舆情的主动性。
[1]张焕国,韩文报,来学嘉,等.网络空间安全综述[J].中国科学:信息科学,2016,46(2):125-164.
[2]龚文全,孙明俊.内容安全治理问题现状及发展建议[J].中国信息安全,2020(2):65-67.
[3]李留英.军事信息内容安全问题研究[J].无线互联科技,2016(12):147-149.
[4]黄旗绅,李留英. 网络空间信息内容安全综述[J].信息安全研究,2017,3(12):1115-1118.
[5]中国国家标准化管理委员会.GB/T 36643-2018信息安全技术网络安全威胁信息表达模型[S].北京:中国标准出版社,2018.
[6]NIST Special Publication 800-150:Guide to cyber threat information sharing[S]. https://nvlpubs.nist.gov/nistpubs/SpecialPblications/NIST.SP.800-150.pdf.
[7]杨维永,郭靓,廖鹏,金倩倩.基于情景感知的信息安全主动防御体系建设[J].电力信息与通信技术,2016,14(1):28-32.
本文系国家社科基金项目“网络舆情风险与治理问题研究”(17BSH028)阶段性成果