面向网络空间战略级预警的威胁情报能力构建

摘　要

网络空间是陆、海、空、天以外的“第五空间”，是国家主权新疆域。网络空间与政治、经济、社会等领域深度耦合，在促进发展的同时也带来了风险。网络空间战略级预警借鉴传统空间战略级预警原理方法，面向国家监测、利用和管理网络空间的战略需求，基于网络空间全域实时、多维、深度感知的威胁情报分析手段，以研判重大威胁和预告来袭攻击。面向建设现代化网络空间战略级预警的威胁情报能力打造，构想预警体系，描绘典型应用，给出演进方向建议。

内容目录：

1　网络空间特征与威胁成因

1.1　网络空间威胁成因

1.2　网络空间威胁对抗特征

2　网络空间预警与战略级预警

2.1　网络空间预警

2.2　网络空间战略级预警

3　战略级预警的威胁情报能力需求

3.1　威胁情报的预警潜力

3.2　基于威胁情报的战略级预警体系

3.3　基于威胁情报的战略级预警应用

3.4　面向战略预警的威胁情报演进方向

4　结　语

网络空间全面渗透现实世界的政治、经济、军事、科技和文化，在推动全球科技革命和产业变革浪潮的同时，其蕴含的深刻安全问题不断涌现，网络间谍、网络恐怖、网络犯罪、网络渗透愈演愈烈，成为建设网络强国、发展数字经济的重大障碍及瓶颈。习近平总书记指出，维护网络安全，首先要知道风险在哪里，是什么样的风险，什么时候发生风险。没有意识到风险是最大的风险。

网络空间安全是边界非固定、结构高可变、虚实紧融合、立体多维度的国家新疆域，其与传统空间的重大区别及自身特点给风险监测与识别带来了重大挑战。困难点主要表现在：一是攻击“无形”，网络空间对抗没有物理形态，攻击发起隐蔽，能量光速抵达；二是攻击“无边”，网络空间对抗没有前方后方，目标范围广泛，防线无从建立；三是攻击“无人”，网络空间对抗不分平时战时，攻击智能引导，危害长期潜伏；四是攻击“无界”，网络空间对抗关联陆海空天，影响社会经济，动摇国家政权。

网络空间是对科技前沿最敏感、对创新能力要求最全面的领域，网络空间预警能为网络安全提供决策优势，使网络空间的攻击、防御和反制等活动能够更积极、主动。当前，照搬传统空间的预警机制、方法和实践已不能满足新时期网络空间全天候、全方位感知网络安全态势、辅助决策处置的需要，迫切需要建立现代化、体系化、智能化的网络空间战略级预警机制，以有效应对国家级、有组织的高强度网络攻击，捍卫我国网络空间主权与发展利益。

01

网络空间特征与威胁成因

科技总是最先应用于军事领域，并对战争产生深刻影响。网络空间既是生存空间，又是利益空间。美国战略家丹尼尔·奥·格雷厄姆深刻指出：“纵观人类历史，凡是那些最有效地从人类活动的一个领域迈向另外一个领域的国家，总能获得巨大的战略优势。”网络空间蕴含的利益和面临的风险前所未有，其威胁成因与对抗性具有崭新的、鲜明的特征。

1.1　网络空间威胁成因

网络空间的威胁成因包括人的因素、物的因素和网络的因素，即“攻击意愿无法遏制、系统脆弱性无法根除、攻击路径无法斩断”。“攻击意愿无法遏制”表现在网络空间攻击因能以较小代价对高价值目标进行精确、破坏性强、来源隐蔽的打击，因而具有很高的效费比和战略价值，成为信息化时代国家之间局部战争较量的首选方式。从俄乌冲突可以看出，网络对抗这一“冷战”贯穿于“热战”的始终，通过网络可以实现其他方式难以获得的政治、经济、文化或战场优势。

“系统脆弱性无法根除”表现在受技术、管理和人为等因素影响，在网络空间信息系统设计、实现和运行方面不可避免地存在可能被利用的缺陷和漏洞。据统计，平均每 1 000 行代码就会引入 2 ～ 4 个错误，这是由于安全愿景未必能被安全设计完整包含，安全设计未必能完整实现，安全实现也未必能正确运作，导致系统总是面临种类繁多、层出不穷、难以预测的脆弱性风险。

“攻击路径无法斩断”表现在网络空间具备融合物理和虚拟空间的能力，构建了一类连接空前繁荣、资源极大丰富、现实紧密耦合的新型社会性网络环境。网络空间建立的初衷本是为了更有效、更顺畅、更自由、更公平地使用信息，但资源无处不在、数据无处不在、服务无处不在的便利性更容易为攻击者所利用，“攻击无处不在”成为网络空间建设者、管理者和防御者必须面对的现实问题。

在威胁成因中，动机是攻击者发起的意愿，脆弱性是系统存在可被攻击的入口，而连接是攻击者访问到这一入口的可能性，这 3 个条件缺一不可。攻击者依托既有的工具、能力和经验，在一定的时空条件下针对网络空间目标发起基于“发现—定位—跟踪—瞄准—打击—评估”杀伤链的敌对行动，以获取巨大利益 。

1.2　网络空间威胁对抗特征

网络空间“节点—连接”的形态结构相较于传统陆、海、空、天等空间具有崭新特点，其代表了新空间、新时间、新定律和新经济，网络空间安全的“游戏规则”也因此区别显著。

一是对抗发生在新空间，攻击全维可达。彼此相连的网络在持续高速发展的过程中，与传统的陆海空天等物理空间相互渗透，形成虚拟与现实交织的人类生产生活的新空间。其平台是信息基础设施和所在的物理空间；其实现自身功能的载体是信号、信息和所传达的思想；其目的是改造和控制实体行为，包括人的行为和造物的行为；网络空间的非预期效果是催生超视距、低成本、高隐蔽、强危害等非对称攻击手段。

二是对抗决胜于新时间，行动窗口压缩。在绝对时间缩减角度，网络空间“距离消亡”的特征使攻击者可以不受位置影响更迅速地完成攻击，借助信息光速传播效应，让“发现即摧毁”成为现实，从而形成强大的战略威慑；在相对时间缩减角度，攻击者可以自由选择攻击的时刻、地点和手段，可以进行长达数月甚至数年的精心策划，打磨攻击武器。而防御者必须在攻击发生后几秒、几分钟内迅速做出响应，预警及处置余地极为有限，两者的时间优势不在同一个量级；在周期时间缩减角度，攻击者与防御者能力的提升是此消彼长、交替上升的无休止周期循环，对抗技术迭代的速度越来越快，优势轮换周期越来越短，新部署防御机制难以持久、有效地发挥作用。

三是对抗契合于新定律，攻防优势无常。网络空间充斥着动与静的转换、虚与实的存在、明与暗的显现、得与失的较量，攻击者只需找到一个突破口，而防御者必须精心构建整体防御，花费很大成本来防范来自所有方向、所有方式、针对所有目标的攻击。

四是对抗服从于新经济，体系决策制胜。攻防都需要成本，网络空间对抗系统需要从政治、市场化、投资回报、博弈论等角度理解和考量，从而能够发现攻击线索，解释信息安全投入与产出价值。通过最小代价建立一个保护者愿意部署、攻击者不愿破坏的安全技术平衡的环境是最理想的预期。

02

网络空间预警与战略级预警

监测是网络空间安全体系的起点，预警是有效防范风险的前提，也是一种主动保护网络空间安全的防御手段。传统空间的预警雷达通过无线电方法监视空天目标、来袭武器，测定其空间位置，计算抵达时间、方位，从而引导防护机制跟踪、拦截或摧毁目标。网络空间预警需求和作用则与雷达类似。

2.1　网络空间预警

网络空间预警则通过数据采集、关联分析和研判决策，对潜在或正在发生的网络空间攻击和威胁活动进行识别、分析、预测和告警。行之有效的预警能力，有助于把握网络安全风险发生的规律、动向、趋势，为组织防御尽可能争取时间 。

从预警覆盖的威胁层次来看，物理域预警主要关注环境、场地、周界和设备安全风险，逻辑域预警关注网络协议、计算平台、软件服务安全风险，认知域预警关注数据隐私、机密信息、数字资产安全风险，社会域预警关注意识形态、社会认知、网络文化安全风险；从预警针对的威胁手段来看，既包括针对网络空间的来袭攻击，也包括经由、借助网络空间对其他领域的间接攻击；从预警面临的威胁环境来看，新理论、新模式、新武器、新战法都会对预警的实时性、有效性构成冲击；从预警防范的威胁样式来看，网络空间主流的攻击对抗方式具备广维度、多目标、高烈度、短猝发、强隐蔽等特点，为监测预警带来了极大的复杂性和不确定性；从预警关注的威胁主体来看，由于网络空间攻击能够在隐蔽和非对称条件下进行，以较小代价对高价值目标进行精准破坏或范围打击，具备很高的效费比和行动价值，因而个人、利益团体和国家行为体等各个层次的威胁来源均是预警的关注对象。

2.2　网络空间战略级预警

在借鉴传统空间战术、战役与战略不同层次、等级的预警界定与认识准则的基础上，可以认为网络空间战略级预警侧重于关注网络空间安全威胁的基础性、长期性、全面性和强对抗性特点及运动规律，是将传统战略级预警理论和方法向网络空间拓展、延伸和有机融合的结果，使其在指向、规模、目标、方法和机制方面同网络空间战术级预警存在显著区别，即战术预警是网络安全主动防御的一个任务环节，而战略级预警是一项体系工程。

网络空间战略级预警的重点是核心性、结构性、系统性风险，试图回答什么是网络空间的“大规模杀伤性武器”“精确制导武器”“潜在威胁目标”等问题。如图 1 所示，其战略化特性在于对网络空间预警的指向、规模、目标、方法和机制 5 大领域的能力要求存在实现程度的差异 。

图 1　网络空间战术级与战略级预警的差异表示

与战术级预警相比，网络空间战略级预警整体上具备更加鲜明的特征：

（1）关注意图动向。相较识别、阻断攻击，网络空间战略级预警更加关注攻击背后操纵者的意图、动机和意识形态。（2）体现国家意志。战略级预警通常需要国家级平台和资源作为实施条件，预警结果直接提交至高级指挥人员进行决策建议。（3）规避重大破坏。战略级预警侧重对重要网络、关键基础设施和高价值目标发起的各类攻击行为进行预警。（4）跨越巨大时空。针对高级持续性威胁（Advanced Persistent Threat，APT）的战略级预警，其监测时间窗口可达数天、数月甚至数年，监测空间范围通常涵盖暗网、深网等互联网边缘地带。（5）联动多域力量。战略级预警需与传统空间预警机制密切协同联动，通过策略互通、情报共享提升覆盖率和准确率。

03

战略级预警的威胁情报能力需求

情报是知识的再激活，是运用一定的媒体或载体，越过空间和时间传递给特定用户，提供具体问题所需要的特定知识和信息。网络空间威胁情报通过从获取的海量数据中主动跟踪分析网络安全威胁的特征、方法和模式，实现对战略级风险类别和方法的及时识别和有效对策。

3.1　威胁情报的预警潜力

网络空间无边界、动态、高维和虚拟化等特性使得网络对抗更加激烈、形势更加严峻，潜在攻击、风险和威胁日益严峻。与现实空间中发生的冲突预测、预防与处置类似，网络空间战略级预警也极其依赖正确及时的威胁情报来开展行动，防御者持续进行威胁情报的收集和分析活动，基于获取的关键知识应对攻击者选择的攻击时机、地点和战术的随机性所带来的不确定风险 。面向网络空间战略级预警的威胁情报分析，能够形成“直前、近期、中长期”3类预警能力。

直前预警是最紧迫、最现实的战略级预警样式，针对已发生或很快发生，并即将造成破坏的威胁。其手段一般基于规则计算，自动化程度高，如在重要系统等关键部位，布设网络入侵检测、行为审计系统以监测异常行为等。

近期预警是前瞻性、强证据的战略级预警样式。其针对未发生，但很快蔓延或有发起迹象的攻击，其手段可以基于推理分析，其自动化程度低但精确度高，如监测全球僵尸网络构建、蠕虫病毒传播、黑客组织活动等。

中长期预警是预防式、预见性的战略级预警样式。其针对未发生，有潜在重大影响或长期趋势的安全威胁，以人员参与的深度研判为主，识别系统性、体系性的后门、风险和缺陷，同时尽早布局封堵，防止未来被对手利用。

不同的预警方式有助于从整体上营造“天时、地利、人和”3 种信息优势。在“天时”方面把握脆弱性生成机理、网络空间时空特征、攻击预警规律；在“地利”方面因地制宜，摸清底数，塑造网络空间关键地形，优化资源配置和部署；在“人和”方面高效组织、信息共享、优势互补，形成攻守同盟。

3.2　基于威胁情报的战略级预警体系

网络空间战略级预警体系针对网络空间主流攻击入侵方式具备广维度、多目标、高烈度、短猝发等特点，综合多类技术手段，以威胁情报作为核心信息来源和知识输入，加强信息共享和系统联动，形成全方位、大纵深、多层次的网络空间的持续、全面监测预警保障能力。网络空间战略级预警体系构成如图 2 所示。

图 2　网络空间战略级预警体系构成

网络空间战略级预警体系由位于网络空间各个位置、以不同方式运作、完成不同任务的组件、模块、代理等构成。这些组件承担信息采集、传播、路由、计算、存储或分析等功能，并在一致的协同交互协议的联系下，各组件自身的任务和活动能够从整体上得到有效调度、协调和并发控制，对外展现出安全信息采集、存储、管理、维护、加工和利用一体化，体现模块间的无缝集成，有效支撑信息安全体系的主动防御、快速反应、妥善处理、联动服务等进阶能力 。

3.3　基于威胁情报的战略级预警应用

为了实现有效的网络空间战略级预警功能，需要在直前预警、近期预警、中长期预警和预警支撑等方面积极推进能力建设，包括用于构建预警支撑的网络空间测绘系统、保障直前预警的安全监控防御系统、保障近期预警的漏洞挖掘利用平台和保障中长期预警的威胁情报管理平台等方面。

网络空间测绘系统面向国家监测、利用和管理网络空间的战略需求，对网络空间全域全维进行高性能、透明化感知探测，对网络空间的实体、联系和状态进行完整的体系化表达，还原网络空间结构、行为和特征，形成“网络地图”，实现网络空间的深度理解、开发和利用。

安全监控防御系统以行为监测为核心，利用静态特征检测、动态行为仿真、异常行为挖掘、威胁情报分析相结合的手段，在对已知威胁监测的基础上，重点对特种木马、未知漏洞、APT 高级攻击等未知威胁进行实时监测和预警。

漏洞挖掘利用平台，围绕漏洞的“挖、析、监、评、验”环节进行能力提升，突破漏洞挖掘分析智慧性弱、大流量监测精度低、危害评估验证难、规模协同能力差 4 大难题，探索建立国家级漏洞受控协同及管理机制。

威胁情报管理平台基于威胁情报采集、分析、生成和分发，提供威胁情报检索、分析和溯源能力，通过数据共享、云端分析和按需交付，达到预警实体间的情报协同，提高国家网络空间安全战略及重要动向的及时发现、理解与深入剖析能力，为战略级预警判断、决策提供强有力的多元化信息保障 。

3.4　面向战略预警的威胁情报演进方向

当前，网络空间战略级预警体系仍在持续论证与建设之中，为发现和识别未知、隐蔽、高破坏性网络攻击，深入提升网络空间安全态势的纵深探测、整体感知水平，须把握网络空间战略级预警概念规律，加快网络威胁情报能力建设。

一是加强统筹，顺畅管理。构建统一高效的威胁情报组织应用与管理机制，打造横向联动、纵向贯通的威胁情报分发共享能力，协同国家网络空间安全威胁的预防、发现、预警和协调处置等工作，保障网络空间的主权、安全和发展利益。

二是重视理论，深入研究。在连接的驱动和激励下，网络空间逐步形成多维拓扑结构，催生复杂多样的攻击行为与现象。网络空间威胁情报应融合网络空间结构、地形、动力学等理论与方法的研究，积极实现内涵的不断发展丰富，从而更科学地指导实践。

三是节点预置，拓展纵深。加大传感器端的建设，提升在“点”“线”“面”获取情报的广度和深度；优化感知体系建设，重构网络路径，提升预警纵深和监测密度，拓展研判时间窗口，塑造“黑客无处可藏、攻击有迹可循”的理想地形。

四是促进协同，推进标准。打通信息烟囱，培育跨域联合预警和泛在情报共享能力。基于数据的标准化、语义化，通过智能知识关联、挖掘推理与人工决策相结合的方式形成顺畅的联合预警机制，整体研判网络空间所面临的重大网络攻击威胁，预告潜在的大规模、高危害的来袭攻击。

0４

结　语

与战术级预警相比，网络空间战略级预警作为复杂体系工程，瞄准核心性、结构性、系统性风险，在预警工作的指向、规模、目标、方法和机制 5 大领域都存在较大差异。通过威胁情报引领网络空间战略级预警理念的升级，以集体智慧应对复杂风险，以先知先觉构建稳固防线，能够使安全体系从反应性、防御性的被动局面转变为未雨绸缪、主动适应、容侵顽存的新型有机组织，满足与不断深化复杂网络空间风险相适应的防御需求。

引用格式：陈剑锋 . 面向网络空间战略级预警的威胁情报能力构建 [J]. 信息安全与通信保密 , 2022(7):2-9.

作者简介 >>>

陈剑锋（1983—），男，博士，研究员级高级工程师，主要研究方向为 网络安全、大数据。

选自《信息安全与通信保密》2022年第７期(为便于排版，已省去参考文献）

商务合作 | 开白转载 | 媒体交流 | 理事服务 

请联系：15710013727（微信同号）

《信息安全与通信保密》杂志投稿

联系电话：13391516229（微信同号）

邮箱：[email protected]   

《通信技术》杂志投稿

联系电话：15198220331（微信同号）

邮箱：[email protected]

原文始发于微信公众号（信息安全与通信保密杂志社）：面向网络空间战略级预警的威胁情报能力构建