学术前沿 | 方滨兴院士团队：重构网络空间安全防御模型——SARPPR

引用

方滨兴, 贾焰, 李爱平, 等. 重构网络空间安全防御模型——SARPPR[J]. 网络空间安全科学学报, 2024, 2(1): 2-12.

FANG Binxing, JIA Yan, LI Aiping, et al. SARPPR: reconstructing cyberspace security defense model[J]. Journal of Cybersecurity, 2024, 2(1): 2-12.

背  景

随着网络攻防手段的不断发展，原来的模型已经不能满足网络安全防御的现实需求，亟须对原来的网络空间安全防御模型进行重构和扩充。针对该问题，本研究对 APPDRR 模型进行了重构，同时根据防护的实际情况，提出了“护卫模式+自卫模式+迭代模式”的 SARPPR（Sensing-Assessment-Response-Policy-Protection-Restoration）模型，以涵盖和指导网络空间安全防御的最新技术，应对复杂的网络安全威胁。该模型是首个覆盖防御全生命周期的网络空间安全保障模型，可以应对高隐蔽 APT（Advanced Persistent Threat）等未知网络安全威胁研判，以及现有信息系统内生安全能力建设等难题。该模型已应用于第 24 届冬季奥林匹克运动会（简称北京冬奥会）、杭州第 19 届亚洲运动会（简称杭州亚运会）、第 31 届世界大学生夏季运动会（简称成都大运会）、中国（深圳）国际文化产业博览交易会（简称文博会）、中国进出口商品交易会（简称广交会）等重大活动的网络安全保障，实现了零事故，实践结果验证了模型的有效性。 

创新点与贡献

从重要活动安全保障角度出发，在传统“自卫模式”的基础上，本模型提出了“护卫模式”和“迭代模式”，实现了事前预防、事中应对、事后复盘的全生命周期防御。该模型是首个覆盖防御全生命周期的网络空间安全保障模型，可以应对高隐蔽 APT（Advanced Persistent Threat）等未知网络安全威胁研判，以及现有信息系统内生安全能力建设等难题。SARPPR 模型支撑保障了北京冬奥会、杭州亚运会、成都大运会 、第 16-18 届文博会、第127-135 届广交会等重大活动的网络安全，实现了零事故，实践效果验证了该模型可以更好地应对网络安全威胁和风险，提高网络的安全性和稳定性，保障个人、企业和国家的利益。

SARPPR 模型

护卫模式

护卫模式是以抗击为目的的主动防御模式，针对外敌进行外部统筹防御，以感知检测为基础，通过分析研判发现潜在攻击者，最终对攻击者进行阻截。护卫模式在事前布陷探察、采用规则检测、异常发现、网络绊线、系统绊线等感知检测技术和手段构造网络诱骗环境。

在事中关联分析阶段，通过数据中台、态势感知、知识图谱和攻击判定将由各渠道所捕获的威胁情报统一汇聚起来，采用碰撞、关联、聚合等手段，以知识图谱等智能方法进行协同分析，旨在掌握威胁态势及攻击源头。

在事后应急响应阶段，通过渗透清除、访问控制、边界防御和网络治理等手段，对攻击来源进行纵深式阻击拦截。

自卫模式

自卫模式是以自保为目的的守护防御模式，它通过安全策略构建安全基线，通过防御系统保护系统安全，通过灾难恢复守住安全底线。自卫模式与护卫模式相联动，一旦自卫模式发现有攻击，则需要立即溯源倒查攻击 IP，并告知护卫者。一般而言，自卫模式是在敌手进入后实施内生安全自保，攻击者是谁不是重点，只追求系统不被攻垮。自卫模式属于内生安全防御模式，是一种利用应用系统自身的能力来进行安全防御的模式。

迭代模式

护卫模式的特点是不关注被保护系统的状态，自卫模式的特点是不关注攻击者是谁。显然，存在着一种中间状态：既需要知道敌人是谁，又要了解系统自身的状态，从而使得自身的防御体系可以随着对抗的不断演变而迭代调整，本文称此种模式为 “迭代模式”。迭代模式主要涉及事前审计核查（Auditing），事中防御迭代（Iteration）和事后攻击测绘（Profile）3 个要素。

3 种模式之间的关系

自卫模式对应着内生安全，其内涵为持枪自卫，用于用户自保，类比在水中的安全即学会游泳，自行渡河，其典型代表方法为拟态防御和可信计算；近卫（迭代）模式对应着内置安全，其内涵为贴身警卫，随动应对，类比在水中的安全即佩戴护具，安全渡河，其典型代表方法为杀毒软件和锁闭保护；护卫模式对应着外置安全，其内涵为军警护国，无关用户，类比在水中的安全即离开水面，乘船渡河，其典型代表方法为盾立方和安全托管。

总  结

本文将经典的 APPDRR 模型进行了重构，并在“关注攻击者是谁，还是关注防御者的能力”的基础上，提出了“护卫模式+自卫模式+迭代模式”的 SARPPR 模型，以涵盖和指导网络空间安全防御的最新技术发展，促进了各模块之间的协同性和动态性。本模型为网络安全领域的进一步研究提供了新的思路和参考，并有望在实践中得到更广泛的应用。

论文全文下载方式

1 识别下方二维码；2 点击文末“阅读原文”。

来源：《网络空间安全科学学报》2024年第1期

《网络空间安全科学学报》由中国航天科技集团有限公司主管、 中国航天系统科学与工程研究院主办，双月刊，国内外公开发行（CN 10-1901/TP，ISSN 2097-3136）。办刊宗旨为“搭建网络空间安全领域学术研究交流平台，传播学术思想与理论，展示科学研究、创新技术与应用成果，助力网络空间安全学科建设，为网络强国建设提供坚实支撑与服务”。

网站：www.journalofcybersec.com

电话：010-89061756/ 89061778

邮箱：wlkjaqkxxb@spacechina.com