久久国产成人av_抖音国产毛片_a片网站免费观看_A片无码播放手机在线观看,色五月在线观看,亚洲精品m在线观看,女人自慰的免费网址,悠悠在线观看精品视频,一级日本片免费的,亚洲精品久,国产精品成人久久久久久久

分享

多視角下的網(wǎng)絡(luò)空間安全模型與體系化發(fā)展丨中國工程科學(xué)

 工農(nóng)商學(xué)兵 2024-01-27 發(fā)布于四川

本文選自中國工程院院刊《中國工程科學(xué)》2023年第6期

作者:孫帥,,張蕾,,胡春卉,,傅首清,卿昱,,崔勇

來源:多視角下的網(wǎng)絡(luò)空間安全模型與體系化發(fā)展[J].中國工程科學(xué),2023,25(6):116-125.

編者按

網(wǎng)絡(luò)空間技術(shù)發(fā)展迅速,,新應(yīng)用、新技術(shù)衍生的網(wǎng)絡(luò)空間安全風(fēng)險趨于復(fù)雜化和隱蔽化,;建立特有的網(wǎng)絡(luò)空間安全模型是國內(nèi)外應(yīng)對復(fù)雜安全威脅的常規(guī)做法,,但現(xiàn)有的網(wǎng)絡(luò)空間安全模型存在未來發(fā)展方向不明確、新技術(shù)衍生風(fēng)險分析能力不足,、網(wǎng)絡(luò)空間安全防御評估所需的安全能力缺失等問題,。

中國工程院院刊《中國工程科學(xué)》2023年第6期刊發(fā)中關(guān)村實驗室副研究員張蕾研究團(tuán)隊的《多視角下的網(wǎng)絡(luò)空間安全模型與體系化發(fā)展》一文。文章系統(tǒng)梳理網(wǎng)絡(luò)空間安全模型發(fā)展情況,,闡明當(dāng)前的能力缺失與現(xiàn)實問題,,構(gòu)建我國網(wǎng)絡(luò)空間安全技術(shù)體系框架并展示實際應(yīng)用場景,進(jìn)一步提出我國網(wǎng)絡(luò)安全模型的發(fā)展建議,,以期更好地應(yīng)對網(wǎng)絡(luò)空間安全的新風(fēng)險,。

圖片

一、前言

網(wǎng)絡(luò)空間是第五大主權(quán)領(lǐng)域空間,,維護(hù)網(wǎng)絡(luò)空間安全事關(guān)人民生命財產(chǎn)安全,、關(guān)系到國家安全和社會穩(wěn)定。黨的二十大報告提出,,加快建設(shè)網(wǎng)絡(luò)強國,、數(shù)字中國,強化網(wǎng)絡(luò),、數(shù)據(jù)等安全保障體系建設(shè),,堅決打贏關(guān)鍵核心技術(shù)攻堅戰(zhàn)。保障網(wǎng)絡(luò)空間安全,,對維護(hù)國家網(wǎng)絡(luò)空間主權(quán),、安全和發(fā)展具有重要意義。目前,,使用單一技術(shù)難以應(yīng)對復(fù)雜多變的網(wǎng)絡(luò)安全風(fēng)險,,需要全面理解和防范網(wǎng)絡(luò)空間安全威脅,運用多種網(wǎng)絡(luò)空間安全技術(shù)作為支撐,,因此,,系統(tǒng)梳理網(wǎng)絡(luò)空間安全技術(shù)體系,明晰網(wǎng)絡(luò)空間安全技術(shù)體系的要素,,深入探究網(wǎng)絡(luò)空間安全技術(shù)發(fā)展,,對提升網(wǎng)絡(luò)安全風(fēng)險防范能力、促進(jìn)網(wǎng)絡(luò)空間安全技術(shù)的創(chuàng)新與發(fā)展尤為重要,。

2010年,,國際電信聯(lián)盟(ITU)將網(wǎng)絡(luò)空間定義為:包括計算機,、計算機系統(tǒng)、網(wǎng)絡(luò)及其軟件支持,、計算機數(shù)據(jù),、內(nèi)容數(shù)據(jù)、流量數(shù)據(jù)以及用戶在內(nèi)的全部或部分要素創(chuàng)建 / 組成的物理或非物理的領(lǐng)域,。早期網(wǎng)絡(luò)空間重點關(guān)注單一的基本通信領(lǐng)域,,研究主體和對象通常為電話、電報,、傳真等傳統(tǒng)的通信基礎(chǔ)設(shè)施,。隨著傳輸控制協(xié)議 / 網(wǎng)際協(xié)議(TCP/IP)通信技術(shù)和互聯(lián)網(wǎng)技術(shù)的普及,網(wǎng)絡(luò)空間的研究范圍從傳統(tǒng)的通信領(lǐng)域擴展到計算機與網(wǎng)絡(luò)領(lǐng)域,,研究主體也逐漸變?yōu)橛嬎銠C,、數(shù)據(jù)庫、信息系統(tǒng)和互聯(lián)網(wǎng)應(yīng)用等,。21世紀(jì)以來,隨著人工智能,、大數(shù)據(jù),、物聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)等技術(shù)和應(yīng)用的不斷成熟,,網(wǎng)絡(luò)空間的研究主體也日趨多樣化,,從互聯(lián)網(wǎng)轉(zhuǎn)變?yōu)殛P(guān)鍵基礎(chǔ)設(shè)施、公共服務(wù)等,。從網(wǎng)絡(luò)空間的發(fā)展歷程來看,,隨著技術(shù)的不斷發(fā)展,網(wǎng)絡(luò)空間的研究主體也發(fā)生變化,。

網(wǎng)絡(luò)空間安全威脅會隨著網(wǎng)絡(luò)空間主體的不斷變化而變化,,在不同時期產(chǎn)生了應(yīng)對不同威脅的網(wǎng)絡(luò)空間安全防護(hù)技術(shù)。例如,,網(wǎng)絡(luò)空間安全防護(hù)技術(shù)從語音竊聽,、信息保密等數(shù)據(jù)安全通信傳輸技術(shù)發(fā)展到網(wǎng)絡(luò)空間關(guān)鍵基礎(chǔ)設(shè)施安全防護(hù)技術(shù);網(wǎng)絡(luò)空間安全技術(shù)的研究重點從通信保密,、計算機安全,、網(wǎng)絡(luò)安全、信息安全保障發(fā)展到網(wǎng)絡(luò)空間安全,,從單一化防御技術(shù)逐漸變?yōu)榉烙w系,。網(wǎng)絡(luò)空間安全模型是網(wǎng)絡(luò)空間安全體系的具象化表現(xiàn),其呈現(xiàn)形式和包含的技術(shù)內(nèi)容也在不斷更新,。因此,,把握安全模型的未來發(fā)展方向,,建立一種可以適應(yīng)網(wǎng)絡(luò)空間安全研究主體變化的體系化模型,具有重要的研究價值,。

目前,,研究人員已開展了網(wǎng)絡(luò)空間安全模型和框架構(gòu)建的研究,如網(wǎng)絡(luò)空間安全防御體系中的核心技術(shù)要點分析,、政策規(guī)章與安全模型發(fā)展之間的關(guān)系等,,但仍缺失從整體上立足國情開展的我國網(wǎng)絡(luò)空間安全技術(shù)體系宏觀研究。為此,,文章系統(tǒng)梳理網(wǎng)絡(luò)空間安全模型發(fā)展情況,,闡明當(dāng)前的能力缺失與現(xiàn)實問題,構(gòu)建我國網(wǎng)絡(luò)空間安全技術(shù)體系框架并展示實際應(yīng)用場景,,進(jìn)一步提出我國網(wǎng)絡(luò)安全模型的發(fā)展建議,,以期更好地應(yīng)對網(wǎng)絡(luò)空間安全的新風(fēng)險。

二,、多視角下的網(wǎng)絡(luò)空間安全模型評估

網(wǎng)絡(luò)空間發(fā)展經(jīng)歷了多個階段,,相應(yīng)的安全防護(hù)技術(shù)側(cè)重點有所不同;描述各個安全模型的方法也不唯一,,很難從單一視角全面闡述網(wǎng)絡(luò)空間安全模型,。本研究對典型的網(wǎng)絡(luò)安全模型進(jìn)行分析整理,梳理網(wǎng)絡(luò)空間安全模型的發(fā)展脈絡(luò),,分別從技術(shù),、學(xué)科和產(chǎn)業(yè)視角分析我國網(wǎng)絡(luò)空間安全的發(fā)展現(xiàn)狀,并將技術(shù)視角細(xì)化為信息安全保障,、攻防對抗,、關(guān)鍵信息基礎(chǔ)設(shè)施安全、零信任,、內(nèi)生安全5個方面(見圖1),。

圖片

圖1 技術(shù)視角下網(wǎng)絡(luò)空間安全模型及其演進(jìn)

(一)技術(shù)視角

1. 信息安全保障模型

信息安全保障模型是從信息和信息系統(tǒng)防御角度出發(fā)建立的信息安全防御模型,以防護(hù),、檢測和響應(yīng)為核心,,前期加入策略、預(yù)警識別等感知因素,,后期加入恢復(fù),、反擊等行動因素組成的防御架構(gòu)。1996年,,美國國防部首次給出了信息安全保障的定義,,并于同年提出了防護(hù)、檢測,、響應(yīng),、恢復(fù)(PDRR)模型,。PDRR模型強調(diào)運用傳統(tǒng)的單一安全防御思想,專注于信息安全保障,,涵蓋防護(hù),、檢測、響應(yīng)和恢復(fù)等環(huán)節(jié),。之后,,美國提出了動態(tài)網(wǎng)絡(luò)安全模型P2DR模型,即在防護(hù),、檢測,、響應(yīng)(PDR)模型的防護(hù)環(huán)節(jié)前加入策略因素,并將其作為模型的核心,,使防護(hù),、檢測和響應(yīng)環(huán)節(jié)都按照既定策略實施,體現(xiàn)了在防御之前利用風(fēng)險評估來分析安全狀態(tài)的動態(tài)過程,。為了保障用戶信息及信息系統(tǒng)的安全,,1998年美國國家安全局在P2DR模型的基礎(chǔ)上,提出了IATF框架,。該框架首次引入了“管理”的概念,,將人為因素帶入到網(wǎng)絡(luò)安全防御模型中,為美國政府和工業(yè)界的信息及信息系統(tǒng)安全提供指南,。為了體現(xiàn)安全保障系統(tǒng)化的思想,2014年美國國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)提出了IPDRR模型,。該模型在PDRR模型的基礎(chǔ)上增加了風(fēng)險評估環(huán)節(jié),,主要用于業(yè)務(wù)優(yōu)先級確定、風(fēng)險識別,、資源優(yōu)先級劃分等,。

在信息安全保障模型方面,我國在21世紀(jì)初結(jié)合國情,,基于PDRR,、P2DR等模型提出了WPDRRC模型。該模型包括預(yù)警,、防護(hù),、檢測、響應(yīng),、恢復(fù)和反擊等6個環(huán)節(jié),,能夠全面反映信息系統(tǒng)安全保障的各方面能力,涵蓋人員,、策略和技術(shù)等方面的要素,,以確保安全策略的貫徹執(zhí)行,。從信息保障角度來看,網(wǎng)絡(luò)空間安全模型以防護(hù),、檢測,、響應(yīng)為核心,根據(jù)需求變化不斷增加關(guān)鍵要素以改進(jìn)模型,。

2. 攻防對抗模型

攻防對抗模型是以武器化,、漏洞利用和攻擊對抗為核心組成的攻擊架構(gòu),對應(yīng)的安全防御模型通常分為防護(hù),、檢測和響應(yīng)3個階段,。最早的攻防對抗模型是1996年由美國空軍提出的F2T2EA模型。2000年,、2011年美國又分別提出了基于F2T2EA模型的網(wǎng)絡(luò)空間防御鏈模型,、“七步殺傷鏈”模型。其中,,“七步殺傷鏈”模型明確提出,,網(wǎng)絡(luò)攻防過程中攻防雙方雖各有優(yōu)勢,但重在識別和評估攻擊鏈中的多個關(guān)鍵步驟,,以支持安全專業(yè)人員的安全決策,。2013年,美國MITRE公司首次提出ATT&CK模型,,該模型將已知攻擊者行為轉(zhuǎn)化為戰(zhàn)術(shù)和技術(shù)的結(jié)構(gòu)化列表,,通過若干矩陣及結(jié)構(gòu)化信息來表示攻防知識庫,目前已在攻防能力覆蓋評估,、高級可持續(xù)威脅攻擊(APT)情報分析,、威脅狩獵系統(tǒng)等領(lǐng)域廣泛應(yīng)用?;贏TT&CK模型,,后續(xù)也出現(xiàn)了CARTA安全架構(gòu)(2015年)、主動防御Shield模型(2020年)以及Engage框架(2021年)等,。

無論是以經(jīng)典殺傷鏈為核心的網(wǎng)絡(luò)攻防框架,,還是以ATT&CK模型為核心提出的攻防知識庫框架,均通過研究攻擊過程以提升防御能力,。以“七步殺傷鏈”模型為例,,前期的偵查、武器化,、投遞階段對應(yīng)的防御手段有網(wǎng)絡(luò)安全分析,、防火墻訪問控制等,可對應(yīng)防御模型中的檢測、保護(hù)階段,;后期的安裝,、指揮與控制、行動階段對應(yīng)的防御手段有拒絕訪問,、網(wǎng)絡(luò)分割,、入侵檢測、權(quán)限降級等,,可對應(yīng)防御模型中的檢測,、防護(hù)、響應(yīng)階段,。由此可見,,攻防對抗模型中的每個防御步驟都與經(jīng)典模型一致。

3. 關(guān)鍵基礎(chǔ)設(shè)施安全模型

隨著物聯(lián)網(wǎng),、大數(shù)據(jù)等新應(yīng)用的不斷出現(xiàn),,物理空間逐步擴展到網(wǎng)絡(luò)空間,關(guān)鍵基礎(chǔ)設(shè)施安全成為網(wǎng)絡(luò)空間重要的防護(hù)對象,。傳統(tǒng)單一模塊化的網(wǎng)絡(luò)安全防御手段已經(jīng)無法滿足關(guān)鍵基礎(chǔ)設(shè)施的安全防護(hù)需求,。美國發(fā)布了一系列針對關(guān)鍵基礎(chǔ)設(shè)施保護(hù)的法案和技術(shù)框架。例如,,2002年,,美國國土安全部頒布《國土安全法》,規(guī)定了針對關(guān)鍵基礎(chǔ)設(shè)施保護(hù)的任務(wù),、設(shè)施,、管理和技術(shù)要求;2006年,,又發(fā)布《國家基礎(chǔ)設(shè)施保護(hù)計劃》(NIPP框架),,標(biāo)志著美國全面開展針對關(guān)鍵基礎(chǔ)設(shè)施的安全保護(hù)工作。此后,,美國NIST于2014年發(fā)布《提升關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全框架》(CSF框架)。該框架以傳統(tǒng)防御框架的識別,、防護(hù),、檢測、響應(yīng),、恢復(fù)為技術(shù)核心,,融合了可根據(jù)預(yù)期目標(biāo)彈性化、定制化防御手段的配置文件層,,并且融合了評估網(wǎng)絡(luò)安全狀態(tài)的實現(xiàn)層,;通過搭建一個具有彈性又兼?zhèn)湓u價反饋的復(fù)合型防御體系,滿足網(wǎng)絡(luò)空間階段關(guān)鍵基礎(chǔ)設(shè)施保護(hù)的需求。2016年,,美國提出美國聯(lián)邦政府網(wǎng)絡(luò)空間安全研發(fā)戰(zhàn)略規(guī)劃,,其中的DPDA模型為聯(lián)邦政府的網(wǎng)絡(luò)空間安全技術(shù)發(fā)展指明了方向。針對關(guān)鍵基礎(chǔ)設(shè)施安全防護(hù),,美國先后提出了CSF的不同版本,。2018年,美國推出CSF框架1.1版本,,添加了更全面的身份管理和供應(yīng)鏈網(wǎng)絡(luò)安全管理進(jìn)程,,這對于組織在處理個人身份信息和符合隱私法規(guī)方面具有重要意義。2023年1月,,NIST發(fā)布了CSF 2.0概念文件,,并于2023年8月發(fā)布CSF 2.0的公開草案,再次明確了CSF模型的最新適用范圍,。CSF 2.0版本擴大了模型的適用范圍,,從保護(hù)醫(yī)院和發(fā)電廠等關(guān)鍵基礎(chǔ)設(shè)施擴展到為所有組織提供網(wǎng)絡(luò)安全;同時,,CSF 2.0版本的核心層在傳統(tǒng)的5個功能外還增加了第6個功能,,即管理功能,使組織通過制定和執(zhí)行內(nèi)部決策以支持其網(wǎng)絡(luò)安全戰(zhàn)略,,強調(diào)網(wǎng)絡(luò)安全是企業(yè)風(fēng)險的主要來源,,與法律、財務(wù)和其他風(fēng)險并列,,是高層管理的考慮因素,。由此可見,針對關(guān)鍵基礎(chǔ)設(shè)施的安全防護(hù)模型是不斷迭代發(fā)展的,,以防御不同時期的新風(fēng)險,、滿足不斷增加的網(wǎng)絡(luò)安全需求。

4. 零信任模型

云計算,、虛擬化和分布式計算是網(wǎng)絡(luò)空間技術(shù)不斷演進(jìn)的產(chǎn)物,,致使網(wǎng)絡(luò)邊界和數(shù)據(jù)控制邊界逐漸消失,網(wǎng)絡(luò)安全的靈活性受到廣泛關(guān)注,。傳統(tǒng)網(wǎng)絡(luò)模型依賴大范圍的訪問權(quán)限,,缺乏動態(tài)的上下文評估和持續(xù)驗證,過度依賴被固化的網(wǎng)絡(luò)邊界,,存在潛在風(fēng)險和一定的安全漏洞,。為了適應(yīng)復(fù)雜的網(wǎng)絡(luò)威脅環(huán)境,美國Forrester Research公司在2010年提出了零信任網(wǎng)絡(luò)架構(gòu)(ZTA),,嘗試擺脫傳統(tǒng)網(wǎng)絡(luò)邊界的固有限制,,在保證網(wǎng)絡(luò)安全的情況下,,實現(xiàn)更便捷、更靈活的接入和接出,。零信任模型的核心策略是不信任任何人或設(shè)備,,基于最小權(quán)限原則的訪問控制,執(zhí)行動態(tài)訪問控制,、持續(xù)身份驗證等,,核心技術(shù)為認(rèn)證、授權(quán),、檢測,、分割和協(xié)作等。

零信任安全與傳統(tǒng)的“信任但驗證”的安全觀念相比,,更加強調(diào)“動態(tài)防御”概念,。零信任模型有助于提高網(wǎng)絡(luò)安全水平,保障用戶,、設(shè)備或應(yīng)用程序的數(shù)據(jù)安全,,減少風(fēng)險并適應(yīng)日益復(fù)雜和威脅嚴(yán)重的網(wǎng)絡(luò)環(huán)境。

5. 內(nèi)生安全模型

為了解決傳統(tǒng)網(wǎng)絡(luò)安全模型的靜態(tài)訪問控制,、依賴固定邊界等局限性,,內(nèi)生安全概念于2013年首次提出,并得到廣泛關(guān)注,。內(nèi)生安全通過將安全性內(nèi)置到系統(tǒng),、應(yīng)用程序和數(shù)據(jù)中,不再依賴傳統(tǒng)的外部邊界和靜態(tài)權(quán)限控制,,從而提供了更加靈活,、細(xì)粒度的自我保護(hù)安全策略,以適應(yīng)現(xiàn)代網(wǎng)絡(luò)和智能化的網(wǎng)絡(luò)安全威脅的挑戰(zhàn),。

為解決網(wǎng)絡(luò)空間未知風(fēng)險帶來的安全黑洞問題,,改變“易攻難守”的固有形勢,我國學(xué)者提出了擬態(tài)安全,。這是一種不依賴漏洞后門檢測和攻擊特征分析等先驗知識的內(nèi)生安全理論與體系,,核心策略為動態(tài)與彈性防御,利用虛假目標(biāo),、誘餌和陷阱等手段擾亂攻擊者的攻擊行為,,同時結(jié)合調(diào)度重構(gòu)、同質(zhì)異構(gòu)和多模裁決等核心算法實現(xiàn)遭受攻擊情況下仍能夠“帶菌生存”,。

此外,,針對計算機系統(tǒng)的安全問題,,我國學(xué)者提出了可信計算的概念,,其思路是建立可信的計算環(huán)境,利用可信環(huán)境、身份驗證,、加密保護(hù),、安全監(jiān)測和審計等手段,增強計算機和數(shù)據(jù)的安全性,。通過應(yīng)對未經(jīng)授權(quán)的訪問,、數(shù)據(jù)泄露和篡改,確保計算平臺的可信性,,降低與計算環(huán)境不可信的相關(guān)安全風(fēng)險,,從而保障計算機系統(tǒng)安全以及數(shù)據(jù)的完整性和可靠性。

(二)學(xué)科視角

2015年,,我國設(shè)立了網(wǎng)絡(luò)空間安全一級學(xué)科,,將網(wǎng)絡(luò)空間安全劃分為網(wǎng)絡(luò)空間安全基礎(chǔ)、系統(tǒng)安全,、網(wǎng)絡(luò)安全,、應(yīng)用安全、密碼學(xué)及應(yīng)用5個方向,。2018年,,國際上發(fā)布了網(wǎng)絡(luò)空間安全學(xué)科知識體系(CSEC)。CSEC主要面向本科教育,,將學(xué)科知識體系劃分為數(shù)據(jù)安全,、軟件安全、組件安全,、連接安全,、系統(tǒng)安全、人員安全,、組織安全和社會安全等8個部分,。CSEC中不僅包含網(wǎng)絡(luò)空間的科學(xué)和技術(shù),還包含社會學(xué),、管理學(xué)等人文學(xué)因素,。學(xué)科視角下的網(wǎng)絡(luò)空間安全技術(shù)體系主要從學(xué)科知識體系出發(fā),注重網(wǎng)絡(luò)安全人才培養(yǎng),,將網(wǎng)絡(luò)空間安全知識體系模塊的邏輯性,、系統(tǒng)性、完整性方面貫徹于課程體系建設(shè)及學(xué)生培養(yǎng)的各個環(huán)節(jié),。

(三)產(chǎn)業(yè)視角

網(wǎng)絡(luò)空間安全產(chǎn)業(yè)與網(wǎng)絡(luò)空間安全技術(shù)緊密結(jié)合,,共同推動著網(wǎng)絡(luò)空間安全的發(fā)展。從網(wǎng)絡(luò)空間安全產(chǎn)業(yè)視角來看,,美國的網(wǎng)絡(luò)空間安全產(chǎn)業(yè)體系較為完備,,上游產(chǎn)業(yè)涵蓋技術(shù)研發(fā)和創(chuàng)新,,提供安全防御的軟硬件基礎(chǔ)設(shè)備;中游產(chǎn)業(yè)主要完成技術(shù)集成,,提供網(wǎng)絡(luò)安全解決方案,、網(wǎng)絡(luò)安全產(chǎn)品和網(wǎng)絡(luò)安全服務(wù)等;下游產(chǎn)業(yè)涵蓋終端用戶,,包括企業(yè),、政府和用戶,由傳統(tǒng)互聯(lián)網(wǎng),、云計算,、移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng),、大數(shù)據(jù),、工業(yè)等行業(yè)支撐,購買和使用中上游企業(yè)提供的網(wǎng)絡(luò)安全技術(shù)和服務(wù),。美國網(wǎng)絡(luò)空間安全產(chǎn)業(yè)生態(tài)系統(tǒng)中的各部分相互合作,,確保網(wǎng)絡(luò)及信息系統(tǒng)的安全性?!?022年中國網(wǎng)絡(luò)安全產(chǎn)業(yè)研究報告》顯示,,我國網(wǎng)絡(luò)空間安全產(chǎn)業(yè)鏈的上游可以提供基礎(chǔ)理論、算法,、芯片,、高質(zhì)量樣本數(shù)據(jù)等產(chǎn)業(yè)基礎(chǔ)能力,中游可提供各類網(wǎng)絡(luò)安全專業(yè)設(shè)備,、應(yīng)用產(chǎn)品,,下游可提供系統(tǒng)集成、工程建設(shè),、服務(wù)和產(chǎn)品分銷,。

近年來,我國在網(wǎng)絡(luò)空間安全戰(zhàn)略性政策制定方面落實到位,,市場規(guī)模占有率增長顯著,,但對比美國在網(wǎng)絡(luò)空間安全領(lǐng)域和網(wǎng)絡(luò)空間安全技術(shù)創(chuàng)新方面的先發(fā)優(yōu)勢來看,我國仍需加大網(wǎng)絡(luò)空間安全產(chǎn)業(yè)投入,,加快網(wǎng)絡(luò)空間安全關(guān)鍵技術(shù)突破,,加強網(wǎng)絡(luò)空間安全產(chǎn)業(yè)鏈建設(shè)。

三,、現(xiàn)有網(wǎng)絡(luò)空間安全模型存在的問題

(一)現(xiàn)有模型缺乏對新技術(shù),、新應(yīng)用的安全能力評估

現(xiàn)有的網(wǎng)絡(luò)空間安全模型大多是為應(yīng)對網(wǎng)絡(luò)安全風(fēng)險而制定的,如ATT&CK模型和基于PDR模型衍生的信息安全保障模型等,。雖然基于既有攻防戰(zhàn)術(shù)建立的防御模型或針對特定風(fēng)險的網(wǎng)絡(luò)安全防護(hù)模型在日常防御網(wǎng)絡(luò)空間威脅時有其獨特的優(yōu)勢,,能夠直觀地發(fā)現(xiàn)防御鏈條的薄弱點,、快速針對威脅行為作出應(yīng)對,但上述模型缺乏針對新應(yīng)用和新技術(shù)的必要安全能力分析,。開展對新技術(shù)、新應(yīng)用的安全能力評估能夠提升網(wǎng)絡(luò)空間技術(shù)的自身安全能力,,從“頭疼醫(yī)頭,、腳疼醫(yī)腳”的發(fā)展現(xiàn)狀轉(zhuǎn)變?yōu)樵鰪娮陨戆踩芰Γ瑥母瓷辖鉀Q網(wǎng)絡(luò)空間安全威脅,。

(二)現(xiàn)有模型的體系化防護(hù)程度不足

現(xiàn)有的網(wǎng)絡(luò)空間安全模型和框架是在特定歷史階段,、瞄準(zhǔn)相應(yīng)時期的戰(zhàn)略導(dǎo)向及需求制定的,體系化相對較弱,。網(wǎng)絡(luò)空間技術(shù)發(fā)展迅速,,防護(hù)理念也從防御威脅本身發(fā)展到減輕網(wǎng)絡(luò)風(fēng)險的脆弱性,傳統(tǒng)針對不同安全威脅建立的網(wǎng)絡(luò)空間安全模型無法全面滿足網(wǎng)絡(luò)空間安全發(fā)展需要,,固化的防御策略不具備風(fēng)險形態(tài)的敏感性,。在全面應(yīng)對網(wǎng)絡(luò)空間安全復(fù)雜多樣的威脅時,現(xiàn)有單一的防御手段防護(hù)能力明顯不足,。網(wǎng)絡(luò)空間安全模型需要進(jìn)一步提升體系化程度,,增加網(wǎng)絡(luò)空間安全防御韌性,以適應(yīng)網(wǎng)絡(luò)空間風(fēng)險的快速變化,。

(三)網(wǎng)絡(luò)空間安全技術(shù)體系的未來發(fā)展路徑不清晰

當(dāng)前,,網(wǎng)絡(luò)空間安全模型發(fā)展存在演進(jìn)式發(fā)展和創(chuàng)新式發(fā)展兩種發(fā)展路徑??v觀美國網(wǎng)絡(luò)空間安全模型的發(fā)展歷史,,現(xiàn)有的體系框架多數(shù)都是從原始核心框架不斷衍生和迭代而來。以CSF框架為例,,利用IPDRR模型構(gòu)成CSF框架的核心層,,而IPDRR模型是基于PDRR模型升級迭代而來;ATT&CK模型的初始版本只有9個戰(zhàn)術(shù),,現(xiàn)已更新完善為14個戰(zhàn)術(shù),,據(jù)此衍生的Shield知識庫和Engage框架已被廣泛應(yīng)用。網(wǎng)絡(luò)空間安全的內(nèi)涵和范圍一直在變化,,網(wǎng)絡(luò)空間安全模型也隨著新觀念,、新理念的提出不斷變化。多數(shù)網(wǎng)絡(luò)空間安全模型根據(jù)網(wǎng)絡(luò)空間安全內(nèi)涵和外延的變化不斷演進(jìn)發(fā)展,。與之相對,,包括零信任模型和內(nèi)生安全模型在內(nèi)的創(chuàng)新性安全模型,則是以網(wǎng)絡(luò)空間安全需求為驅(qū)動構(gòu)建的一種網(wǎng)絡(luò)空間安全模型,。我國為了應(yīng)對面臨的網(wǎng)絡(luò)空間安全威脅,,有必要深入研究采用何種技術(shù)體系發(fā)展路徑,,以更好地適應(yīng)網(wǎng)絡(luò)空間的現(xiàn)實發(fā)展需要。

四,、網(wǎng)絡(luò)空間安全模型的體系化發(fā)展

在分析已有網(wǎng)絡(luò)空間安全模型的基礎(chǔ)上,,探討網(wǎng)絡(luò)空間安全技術(shù)體系框架可能的發(fā)展形態(tài),構(gòu)建可擴展,、基于技術(shù)要素的網(wǎng)絡(luò)空間安全技術(shù)體系框架,,為從技術(shù)視角探究網(wǎng)絡(luò)空間安全技術(shù)發(fā)展提供了新思路。同時,,初步開展了典型應(yīng)用的安全風(fēng)險防范分析,,為網(wǎng)絡(luò)空間安全模型的體系化發(fā)展提供理論支撐。

(一)基于技術(shù)要素的網(wǎng)絡(luò)空間安全技術(shù)體系框架

網(wǎng)絡(luò)空間安全技術(shù)作為防御網(wǎng)絡(luò)空間安全風(fēng)險的重要手段,,與網(wǎng)絡(luò)空間技術(shù)呈現(xiàn)相伴相生,、相輔相成的特性,網(wǎng)絡(luò)空間安全技術(shù)的發(fā)展依托于網(wǎng)絡(luò)空間技術(shù)的迭代更新,。結(jié)合現(xiàn)有網(wǎng)絡(luò)安全模型的特點,,本研究從分析網(wǎng)絡(luò)空間技術(shù)的構(gòu)成要素出發(fā),充分考慮安全技術(shù)的發(fā)展,,構(gòu)建了可擴展的網(wǎng)絡(luò)空間安全技術(shù)體系框架,。此框架模型從伴生角度出發(fā),對網(wǎng)絡(luò)空間技術(shù)本體進(jìn)行剖析,,有利于分析出關(guān)鍵技術(shù)存在的網(wǎng)絡(luò)空間安全風(fēng)險,,也可以預(yù)測未來的應(yīng)用安全風(fēng)險,解決不斷出現(xiàn)的網(wǎng)絡(luò)空間新威脅,,并提供技術(shù)分析體系支撐,。網(wǎng)絡(luò)空間技術(shù)體系具有可擴展的特性,因而從伴生角度構(gòu)建的安全技術(shù)體系更易適應(yīng)技術(shù)的發(fā)展而與時俱進(jìn),。

結(jié)合經(jīng)典互聯(lián)網(wǎng)體系結(jié)構(gòu)的分層思想,,本研究將網(wǎng)絡(luò)空間技術(shù)體系分為3層(見圖2),自下而上依次為:由衛(wèi)星,、第五代移動通信(5G),、無線上網(wǎng)(WiFi)、光纖等物理通信硬件,、拓?fù)浣Y(jié)構(gòu)構(gòu)成的通信核心技術(shù)層,;由各類計算機系統(tǒng)技術(shù)和互聯(lián)網(wǎng)連接協(xié)議、技術(shù)構(gòu)成的處理器(CPU),、操作系統(tǒng)(OS)和互聯(lián)網(wǎng)核心技術(shù)層,;基于云計算、工業(yè)互聯(lián)網(wǎng)、物聯(lián)網(wǎng),、人工智能等應(yīng)用構(gòu)成的上層應(yīng)用核心技術(shù)層,。基于網(wǎng)絡(luò)空間技術(shù)與安全技術(shù)的關(guān)系,對應(yīng)的網(wǎng)絡(luò)空間安全技術(shù)分別為通信安全技術(shù),、系統(tǒng)安全技術(shù),、網(wǎng)絡(luò)安全技術(shù)、應(yīng)用安全技術(shù),。此外,,網(wǎng)絡(luò)空間安全基礎(chǔ)研究對網(wǎng)絡(luò)空間安全技術(shù)體系具有重要的理論支撐,因此在上述框架中也添加了基礎(chǔ)理論核心要素,。

圖片

圖2 基于技術(shù)要素的網(wǎng)絡(luò)空間安全技術(shù)體系構(gòu)建邏輯原理

在基于技術(shù)要素的網(wǎng)絡(luò)空間安全技術(shù)體系框架中,將網(wǎng)絡(luò)空間安全技術(shù)要素點按照對應(yīng)的技術(shù)分層進(jìn)行歸類,,如圖3所示,。其中,通信安全技術(shù)層包含通信線路安全,、通信傳輸安全等技術(shù),;系統(tǒng)安全技術(shù)層包含芯片安全、操作系統(tǒng)安全,、存儲安全等技術(shù),;網(wǎng)絡(luò)安全技術(shù)層包含路由安全、域名安全,、入侵檢測,、訪問控制等技術(shù);應(yīng)用安全技術(shù)層包含人工智能安全,、云計算安全,、區(qū)塊鏈安全等通用技術(shù)以及金融、能源,、工業(yè)互聯(lián)網(wǎng)等領(lǐng)域的專有應(yīng)用安全技術(shù),;基礎(chǔ)理論層包含密碼學(xué)、博弈論,、信息論等網(wǎng)絡(luò)空間安全基礎(chǔ)理論,。該技術(shù)體系框架遵循互聯(lián)網(wǎng)體系結(jié)構(gòu)的演進(jìn)式發(fā)展思路,可以根據(jù)網(wǎng)絡(luò)空間安全技術(shù)的不斷變化進(jìn)行擴展,,包容不同領(lǐng)域應(yīng)用的多樣化特性,。同時,從網(wǎng)絡(luò)空間技術(shù)要素的角度來看,,體現(xiàn)網(wǎng)絡(luò)空間安全各個層面的技術(shù)發(fā)展趨勢,,能夠較全面地分析新風(fēng)險應(yīng)對的防御技術(shù),為網(wǎng)絡(luò)空間安全技術(shù)提高風(fēng)險和威脅應(yīng)對能力提供有力支撐。將以防火墻應(yīng)用和生成式人工智能應(yīng)用為例,,探究此技術(shù)體系框架用于分析安全風(fēng)險及對應(yīng)防御技術(shù)的過程,。

圖片

圖3 基于技術(shù)要素的網(wǎng)絡(luò)空間安全技術(shù)體系框架構(gòu)成

(二)網(wǎng)絡(luò)空間安全技術(shù)體系的應(yīng)用分析

1. 已有安全技術(shù)的能力分析

以防火墻產(chǎn)品為例,按照實現(xiàn)技術(shù)的不同,,分為應(yīng)用程序代理防火墻,、包過濾防火墻、檢測防火墻等,。如圖4所示,,防火墻產(chǎn)品目前使用的網(wǎng)絡(luò)空間安全技術(shù)包括應(yīng)用代理技術(shù)、包過濾技術(shù),、狀態(tài)檢測技術(shù),、完全內(nèi)容檢測技術(shù)等。

利用基于技術(shù)要素的網(wǎng)絡(luò)空間安全技術(shù)體系框架分析防火墻產(chǎn)品,,在應(yīng)用安全技術(shù)層使用了防火墻的應(yīng)用代理技術(shù),、完全內(nèi)容檢測技術(shù)中的內(nèi)容過濾與應(yīng)用識別功能,防火墻的應(yīng)用安全技術(shù)層可以檢查所有應(yīng)用層的信息包,,并將檢查的內(nèi)容信息放入決策過程從而提升安全性,;在網(wǎng)絡(luò)安全技術(shù)層使用包過濾技術(shù)、狀態(tài)檢測技術(shù)等,,在網(wǎng)絡(luò)中相互連接的設(shè)備上進(jìn)行訪問控制,,對通過設(shè)備的數(shù)據(jù)包進(jìn)行檢查,同時檢測數(shù)據(jù)包的狀態(tài),,限制惡意數(shù)據(jù)包進(jìn)出內(nèi)部網(wǎng)絡(luò),;在計算系統(tǒng)安全技術(shù)層使用內(nèi)容檢測技術(shù)中的防病毒檢測、漏洞掃描修復(fù)等技術(shù),。在應(yīng)對網(wǎng)絡(luò)攻擊事件時,,可以利用上述框架中的要素點將需要升級加固的對象從一個技術(shù)層細(xì)化到一個技術(shù)點,進(jìn)一步提升防火墻整體的防護(hù)效率,,加快技術(shù)迭代效率,,降低成本;可以評估每一個技術(shù)層的安全技術(shù)分布和技術(shù)更新,,為保證防火墻的整體安全,,對于安全技術(shù)較少、長時間沒更新的技術(shù)要素需要更加關(guān)注,,以防新風(fēng)險產(chǎn)生,。 

圖片

圖4 網(wǎng)絡(luò)空間安全技術(shù)體系框架的應(yīng)用分析

2. 新興技術(shù)的安全風(fēng)險分析

利用基于技術(shù)要素的網(wǎng)絡(luò)空間安全技術(shù)體系框架,以生成式人工智能應(yīng)用為例(見圖4),,分析其在不同的網(wǎng)絡(luò)空間安全技術(shù)層面可能產(chǎn)生的安全問題,。生成式人工智能應(yīng)用帶來的安全問題主要有3個方面:① 大模型訓(xùn)練多采用分布式訓(xùn)練方法,訓(xùn)練結(jié)果通過網(wǎng)絡(luò)傳輸至終端,而分布式存儲和數(shù)據(jù)傳輸會帶來網(wǎng)絡(luò)流量側(cè)的安全問題,;② 大模型訓(xùn)練和數(shù)據(jù)運算需要在服務(wù)器上完成,,致使服務(wù)器存在相應(yīng)的安全風(fēng)險;③ 在大模型訓(xùn)練后的部署階段,,應(yīng)用端會存在投毒攻擊,、隱私泄露問題。對應(yīng)到網(wǎng)絡(luò)空間安全技術(shù)體系中,,將參數(shù)服務(wù)器交互安全問題分類到網(wǎng)絡(luò)安全技術(shù)層,;將圖形處理器及其操作系統(tǒng)的安全漏洞問題分類到系統(tǒng)安全技術(shù)層;將對抗樣本攻擊,、數(shù)據(jù)偏見等投毒攻擊產(chǎn)生的安全風(fēng)險以及隱私泄露,、數(shù)據(jù)污染等安全問題分類到應(yīng)用安全技術(shù)層中。

除了生成式人工智能自身存在的安全風(fēng)險,,本研究探討了人工智能對已有安全防御體系的威脅分析,。人工智能賦能網(wǎng)絡(luò)攻擊的典型技術(shù)包括網(wǎng)絡(luò)資產(chǎn)自動探測識別技術(shù)、智能社會工程學(xué)攻擊技術(shù),、智能惡意代碼攻擊技術(shù),、自動化漏洞挖掘與利用技術(shù)等,。自動探測識別技術(shù)會威脅到數(shù)據(jù)安全,,可劃分到應(yīng)用安全層內(nèi);社會工程學(xué)攻擊技術(shù)一般應(yīng)用于身份偽造中,,可歸類至網(wǎng)絡(luò)安全層中,;智能惡意代碼攻擊技術(shù)是對傳統(tǒng)攻擊的升級迭代,在應(yīng)用安全層,、網(wǎng)絡(luò)安全層以及系統(tǒng)安全層均有體現(xiàn),;自動化漏洞挖掘與利用技術(shù)與傳統(tǒng)漏洞利用技術(shù)相似,可歸納于系統(tǒng)安全層,。

基于技術(shù)要素的網(wǎng)絡(luò)空間安全技術(shù)體系框架可助力網(wǎng)絡(luò)安全研究,。通過對新興技術(shù)可能面臨的安全風(fēng)險進(jìn)行分析并梳理歸類,從技術(shù)角度出發(fā)明確每一個技術(shù)層對應(yīng)的安全風(fēng)險問題,,有利于定向開展相關(guān)問題的技術(shù)研究工作,。

五、網(wǎng)絡(luò)空間安全模型的發(fā)展建議

(一)完善網(wǎng)絡(luò)空間安全技術(shù)體系核心框架

明確適合我國國情的網(wǎng)絡(luò)空間安全技術(shù)體系發(fā)展生態(tài),,并不斷改進(jìn)和完善技術(shù)核心框架,;結(jié)合多樣化應(yīng)用場景的變化和網(wǎng)絡(luò)強國發(fā)展的實際需要,對技術(shù)核心框架進(jìn)行迭代,,形成有特色,、有針對性的安全模型。鼓勵學(xué)界、業(yè)界,、政府機構(gòu)等共同參與技術(shù)體系建設(shè),,組織網(wǎng)絡(luò)空間安全領(lǐng)域核心技術(shù)攻關(guān),取長補短,,促進(jìn)網(wǎng)絡(luò)空間安全行業(yè)良性發(fā)展,。此外,需要制定相應(yīng)的評估與認(rèn)證機制,,用于驗證技術(shù)體系的有效性和可信度,。

(二)促進(jìn)網(wǎng)絡(luò)空間安全領(lǐng)域“產(chǎn)學(xué)研”協(xié)同

結(jié)合產(chǎn)業(yè)實際需要,優(yōu)化網(wǎng)絡(luò)空間安全技術(shù)體系,,以確保技術(shù)發(fā)展與產(chǎn)業(yè)實際需求相契合,;利用產(chǎn)業(yè)界的海量數(shù)據(jù)與真實案例,梳理技術(shù)體系的發(fā)展脈絡(luò),、洞察未來發(fā)展方向,。聯(lián)合高校與科研院所,加強網(wǎng)絡(luò)安全領(lǐng)域的教育與培訓(xùn),,培養(yǎng)具備創(chuàng)新思維和實踐能力的專業(yè)人才,,支撐產(chǎn)業(yè)良性發(fā)展,提升我國網(wǎng)絡(luò)空間安全領(lǐng)域的軟實力,。鼓勵高校與產(chǎn)業(yè)界合作開展相關(guān)項目研究,,深入了解實際需求,聚焦關(guān)鍵技術(shù)難題,,開展前沿研究探索,,共同解決實際問題,促進(jìn)知識和技術(shù)的轉(zhuǎn)化與應(yīng)用,。

(三)制定網(wǎng)絡(luò)空間安全技術(shù)體系相關(guān)的技術(shù)標(biāo)準(zhǔn)

網(wǎng)絡(luò)空間安全技術(shù)體系的建立離不開技術(shù)標(biāo)準(zhǔn)的支撐,。技術(shù)標(biāo)準(zhǔn)定義了必要的規(guī)范、流程和要求,,可以確保系統(tǒng)和設(shè)備在防御威脅,、檢測攻擊和應(yīng)對事件方面具備一致性和有效性,在網(wǎng)絡(luò)空間安全領(lǐng)域發(fā)揮著關(guān)鍵的作用,。為了提升我國網(wǎng)絡(luò)空間安全的國際影響力,,爭奪科技話語權(quán),需要在網(wǎng)絡(luò)空間安全技術(shù)體系下補充對應(yīng)的技術(shù)標(biāo)準(zhǔn),,制定符合國際通用標(biāo)準(zhǔn)的技術(shù)規(guī)范,,助力我國企業(yè)和研究機構(gòu)更好地融入國際市場,參與全球合作與競爭,。此外,,技術(shù)標(biāo)準(zhǔn)還可以提供通用的參考框架,,促進(jìn)不同組織及行業(yè)之間的合作與協(xié)同。通過制定一致的規(guī)范和接口標(biāo)準(zhǔn),,不同的企業(yè)和組織可以高效進(jìn)行信息交流,、技術(shù)對接和資源共享,提高整個網(wǎng)絡(luò)空間安全體系的魯棒性和防御能力,。

(四)全方面體系化解決人工智能的安全威脅

為應(yīng)對人工智能對已有網(wǎng)絡(luò)空間安全防御體系的威脅,,應(yīng)從安全技術(shù)與政策法規(guī)兩方面解決人工智能安全問題。在網(wǎng)絡(luò)空間安全技術(shù)發(fā)展方面,,應(yīng)系統(tǒng)分析人工智能對網(wǎng)絡(luò)空間安全的影響和威脅,,梳理網(wǎng)絡(luò)空間安全技術(shù)脆弱點,推動網(wǎng)絡(luò)空間安全技術(shù)快速發(fā)展,。在政策法規(guī)制定方面,,推動人工智能相關(guān)政策和立法工作,加強重點行業(yè)和關(guān)鍵基礎(chǔ)設(shè)施的體系化防護(hù)建設(shè),,全面提升網(wǎng)絡(luò)空間安全防御能力,,切實減少并阻斷人工智能對網(wǎng)絡(luò)空間安全的負(fù)面影響。

注:本文內(nèi)容呈現(xiàn)略有調(diào)整,,若需可查看原文,。

    本站是提供個人知識管理的網(wǎng)絡(luò)存儲空間,所有內(nèi)容均由用戶發(fā)布,,不代表本站觀點,。請注意甄別內(nèi)容中的聯(lián)系方式、誘導(dǎo)購買等信息,,謹(jǐn)防詐騙,。如發(fā)現(xiàn)有害或侵權(quán)內(nèi)容,,請點擊一鍵舉報,。
    轉(zhuǎn)藏 分享 獻(xiàn)花(0

    0條評論

    發(fā)表

    請遵守用戶 評論公約

    類似文章 更多