网络安全从工程到科学-网络安全关键技术探索

网络安全从工程到科学 --网络安全关键技术探索 何申 安全技术研究所所长 2023年9月 目录 1 背景需求 2 技术趋势 3 创新实践 数智化时代，随着连接、算力、业务的融合演进，提出了安全新需求、也提供了安全新动力。 网络演进为安全技术发展注入新动力 连接(空天地)融合 开放、动态、智能、服务化 网络更开放，形成更大的暴露面 IT化解耦，形成更多内部攻击路径 动态组网，形成动态边界 DTN等6G网络新能力提供安全新动力 要防护更大的攻击面 需要防护更细粒度的攻击 要形成灵活动态的安全服务 算网融合 算为中心，网为根基，算网融合 节点，需要依据信任度选择计算方法 计算，需要保障过程不被攻击 数据，需要保障全程安全与隐私 更强的算力，提供更强的安全分析能力 计算节点需自证安全性 计算过程需保障不被攻击 数据全生命周期安全 新业态（元宇宙、Web3.0） 用户为中心、动态互联 元宇宙：虚实融合、沉浸式体验（超大流量） Web3.0：协作去中心化、资产价值化 数字资产、内容权属和权益是关键问题 多身份体系认证体系互通 数据资产保护 安全要可信 安全要灵活 安全要内生 通信网络正加速向未来网络演变，算力成为核心生产力，移动性接入增多，业务安全边界变得模糊，云上业务的受攻击面扩大，传统的基于设备物理位置和网络位置的接入安全防护已难以满足移动性接入安全防护需求。 趋势一：算力无限，边界扩大，安全需内生嵌入 传统安全 固定边界 未来网络 通信网络 网络为核心的信息交换 算力为核心的信息数据处理 新安全 融合边界扩张边界开放边界 网络安全新范式 新架构新技术新产业新运营 企业业务上云、多地点、多种类终端的远程接入、移动性接入等新场景的出现，促使安全能力供给模式向场景化的按需供给模式转变。 趋势二：场景多元化，安全能力供给向“按需安全”转变 01 组网架构更新迭代；终端设备 能力高低不一；数据流量类型 千差万别。 02 中心式部署及云边协同部 署，重要生产要素资源面临“一失尽失”的安 全威胁。 安全能力“按需”提供 安全能 构建安全的“两个新型” 安全 安全 安全内生 面向安全新趋势，构建网络安全的“两个新型” 中国移动全面发力两个“新型”（打造以5G、算力网络、能力中台为重点的新型信息基础设施，创新构建“连接 +算力+能力”新型信息服务体系）；面向安全新趋势，需构建“安全能力协同、区块链信任、量子密码”安全新型信息基础设施，打造“安全内生、网安融合、按需服务”的安全新型信息服务体系。 区块链信任 力协同 新型“基础设施” 量子密码+ 网安融合 新型“服务体系” 按需服务 目录 1 背景需求 2 技术趋势 3 创新实践 “网络安全的本质是对抗，对抗的本质是攻防两端能力较量”。安全保障投入会随着系统安全性要求的提高而呈现指数级上涨，成本曲线偏移的影响因素包括攻防双方技术对环境变化的适应力、知识信息的丰富度、机制手段的先进性、以及掌握的算力资源等。 安全技术研发的源动力：推动成本曲线偏移，提升安全效能 成本 C(安全技术的研究与应用) 原始投入 C‘(新型威胁与攻击手段) 降本后的投入 当系统安全性达到90%的时候，网络安全架构与底层关键技术是安全投入多少的重要影响因素： 安全治理：通过区块链技术实现平权共治 安全管理：利用可信、安全互操作技术实现预期管理与协同管理 基础共性技术：通过内生、量子实现安全提质 90% 100% 安全性 国内外网络安全技术架构探究 国外安全架构 特点：多层次被动防御架构 ITU：X.805(安全防护体系)（2016更新） 特点：网元自身安全保障 3GPPSCAS+GSMANESAS，2019 特点：以检测为中心，主动防御架构 NIST：IPDRR，2003 国内安全架构 特点：设备内建硬件可信根，基于可信根逐级验证 可信计算：TCM，TPCM 特点：特点：基于网络的自治范围，逐级验证源地址身份 清华大学：SAVI、SAVA 特点：特点：所有能力都异构，面对请求都随机选择能力 不足：代价巨大，需专门设计 内生安全：拟态 GMTN新型安全架构，网络安全可信内生 下一代网络从通信网络转变为信息服务网络，“能力无所不及、连接无所不达、算力无所不在”，以内生安全为数字世界提供端到端全流程保障。为适应未来网络跨组织、跨域、跨云的一体化特性，网络安全技术架构需要在安全治理、安全管理、安全技术方面进行新的设计与变革，以自然科学和共性技术为根基实现“安全可信内生”。 战略目标 安全治理（Governance） 区块链（平权共治） 预期管理 可信计算 安全管理（Management） 协同管理 安全互操作 内生 5G/6G安全 安全技术（Technology） 基础共性 量子计算 数学 物理 自然科学（Nature） 化学 生物 ...... userid:139428,docid:141912,date:2023-10-16,sgpjbg.com 基于区块链技术与传统CA技术特点，提出多层级CA身份体上链技术；支持引入CA机构根证书，支持加入个体证书，解决层次化CA证书上链与互信的问题。推动ISO/IEC和ITU-T启动修订传统数字证书体系的权威国际标准ITU-TX.509。 安全治理：通过区块链技术实现平权共治 联盟2 联盟1 联盟3 证书1 证书2 根证书1 证书3 证书4 用户证书批量记录至区块链，无需CA机构参与 证书1.1 证书1.2 将共同信任的CA机构证书记录至区块链，兼容传统技术模式 运营商2 设备商2 认证机构1 运营商1 设备商1 自主可控跨代兼容 CA集中式架构区块链+CA分布式架构 平权共治 基于可信度量技术构建节点可信、连接可信、运营可信的防护框架，实现计算环境可信、边界可信、网络通信可信，达到网络行为可预期管理，网络传输有保证，网络安全能力可输出的目的。 安全管理（1/2）预期管理：基于可信度量技术实现全网运行可预期 全局可信管理 可信安全管理中心 可信检测分析 可信策略管理 AI 运营可信 安全能力开放 安全日志、可信状态、可信告警上报 安全策略下发 移动云 可信执行层 可信服务器虚拟机可信应用服务 可信网关 边缘云 可信网络 可信服务器虚拟机可信应用服务 智慧运营可预期网络可预期节点可预期 通过安全互操作技术，整合分散的安全能力，打通异构安全能力协同通道，为可信安全管理中心提供统一知识运营，实现全网协同管理。 安全管理（2/2）协同管理：基于安全互操作技术实现全网协同管理 可信安全管理中心 统一标准接口 I风险识别能力 P安全防御能力 安全互操作平台 D安全监测能力 R安全响应能力 R安全恢复能力 鉴权认证 请求管理 路由转发 协议转换 日志记录 能力编排 接口适配 能力调度 异常流量配置API黑洞路由策略策略查看API 防护规则API数据库信息扫描API 扫描任务查询API漏洞扫描创建API扫描模板API删除任务API 互联互通统一知识 异常流量监测 API 异常流量清洗 …… 篡改 主机防护网页防…… 漏洞扫描云化基线…… 安全互操作 厂商A厂商B厂商C 近源类安全产品 厂商A厂商D厂商E Agent类安全产品 厂商A厂商B厂商D 扫描 Saas类安全产品 在增强网络设备自身安全的基础上，配合专用的安全设备与系统，并通过智能分析、灵活编排等运维管理手段，形成可靠、灵活、至简的动态安全内生防护体系，有效地识别和防御各种网络攻击。 安全技术（1/2）持续推进可信内生安全研究，增强网络自身安全 资源编排与调度能力 5G/6G内生安全架构 安全管理中心 安全服务 安全智能中心 安全集中分析 安全模型训练 安全策略生成 安全策略与配置 安全策略控制单元 网络设备安全控制 安全设备能力控制 设备安全能力 专用安全能力资源池 设备自身安全能力与配置 网络内建安全服务 SaaS安全能力 安全能力与资源 安全专用设备 备用安全能力资源池 人工智能分析能力 信任基础设施 弹性协同内建 基础共性安全技术是构建网络安全防护体系的基石，积极开展如量子密钥、人工智能等基础安全技术攻关，促使网络向更加安全、更加可信的方向演进。 安全技术（2/2）持续基础共性安全技术研究，构建网络安全基石 QKD/QRNG 量子密钥 量子密钥 量子安全认证 量子加密/解 量子签名/验 签 密 4G/5G基站 WiFi热点 量子基础设施 量子安全终端 量子密码安全服务中心 人工智能 检测模型 模型：鲁棒性 模型：鲁棒性 数据：完整性 模型：可解释性 数据：完整性 模型：可解释性 深度学习 置信度计算 数据：均衡性 模型：安全性 数据：均衡性 模型：安全性 模型：可用模型：可用 性性 安全基石融合创新基础科学 目录 1 背景需求 2 技术趋势 3 创新实践 构建安全治理底座，筑牢数字政府安全防线 中国移动构建甘肃数字政府安全治理方案，以满足数字政府政务大数据业务安全运行需求，保障大数据平台数据安全运营，致力于为省级、地市级政务系统提供数据安全治理的全生命周期服务，切实筑牢数字政府建设安全防线。 建设内容 运2021年12月成功上线，获得省委省政府领导高度评价。营通过由梅宏、沈昌祥等原始组成的省政府专家组评审。成 效在全国攻防演练中，通过平台发现攻击并实现闭环处置。 业务系统稳定运行2年以上。 中国移动联合香港Web3.0协会，以NFT为载体，打造“跨链协议+链适配器+智能合约”方案，通过NFT流转的业 务流程实现资产数字化、价值化和证券化，基于NFT数字资产跨链跨境流通，为闽港数字经济合作搭建“数字桥梁”。 互通NFT跨链服务，搭建数字经济合作“数字桥梁” 艺术家 文博场馆 协会组织 企业资产 企业碳汇 资产孵化 IP引入授权发行 NFT1 平台内传播第三方曝光好友圈推荐 NFT 转赠 NFT2 NFT 发行 NFT3 NFT活动策划积分/权益兑换 NFT4 NFT5 平台内传播第三方曝光好友圈推荐 NFT 转赠 NFT6 NFT 发行 NFT7 NFT活动策划积分/权益兑换 NFT 出海 NFT8 OpenSea币安NFT MagicEdenCoinbaseNFT …… 授权NFT海外交易 NFT收藏权益体验 NFT 收藏 闽港数字资产流通平台 NFT 销毁 限制流通权益释放 NFT收藏 NFT 收藏 香港MyLink数字资产交易平台 NFT 销毁 限制流通权益释放 NFT海外流转 NFT钱包资产管理 NFT 管理 NFT 兑换 实物商品权益兑换 权益体验 NFT钱包资产管理 NFT 管理 NFT 兑换 NFT 交易 实物商品权益兑换 NFT自由买卖NFT兑换法币 NFT自由交易 IP上链、跨链 区块链能力 跨链互通 区块链能力 IP上链 服务 服务 NFT 中移闽链跨链 中移香港链 NFT 跨链以太坊 坚持创新引领 促进新一代网络与安全技术融合感谢聆听！