2023从设计安全到内生安全技术白皮书
AI智能总结
网络空间 内生安全发展大会 内生安全网络弹性 与网络安全产业融合白皮书 2023年12月 网络通信与安全紫金山实验室、国家数字交换系统工程技术研究中心、中国信息通信研究院、中国南方电网有限责任公司、北京天融信网络安全技术有限公司、深信服科技股份有限公司、北京安恒信息技术有限公司、烽台科技(北京)有限公司、南京赛宁信息技术有限公司、郑州昂视信息科技有限公司、 上海红阵信息科技有限公司、珠海高凌信息科技股份有限公司 版权声明 本白皮书版权属于主编和联合编写发布单位,并受法律保护。转载、摘编或利用其它方式使用本白皮书文字或者观点的,应注明“来源:鄂江兴等,内生安全网络弹性与网络安全产业融合白皮书,网络通信与安全紫金山实验室,2023年12月"。违反上述声明者,版权方 将追究其相关法律责任。 本白皮书主要贡献者 鄂江兴、季新生、彭建华、姚远、张铮、刘鹏、刘浩、张高斐、崔涛、趙玉风、孙聪然、蒋鹏、然、陈立峰、游建舟、苏扬、曹杨、陶松、雷承霖、吴亚飚、秦卫东、卢成远、徐丹、谢光伟、李昂、蔡翰智、 周宛秋、耿进步、谢宇等。 目录1.前言01 2.网络安全产业发展现状、问题与趋势03 2.1产业现状03 2.2问题本源04 2.2.1产品烟窗林立与业务聚合互联✁矛盾04 2.2.2漏洞无法彻查与先验知识防御✁矛盾.·05 2.3发展趋势·05 07 3.1顶层设计 07 3.1.1一个架构 :07 3.1.2两个核心 08 3.1.3三个原则 10 3.1.4两个效益 14 3.2典型模式设计 16 3.2.1多维构建元素设计3.2.2DHR设计的规范化流程 17 3.2.3典型业务模式设计 -19 3.3实施路线 21 3.3.1打造可广泛接入的内生安全标准底座 21 3.3.2形成可全域联动的轻量化安全产品群 ..·23 3.3.3共建可业内普及的全套技术标准规范 :24 3.钢筋混凝土”网络安全新方案 4.典型模式应用探索26 4.1科层模式应用探索"26 4.2大网模式应用探索28 5.展望未来30 PART.01前言 内生安全网络弹性与网络安全产业融合白皮书 数字产业需要更安全的数字产品,而非更多的安全产品,单纯的安 全产品将无法适应市场发展趋势。 一鄂江兴 安全性必须“融入”,而不是“附加”。通过引入安全性,软件制造商不仅可以提高客户的安全性,还可以提高产品质量。 《改变网络安全风险的平衡:安全设计与默认的原则和方法》 网络安全应当融入数字产品设计与制造环节,成为数字产品弹性构造的属性和材料,而不再是扮演“私人保镖”的角色去保护另一个数字 产品。 一鄂江兴 应用程序强化、应用程序安全功能和应用程序默认设置,这些元素中的每一个都在应用程序的安全性以及由此产生的客户安全态势中发挥 作用。 《改变网络安全风险的平衡:安全设计与默认的原则和方法》 DHR构造具有天然接纳各种附加或传统安全技术的融合特性,使数字基础设施或信息物理系统获得钢筋混泥士般的网络弹性。 01 内生安全网络弹性与网络安全产业融合白皮书 随着我国产业数字化转型不断发展,数字经济已然成为继农业经济、工业经济之后的主要经济形态,其发展速度之快、辐射范围之广、影响程度之深前所未有。然而,我国数学经济大而不强、快而不优、治理体 系不健全等问题依然突出。国家“十四五”数字经济发展规划指出,要 着力强化数字经济安全体系,增强网络安全防护能力,关键信息基础设 施安全更是重中之重。 网络空间内生安全作为我国自主原创“构造决定安全”的新型防御 技术,以其架构实现了对网络弹性工程的赋能,推动了网络安全从用户侧到制造侧的转变,引领了“数字产业需要更安全的数字产品,而非更多的安全产品”的市场发展趋势。内生安全的先进性在于以异构几余的攻击路径确保业务安全,而其动态异构穴余架构所自然具备的异构穴余组件包容性,以及网络安全市场内技术的多样性与对业务透明的特性,自然而然地促成了内生安全与网络安全“互为所需”的局面,两者融合 可以实现内生安全特性指数量级增长,更能促进网络安全由用户侧安防力量转变为制造侧产品元素,实现自网络安全市场到数字经济市场的跨越。因此,本白皮书以探索形成内生安全网络弹性与网络安全产业融合新方案为核心目标,深入分析网络安全产业发展现状与问题本源,逐层论述“钢筋混凝土”网络安全新方案的顶层设计、典型模式、实施路线 和应用探索,呼吁广大企业、高校、科研院所等共创共建中国式网络安全产业发展统一战线,创新引领国际国内网络弹性技术发展潮流,共同迎接网络安全产业新蓝海。 本白皮书的读者目标包括但不限于网络安全企业、政府、教育机构、科研院所、基础设施厂商、应用开发厂商、系统集成厂商、测试机构和用户。 02 内生安全网络弹性与网络安全产业融合白皮书 PART.02网络安全产业发展现状、问题与趋势 2.1产业现状 《2021-2022年中国数字经济发展报告》显示,2021年中国数字经济核心产业增加值规模达到23.9万亿元,同比增长12.5%。而且,数字经济在未来3~5年将保持20%左右的高 增长率。至此,势必会出现企业发展数字经济时重视市场利益而忽视网络安全的现象,网络 安全建设投入不足将直接导致安全问题层出不穷,严重影响数字经济发展质量。此外,数字经济快速发展带动新兴产业不断涌现,网络安全风险呈现多元化态势。而随着网络空间的不断扩大,网络攻击规模和手段也越发复杂,攻击行为变得更加难以识别和控制。 企业营收总额(亿元)企业净收总额(亿元) 500 82.25 80 400 415.15 417.98 300 324.72 328.65 384.51 5.88 280.51 20020 100 201720182019202020212022 20 201720182019202020212022 图1网络安全排名前十企业营收与净收趋势图 网络威胁的演变驱动着网络安全产品的送代和市场的扩张。《中国网络安全产业研究报告 (2022年)》数据显示,我国网络安全产业规模于2021年达到1905.1亿元,同比增长 16.6%;2022年产业规模约为2169.9亿元,增速为13.9%。然而,国内网络安全头部企业 虽保持产能产值稳定且营业收入持续增长,但净收入却呈下降趋势。主要原因在于: 产品同质化竞争愈发严重 防火墙、入侵检测等典型网络安全设备仍占据市场规模的绝大部分,标准化的COTS级产品和企业服务类型同质化竞争日趋惨烈。大模型、零信任、XDR等新兴技术出现后,各企业竞相追逐,均提供了各自的解决方案,市场整体缺乏差异化的技术创新点。头部企业为保证市场份额压缩利润空间低价竞争,中小规模企业在夹缝中求生存。 03 内生安全网络弹性与网络安全产业融合白皮书 全生命周期成本不断增加 随着数字化产业规模不断壮大,业务需求场景不断复杂化、综合化以及领域边界模糊化,售前、研发等成本投入不断增多;随着新型网络攻击不断涌现,需要投入更多✁人力成本进行风险特征捕捉,而一旦攻击超出网络安全产品现有规则认知范国,突发安全事件应急响应成本也会同步增加。“亡羊补牢”✁“打补丁”式防御手段使得售前、研发、售后等人力成本剧增, 长期以往企业将不堪重负。 2.2问题本源 2.2.1产品烟窗林立与业务聚合互联✁矛盾 目前,网络安全市场各类网络安全产品百花齐放,即使是同类型网络安全产品,不同安全厂家✁产品其功能、形态、结构等方面也不尽相同。这也就导致用户在使用网络安全产品时,非同源产品之间✁数据无法共享、接口无法互通,从而导致侧重于点防御而无法形成高效协同✁面防御✁现状,也就难以应对类似ATT&CK框架中✁技战术渗透。长此以往,将不利于 各领域关键基础设施✁网络安全建设。究其原因,主要有两点: 01.企业产品开放互通积极性匮乏02.非同源产品协同缺乏架构引领 业务网络安全企业众多,且各自均拥有业内领先不同企业✁网络安全产品其功能、形态、结构各 ✁技术优势,以及特定领域、特定场景下✁杀手不相同,如何实现产品间互联互通,以何种架构、铜防护能力。但构建网络安全能力全域联动、协平台承载异构✁网络安全产品,这是目前呕需解同防御✁新型防御体系,需要各网络安全企业统决✁核心问题。 一产品互联互通接口,从成本投入、技术开放等 角度出发,企业✁积极性相对较低。 由此可见,为了打破各网络安全企业产品烟窗林立✁局面,驱需可容纳众多非同源网络安全设备✁技术架构,以标准化✁接口规范、数据格式、协议特征,实现市场上各类网络安全产品✁高效串联,形成具备体系化支撑✁态势感知、纵深防御、协同联动、快速响应和恢复✁网络弹性防御能力。 04 内生安全网络弹性与网络安全产业融合白皮书 2.2.2漏洞无法彻查与先验知识防御✁矛盾 众所周知,由于人类科学技术水平局限性、全球数字生态开放性以及信息系统架构复杂性,软硬件设计缺陷导致✁安全漏洞不可避免、产品供应链蓄意注入后门导致✁后门不可避免以及人类科技能力受限导致✁漏洞后门无法彻查已经成为网络空间安全本源问题。一旦这些未知漏洞后门被攻击者利用,现有基于先验特征库✁网络安全产品则无法有效感知、拦截和处置这些攻击,如Oday攻击等。而且,随着网络渗透技术✁不断发展,攻击行为往往能够绕过现有安全产品✁特征检查,变得更加隐蔽、高效、持久,如APT攻击等。 已知✁已知未知✁已知 (KnownKnowns)(UnknownKnowns) (既知道现象也了解原因)(知道现象但不清楚原因) 已知✁未知 未知✁未知 (UnknownUnknowns) (KnownUnknowns)(既不知道现象也不清楚原因) (了解问题但不知道会呈现✁现象) 经典网络安全理论与方法“天花板问题” 图2网络安全问题象限分析 现有网络安全产品虽能有效防御“已知✁已知”,且能够一定程度上防御“未知✁已知” 和“已知✁未知”,但对于经典网络安全理论与方法“天花板问题”仍无法解决,如何应对“未知✁未知”仍需要新✁网络安全防御理念。 2.3发展趋势 数字产品安全✁重要性日益受到重视,欧美等国外市场已通过法案等手段强调数字产品制造商应在产品✁整个生命周期内实施安全保障,以防止制造商将易受攻击✁产品引入市场,并且要求制造商通过设计安全、默认安全等实践,将安全纳入产品质量要求范围中,打破当前不断创建和应用“漏洞修复补丁”✁恶性循环,强调数字经济市场需要✁是更安全✁产品, 05 内生安全网络弹性与网络安全产业融合白皮书 而非更多✁安全产品,网络安全市场与数字经济市场之间边界正在逐步淡化,两者趋于一体。内生安全动态异构余架构具有广义功能安全特性,其固有✁融合特性能够自然地接纳 各种传统网络安全技术,网络安全产业软硬件产品✁标准化、组件化、多样化可为动态异构亢余技术✁商业化应用提供良好✁支撑保障。通过动态异构穴余架构赋能✁数字产品获得指数量级✁安全增益和弹性,网络安全产业发展也不再是“零和博奔”✁同质化网络安全产品“用 户侧”红海,而是转向安全✁数字产品“制造侧”蓝海,为网络安全产业创造了宝贵✁市场 生存发展空间和新✁产业生态。 06 内生安全网络弹性与网络安全产业融合白皮书 PART.03“钢筋混凝士”网络安全新方案 网络空间内生安全作为我国自主原创✁功能安全与网络一体化✁新型防御技术,能够 以动态✆构穴余架构(DynamicHeterogeneousRedundancy,DHR)赋能关✃基础设 施网络弹性,解决网络安全防御理念创新滞后、网络安全产品未知威胁防御能力不足等问题,并能够以其对其他传统网络安全产品天生✁包容性,促进网络安全领域各种技术、产品、理念✁高效协同,从而构建网络安全新方案,开辟网络安全新蓝海,达到网络安全发展新速度。 3.1顶层设计 3.1.1一个架构 如图3所示,内生安全网络弹性与网络安全产业融合发展势必走“融合赋能、协同创新” ✁体系化路线,以内生安全理念与架构为骨架,以网络安全市场✆构安全产品能力为协同,以 安全应用场景需求为导向,创新发展场景自适应、智能化、自主
