中文字幕在线中乱码,青青青国产最新视频在线观看,无遮挡免费一级毛片视频,激情国产原创在线观看

 
 

準確把握網絡空間安全技術發展的新特征 全力助推國家安全體系和能力現代化

發布時間:2022-12-02 17:23:44  |  來源:中國網·中國發展門戶網  |  作者:馮登國  |  責任編輯:殷曉霞

中國網/中國發展門戶網訊 網絡空間安全已成為關乎百姓生命財產安全,關系國家安全和社會穩定的重大戰略問題。需要清晰地認識到,網絡空間安全問題的解決離不開配套的戰略、法規和政策的支持以及嚴格的管理手段,但更需要有可信賴的技術手段支持。要準確把握網絡空間安全技術呈現出的零化、彈性化、匿名化、量子化和智能化等新特征,突破和自主掌控一批先進實用的網絡空間安全核心關鍵技術,全力助推國家安全體系和能力現代化。

 黨的二十大報告明確提出,國家安全是民族復興的根基,社會穩定是國家強盛的前提。必須堅定不移貫徹總體國家安全觀,把維護國家安全貫穿黨和國家工作各方面全過程,確保國家安全和社會穩定。當前,網絡空間已成為各種勢力斗爭的主戰場之一,也已成為掌握國際社會主導權,展現國家綜合實力的重要體現。網絡空間安全自然成為關乎百姓生命財產安全、關系國家安全和社會穩定的重大戰略問題。因此,實現國家安全體系和能力現代化,維護國家安全和社會穩定,必須保障網絡空間安全。

安全問題往往都涉及一個“母體”問題,也就是誰的安全問題——沒有“母體”就沒有其相關的安全問題。如網絡安全,如果沒有網絡就沒有網絡安全問題——這里網絡就是“母體”。網絡空間安全問題也一樣,首先必須要有網絡空間這個“母體”,才有網絡空間安全問題。因此,在保證“母體”存在的前提下談其安全才有實際意義。由此可知,產業鏈供應鏈安全是網絡空間安全的基礎。網絡空間安全問題的解決離不開配套的戰略、法規和政策的支持以及嚴格的管理手段,但更需要有可信賴的技術手段支持。近年來,伴隨著信息技術的快速發展和深度應用,涌現出一大批網絡空間安全新技術,這些新技術呈現出零化、彈性化、匿名化、量子化和智能化等5個新特征。面對新的安全威脅、新的攻擊手段、新的應用需求,必須要準確把握這些新特征,突破和自主掌控一批先進實用的網絡空間安全核心關鍵技術,全面提升技術水平,做好網絡空間安全保障工作,掌握網絡空間的主動權和話語權,全力助推國家安全體系和能力現代化。

特征1:零化特征——零安全技術成為網絡空間安全的新標志

零安全技術主要包括零信任架構、零知識證明(如交互零知識證明、非交互零知識證明)、零中心技術(也就是無中心技術,如無中心公開密鑰基礎設施、區塊鏈)、零存在模型、零密鑰協議等。當前,這些技術的應用與實用化研究是一個值得關注的問題。其中,零信任技術近幾年受到世界各國政府和企業界的高度重視。

零信任(zero trust)的核心思想是“從來不信任,始終在驗證”(never trust,always verify)?,F有的大部分網絡安全架構基于網絡邊界防護:人們在構建網絡安全體系時,把網絡劃分為外網、內網和隔離區等不同區域,在網絡邊界上部署防火墻、入侵檢測系統等進行防護。這種防護基于對內網的人、系統和應用的信任。因此,攻擊者一旦突破網絡安全邊界進入內網,就會造成嚴重危害。由于云計算和虛擬化等技術的發展,計算能力和數據資源跨域存在和部署,網絡邊界越來越模糊,甚至消失。零信任安全架構就是基于這樣的認知提出的,以適應新的安全需求

目前,國際上非常關注零信任這項技術的應用,但我們也要正確看待這項技術的作用。零信任是一種以資源保護為核心的安全范式,其前提是信任從來不是永久授予的,而必須持續進行評估。零信任將網絡防護從基于網絡邊界的防護轉移到關注用戶、資產和資源。但是,零信任架構也有其適用范圍:主要適用于在一個組織內部或與一個或多個合作伙伴組織協作完成的工作,不適用于面向公眾或客戶的業務流程——組織不能將內部的安全策略強加給外部參與者。使用了零信任架構未必就安全,不應否定深度防御和多層防御架構。

特征2:彈性化特征——彈性安全技術成為網絡空間安全的新潮流

彈性安全技術主要包括彈性公鑰基礎設施(PKI)、定制可信空間(TTS)、移動目標防御(MTD)、棘輪安全機制、沙箱隔離、擬態防御(MD)、可信計算等。彈性安全技術可實現網絡或系統的入侵容忍、內生安全、帶菌生存、環境可信等。當前,仍需進一步關注這些技術的應用與實用化研究,有的還需進一步在實踐中檢驗和驗證。其中,彈性PKI被認為是新一代數字認證基礎設施。

網絡環境下實體(如人員、設備)身份認證是一個普遍而重要的問題,需要像電力基礎設施這樣的通用基礎設施來支撐。PKI就是這樣一個數字認證基礎設施,可用于解決網絡環境下實體身份認證和行為不可抵賴性等問題,是構建網絡空間信任體系的基石。在PKI環境中,其自身安全保障的重要性是舉足輕重的。根據重要程度不同,可將PKI分成不同等級。彈性PKI主要用于國家級認證根或電子政務內網等重要部位,必須考慮眾多安全威脅,包括內部人員犯罪、系統木馬攻擊等。

PKI一般由證書認證機構(CA)、證書管理系統、密鑰管理系統、用戶注冊系統(RA)、目錄服務系統和用戶終端系統等組成,其核心基礎是CA。彈性PKI的重點是實現CA的彈性;目前主要有單層式和雙層式兩類彈性CA系統結構。

特征3:匿名化特征——隱私保護技術成為網絡空間安全的新焦點

隱私保護技術主要包括機密計算、匿名認證、匿名通信、差分隱私、聯邦學習、同態加密、安全多方計算等。當前,這些技術還不夠成熟,需要深入研究。部分隱私保護技術可用于解決使用中的數據安全問題,這類技術也被稱為數據使用安全技術,如機密計算(confidential computing)、聯邦學習、同態加密、安全多方計算。其中,機密計算是當前最熱門的數據使用安全技術。

機密計算可為破解數據保護與利用之間的矛盾、實現多方信息流通過程中數據的“可用不可見”提供安全解決方案。機密計算關注的重點是構建機密計算平臺,創新可信執行環境(trusted execution environment,TEE)的技術實現方式和推動機密計算應用。為了推動機密計算的發展和應用,Linux基金會于2019年8月啟動了機密計算聯盟(Confidential Computing Consortium)技術咨詢委員會。

目前,學術界、工業界對機密計算的定義已基本達成一致。機密計算聯盟對機密計算的定義是:機密計算是通過在基于硬件的TEE中執行計算來保護使用中的數據;其中,TEE被定義為提供一定級別的數據完整性、數據機密性和代碼完整性保證的環境。電氣與電子工程師協會(IEEE)的定義是:機密計算是使用基于硬件的技術,將數據、特定功能或整個應用程序與操作系統、虛擬機監視器(hypervisor)或虛擬機管理器及其他特權進程相互隔離。IBM公司的定義是:機密計算是一種云計算技術,它在處理過程中將敏感數據隔離在受保護的CPU“飛地”(enclave)中。微軟公司的定義是:機密計算是云計算中的下一個重大變革,是對現有的存儲和傳輸中數據加密的基線安全保證的擴展,以及對計算過程中的數據進行的硬件加密保護。由此可見,機密計算可以被定義為一種保護使用中的數據安全的計算范式,它提供硬件級的系統隔離,保障數據安全,特別是多方參與下、正在使用中的數據安全。

特征4:量子化特征——量子信息技術成為推動網絡空間安全發展的新動力

量子信息技術(如量子通信、量子計算、量子傳感)正在快速發展,尤其是安全界關心的量子計算技術正以驚人的速度發展。安全技術一般與計算能力有關,新型計算技術(如量子計算技術)可使計算能力大幅度提升,可解決現實世界中的復雜計算問題。同時,量子計算技術的發展可直接對現有安全技術(如算法、協議、方案)造成威脅,動搖其安全基礎(如本原、困難問題)。因此,抵抗量子計算攻擊的安全設計理論、安全分析評估方法、安全解決方案及新型困難問題的尋找和優化實現等都成為當前的研究熱點。

目前,國際上非常重視抵抗量子計算攻擊的密碼研究,即研究對量子和經典計算都安全的密碼。主要有2條技術路線:①基于量子力學原理,可自然抵抗量子計算帶來的安全威脅,這類密碼被稱為量子密碼;其中最著名的量子密碼是BB84密鑰分配協議。②基于數學的方法,依然沿著傳統的思路發展,這類密碼被稱為抗量子計算密碼,也被稱為后量子密碼。最有影響力的一個事件是美國國家標準技術研究所(NIST)于2016年12月公開面向全球征集抗量子計算公鑰密碼,從而有力推動了抗量子計算公鑰密碼的發展。

量子計算尤其對傳統公鑰密碼帶來了前所未有的挑戰。公鑰密碼主要用于密鑰交換和安全認證,在數字化社會中十分重要。目前,被普遍認可的、基于數學的抗量子計算公鑰密碼主要有5類——基于格上困難問題的、基于編碼隨機譯碼困難問題的、基于雜湊(Hash)函數或分組密碼安全性的、基于多變量方程求解困難問題的和基于超奇異橢圓曲線同源困難問題的。其中有很多科學問題、關鍵技術和應用問題仍需要深入研究。

特征5:智能化特征——人工智能技術成為研究網絡空間安全的新工具

人工智能(AI)安全主要包括自身安全、應用導致的安全,以及AI在安全領域中的應用等方面。當前,這些方面的研究還比較零散,不夠深入、系統。其中,AI在網絡空間安全領域中的應用最為關注,主要包括防御和攻擊兩個方面。

在防御方面,AI賦能防御技術提升防御的能力和水平。AI可有效提高威脅檢測與響應能力;AI可提供較高的預防率和較低的誤報率;AI可準確、快速地預防、檢測和阻止網絡威脅,識別分析未知文件;AI可克服人性的弱點抵御以人為突破口的攻擊——人始終是防御體系中最薄弱的環節,利用AI可有效防范利用人性弱點的社會工程學攻擊,目前所講的主動式社會工程學防御就是為此目的。

在攻擊方面,AI賦能攻擊技術提升攻擊的精準性、效率和成功率。深度學習賦能惡意代碼生成可提升其免殺和生存能力,攻擊者利用深度學習模型可提升識別和打擊攻擊目標的精準性;AI賦能僵尸網絡攻擊可提升其規?;妥灾骰芰?;AI賦能漏洞挖掘過程可提升漏洞挖掘的自動化水平;AI可實現智能化和自動化的網絡滲透能力。此外,AI可有效挖掘用戶隱私信息。例如,隨著概率圖模型及深度學習模型的廣泛應用,攻擊者不僅可以挖掘用戶外在特征模式,還可以發現其更穩定的潛在模式,從而可提升匿名用戶的識別準確率;基于數據挖掘與深度學習,可有效地推測用戶敏感信息(如社交關系、位置、屬性)。

踏上新征程,我們要始終胸懷“國之大者”,繼續堅定不移貫徹總體國家安全觀,以國家重大戰略為導向,緊緊抓住網絡空間安全技術發展的新特征,全力以赴解決“卡脖子”關鍵核心技術難題,助力高水平科技自立自強,為健全國家安全體系、增強維護國家安全能力,為全面建設社會主義現代化國家、全面推進中華民族偉大復興作出新的更大貢獻。

(作者:馮登國,中國科學院院士,中國科學院軟件研究所研究員。《中國科學院院刊》供稿)

 

返回頂部