燃爆了(网络安全战略的战略目标)网络安全发展现状和趋势,网络安全战略与方法发展现状、趋势及展望,网络安全,
本文选自中国工程院院刊《中国工程科学》2025年第1期
作者:邬江兴,季新生,贺磊,谢宇,牛玉坤,张帆
来源:网络安全战略与方法发展现状、趋势及展望. 中国工程科学. 2025, 27(1): 14-27.
编者按
在全球数字生态系统底层驱动范式转型的推动下,网络安全已成为一个至关重要的议题。我国网络安全产业正处于快速成长期,面临关键核心技术受制于人、安全防护体系不完善等挑战。为应对这些挑战,我国积极探索创新性的网络安全方法论和技术路线,如内生安全和可信计算,可为构建自主可控、安全可靠的网络空间提供了新的思路和技术支撑。
中国工程院邬江兴院士在中国工程院院刊《中国工程科学》2025年第1期发表《网络安全战略与方法发展现状、趋势及展望》一文。文章深入分析了当前网络安全战略与方法的发展现状和未来发展趋势,全面评估了全球网络安全格局的变化,详细介绍了国外网络安全战略的发展现状,重点分析了美国和欧盟的相关政策;探讨了网络弹性、设计安全和零信任等国际主流网络安全方法,以及我国原创的内生安全理论和拟态构造技术;在此基础上指出我国网络安全发展具有庞大的市场应用前景、完整的信息产业链、系统化的人才培养体系和原创技术理论等优势,但在安全责任分配机制、法律法规体系完善度以及安全标准建设等方面仍存在提升空间;研究建议,加快制定中国特色网络安全政策法规,构建基于内生安全的网络安全架构,推动网络安全责任从用户侧向制造侧转移,为建立全面的网络安全责任和质量控制体系提供有力支撑,提升数字产品的整体安全性。
一、前言
在全球数字化浪潮席卷之际,网络安全已然成为一个不容忽视的关键议题,其重要性与日俱增。随着数字经济的蓬勃发展和新型工业化的加速推进,我们正面临着一个前所未有的复杂安全环境。网络安全威胁不再局限于传统的信息域,而是以惊人的速度和规模向物理域与认知域多维渗透,攻击手段也从单纯的信息层面软损害演变为可能导致物理层面硬损毁的复杂形态。这种多维度、全方位的安全挑战不仅威胁着单个组织的运营安全,更对全球经济体系发展和社会稳定带来了严峻挑战。
权威机构的预测和研究进一步突出了问题的急迫性与严峻性。据高德纳咨询公司(Gartner)预测,2025年全球将有近半数的组织遭受供应链攻击;欧盟委员会联合研究中心的报告显示,网络犯罪导致的经济损失已经超过了自然灾害和毒品交易的总和。随着全球互联系统和云服务的快速发展,在推动互联互通、提高效率的同时,也在不断累积网络安全赤字。这种赤字的存在大大增加了系统性网络风险的不确定性,对全球经济的潜在影响不容小觑。在这种情况下,一个看似不大的安全漏洞,却有可能引发连锁反应,引发一场系统性的溃败。2024年7月,美国“众击”公司的“隼”网络安全产品更新引发的全球性信息基础设施中断事件,更是如同一记响亮的警钟,提醒我们关键基础设施领域面临的网络安全挑战已迫在眉睫。这一事件不仅暴露了当前网络安全防护体系的脆弱性,也凸显了在日益复杂的数字生态系统中,单一节点的失效可能引发的全球性连锁反应。
然而,当前数字产品设计制造领域普遍存在的问题是对网络安全的重视程度不够。许多制造商仍然将安全性视为事后考虑的问题,而非产品设计和开发过程中的核心要素。这种观念导致了一种以补丁和应急响应为主的被动安全实践,而非从根本上提升产品的固有安全性。这种做法不仅增加了后期维护的成本和复杂性,也为潜在攻击者提供了可乘之机。国际社会面对这一严峻挑战,已经开始积极行动起来,各国政府和国际组织正通过制定和实施更严格的政策法规,加强对数字产品制造侧的安全质量监管。这些举措旨在从源头上提高数字产品的安全性,推动建立更加健康和可持续的数字生态系统。
本研究旨在深入分析当前网络安全战略与方法的发展现状和未来趋势,全面评估全球网络安全格局的变化。我们将重点识别我国在这一领域的先发优势,如内生安全理论与拟态构造技术等创新成果,同时也将客观分析当前面临的挑战和不足。通过深入探讨如何利用这些优势推动网络安全责任从用户侧向制造侧转移,期望能够为建立全面的网络安全责任和质量控制体系提供有力支撑。这一转变不仅有助于提高数字产品的整体安全性,也将促进整个产业链的协同创新和升级。
二、国内外网络安全战略发展现状
(一) 国外网络安全战略发展现状
国外网络安全战略发展主要以美国和欧盟为代表。近年来,面对日益严峻的网络安全形势,美国和欧盟国家逐渐认识到传统网络安全范式追求的绝对安全或“不破防”已不切实际。在复杂的网络攻击环境下,网络安全工作重心正从阻止事故发生转向缓解危害影响,从单纯抵御攻击转变为保障业务连续性和可用性,着力构建快速恢复能力,维持业务正常运营。因此,美国和欧盟国家的网络安全战略以网络弹性为核心,同步推进设计安全和零信任架构,旨在将网络安全责任从使用侧向设计侧转移。这一策略的核心理念是:在承认网络攻击不可避免的前提下,构建一个能够快速恢复并持续运行的系统,同时从根本上改变系统的设计理念,将安全考虑嵌入到产品和服务的设计与开发阶段。
美国在网络弹性战略方面走在前列。2013年,美国在第21号总统政策指令《关键基础设施的安全性与弹性》中首次明确将弹性定义为“准备好应对并适应变化条件,承受破坏并从中快速恢复的能力”。在此基础上,美国国土安全部(DHS)制定了2013版《国家基础设施保护计划》(NIPP)。该计划提出了关键基础设施风险管理框架,创新性地将安全和弹性统一纳入风险管理范畴。这一做法体现了美国开始从战略层面重视网络弹性。2019年,为了进一步推动关键基础设施安全和弹性能力的提升,美国DHS和国务院联合发布了《关键基础设施安全和弹性指南》。2021年,美国国家标准与技术研究院(NIST)发布了网络弹性权威技术文件,即《开发网络弹性系统:一种系统安全工程方法》。这些文件的发布表明,美国正在从政策、标准和实践三个层面系统性地推进网络弹性建设。
2022年,美国网络安全和基础设施安全局(CISA)发布《2023年至2025年战略规划》,确定加强网络防御、减少风险和增强弹性、加强业务协作、统一机构四大网络安全目标。2023年,美国政府在新版《国家网络安全战略》中提出增强网络安全弹性的五大战略支柱,包括保护关键基础设施、塑造市场力量加强网络安全和弹性、通过战略投资和协调合作建立数字生态系统等。这些战略文件反映了美国正在构建一个全面、多层次的网络弹性体系。2023年,美国国家科学技术委员会在《联邦网络安全研发战略规划》中将以人为本的网络安全、可信度和网络弹性作为优先研发领域。2024年,美国总统科技顾问委员会建议,建设国家基础设施观测站,以增强应对网络威胁的能力。同时,美国政府发布《关于白宫供应链弹性委员会的行政命令》,强调构建安全和多样化的弹性供应链,并要求定期审查关键行业的供应链,以应对供应链的不安全性、威胁和脆弱性,包括过度的地理或供应商集中问题。
值得注意的是,美国也将网络弹性防御纳入其战略焦点。2023年,美国国防部在《网络空间战略》中强调增强联合部队的网络弹性,以确保其在网络空间中的作战能力。此外,为推进网络弹性的实际应用,美国国防部早在2021年就启动了安全与网络弹性工程项目,旨在设计固有安全和可信赖的系统,强化美国武器装备系统的网络弹性能力,以应对愈发严峻的网络威胁态势。这一系列战略举措清晰地表明,美国国家网络安全战略已将网络弹性列为其核心组成部分。
在推进设计安全方面,2023年3月,美国新版《国家网络安全战略》提出,彻底纠正市场失灵,重新平衡网络空间安全责任和风险;强调将网络安全责任向制造侧“左移”,要求“规模最大、能力最强、地位最有优势的实体”承担更多安全责任。2023年7月和2024年5月,美国白宫发布的《国家网络安全战略实施计划》及其第2版中,明确提出推动开发设计安全和默认安全的原则与实践。作为响应,CISA等多国机构联合发布《改变网络安全的风险平衡:设计安全与默认安全的原则与方法》及其更新版本,为软件产品的安全设计和配置提供指导。该指南强调结合设计安全实践以打破修复程序的恶性循环,反映了从被动修补向主动设计安全的转变。
与此同时,美国大力推进零信任战略的实施。2021年5月,美国第14028号行政命令《改善国家网络安全》中明确要求联邦政府采用零信任方法。为了响应该行政命令,美国管理和预算办公室、国防部在2022年分别发布了《联邦政府零信任战略》和《国防部零信任战略》,以推动零信任方法在政府和军事领域的全面落实。零信任战略的核心在于摒弃传统的“城堡与护城河”安全模型,转而强调持续验证和最小权限原则。这种方法在某些方面与网络弹性和设计安全的理念相辅相成,共同构成了一个更全面和动态的网络安全防御体系。例如,零信任的持续验证机制有助于及时发现并隔离受损系统,从而增强网络的整体弹性;而网络弹性的快速恢复能力也能在零信任环境中发挥重要作用,确保关键服务在遭受攻击后能迅速恢复正常运作。
欧盟在网络安全战略方面则更侧重于从立法角度推动。2020年,欧盟发布《关于关键实体弹性的法案草案》和《未来数字化十年的网络安全战略》等,要求所有联网设备在设计上确保安全,对网络攻击具有弹性,并能迅速发现和修补漏洞。这反映了欧盟将网络弹性和设计安全作为法律强制要求的趋势。2022年,英国发布《2022年国家网络战略》《国防网络弹性战略》和《2022—2030年政府网络安全战略》,将网络弹性列为重要支柱。这表明欧洲国家的网络安全战略已将网络弹性列为核心内容。2022年9月,欧盟发布全球首个《网络弹性法案》,2023年12月,欧盟就《网络弹性法案》达成一致,并于2024年3月获得欧洲议会批准。该法案于2024年10月获得欧盟理事会通过,并于2024年11月20日在欧盟官方公报中正式公布。该法案自正式公布后的20天内生效,实施时间分为两个阶段:自法案生效之日起21个月后,所有数字产品制造商将需承担报告主动利用的漏洞和相关事件的义务;36个月后,进入欧盟市场的数字产品必须满足网络弹性方面的强制要求,并具备设计和默认情况下的网络安全。这标志着网络弹性和设计安全由“可选项”升级为“必选项”,成为判断数字产品合格与否的刚性指标。
欧盟的网络弹性和设计安全理论主要基于欧盟委员会联合研究中心(JRC)在2020年发布的一份研究报告,即《网络安全——我们的数字之锚》。该报告提出的网络安全风险演变概念模型(见图1),将网络安全风险缓解策略概括为威慑威胁行为者、缓解漏洞和通过网络弹性限制影响3个方面。其中,设计安全、默认安全、漏洞管理及弹性设计构成了风险缓解策略的核心原则。这一模型为理解和应对网络安全风险提供了系统性的框架。
图1 欧盟JRC提出的网络安全风险各组成部分之间的逻辑联系概念模型
总的来说,美国和欧盟正在试图构建一个全面、多层次的网络安全防御体系,以网络弹性为核心切入点,同步推进了设计安全和默认安全原则,并大力部署零信任安全架构,旨在应对日益复杂的网络安全挑战,保障数字经济的持续发展和国家安全,以保障数字经济的持续发展和国家安全。
(二) 国内网络安全战略发展现状
近年来,我国的网络安全战略发展经历了从初步构建到不断完善的过程,形成了一个全面、多层次的网络安全体系。这一体系涵盖了战略规划、法律法规制定、技术创新、产业发展和国际合作等多个方面,反映了我国对网络空间安全的战略重视和系统性思考。
在战略规划方面,2016年,中共中央办公厅、国务院办公厅印发了《国家网络空间安全战略》,正式确立了我国的网络安全战略。该战略明确了维护国家网络空间主权、安全和发展利益的总体要求,提出了九大战略任务,涵盖了从维护网络主权到加强国际合作的广泛领域。这一战略为我国后续的网络安全工作奠定了基础,也为相关法律法规的制定提供了指导框架。
在法律制定方面,我国已相继出台了《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等网络安全的相关法律。这些法律明确了网络运营者的安全责任,对个人信息和重要数据的保护提出了具体要求。这反映了我国在网络安全治理方面从技术层面向法律层面的深化。
为保护关键信息基础设施的安全,我国实施了网络安全等级保护制度和关键信息基础设施安全保护制度,并出台相关条例。2021年,国务院在《关键信息基础设施安全保护条例》中进一步明确了保护对象、措施和相关部门职责。这些制度的实施有效提升了我国关键信息基础设施的安全防护水平,增强了网络空间的整体安全性和韧性。
在产业发展和技术创新方面,我国采取了一系列措施以推动网络安全产业的高质量发展。《“十四五”科技创新规划》《“十四五”数字经济发展规划》等政策文件明确了网络安全产业发展的目标和重点任务。我国重点布局和开展安全度量、内生安全、抗量子密码、网络安全审查等理论与技术研究,促进拟态防御、数据加密等网络安全技术的应用,推动防护能力实现质的飞跃。同时,我国还积极推动网络安全标准化工作,为产业发展提供技术支撑。在人才培养方面,我国设立了一批网络安全学院,并推动“产学研”合作,以培养高水平的网络安全人才。
在国际合作方面,我国倡导构建网络空间命运共同体,提出“四项原则”和“五点主张”的中国方案,为全球网络空间治理贡献中国力量。此外,我国积极参与联合国相关工作组的活动,推动制定负责任的国家行为规范,并通过“一带一路”数字丝绸之路建设,加强了与共建国家在网络安全领域的合作。这些努力不仅提升了我国在全球网络安全治理中的影响力和话语权,也体现了我国对构建公平合理的国际网络秩序的贡献。
总的来说,我国在网络安全战略发展上构建了一个从国家战略、法律法规、技术创新到国际合作的全方位体系框架;正在通过多维度、多层次的方法,构建一个全面的网络安全生态系统,以应对日益复杂的网络安全挑战,保障国家安全和数字经济的持续健康发展。
三、国内外网络安全方法发展现状
(一) 国外网络安全方法发展现状
在当今日益复杂的网络环境中,国外网络安全领域也经历着前所未有的挑战。随着网络威胁的不断演变和攻击手段的日益复杂,传统的周边安全模型已难以应对新兴的安全风险。为此,国际网络安全研究机构正积极探索和实践新型安全架构与方法论,以提升整体网络防御能力和应对未来的网络安全挑战。本节将重点阐述3种在国际网络安全领域备受关注的前沿方法:网络弹性、设计安全以及零信任。
网络弹性概念的提出源于对高级持续性攻击等复杂网络攻击的深刻认识和应对需求。这种攻击方式能够长期潜伏在目标系统中,利用多种先进技术和社会工程手段,针对特定目标进行精心策划的攻击,往往难以被常规安全工具检测。面对如此复杂的威胁,传统的“预防为主”的安全策略暴露出明显不足。静态防御无法应对不断演变的攻击技术,单纯的边界防护难以应对已渗透内网的攻击者,而完全防御的幻想则忽视了“被攻破”是不可避免的现实。
在这样的背景下,网络弹性应运而生。这一概念的核心在于承认网络入侵的不可避免性,将网络攻击视为常态而非例外。它强调即使在受到攻击的情况下,组织也能维持核心业务功能,并具备从安全事件中快速恢复的能力。如图2的网络弹性技术发展脉络所示,美国MITRE公司在2011年首次推出了网络弹性工程框架,在随后的十多年里,美国MITRE公司和NIST等科研机构相继推出了如“网络弹性设计原则”、“网络弹性评估”、“网络弹性技术指导”等多项重要方法与技术文件,标志着网络弹性技术逐步走向成熟。根据MITRE公司的网络弹性工程框架,网络弹性有四个目标:预测、抵御、恢复和适应。可以将网络弹性技术分为14种,包括自适应响应、分析监测、协调保护、欺骗混淆、多样性、动态定位、动态表示、非持久化、权限限制、重新调整、冗余、分段/分割、完整性证明、不可预测性。总的来说,网络弹性技术提供了一种全面、动态和适应性强的方法来应对当今复杂的网络威胁环境。通过整合预防、抵御、恢复、适应等多个方面的技术和策略,组织能够更好地保护其关键资产,维持业务连续性,并在面对不可避免的安全事件时可以快速恢复和适应。但当前网络弹性技术也存在着不足之处,网络弹性的各个方面,如目的、目标、技术、方法和设计原则等,往往被认为是一系列并列的可选项,缺乏清晰的层次结构和逻辑关系。在这种情况下,难以确定各元素间的优先顺序,也无法系统地评估其综合效益,导致在实际开发过程中,缺少清晰的指导方针,降低了实施的可操作性。同时,目前的网络弹性技术方法是在目标对象功能非正常、可感知的前提下,而基于未知漏洞后门的不确定性威胁问题不能得到解决。
图2 网络弹性发展脉络
设计安全的提出主要源于网络安全责任向制造侧转移的趋势。如图3所示,这一趋势形成的原因是多方面的。随着技术的快速发展,网络攻击变得越来越复杂和多样化,仅依靠用户端的防护措施已经不足以应对这些新兴威胁。同时,物联网设备的普及大幅增加了攻击面,而许多这类设备在设计时并未充分考虑安全性,成为网络安全的薄弱环节。
图3 设计安全发展脉络
传统的“先发布,后修补”模式常常导致安全漏洞被利用的时间窗口过大,造成严重的安全隐患。与此同时,各国政府和监管机构开始出台更严格的数据保护和网络安全法规,要求制造商在产品设计阶段就考虑安全因素。随着全球化生产的普及,供应链安全成为一个关键问题,确保产品在设计和生产过程中的安全性变得至关重要。从成本效益角度来看,在设计阶段解决安全问题通常比事后修复更具优势,可以降低整体的安全支出。
2023年4月和10月,美国多个机构联合“五眼联盟”以及德国、荷兰、捷克、挪威、以色列、新加坡、韩国、日本等国家的多个机构,发布了制造侧安全指南文件。文件指出,只有结合安全的设计实践,才能打破不断创建和应用修复程序的恶性循环;将“设计安全”一词解释为包含“设计安全”和“默认安全”两个方面;认为当前阶段,技术制造商比以往任何时候都更需要将“设计安全”和“默认安全”作为产品设计与开发过程的焦点。为了创造一个技术和相关产品对客户更安全的未来,这些机构敦促制造商修改其设计和开发计划,只允许向客户运送“设计安全”和“默认安全”的产品。其中“设计安全”的产品是指客户的安全是核心业务目标,而不仅仅是技术功能;而“默认安全”的产品是指可以安全使用的、不需要更改配置的、没有额外成本的“开箱即用”产品。总之,这两个原则将保证安全的大部分负担转移给了制造商,并减少了客户因配置错误、补丁速度不够快或许多其他常见问题而成为安全事件受害者的机会。
针对设计安全概念,美国国家标准与技术研究院发布的《安全软件开发框架》制定了一份简要的设计安全策略,包括:① 内存安全编程语言:尽可能优先使用内存安全语言;② 安全硬件基础:包含能够实现细粒度内存保护的体系结构功能;③ 安全软件组件:从经过验证的商业、开源和其他第三方开发人员处获取并维护安全性良好的软件组件;④ Web模板框架:使用实现用户输入自动转义的Web模板框架,以避免跨站点脚本等被攻击;⑤ 参数化查询:使用参数化查询,而不是在查询中包含用户输入,以避免结构化查询语言(SQL)注入攻击;⑥ 静态和动态应用程序安全测试:使用安全测试工具来分析产品源代码和应用程序行为,以检测容易出错的做法;⑦ 代码评审:努力确保提交到产品中的代码通过其他开发人员的同行评审,以确保更高的质量;⑧ 漏洞披露计划:建立让安全研究者报告漏洞的漏洞公开方案;⑨ 常见漏洞与公开威胁完整性:确保已发布的常见漏洞与公开威胁包括根本原因或常见弱点列举,以实现软件安全设计缺陷的全行业分析;⑩ 纵深防御:设计基础设施,多层次保证系统的安全。
通过在开发初期就考虑安全因素,可以更好地应对复杂多变的网络威胁,降低后期修复和补丁的需求;设计安全还可以创造出更加安全、可靠且用户友好的产品以及更安全、可靠的供应链。
现有设计安全的出发点仍是减少漏洞、修补漏洞,其强调网络安全基本问题是软硬件设计的脆弱性带来的漏洞问题,漏洞一旦被攻击者利用就会造成安全事件,因此需要在设计之初就分析可能存在的网络安全风险,修补已知漏洞,利用简化设计来降低漏洞数量、减小攻击表面,或者进行弹性设计,以便在漏洞被利用造成后果后进行快速恢复。然而,漏洞后门是无法完全消除的,基于现有设计安全方法设计的系统无法实时应对未知的安全威胁和破坏。
零信任的提出源于传统的基于边界安全模型在当今复杂的网络环境中日益显现出的局限性。传统的边界安全模型基于“城堡和护城河”的概念,即在组织网络边界设置防御措施,如防火墙、入侵探测系统等,以阻挡外部威胁。这种方法假设组织内部网络是可信的,一旦用户或设备通过了边界验证,就被赋予了较高的信任度和访问权限。
然而,随着技术的发展和业务模式的变革,这种基于边界的安全模型逐渐暴露出诸多问题。云计算、移动设备和远程工作的普及使传统网络边界变得模糊不清。用户无论从哪个位置、使用多种设备都可以访问企业资源,这就造成了网络边界越来越难以界定。内部威胁的增加也挑战了“内部可信”的假设。无论是有意还是无意,许多安全事件都是从已经取得访问权限的内部人员中衍生出来的。此外,组织需要与外部合作伙伴共享数据和资源,这就要求安全模型能够更精细地控制访问权限。同时,网络攻击的复杂性和持久性也在不断提高。高级持续性威胁能够突破传统的边界防御,长期潜伏在网络内部,因此仅依靠边界防御变得不够充分。
面对这些挑战,零信任技术应运而生,摒弃了传统模型“内在可信”的假想,核心理念是“永不信任,永远验证”。零信任要求对每次访问请求进行严格的身份验证和授权,无论请求来自组织内部还是外部。它强调持续的身份验证、最小权限访问、微分段和全面的监控,以应对当今复杂多变的网络环境。从图4零信任发展脉络可以看出,随着零信任理论和实践的不断完善(理念探索、产业实践和国家战略推动),零信任逐渐从原型概念演进为主流网络安全技术架构,逐渐覆盖云环境、数据中心和微服务等场景。
图4 零信任发展脉络
当前主流的零信任架构有美国国防部零信任架构和NIST零信任安全架构。NIST零信任架构的整体流程为:① 用户发起访问请求,控制单元对用户进行身份认证与评估;② 策略管理器对计算结果进行判定,决定授权策略,一旦授权访问,即建立安全连接;③ 策略引擎持续对用户发起的访问进行判别,一旦出现异常行为,策略引擎将重新进行判别;④ 策略管理器以判别结果为依据,决定是否需要更改授权策略,并随时通知安全代理执行确保资源安全的相关操作。
美国国防部的零信任安全架构强化了以数据为中心和条件访问,满足永不信任的核心理念。其整体流程为:① 识别出敏感数据和关键应用,通过对用户和流量的检测制定出安全策略,由分布在整个架构中的若干策略执行点执行;② 用户访问数据必须先经过认证和授权,策略决策点提供用户和端点的信任评分;策略执行点通过强制执行分段策略,建立用户或端点到请求资源之间的连接,端点包含防火墙和入侵检测等安全能力;③ 在部署环境中应采取软件定义技术,如软件定义网络来实现零信任控制。软件定义网络集成在主机可以实现微分段能力,用以控制数据中心内部的横向移动。
零信任模型虽然能显著提升安全性,但零信任模型也存在着缺点,尤其是其实施过程复杂且成本高昂,频繁的身份验证可能会影响用户体验,过多的数据与访问行为监控也会引发隐私问题,增加用户的隐私担忧。
(二) 国内网络安全方法发展现状
随着信息技术的快速发展和数字化改造的深入推进,网络安全问题已经成为国家战略层面的重要问题。我国网络安全产业正处于快速成长期,但仍面临着诸多挑战,如关键核心技术受制于人、安全防护体系不完善等问题。为应对这些挑战,国内学术界和产业界积极探索创新性的网络安全方法论和技术路线。其中,“内生安全”和“可信计算”作为两种具有中国特色的网络安全理念与方法,近年来得到了广泛关注和实践。这两种方法分别从系统架构设计和计算环境可信性的角度,为构建自主可控、安全可靠的网络空间提供了新的思路和技术支撑。
可信计算的提出主要源于传统安全模型的局限性、新兴技术带来的挑战以及日益严峻的网络安全形势。传统的网络安全模型主要依赖于事后防御和被动响应,难以应对日益复杂和高级的网络威胁。随着云计算和物联网技术的快速发展,数据和计算资源越来越分散,传统的边界安全已不足以保护复杂的分布式系统。同时,在供应链安全问题日益突出的全球化背景下,软硬件的可信性成为重点考量因素。此外,国家安全和数字主权的需求也推动了可信计算的发展,各国都在寻求建立自主可控的信息技术体系。可信计算旨在从根本上提高系统的安全性和可靠性,构建从硬件、固件到操作系统和应用软件的全栈可信链,可度量、可验证、可控制的计算环境。这种方法不仅能够主动防御潜在威胁,还能为复杂的分布式环境提供端到端的安全保障,同时满足国家层面对技术自主性的要求。因此,可信计算这一广受学术界和产业界关注的领域被认为是一种创新的解决当前网络安全挑战的方法。
我国在1992年开始进行可信计算方面的研究与实践,至今可信计算经历了三个阶段,第一个阶段主要是通过冗余备份的手段来排除软硬件故障;第二个阶段是将硬件芯片作为信任根,确保硬件可信,当前我国处于可信计算的第三阶段。我国学者从传统计算机架构入手,考虑到传统冯·诺依曼架构存在的安全设计缺陷,提出了“可信计算3.0”技术体系,即以密码为基因,在使用计算运行、实施身份识别、状态度量、保密存储等功能的同时,对自身和非自身成分进行及时识别的可信计算模式,对进入机体内的有害物质进行破坏和排斥,即“主动免疫安全可信计算”技术。
内生安全的提出是为了应对和解决网络空间普遍存在的内生安全共性问题,转变单纯地依靠漏洞后门和攻击特征精确发现以及缩小攻击表面的技术发展路线。内生安全理论借鉴系统工程理论、可靠性设计理论、生物仿生和免疫理论等,在国际上首次提出一种不依赖(但不排斥)漏洞/后门发现和攻击特征分析等先验知识的内生安全理论与体系,建立一套有效解决网络空间内生安全共性问题的实践规范,以创新的广义鲁棒控制构造破解目前功能安全与网络安全不能量化设计、无法验证度量的工程技术难题,从根本上实现当前网络安全领域思维视角与方法论的转变,破解如何有效防范“未知的未知威胁”、如何基于相对性构造原理抑制内生安全共性问题影响等亟待解决的重大科学问题。内生安全理论提出了一个新的概念:内生安全问题,并指出当某个事物在其主要功能之外,还具有一些意料之外的负面效果或隐藏功能时,就会出现安全隐患。同样,如果一个系统或模型中存在一些由其自身结构决定的、相互依赖但又相互矛盾的内在因素,也属于内生安全问题的范畴。
内生安全理论指出,动态性/随机性、多样性/异构性、冗余性这三大网络安全防御领域的核心技术要素对增加不确定性和防范未知威胁至关重要。内生型安全理论基于上述思想,提供了动态异构冗余的创新架构,如图5所示,其能够有效抑制“已知的未知”和“未知的未知”等构造中存在的异常扰动所产生的不良影响,且不依赖于先验知识,自然获得高可靠、高可信、高可用“三位一体”的内生安全属性。
图5 内生安全动态异构冗余架构示意图
经过多年的技术攻关和应用示范,内生安全领域已研制出拟态路由器、拟态交换机、拟态域名服务器、拟态web服务器、拟态分布式存储系统、拟态安全网关等网络设备和系统,基本上涵盖了信息系统或信息物理系统绝大部分核心设备,已有20余类、40余种拟态构造数字产品通过了国家测试评估、应用测试评估、开放式国际众测、现网体系化验证和产品级测试,反复验证了内生安全构造赋能数字产品的“高安全、高可靠、高可信”一体化能力。目前,内生安全拟态设备的行业标准建议已经达到20余项,其中11项标准已发布实施,3项行业标准已进入批准阶段。
内生安全为全球正在兴起的数字生态系统底层驱动范式转型提供了“中国智慧与方案”,开辟了基于内生安全构造的数字产品网络安全设计新方向。
四、网络安全战略与方法的发展趋势分析
(一) 网络安全战略发展趋势分析
随着数字技术在社会各领域的广泛渗透以及人们对网络安全问题认知的不断深化,网络安全正由一种技术选择项演变为社会必需项。这一转变推动了网络安全战略的重大调整,主要体现在三个方面:网络安全目标向网络弹性范式转变、安全责任由用户侧向制造侧转移,以及安全发展聚焦以人为本、可信度和网络弹性等关键领域。这些趋势反映了网络安全战略在应对日益复杂的数字环境挑战时的系统性思考和前瞻性布局。
1. 网络安全目标致力于向网络弹性范式转变
网络安全的目标正在经历一个重要的范式转换,从单纯阻止网络事故的发生转向缓解事故带来的危害,从被动抵御攻击转变为主动保障业务连续性、可用性和快速恢复能力。这种转变体现了对网络安全更加全面和动态的理解。
美国网络安全战略明确提出了向网络弹性范式转变的目标,将网络安全、可信度、任务生存能力视为系统设计和使用中的基础要素。该战略强调网络弹性必须内置于系统架构和管理中,与功能和性能同等重要。同时,欧盟正加快制定网络弹性法案,要求数字产品制造商实施网络弹性设计,并对因产品设计缺陷导致的网络安全事故承担责任。这些政策举措反映了主要发达国家对网络弹性重要性的共识。
各国积极推进网络弹性科学研究,致力于确定网络弹性的基本属性和指标要求,描述影响网络弹性各种因素间的相互作用,并强调将人类及社会的需求、能力和行为高效纳入信息系统与网络弹性解决方案的设计、开发及运行中。同时,各国正在积极发展数字生态系统,以确保实体及其交互的可信度能够定期、安全地验证和保证。此外,量化网络弹性和信任保证价值的技术开发也在进行中,旨在将这些因素与传统商业目标(如成本和上市时间)进行综合考量。
2. 网络安全责任由用户侧向制造侧转移
随着数字化转型的深入推进,以高级持续性威胁(APT)和零日漏洞(0 day)为代表的网络安全问题日益突出,其规模和危害程度不断升级。更为严重的是,数字制造商的安全责任失衡问题愈发明显,部分企业将经济利益置于产品安全之上,选择性忽视潜在的安全风险。
欧盟委员会联合研究中心的报告指出,数字行业缺乏有效竞争,且容易出现激励错位。一方面,数字产品为了迅速占领市场,往往忽视安全性;另一方面,由于用户黏性强,产品更换成本高,这种“胜者通吃”的网络效应进一步加剧了制造商忽视产品安全性的倾向。美国在2023年发布的《国家网络安全战略》中明确指出,现有驱动美国数字生态系统的底层架构存在严重缺陷。
为应对这些挑战,美欧国家提出了“设计安全”的概念,旨在从源头上解决网络安全问题。这一概念的提出反映了对网络安全责任的深刻反思,强调将安全责任从用户侧转移到制造侧。美国CISA在2023年2月强调,在网络安全问题方面应停止推卸责任,企业必须将安全融入科技产品,这体现了美国在这一问题上的坚定立场。
美国和欧盟国家认为,传统的“外挂式”网络安全方法已不能满足当今数字化转型的需求。只有通过制造侧发力,在系统工程的早期阶段就将网络安全问题纳入考虑,才能最大程度地降低网络安全风险。这种思路转变标志着网络安全策略正在向更加主动、系统的方向发展。
3. 网络安全发展聚焦以人为本、可信度、网络弹性等关键领域
随着网络攻击手段的不断演进,越来越多的攻击开始利用最终用户的行为特征、无意识错误和心理倾向。这一趋势凸显了以人为本的网络安全方法的重要性。该方法强调在确定信息技术系统的目标、设计、操作和安全选择时,必须将人的需求、动机、激励、行为和能力放在首位。这种方法不仅有助于提高系统的安全性,还能增强用户体验和系统的整体效能。
在网络空间中,确定实体的可信度以及建立各方和各组成部分之间的信任机制仍是一个亟待解决的问题。未来的网络安全发展需要着重解决这一问题,建立能够在所有计算层中执行所需信任级别的机制,从硬件层开始,涵盖操作系统、软件应用程序、网络等各个层面,以及电子商务、社交媒体等服务。这种全方位的信任机制将为构建更安全、可靠的网络环境奠定基础。
网络弹性已成为任务和业务保障总体战略中的关键因素。未来的网络安全战略必须超越传统的预防、保护和恢复模式,更加关注如何有效地设计、开发和运行系统,使其能够在面对持续攻击甚至系统受损的情况下仍能维持适当水平的任务执行能力。这种转变要求我们重新思考系统设计的原则,将网络弹性作为核心属性嵌入到系统的每个层面。
总之,网络安全战略的发展趋势反映了对网络安全更加全面、系统和前瞻性的认识。通过向网络弹性范式转变、将安全责任转移到制造侧,以及聚焦以人为本、可信度和网络弹性等关键领域,网络安全战略正在适应日益复杂的数字环境,为构建更安全、更可靠的网络空间奠定基础。
(二) 网络安全方法发展趋势分析
随着数字技术的快速发展和网络环境的日益复杂,传统的网络安全方法已经难以应对当前的安全挑战。为了更好地保护数字资产和信息系统,网络安全领域正在经历一系列重要的变革。这些变革反映了网络安全方法的关键发展趋势,不仅体现了安全理念的转变,也展示了技术应用的创新。具体而言,可以观察到以下4个主要趋势:安全策略的综合化、安全机制的内生化、防护范围的整体化、评估方法的量化。
1. 针对越来越复杂的数字生态系统,需要将目标加固、损害限制和业务恢复进行综合考虑
在当前及未来的数字化环境中,网络安全不仅限于防止攻击,还包括事先加强防御(目标加固)、在遭受攻击后的迅速处置(损害限制)以及恢复正常的业务运营(业务恢复)。这需要一个综合性的策略,确保多层次的防护体系能够协同工作,以应对日益复杂的威胁。网络安全方法的趋势是强调全面性和系统性,安全策略需要覆盖整个数字生态系统的各个环节,并在事前、事中、事后形成一个完整的安全闭环。
2. 网络安全方法从“叠加式”“外挂式”的安全向内生安全转变
传统的网络安全往往依赖于额外的安全工具和机制,通过层层叠加的方式保障安全。然而,随着威胁的不断演变,网络安全逐渐向内生安全转变,要求在系统设计之初就考虑安全因素,在系统的设计和开发中同步进行安全功能开发,将安全机制嵌入其中,使安全能更好地适应系统需求;在提高安全性能的同时,更好地从根本上增强抵御威胁的能力,使安全成为系统的一部分。
3. 网络安全方法从安全要素局部层面向系统整体层面转变
过去的网络安全措施通常集中在某些局部要素上,例如,防火墙、杀毒软件等单点防御。然而,现代网络安全方法强调对整个系统层面的整体防护,这种转变意味着不再仅仅关注单个安全控制或技术,而是采取全局视角,考虑整个系统的安全性。它强调各个安全要素之间的协同与整合,以及安全措施与业务流程的融合,从而实现更加全面和有效的安全保护。
4. 网络安全防御能力评估从防御效能定性分析向定量确保转变
从防御效能定性分析到定量确保的转变,是网络安全方法论满足系统设计、开发和运维的需要,确保在随机失效和人为攻击条件下系统可用性/生存性的总体要求。通过采用量化指标和科学的评估方法,可以更客观地衡量安全防御能力,为决策提供更可靠的依据。这种方法有助于优化资源分配,提高安全投资的回报率,同时也便于进行持续改进和对标分析。
五、我国网络安全发展的优势与不足
(一) 我国网络安全发展优势
1. 庞大的数字经济市场和丰富的应用场景为网络安全技术的创新和产品的迭代优化提供了广阔的实践空间
数字经济的迅猛发展使网络安全需求大幅增加,覆盖了从电子商务、金融科技到智慧城市以及工业互联网等多个领域。这些多元化和复杂化的应用场景不仅迫使技术不断升级以应对新的安全威胁,也为新技术和新产品的应用提供了丰富的“试验田”。我国快速增长的网络安全需求推动了产业规模的扩大,同时促进了技术水平的持续提升,使我国在新技术的开发和应用上始终保持活力。
2. 完整的信息产业链为网络安全的自主可控发展奠定了坚实基础
尽管全球化带来了广泛的技术交流和合作,但在核心安全技术上仍然需要自主可控。我国拥有从芯片设计、半导体制造到操作系统开发、应用软件等全方位的信息产业链,形成了全面的技术体系,减少了对国外技术的依赖。尽管我国在某些领域的高端制造上仍存在短板,但这种完备的产业链不仅提升了我国在技术上的自主创新能力,也有利于构建端到端的安全解决方案,确保在面对复杂网络威胁时具备全面的防护能力。
3. 我国在网络安全人才培养方面投入巨大,高校与企业积极参与人才培养,形成了“产学研用”相结合的人才培养体系
一方面,教育体系通过设置相关专业和研究中心,培养理论基础扎实、实际操作能力强的复合型人才;另一方面,企业在实际项目和应用场景中提供了丰富的实践机会,使人才能够迅速成长。国家级的重点实验室和研究项目也为高端人才提供了展示与发展的平台,形成了人才引进和培养的良性循环。这种多渠道、多层次的人才培养体系,为我国网络安全产业的持续发展提供了强有力的智力保障。
4. 我国原创内生安全理论与拟态防御技术具有先发优势
我国自主内生安全理论与拟态防御技术在国际上处于领先地位,能够有效应对“未知的未知”威胁。内生安全理论解决了当前功能安全和网络安全无法量化设计与验证度量的技术难题,从根本上改变了网络安全领域的思维方式和方法论。动态异构冗余架构将传统网络弹性中的任务/业务运行状态感知与内生安全网络攻击感知相结合,扩展了网络弹性防御的思路,同时为网络弹性工程提供了理论基础。
(二) 我国网络安全发展不足
相较于发达国家,我国网络安全发展在责任转移、法律法规、安全质量标准等方面还存在差距。
1. 我国在网络安全责任分配机制方面亟待完善,尤其是将安全责任从用户侧向设计制造侧转移的进程相对滞后
从责任转移角度看,美国、欧盟在推动网络安全责任从用户侧向设计制造侧转移方面采取了更加积极的举措。2023年3月,美国发布的新版《国家网络安全战略》提出,通过立法、法规等手段,从根本上重新分配责任,要求提供商在产品和服务的设计、开发、部署、维护中承担更多责任,建设安全弹性更强的数字生态系统。《向平衡网络安全风险转变:设计安全和默认安全的原则和方法》提出,从根本上降低网络风险、增强网络弹性的关键在于重新平衡网络安全责任,通过“设计安全”和“默认安全”等方法,激励技术提供商在软件、硬件、系统等领域内置安全特性,提升产品与服务的固有安全可信水平。欧盟的《网络弹性法案》则直接要求数字产品提供商采取适当的网络安全风险管理措施。相比之下,我国虽已出台网络安全审查、等级保护等相关制度性文件,但在明确具体责任分工、可操作的认证规范等方面还需进一步细化,以充分调动企业提升产品和服务安全性的内生动力。在第五代移动通信、工业互联网等新兴领域,将安全责任落实到设备制造和软件开发等环节的做法还不多见,亟待加快步伐。
2. 我国网络安全相关法律法规体系尚不完善,特别是在提升网络弹性方面的专门性法规仍显不足
从法律法规角度看,美国、欧盟在构建促进网络弹性的法律框架方面走在前列。除《网络弹性法案》外,欧盟还在出台的《网络安全法案》中提出了“欧盟网络安全认证框架”,为信息通信技术产品、服务、流程的网络安全认证提供了统一的规则。相比之下,尽管我国已出台《中华人民共和国网络安全法》《关键信息基础设施安全保护条例》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等若干法律法规,但在提升网络弹性方面的针对性还不够强,亟需制定专门的法律法规,明确各方责任,强化制度保障。同时,现有法律在操作层面还存在较大的提升空间,如《中华人民共和国网络安全法》中虽明确了关键信息基础设施的安全保护义务,但缺乏配套的标准规范予以细化,可操作性有待加强。
3. 我国网络安全标准体系建设相对滞后,尤其是在新技术应用领域的标准供给不足,且现有标准的约束力较弱
从安全质量标准体系看,我国与发达国家还存在较大差距。美国NIST发布了一系列网络安全标准和最佳实践,如《信息系统和组织的安全和隐私控制》[19]《应用程序容器安全指南》等,从框架、流程到技术都提出了严格的安全要求。欧盟通过了《欧盟网络安全认证框架》,从组织、流程、技术等方面规范了信息与通信技术产品和服务的安全评估认证。此外,美国联邦通信委员会于2024年3月正式批准了《物联网的网络安全标签》,计划在物联网设备上添加标准化标签,向消费者披露设备的安全和透明度信息,包括产品支持期限、数据加密实践等内容。相比之下,我国虽已构建了等级保护2.0、电信网络安全等相关标准体系,但在新技术新应用领域的标准供给还很匮乏。在物联网、工业互联网、人工智能等领域亟需构建全生命周期的安全标准体系,尤其是在突出制造商责任、细化技术指标、加强供应链多样化管理等方面还有很大的提升空间。此外,现有标准的强制性程度不高,更多是推荐性指引,约束力偏弱。未来应借鉴美国和欧盟的经验,将更多标准上升为强制性国家标准,以标准规范倒逼网络安全责任落实。
六、我国网络安全发展建议
当前,我国在数字生态系统的掌控能力与发达国家相比仍存在差距,网络安全发展模式尚未完全突破传统框架。为实现具有中国特色的数字生态系统转型,亟需采取创新路径,构建基于内生安全的网络安全架构,以应对各种已知和未知的网络攻击,实现安全性的“可量化设计/可验证度量”,超越美国和欧盟的网络弹性系统工程方法。基于此,本文提出以下发展建议。
(一) 加快制定中国特色的网络安全政策法规,强化数字产品开发侧网络安全责任
针对我国实际国情,基于防范系统性安全风险的长远战略考量,应当加快出台“国家制造侧网络安全”政策法规。该法规应明确规定制造商在产品设计、生产、销售和售后等环节的网络安全责任,制定数字产品的刚性安全标准,建立可量化评估的安全方法。制造商必须在产品的硬件安全、软件安全和数据安全等方面严格遵循这些标准,并随技术发展和威胁形势的变化而动态更新。同时,应设立科学、客观、可操作的安全评估体系,除传统静态分析、动态测试和渗透测试外,还应包括我国内生安全“白盒测试”金标准等,确保产品安全性能可以被准确量化和评估。为确保政策法规的有效性,还应设立相应的惩戒机制,对违反安全标准或未能履行安全责任的制造商,实施包括经济处罚、市场准入限制等多层次惩戒措施。通过这些措施,形成一个可管理的共治共管体系,平衡制造侧与应用侧的安全责任,确保“谁设计谁负责,谁制造谁负责”的原则得到贯彻,为数字产业底层驱动技术的网络安全转型奠定坚实基础,推动整个数字产品产业链向更高的安全标准迈进。
(二) 建立我国数字设施安全质量标准体系,推动“中国网络安全/网络弹性信任标识”计划
借鉴先进经验,我们应推动设立“中国网络安全/网络弹性信任标识”系统。该标识系统将为符合网络弹性工程要求、满足如内生安全“白盒测试”金标准的数字产品授予“信任标签”。为实现这一目标,需成立由政府部门、行业专家和企业代表组成的标准制定委员会,负责制定详细的评估标准和认证流程。建立多层次的评估体系,包括功能安全、网络安全和信息/数据安全等不同级别,以适应不同应用场景的需求。设立专门的认证机构,负责产品评估、认证和日常监管工作,确保认证过程的公正性和权威性。同时,建立动态评估机制,定期对已认证产品进行复审,确保其持续满足安全标准要求。在政府采购和重点行业等领域优先使用“信任标识”产品,为高质量安全产品创造市场优势。通过严格实施市场准入制度和刚性标准,有效阻止缺乏网络弹性质量保证的数字产品进入关键基础设施建设领域,如公众通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等国家重点行业。确保数字产品的网络弹性质量对使用者或营运者“透明可见”,符合“开箱即用,默认安全”的新质量规范,从而全面提升我国数字基础设施的安全性和可靠性。
(三) 发挥我国原创网络安全理论先发优势,启动国家关键行业网络安全重大示范工程
鉴于我国在网络安全理论研究方面取得的显著成果,尤其是内生安全理论在解决“未知威胁”检测和防御等主流方法难以应对的问题上展现出的引领性优势。应当充分利用这一先发优势,加大对以内生安全为代表的制造侧安全技术实践的支持力度。在国家层面设立专项研究基金,支持内生安全等前沿理论的深化研究和应用探索。在信息通信、智能制造、金融和能源等关键基础领域选择若干典型行业,启动规模化示范推广项目,这些项目应覆盖从理论验证、技术开发到产品应用的全链条。建立“产学研用”协同创新机制,促进理论研究成果向实际应用的快速转化,设立专门的技术转化中心或孵化基地。加强国际合作与交流,在保护核心技术的同时,积极参与国际标准制定,提升我国在全球网络安全领域的话语权和影响力。加快推动以内生安全为代表的创新成果的应用与产业化,尽快将我国原创理论和颠覆性技术优势转化为实际的市场和应用优势,从而在全球网络安全领域确立领先地位。
(四) 推动我国自主、多样的数字生态建设,构建自主可控且多样化的弹性供应链
为确保国家数字主权和安全,必须构建自主可控且多样化的弹性供应链。这一目标的实现需要从多个层面同时发力。在供应链安全管理方面,建立关键数字产品和服务的全生命周期追溯系统,实施严格的供应商资质认证制度。在技术研发与创新方面,加大对核心技术的自主研发投入,包括芯片、操作系统和数据库等基础软/硬件。通过上述措施,显著增强我国在全球数字生态系统中的自主性,构建具有中国特色、世界领先的网络安全体系,为我国数字经济的持续健康发展提供坚实保障。
注:本文内容呈现略有调整,若需可查看原文。
作者简介
邬江兴
通信与信息系统专家,中国工程院院士。
主要从事信息技术与网络安全研究。
注:论文反映的是研究成果进展,不代表《中国工程科学》杂志社
售前咨询专员