《中移安全技术研究所:网络安全从工程到科学-网络安全关键技术探索(2023)(19页).pdf》由会员分享,可在线阅读,更多相关《中移安全技术研究所:网络安全从工程到科学-网络安全关键技术探索(2023)(19页).pdf(19页珍藏版)》请在三个皮匠报告上搜索。
1、网络安全从工程到科学-网络安全关键技术探索2023年9月何申安全技术研究所所长目录1背景需求2技术趋势3创新实践 网络演进为安全技术发展注入新动力数智化时代,随着连接、算力、业务的融合演进,提出了安全新需求、也提供了安全新动力。网络更开放,形成更大的暴露面IT化解耦,形成更多内部攻击路径动态组网,形成动态边界DTN等6G网络新能力提供安全新动力连接(空天地)融合开放、动态、智能、服务化节点,需要依据信任度选择计算方法计算,需要保障过程不被攻击数据,需要保障全程安全与隐私更强的算力,提供更强的安全分析能力算网融合算为中心,网为根基,算网融合元宇宙:虚实融合、沉浸式体验(超大流量)Web3.0:协
2、作去中心化、资产价值化数字资产、内容权属和权益是关键问题新业态(元宇宙、Web3.0)用户为中心、动态互联n多身份体系认证体系互通n数据资产保护n要防护更大的攻击面n需要防护更细粒度的攻击n要形成灵活动态的安全服务n计算节点需自证安全性n计算过程需保障不被攻击n数据全生命周期安全安全要可信安全要灵活安全要内生 趋势一:算力无限,边界扩大,安全需内生嵌入通信网络正加速向未来网络演变,算力成为核心生产力,移动性接入增多,业务安全边界变得模糊,云上业务的受攻击面扩大,传统的基于设备物理位置和网络位置的接入安全防护已难以满足移动性接入安全防护需求。未来网络通信网络算力为核心的信息数据处理网络为核心的信
3、息交换新架构 新技术 新产业 新运营网络安全新范式固定边界融合边界扩张边界开放边界新安全传统安全企业业务上云、多地点、多种类终端的远程接入、移动性接入等新场景的出现,促使安全能力供给模式向场景化的按需供给模式转变。趋势二:场景多元化,安全能力供给向“按需安全”转变 01组网架构更新迭代;终端设备能力高低不一;数据流量类型千差万别。02中心式部署及云边协同部署,重要生产要素资源面临“一失尽失”的安全威胁。安全能力“按需”提供面向安全新趋势,构建网络安全的“两个新型”中国移动全面发力两个“新型”(打造以5G、算力网络、能力中台为重点的新型信息基础设施,创新构建“连接+算力+能力”新型信息服务体系)
4、;面向安全新趋势,需构建“安全能力协同、区块链信任、量子密码”安全新型信息基础设施,打造“安全内生、网安融合、按需服务”的安全新型信息服务体系。+构建安全的“两个新型”安全新型“基础设施”安全新型“服务体系”安全能力协同量子密码区块链信任安全内生按需服务网安融合目录1背景需求2技术趋势3创新实践安全技术研发的源动力:推动成本曲线偏移,提升安全效能“网络安全的本质是对抗,对抗的本质是攻防两端能力较量”。安全保障投入会随着系统安全性要求的提高而呈现指数级上涨,成本曲线偏移的影响因素包括攻防双方技术对环境变化的适应力、知识信息的丰富度、机制手段的先进性、以及掌握的算力资源等。当系统安全性达到90%的
5、时候,网络安全架构与底层关键技术是安全投入多少的重要影响因素:安全治理:通过区块链技术实现平权共治 安全管理:利用可信、安全互操作技术实现预期管理与协同管理 基础共性技术:通过内生、量子实现安全提质成本安全性100%C(新型威胁与攻击手段)90%C(安全技术的研究与应用)降本后的投入原始投入ITU:X.805(安全防护体系)(2016更新)特点:多层次被动防御架构3GPP SCAS+GSMA NESAS,2019特点:网元自身安全保障NIST:IPDRR,2003特点:以检测为中心,主动防御架构国外安全架构可信计算:TCM,TPCM特点:设备内建硬件可信根,基于可信根逐级验证 清华大学:SAV
6、I、SAVA特点:特点:基于网络的自治范围,逐级验证源地址身份内生安全:拟态特点:特点:所有能力都异构,面对 请求都随机选择能力不足:代价巨大,需专门设计国内安全架构国内外网络安全技术架构探究下一代网络从通信网络转变为信息服务网络,“能力无所不及、连接无所不达、算力无所不在”,以内生安全为数字世界提供端到端全流程保障。为适应未来网络跨组织、跨域、跨云的一体化特性,网络安全技术架构需要在安全治理、安全管理、安全技术方面进行新的设计与变革,以自然科学和共性技术为根基实现“安全可信内生”。安全技术(Technology)内生5G/6G安全基础共性量子计算自然科学(Nature).数学物理安全管理(M
7、anagement)预期管理可信计算协同管理安全互操作安全治理(Governance)区块链(平权共治)战略目标化学生物GMTN新型安全架构,网络安全可信内生基于区块链技术与传统CA技术特点,提出多层级CA身份体上链技术;支持引入CA机构根证书,支持加入个体证书,解决层次化CA证书上链与互信的问题。推动ISO/IEC和ITU-T启动修订传统数字证书体系的权威国际标准ITU-T X.509。安全治理:通过区块链技术实现平权共治CA集中式架构区块链+CA分布式架构自主可控跨代兼容平权共治联盟1设备商1运营商1设备商2认证机构1证书1证书2根证书1证书1.1证书1.2联盟2运营商2联盟3证书3证书4
8、用户证书批量记录至区块链,无需CA机构参与将共同信任的CA机构证书记录至区块链,兼容传统技术模式安全管理(1/2)预期管理:基于可信度量技术实现全网运行可预期基于可信度量技术构建节点可信、连接可信、运营可信的防护框架,实现计算环境可信、边界可信、网络通信可信,达到网络行为可预期管理,网络传输有保证,网络安全能力可输出的目的。可信安全管理中心可信检测分析可信策略管理AI运营可信安全能力开放可信网关边缘云可信服务器 虚拟机可信应用服务可信网络移动云可信服务器虚拟机可信应用服务安全日志、可信状态、可信告警上报安全策略下发全局可信管理可信执行层智慧运营可预期网络可预期节点可预期安全管理(2/2)协同管
9、理:基于安全互操作技术实现全网协同管理通过安全互操作技术,整合分散的安全能力,打通异构安全能力协同通道,为可信安全管理中心提供统一知识运营,实现全网协同管理。互联互通统一知识安全互操作统一标准接口I 风险识别能力P 安全防御能力D 安全监测能力R 安全响应能力R 安全恢复能力Agent类安全产品主机防护网页防篡改厂商A厂商D厂商E防护规则API数据库信息扫描APISaas类安全产品漏洞扫描云化基线扫描厂商A厂商B厂商D漏洞扫描创建API扫描任务查询API删除任务API扫描模板API近源类安全产品异常流量监测异常流量清洗厂商A厂商B厂商C异常流量配置API策略查看API黑洞路由策略API鉴权认证
10、请求管理路由转发协议转换日志记录能力编排接口适配能力调度安全互操作平台可信安全管理中心安全技术(1/2)持续推进可信内生安全研究,增强网络自身安全在增强网络设备自身安全的基础上,配合专用的安全设备与系统,并通过智能分析、灵活编排等运维管理手段,形成可靠、灵活、至简的动态安全内生防护体系,有效地识别和防御各种网络攻击。弹性协同内建资源编排与调度能力专用安全能力资源池安全专用设备SaaS安全能力备用安全能力资源池人工智能分析能力安全服务安全策略与配置安全能力与资源设备安全能力设备自身安全能力与配置网络内建安全服务安全管理中心5G/6G内生安全架构信任基础设施安全策略控制单元网络设备安全控制安全设备
11、能力控制安全智能中心安全集中分析安全模型训练安全策略生成基础共性安全技术是构建网络安全防护体系的基石,积极开展如量子密钥、人工智能等基础安全技术攻关,促使网络向更加安全、更加可信的方向演进。安全技术(2/2)持续基础共性安全技术研究,构建网络安全基石安全基石融合创新基础科学量子密钥量子安全认证量子加密/解密量子签名/验签4G/5G基站量子基础设施量子密码安全服务中心QKD/QRNGWiFi热点量子安全终端量子密钥模型:鲁棒性模型:可解释性模型:安全性模型:可用性数据:均衡性数据:完整性检测模型模型:鲁棒性模型:可解释性模型:安全性模型:可用性数据:均衡性数据:完整性深度学习置信度计算人工智能目
12、录1背景需求2技术趋势3创新实践构建安全治理底座,筑牢数字政府安全防线中国移动构建甘肃数字政府安全治理方案,以满足数字政府政务大数据业务安全运行需求,保障大数据平台数据安全运营,致力于为省级、地市级政务系统提供数据安全治理的全生命周期服务,切实筑牢数字政府建设安全防线。2021年12月成功上线,获得省委省政府领导高度评价。通过由梅宏、沈昌祥等原始组成的省政府专家组评审。在全国攻防演练中,通过平台发现攻击并实现闭环处置。业务系统稳定运行2年以上。建设内容运营成效中移闽链中移香港链闽港数字资产流通平台NFT发行NFT转赠NFT收藏NFT兑换NFT销毁资产孵化IP引入授权发行NFT活动策划积分/权益
13、兑换平台内传播第三方曝光好友圈推荐NFT收藏权益体验实物商品权益兑换NFT管理NFT钱包资产管理限制流通权益释放香港MyLink数字资产交易平台NFT发行NFT转赠NFT收藏NFT兑换NFT销毁NFT活动策划积分/权益兑换平台内传播第三方曝光好友圈推荐NFT收藏权益体验NFT管理NFT钱包资产管理NFT出海NFT交易币安NFTCoinbaseNFTNFT海外流转Magic EdenNFT自由买卖NFT兑换法币NFT自由交易区块链能力区块链能力艺术家文博场馆NFTNFTNFT2NFT3NFT4NFT1限制流通权益释放实物商品权益兑换NFT6NFT7NFT8NFT5企业资产协会组织授权NFT海外交易Open Sea跨链服务IP上链、跨链IP上链跨链互通以太坊跨链服务企业碳汇互通NFT跨链服务,搭建数字经济合作“数字桥梁”中国移动联合香港Web3.0协会,以NFT为载体,打造“跨链协议+链适配器+智能合约”方案,通过NFT流转的业务流程实现资产数字化、价值化和证券化,基于NFT数字资产跨链跨境流通,为闽港数字经济合作搭建“数字桥梁”。坚持创新引领促进新一代网络与安全技术融合感谢聆听!