网络安全从工程到科学-网络安全关键技术探索

--网络安全关键技术探索 2023年9月何申安全技术研究所所长 背景需求 1 技术趋势 2 创新实践 3 网络演进为安全技术发展注入新动力 数智化时代，随着连接、算力、业务的融合演进，提出了安全新需求、也提供了安全新动力。 趋势一：算力无限，边界扩大，安全需内生嵌入 通信网络正加速向未来网络演变，算力成为核心生产力，移动性接入增多，业务安全边界变得模糊，云上业务的受攻击面扩大，传统的基于设备物理位置和网络位置的接入安全防护已难以满足移动性接入安全防护需求。 趋势二：场景多元化，安全能力供给向“按需安全”转变 企业业务上云、多地点、多种类终端的远程接入、移动性接入等新场景的出现，促使安全能力供给模式向场景化的按需供给模式转变。 面向安全新趋势，构建网络安全的“两个新型” 中国移动全面发力两个“新型”（打造以5G、算力网络、能力中台为重点的新型信息基础设施，创新构建“连接+算力+能力”新型信息服务体系）；面向安全新趋势，需构建“安全能力协同、区块链信任、量子密码”安全新型信息基础设施，打造“安全内生、网安融合、按需服务”的安全新型信息服务体系。 背景需求 技术趋势 2 创新实践 安全技术研发的源动力：推动成本曲线偏移，提升安全效能 “网络安全的本质是对抗，对抗的本质是攻防两端能力较量”。安全保障投入会随着系统安全性要求的提高而呈现指数级上涨，成本曲线偏移的影响因素包括攻防双方技术对环境变化的适应力、知识信息的丰富度、机制手段的先进性、以及掌握的算力资源等。 当系统安全性达到90%的时候，网络安全架构与底层关键技术是安全投入多少的重要影响因素： Ø安全治理：通过区块链技术实现平权共治 Ø基础共性技术：通过内生、量子实现安全提质 国内外网络安全技术架构探究 国内安全架构 特点：特点：所有能力都异构，面对请求都随机选择能力不足：代价巨大，需专门设计 GMTN新型安全架构，网络安全可信内生 下一代网络从通信网络转变为信息服务网络，“能力无所不及、连接无所不达、算力无所不在”，以内生安全为数字世界提供端到端全流程保障。为适应未来网络跨组织、跨域、跨云的一体化特性，网络安全技术架构需要在安全治理、安全管理、安全技术方面进行新的设计与变革，以自然科学和共性技术为根基实现“安全可信内生”。 安全治理：通过区块链技术实现平权共治 基于区块链技术与传统CA技术特点，提出多层级CA身份体上链技术；支持引入CA机构根证书，支持加入个体证书，解决层次化CA证书上链与互信的问题。推动ISO/IEC和ITU-T启动修订传统数字证书体系的权威国际标准ITU-T X.509。 安全管理（1/2）预期管理：基于可信度量技术实现全网运行可预期 基于可信度量技术构建节点可信、连接可信、运营可信的防护框架，实现计算环境可信、边界可信、网络通信可信，达到网络行为可预期管理，网络传输有保证，网络安全能力可输出的目的。 安全管理（2/2）协同管理：基于安全互操作技术实现全网协同管理 通过安全互操作技术，整合分散的安全能力，打通异构安全能力协同通道，为可信安全管理中心提供统一知识运营，实现全网协同管理。 安全技术（1/2）持续推进可信内生安全研究，增强网络自身安全 在增强网络设备自身安全的基础上，配合专用的安全设备与系统，并通过智能分析、灵活编排等运维管理手段，形成可靠、灵活、至简的动态安全内生防护体系，有效地识别和防御各种网络攻击。 安全技术（2/2）持续基础共性安全技术研究，构建网络安全基石 基础共性安全技术是构建网络安全防护体系的基石，积极开展如量子密钥、人工智能等基础安全技术攻关，促使网络向更加安全、更加可信的方向演进。 背景需求 技术趋势 2 创新实践 3 构建安全治理底座，筑牢数字政府安全防线 中国移动构建甘肃数字政府安全治理方案，以满足数字政府政务大数据业务安全运行需求，保障大数据平台数据安全运营，致力于为省级、地市级政务系统提供数据安全治理的全生命周期服务，切实筑牢数字政府建设安全防线。 互通NFT跨链服务，搭建数字经济合作“数字桥梁” 中国移动联合香港Web3.0协会，以NFT为载体，打造“跨链协议+链适配器+智能合约”方案，通过NFT流转的业务流程实现资产数字化、价值化和证券化，基于NFT数字资产跨链跨境流通，为闽港数字经济合作搭建“数字桥梁”。 坚持创新引领促进新一代网络与安全技术融合感谢聆听！