网络安全战略与技术发展趋势蓝皮书(2024年)
前言 网络安全和信息化是事关国家安全和国家发展、事关广大人民群众工作生活的重大战略问题。2014年2月27日,习近平主持召开中央网络安全和信息化领导小组第一次会议时强调,网络安全和信息化是一体之两翼、驱动之双轮,必须统一谋划、统一部署统一推进、统一实施。近年来全球网络安全事件频发,对通信、政府机构、能源、交通、科技等多个关键领域造成严重影响,暴露了当前网络安全防护体系的脆弱性,也凸显了网络安全威胁影响范围不断扩大、破坏性显著增强、以及政治化程度日益加深的趋势。随攻击技术的演进,网络安全事件的破坏力逐渐提升,超越了传统的数据泄露和系统中断,开始对关键基础设施乃至物理设备产生直接破坏,导致不可估量的经济损失与社会动荡。网络空间已成为国家间战略竞争的新前沿,网络攻击愈发成为国家博弃和政治对抗的工具,网络安全问题的复杂性和严重性持续上升。杀 忽视(无视)数字产品设计中的网络安全问题”、“补丁摄补丁、反复踩坑的恶性循环”是数字世界的“两大顽疾”。同时,制造端长期缺乏安全责任,产品安全质量难以保障,进一步使高度互联的数字化社会暴露在系统级风险之下,同质化产品一旦发生单点失效,极易引发大规模共模故障,导致上层服务全面崩溃。对于规模庞大、结构复杂的数字基础设施,关键节点或服务的安全缺陷一旦被利用,往往会通过二阶、三阶效应造成多米诺式的系统性安全事件,使脆弱的数字社会面临严峻威胁,近年来,为了应对日益严峻的网络安全风险,欧美各国不约而同地提出网络安全应进行范式转变,“强化数字产品制造侧网络安全责任和监管”“建立可防御且富有弹性的数字生态系统”,并上升为其统筹网络空间“发展与安全”的战略设计,敦促网络安全责任从用户侧向制造侧转移,动员全社会资源以“网络弹性工程”为抓手加强制造侧设计安全,强调数学产品制造商从数字产品全生命周期的初始设计阶段就有意识地确保网络安全是产品开发的关键方面。 当前美欧网络安全的相关政策法规和战略规划,一方面是出于扭转数字社会 日益严峻安全形势之需要,另一方面也是对传统数字生态系统底层驱动范式的变革,美欧大力实施的制造侧设计安全路线仍然建立在各种先验知识库完备性和实时性基础上,强调“打倒可恢复”的网络弹性,仍然跳不出补丁补丁恶性循环,虽然能够在某种程度上缓解当前网络空间安全风险,但无法从根本上解决数字化社会的系统级风险。显而易见,只有走不依赖先验知识的网络韧性设计范式,达成“攻而不倒”的网络韧性目标,才可能从根本上实现数字生态系统底层驱动范式转型。 本蓝皮书首先介绍了网络安全威胁事件的现状及趋势,总结了网络安全威胁愈演愈烈的原因。其次,深入分析当前网络安全战略与技术的发展现状和未来趋势,全面评估全球网络安全格局的变化,重点识别我国在这一领域的先发技术优势。最后,客观分析我国网络安全领域面临的挑战和不足,通过深入探讨如何利字产品安全监管体系,我们期望能够为建立全面的网络安全责任和质量控制体系提供有力支撑,为筑牢数字生态系统基座“根骨”,提出一条领先欧美的数字中国建设新路径。 漏洞/后门问题是所有包含数字元素的软硬件系统底层驱动生态环境中不可归零”,无法避免“补丁上或补丁后”还可能引入新的安全漏洞的矛盾问题。此外,许多安全事件并非来源于单一的系统组件故障,而是因为非故障组件之间的不安全相互作用所致。漏洞/后门问题是所有包含数字元素的软硬件系统底层驱动生态环境中不可能彻底消除的“基因缺陷”,试图通过“封门补漏、打补丁”的方法实现“问题归零”,无法避免“补丁上或补丁后”还可能引入新的安全漏洞的矛居间题。此外,许多安全事件并非来源于单一的系统组件故障,而是因为非故障组件之间的不安全相互作用所致。 一中国工程院院士鄂江兴 版权声明 本蓝皮书版权属于主编和联合编写发布单位,并受法律保护。转载、摘编或通过其他方式使用本蓝皮书文字或者观点应注明来源:“郭江兴,季新生等,网络安全战略与技术发展趋势,紫金山实验室,2024年11月.”。违反上述声明者,版权方将追究其相关法律责任。 本蓝皮书主要贡献者 鄂江兴,季新生,贺磊,周鼎,牛玉坤,韩晓鹏,耿进步,谢宇,曹植纲,曹玖新,陈平,刘波,桂杰,纪东辰,周强,赵涵韬 目录 前言2版权声明本蓝皮书主要贡献者,目录1引言1.1背景1.2网络安全成胁全球形势1.3网络安全威助为什么愈演愈烈42.国内外网络安全战略发展现状及趋势62.1全球网络安全环境概述.622美国网络安全战略.72.2.1网络攻击不可避免驱使安全向弹性转型2.2.2制造商责任失衡道使内生安全设计2.2.3身份信任危机引领零信任架构变革122.2.4地缘政治博奔加速供应链安全重构142.2.5智能技术革新驱动网络安全新布局盗152.3欧盟网络安全战略.172.4中国网络安全战略202.5网络安全战略发展趋势分析.223国内外网络安全技术发展现状及趋势.273.1国外网络安全技术发展现状273.1.1网络弹性技术.273.1.2设计安全技术303.1.3零信任技术323.2国内网络安全技术发展现状3.2.1可信计算技术.353.22网络韧性技术363.3网络安全技术发展趋势分析.394我国网络安全领域的优势、不足及建议44图4.1我国网络安全领域的优势444.2我国网络安全领域存在的不足.474.3我国网络安全领域发展建议495总结.52参考文献.53 1 引言 1.1背景 在全球数字化浪潮席卷之际,网络安全已然成为一个不容忽视的关键议题,其重要性与日俱增。随着数字经济的蓬勃发展和新型工业化的加速推进,我们正面临着一个前所未有的复杂安全环境[1-1].网络安全威胁不再局限于传统的信息域,而是以惊人的速度和规模向物理域和认知域多维渗透,攻击手段也从单纯的信息层面软损害演变为可能导致物理层面硬损毁的复杂形态,更有甚者通过将数字设备武器化威胁国家总体安全。这种多维度、全方位的安全排战不仅威胁着单个组织的运营安全,更对全球经济体系和社会稳定构成了严峻挑战[1-2]。 权威机构的预测和研究进一步突出了问题的急迫性和严峻性。据Gartner预测,2025年全球将有近半数组织遭受供应链攻击:欧盟委员会联合研究中心的报告揭示,网络犯罪导致的经济损失已经超过自然灾害和毒品交易的总和[1-3]如果以经济体量衡量,网络犯罪已是仅次于美国和中国的世界第三大经济体,2023年底,损失达8万亿欧元,到2025年底将达10.5万亿欧元。随着全球互联系统和云服务的快速发展,在推动互联互通、提高效率的同时,也在不断累积网络安全赤字。这种赤字的存在大大增加了系统性网络风险的不确定性,其对全球经济的潜在影响难以估量, 然而,当前数字产品设计制造领域普遍存在的问题是对网络安全的重视程度不够。许多制造商仍然将安全性视为一个事后考虑的问题,而非产品设计和开发过程中的核心要素,这种观念导致了一种以补丁和应急响应为主的被动安全实践而非从根本上提升产品的固有安全性。这种做法不仅增加了后期维护的成本和复杂性,也为潜在攻击者提供了可乘之机。同时,由于数字产品市场粘性、技术迁移成本巨大以及数字生态系统被荃断企业隐形退化等原因,在处理器、操作系统、数据库、智能手机(硬件)、智能网联车、海底光缆安全等方面,数字产品生态系统同质化严重。制造侧“安全责任长期缺失”、数字产品“安全质量"难以保证、数字产品“同质化”,导致高度互联的数字化社会面临系统级风险。同质化产品单点失效可能引发大规模共模故障,进而导致上层服务全局崩溃。对于大规模、复 杂数字基础设施,关键要地/服务/支撑的单点缺陷被利用后,相关影响的二阶/三阶效应极易造成脆弱的数字化社会出现多米诺骨牌式的系统性安全事件。 国际社会面对这一严峻排战,已经开始积极行动起来,各国政府和国际组织正通过制定和实施更严格的政策法规计划以加强对数字产品的安全质量监管,强制数字产品制造侧切实担负起设计安全、款认安全的责任,要求将安全视为包含数字元素产品的核心能力,贯穿整个产品设计过程,提出必须从根本上改变数字生态系统的底层驱动范式,建立一个可防御且富有弹性的数字生态系统,构建更安全、透明和可靠的数字产品供应链。这些举措旨在从源头上提高数字产品的安全性,推动建立更加健康和可持续的数字生态系统[1-4]。 未来趋势,全面评估全球网络安全格局的变化。我们将重点识别我国在这一领域的先发技术优势,如内生安全、可信计算、数据加密等创新成果,同时也将客观分析我国面临的挑战和不足,通过深入探讨如何利用这些优势推动网络安全责任从用户侧向制造侧转移,如何构建中国特色数字产品安全监管体系,我们期望能够为建立全面的网络安全责任和质量控制体系提供有力支撑。这一转变不仅有助于提高数字产品的整体安全性,也将促进整个产业链的协同创新和升级 1.2.网络安全威胁全球形势 近年来全球网络安全事件频发,对通信、政府机构、能源、交通、科技等多个关键领域造成严重影响。早在1996年,以色列就曾遥控引爆手机,炸死了哈马斯的炸弹制造专家叶海亚·阿亚什。2020年12月的SolarWinds供应链攻击影响了全球超过250家企业,包括美国联邦机构和多家知名科技公司。2021年3月,针对苹果Xcode的供应链攻击通过GitHub上的开源项目植入后门,影响相关苹果手机应用程序。2022年3月意大利罗马特米尼火车站及米兰市多处火车站因黑客攻击导致电子信息显示屏故障和售票机无法售票,造成旅客混乱,火车应商攻击影响了全球约60万家企业用户,涉及金融、工业、能源等多个行业。2023年7月,MOVEitTransfer的漏洞导致2706个组织遭到攻击,影响了政府、金融、IT服务、能源、大学等多个行业的众多组织,受害者通布美国、英国、 加拿大、法国、以色列等20多个国家和地区,超过9300万人的个人数据被泄露,Clop勒索软件团伙声称对此次攻击负责,这事件被认为是2023年杀伤半径最大的供应链攻击。2023年以来,美联邦政府自导自演“伏特台风”事件,不断将网络攻击溯源问题政治化,作为打压中国的工具,我国网络安全机构于今年连 进入今年,网络安全事件频发,2024年1月,乌克兰利沃夫市市政能源公司遣受新型恶意软件攻击,导致集中供暖系统中断,市民生活两天无供暖保障。2024年3月,开源软件XZ压缩库供应链攻击影响了使用Debian、Ubuntu、Centos等多个Limux发行版的系统,同月,美国国家网络安全与基础设施安全局(CybersecurityandInfrastructureSecurityAgency,CISA)遭受黑客攻击,黑客利用英万齐软件技术有限公司产品的安全漏洞侵入CISA网络系统,迫使CISA紧急关闭两个关键业务系统一一基础设施保护网关和化学安全评估工具。2024年4月美国领先通信服务提供商边疆通信公司遭受网络攻击,迫使该公司关闭一些系统以防止威胁行为者横向移动,造成了严重的运营中断2024年7月19日,断事件,导致至少全球850万台使用微软视窗系统的设备大规模停止服务,事件已造成数十亿美元的直接或间接经济损失,对全球社会和经济的长期影响难以估量。2024年9月17日和18日,黎巴嫩多地发生传呼机、对讲机等数字产品爆炸事件,造成至少37人死亡和2931人受伤,被视为全球首起基于供应链攻击的大规模数字设备武器化事件。随后,以色列发动“新首”行动接连击杀包括真主党领导人纳斯鲁拉在内的18名真主党高级成员,展示了以方高超的情报战和科技战能力,以及情报信息与人工智能结合的认知域作战新方式。2024年10月,关国高通公司发布安全警告,称其多达64款芯片组中的数字信号处理器服务中涵盖了智能手机、汽车、物联网设备等多个领域。2024年10月12日,伊朗遭遇了严重的网络攻击,几乎所有政府部门的运作都受到了严重干扰,伊朗最高网络安全委员会的前秘书菲鲁扎巴迪表示,网络攻击影响了伊朗政府包括司法、立法和行政在内的几乎所有部门,许多重要信息被盗,伊朗的核设施以及燃料分配、 公共服务、交通和港口等关键网络也遭到攻击。2024年10月16日,中国网络空间安全协会发布《漏洞频发、
