内生安全赋能网络弹性的构想、方法与策略.docx

《内生安全赋能网络弹性的构想、方法与策略.docx》由会员分享，可在线阅读，更多相关《内生安全赋能网络弹性的构想、方法与策略.docx（20页珍藏版）》请在优知文库上搜索。

1、一、前言随着全球数字化、智能化转型加速，人类社会的运转更多借助于数字基础设施，平衡数字生态系统发展和网络安全风险成为各国关注的热点问题。在突破网络空间安全问题的过程中，确保网络绝对安全、“问题归零是不现实的，研窕并建设具有弹性的网络空间成为当务之急。构建弹性的网络空间，一方面可以减少安全失陷，另一方面可以缓解因安全失陷造成的危害并从中快速恢复，提高网络空间的安全韧性。近年来，以美国、欧盟、英国为代表的发达国家和地区提出并推动了网络弹性工程建设，力求构建可信赖的数字系统，形成应对高级持续性威胁（APT）的可靠能力。然而，这一网络弹性工程缺乏基础理论创新，多沿用在系统构建之后通过渗透测试等手段对系

2、统进行反复修改进而实现目标能力的技术路线；缺乏一体化保障信息物理系统网络安全和功能安全的能力，在感知并抵御”未知的未知网络攻击、保证关键业务的持续可信运行、对网络安全性能进行可量化设计与可验证度量等方面存在短板，致使在实际应用中难以充分发挥预期作用。文章针对数字生态系统底层驱动范式转型的新态势，分析国际现有网络弹性工程的应用进展，提出以结构决定安全的内生安全理论赋能网络弹性的总体构想，分析其工作机理，给出相应的技术路线、技术体系和技术运用方法，以期弥补现有网络弹性工程的缺陷，为赋能具备网络弹性的新一代关键基础设施提供支持。二、网络弹性、网络弹性工程的概念（一）弹性弹性（ReSilienCe/R

3、esiliency,也可译为韧性”）是力学、生态学中的一个专业术语。弹性的定义为系统在持续遭受内外部扰动影响时仍能以接近平衡的状态进行运转的能力。生态弹性描述的是生态系统在受到外部干扰时表现出的持久性和复原力，关乎系统如何吸纳变动和干预以维持群体/状态变量间的稳定关系。因此，生态弹性指生态系统能够保持其活跃的稳定状态，而非指保持其种群的静态稳定。弹性概念引导人们转向系统性思维，着重理解问题的本质和根源，是一种促进可持续发展的重要工具。近年来，随着网络威胁愈演愈烈，在系统工程、信息技术和计算机网络领域也逐渐引入了弹性概念。（二）网络弹性与网络弹性工程2010年，美国MrrRE研究所发表了网络弹性

4、领域的相关研究，认为在网络安全领域实现100%保护的想法不仅不现实，而且会导致一种错误的安全感；应更注意保护任务关键功能的连续性，考虑在防护失效的情况下，通过采取补偿措施以确保在遭受攻击的情况下仍能够达成任务。针对于此，网络弹性架构设想包括保护/威慑、检测/监测、遏制/隔离、维护/恢复、自适应进化5个目标，实现网络弹性目标的关键技术涵盖多样性、冗余、完整性、隔离/分段/遏制、检测/监测、最小特权、非持久化、分布式与移动目标防御、自适应管理与响应、随机化与不可预测性、欺骗等方面。自此，网络弹性作为一种新的安全理念开始受到政府和业界的高度重视。2011年9月，美国MITRE研究所发布了网络弹性工程

5、框架，从系统工程视角将弹性工程、网络安全和任务保证工程的交叉点界定为网络弹性工程（见图1）。2011年10月，美国卡内基梅隆大学计算机应急响应小组（CERT）发布了一套信息安全领域的弹性管理模型（CERT-RMM）o2021年，美国国家标准与技术研究院（NIST）正式发布开发网络弹性系统一一一种系统安全工程方法（NlSTSP800-160V2R1）,成为网络弹性领域首个重要技术文件。NlST将网络弹性定义为：拥有网络资源的实体所具备的对各种不利条件、压力、攻击或损害的预防、抵御、恢复和适应能力。网络弹性具有5个主要特征：聚焦任务或业务功能、聚焦APT攻击的影响、假设环境不断变化、假设对手必将攻

6、破系统、假设对手长期存在于系统或组织中。网络弹性可以同时针对来自网络和非网络的对抗与非对抗威胁。网络弹性与网络安全的关系如图2所示。网络弹性是网络安全向纵深发展的重要一步，可以化被动为主动，侧重事前设计和强固网络系统的承受力、吸收力和恢复力，有助于更好地应对“未知的未知威胁。网络安全网络弹性图2网络弹性与网络安全的关系三、国际网络弹性工程的应用进展（一）网络弹性工程的政策驱动1.美国美国在国土安全战略（2007年）中将网络弹性作为支撑国土安全综合方案的三大关键概念之一，在2010年发布的国家安全战略和2011年公布的第8号总统政策指令中呼吁提高美国的网络弹性，在2018年发布的国家网络战略中提

7、出了提升国家信息和信息系统的安全与弹性的目标。自此，网络弹性在美国由单一领域内的网络安全能力构建上升至国家网络安全战略层面。2019年，美国国土安全部和国务院联合发布关键基础设施安全和弹性指南，总结了提高关键基础设施安全和弹性的方法。2022年，美国制定国家安全战略国防安全战略，强调为关键基础设施制定标准以快速提高网络弹性，并建立快速应对攻击的集体能力。沿续弹性设计的技术思路，2023年美国提出了设计安全默认安全的概念，强调将安全措施“内置为体系结构和设计的基本部分;相应地，网络安全责任从应用服务侧向制造侧转移。此战略风向还见于美国发布的2023国家网络安全战略，围绕建立可防御、有弹性的数字生

8、态系统提出了具体的策略与措施以推进“制造侧安全2 .欧盟欧盟自2008年起，发布了多份增强网络弹性的政策文件，着力推动网络弹性由概念走向落地应用，如改善公共电子通信网络的弹性（2008年）、通信网络弹性规范化存在的差距（2009年）、启用和管理网络端对端弹性（2011年）、网络与服务弹性的测量标准和架构（2011年）、向着网络安全迈进（2012年）等。此外，欧盟还注重网络弹性立法工作，提出了数字运营弹性法案网络弹性法案（CRA）,要求欧盟境内销售的可联网数字化设备和软件在全生命周期内都必须满足强制性安全标准和透明度要求，对网络攻击具有弹性。欧盟已于2023年11月30日就CRA技术层面议题达成

9、一致，将提交欧洲议会和欧盟理事会审议。3 .英国英国将网络弹性列为国家网络战略的重要支柱之一，于2022年发布了国家网络战略2022国防网络弹性战略和2022-2030政府网络安全战略一一建立一个具有网络弹性的公共部门等政策文件。其中，国防网络弹性战略明确提出了建立国防弹性网络体系的愿景和具体任务及目标，同时呼吁尽快推进网络弹性立法。（二）网络弹性工程的战略考量一是强化制造供应侧安全。2023年，美国、澳大利亚、加拿大、英国、德国、荷兰等国家联合发布了向平衡网络安全风险转变：基于设计与默认安全的方法和原则，强调将安全作为包含数字元素产品的核心能力，贯穿产品设计过程，而非仅仅作为产品的一项技术特

10、性，要求实现产品开箱即可抵御普遍存在的攻击。同年，美国发布2023国家网络安全战略，提出通过立法，将安全责任转移到产品提供者，倒逼软硬件制造商承担网络安全责任。这表明美国、欧洲等发达国家和地区己认识到即使最先进的网络安全技术也不能做到防止所有漏洞，需要在软硬件实体上采取合理的预防措施来保护其应用和服务安全，促使软硬件供应商履行对消费者、企业、关键基础设施的安全责任和义务，从而推动市场提供更安全的产品和服务。二是采取“小院高墙的方式保护本土产业。近年来，世界主要经济体在在科技和数字领域的战略竞争持续深入。美国作为全球数字经济的领导者，为保持强国地位，持续升级在高新技术领域、特别是数字产业的竞争策

11、略，加强自身技术保护，通过持续的改革和投入以保持竞争优势。欧盟在数字经济和互联网领域的发展虽然较为一般，但在以德国、法国为代表的传统技术强国的努力下，积极通过立法保护数字安全，并征收数字税，在保护本土企业的同时推动境内企业在技术、管理、运维等方面进行整合，形成新的技术优势，实现产业升级。三是提高网络和数字安全准入门槛以保证自身安全。近年来，美国、欧洲等发达国家和地区的关键基础设施供应商遭受网络攻击的频次增加。欧盟虽出台多部涉及数字化产品的法律，但遭受网络攻击的现象仍愈演愈烈，约有60%以上的设备处于监管盲区，只有50%的相关公司对网络攻击采取了保护措施。为确保整体安全、防范黑天鹅事件，采用更有

12、效力的网络风险评估和管理策略尤为重要,而其核心即是网络弹性。为此，欧盟重视从立法层面进行干预，提供可操作、可评估的标准加以指导。四是增强在网络空间、数字空间的话语权。在全球数字化转型的趋势下，一个国家和地区如果能率先提出数据要素流通或数字安全保障方面的有效方案，就有可能影响其他国家，引领全球风向。美国、欧盟等发达国家和地区希望依靠先行优势，在筑牢数字经济安全基石方面占据主导优势，抢占话语权。欧盟在2018年发布一般数据保护条例，提高了在全球数据治理中的影响力，获得了远超数字经济体量的话语权。自此，欧盟通过网络弹性立法等工作，希望抢占未来国际规则制定先机，将“欧盟模式推向世界。（三）网络弹性工程

13、的发展困境一是难以应对网络空间未知的未知安全威胁。现有网络弹性工程框架主要基于先验知识对关键任务及其业务流程的顺利执行进行保障，其思路是通过对业务功能和性能异常的感知，触发保护及恢复机制。但是，对于未知网络攻击，因缺少先验知识可能无法感知相关异常，致使难以保障关键业务系统承载平台的安全性和关键业务系统的可信性，更无法达成使命确保的核心目标。虽然现有的网络弹性工程框架设定了“假设资源会失陷的原则，给出了面对未知威胁应采取的策略，指出了存在无法检测未知威胁的可能性，但目前给出的解决思路仅限于被动的失陷影响分析，未能给出主动的应对方法。二是网络弹性工程框架缺乏顶层设计。自网络弹性概念及其工程框架提出

14、以来，实现网络弹性始终是研究重点。网络弹性工程框架应能抵御攻击，受到攻击时继续提供基本服务，被攻击后能快速恢复功能。迄今为止，满足上述要求的网络弹性工程框架尚未形成。网络弹性工程的框架设计是需要解决的五大硬核问题之一，但研究进展有限。网络弹性度越强，网络可生存能力就越强，但是由于没有统领性的网络弹性工程框架，目前无法实施有效统一的抵抗网络安全威胁策略。三是网络弹性评估缺乏科学度量方法。美国、欧洲等国家和地区虽高度重视网络弹性评估，但始终未能解决数字化产品安全性能验证度量这一世界性难题,无法给出安全性能量化验证的技术指标。美国国防部提出了网络弹性存在三大挑战：系统具备良好网络弹性的判定标准，不同

15、系统之间网络弹性的比较，系统网络弹性核心能力的评估。这些挑战性问题悬而未决致使网络弹性工程及网络弹性法案难以落地。窕其原因主要是：存在评估复杂性与重大核心能力指标选取关系问题；评估度量结果的可比性存在较大挑战，度量值对度量评估环境很敏感；难以评估系统的可塑性和涌现性，由于网络安全/信息安全、功能安全和弹性是系统的涌现特性，难以从该系统的各构成模块的行为特性中推导出来。四、内生安全赋能网络弹性的机理分析针对网络弹性工程发展面临的挑战，文章基于内生安全理论提出了一种新的动态异构冗余架构（DHR）,可以有效抑制未知的未知网络威胁，同时给出了体系化的工程框架，可为解决安全性可量化设计与可验证度量难题提

16、供技术路径。内生安全理论的内涵是以结构决定安全的系统工程论为指导，以“构造加密双盲理论为基础，以安全性可量化设计、可验证度量为实践规范，允许在有毒带菌的环境下确保数字技术装备或系统的网络弹性。（一）内生安全问题是网络空间安全的本源从网络空间的现象观察可知，一个确定功能的网络系统总是存在着显式副作用或隐式暗功能。从网络空间的工程实践经验可知，无法获得一个没有伴生或衍生功能的纯粹功能。从一般哲学意义上看，自然界或人工系统中不存在逻辑意义上的“当且仅当的功能，即不存在没有矛盾的事物。如果一个软硬件实体的“暗功能和副作用能被某种因素触发而影响到其预设功能，则称其为该系统的内生安全问题。内生安全问题具有4个基本特征。内生安全问题属于元功能或本征功能的已知/未知