網(wǎng)絡(luò)安全技術(shù)發(fā)展趨勢(shì)

數(shù)字時(shí)代下，云大物移等新興技術(shù)的融合與發(fā)展使得傳統(tǒng)邊界安全防護(hù)理念逐漸失效，而零信任安全建立以身份為中心進(jìn)行動(dòng)態(tài)訪問控制，必將成為數(shù)字時(shí)代下主流的網(wǎng)絡(luò)安全架構(gòu)。零信任是面向數(shù)字時(shí)代的新型安全防護(hù)理念，是一種以資源保護(hù)為核心的網(wǎng)絡(luò)安全范式。

零信任安全簡要?dú)w納和概況：1）網(wǎng)絡(luò)無時(shí)無刻不處于危險(xiǎn)的環(huán)境中；2）網(wǎng)絡(luò)中自始至終都存在外部或內(nèi)部威脅；3）網(wǎng)絡(luò)位置不足以決定網(wǎng)絡(luò)的可信程度；4）所有的設(shè)備、用戶和網(wǎng)絡(luò)流量都應(yīng)當(dāng)經(jīng)過認(rèn)證和授權(quán)；5）安全策略必須是動(dòng)態(tài)的，并基于盡可能多的數(shù)據(jù)源計(jì)算而來。因此零信任安全的核心思想是默認(rèn)情況下企業(yè)內(nèi)部和外部的所有人、事、物都是不可信的，需要基于認(rèn)證和授權(quán)重構(gòu)訪問控制的信任基礎(chǔ)。零信任的雛形最早源于 2004 年耶利哥論壇提出的去邊界化的安全理念，2010 年 Forrester 正式提出了“零信任”（Zero Trust，ZT）的術(shù)語。經(jīng)過近十年的探索，零信任的理論及實(shí)踐不斷完善，逐漸從概念發(fā)展成為主流的網(wǎng)絡(luò)安全技術(shù)架構(gòu)。

數(shù)字時(shí)代下，舊式邊界安全防護(hù)逐漸失效。傳統(tǒng)的安全防護(hù)是以邊界為核心的，基于邊界構(gòu)建的網(wǎng)絡(luò)安全解決方案相當(dāng)于為企業(yè)構(gòu)建了一條護(hù)城河，通過防護(hù)墻、VPN、UTM 及入侵防御檢測(cè)等安全產(chǎn)品的組合將安全攻擊阻擋在邊界之外。這種建設(shè)方式一定程度上默認(rèn)內(nèi)網(wǎng)是安全的，而目前我國多數(shù)政企仍然是圍繞邊界來構(gòu)建安全防護(hù)體系，對(duì)于內(nèi)網(wǎng)安全常常是缺失的，在日益頻繁的網(wǎng)絡(luò)攻防對(duì)抗中也暴露出弊端。而云大物移智等新興技術(shù)的應(yīng)用使得 IT 基礎(chǔ)架構(gòu)發(fā)生根本性變化，可擴(kuò)展的混合 IT 環(huán)境已成為主流的系統(tǒng)運(yùn)行環(huán)境，平臺(tái)、業(yè)務(wù)、用戶、終端呈現(xiàn)多樣化趨勢(shì)，傳統(tǒng)的物理網(wǎng)絡(luò)安全邊界消失，并帶來了更多的安全風(fēng)險(xiǎn)，舊式的邊界安全防護(hù)效果有限。面對(duì)日益復(fù)雜的網(wǎng)絡(luò)安全態(tài)勢(shì)，零信任構(gòu)建的新型網(wǎng)絡(luò)安全架構(gòu)被認(rèn)為是數(shù)字時(shí)代下提升信息化系統(tǒng)和網(wǎng)絡(luò)整體安全性的有效方式，逐漸得到關(guān)注并應(yīng)用，呈現(xiàn)出蓬勃發(fā)展的態(tài)勢(shì)。

隨著人工智能技術(shù)的發(fā)展，攻擊者傾向于針對(duì)惡意代碼攻擊鏈的各個(gè)攻擊環(huán)節(jié)進(jìn)行賦能，增強(qiáng)攻擊的精準(zhǔn)性，提升攻擊的效率與成功率，有效突破網(wǎng)絡(luò)安全防護(hù)體系，對(duì)防御方造成重大損失。在惡意代碼生成構(gòu)建方面，深度學(xué)習(xí)賦能惡意代碼生成相較傳統(tǒng)的惡意代碼生成具有明顯優(yōu)勢(shì)，可大幅提升惡意代碼的免殺和生存能力。在惡意代碼攻擊釋放過程中，攻擊者可將深度學(xué)習(xí)模型作為實(shí)施攻擊的核心組件之一，利用深度學(xué)習(xí)中神經(jīng)網(wǎng)絡(luò)分類器的分類功能，對(duì)攻擊目標(biāo)進(jìn)行精準(zhǔn)識(shí)別與打擊。在 2018 年美國黑帽大會(huì)上，國際商業(yè)機(jī)器公司（IBM）研究院展示了一種人工智能賦能的惡意代碼 DeepLocker，借助卷積神經(jīng)網(wǎng)絡(luò)（CNN）模型實(shí)現(xiàn)了對(duì)特定目標(biāo)的精準(zhǔn)定位與打擊，驗(yàn)證了精準(zhǔn)釋放惡意代碼威脅的技術(shù)可行性。目前，這類攻擊手法已被攻擊者應(yīng)用于實(shí)際的高級(jí)持續(xù)性威脅攻擊，一旦繼續(xù)拓寬應(yīng)用范圍，將難以實(shí)現(xiàn)對(duì)抗防范；如果將之與網(wǎng)絡(luò)攻擊武器結(jié)合，有可能提升戰(zhàn)斗力并造成嚴(yán)重威脅和破壞。

另一方面，隨著物聯(lián)網(wǎng)（IoT）的逐步普及、工控系統(tǒng)的廣泛互聯(lián)，直接暴露在網(wǎng)絡(luò)空間的聯(lián)網(wǎng)設(shè)備數(shù)量大幅增加。2016年Mirai IoT 僵尸網(wǎng)絡(luò)分布式拒絕服務(wù)攻擊（DDoS）事件表明，攻擊者正在利用多種手段控制海量 IoT 設(shè)備，將這些受感染的 IoT 設(shè)備組成僵尸網(wǎng)絡(luò)，發(fā)動(dòng)大規(guī)模 DDoS 攻擊并可造成網(wǎng)絡(luò)阻塞和癱瘓。除了呈現(xiàn)大規(guī)模攻擊的典型特點(diǎn)之外，網(wǎng)絡(luò)攻擊者越發(fā)注重將人工智能技術(shù)應(yīng)用于僵尸網(wǎng)絡(luò)攻擊，據(jù)此進(jìn)化出智能化、自主化特征。

2021年全球威脅態(tài)勢(shì)預(yù)測(cè)表明，人工智能技術(shù)未來將大量應(yīng)用在類似的蜂群網(wǎng)絡(luò)中，可使用數(shù)百萬個(gè)互連的設(shè)備集群來同步識(shí)別并應(yīng)對(duì)不同的攻擊媒介，進(jìn)而利用自我學(xué)習(xí)能力，以前所未有的規(guī)模對(duì)脆弱系統(tǒng)實(shí)施自主攻擊。這種蜂巢僵尸集群可進(jìn)行智能協(xié)同，根據(jù)群體情報(bào)自主決策采取行動(dòng)，無需僵尸網(wǎng)絡(luò)的控制端來發(fā)出命令；無中心的自主智能協(xié)同技術(shù)，使得僵尸網(wǎng)絡(luò)規(guī)?？赏黄泼羁刂仆ǖ赖南拗贫杀对鲩L，顯著擴(kuò)大了同時(shí)攻擊多個(gè)目標(biāo)的能力。人工智能賦能的規(guī)?；?、自主化主動(dòng)攻擊，向傳統(tǒng)的僵尸網(wǎng)絡(luò)對(duì)抗提出了全新挑戰(zhàn)，催生了新型網(wǎng)絡(luò)空間安全威脅。

目前，應(yīng)對(duì)量子威脅的方法主要集中在發(fā)展量子密碼和后量子密碼這兩方面。量子密碼為提升信息安全保障能力提供了新思路。量子計(jì)算對(duì)傳統(tǒng)加密措施的影響源于其獨(dú)特的量子特性，如果發(fā)揮其正面功能，將這些特性用于構(gòu)造信息加密算法，量子計(jì)算所帶來的威脅或許能輕松應(yīng)對(duì)，這種基于量子力學(xué)原理保障信息安全的技術(shù)便是量子密碼（Quantum Cryptography）。1984 年 Charles Bennett 和 Gilles Brassard 提出了一個(gè)密鑰分發(fā)協(xié)議（BB84 協(xié)議），該協(xié)議為解決密碼學(xué)中的密鑰協(xié)商問題提供了一種全新的思路，其安全性建立在這樣的量子理論上：量子比特在傳輸過程中無法被準(zhǔn)確復(fù)制，并且對(duì)發(fā)送量子態(tài)和接收量子態(tài)的比較，可以發(fā)現(xiàn)傳輸過程中是否存在的截取―測(cè)量等竊聽行為，進(jìn)而能夠?qū)崿F(xiàn)所謂的信息論意義上的安全。量子密鑰分發(fā)（QKD）作為量子密碼技術(shù)中目前最接近產(chǎn)業(yè)應(yīng)用的一個(gè)方向，備受各方關(guān)注。在產(chǎn)品開發(fā)方面，瑞士 ID Quantique，東芝歐洲研究院，以及我國的國科量子、科大國盾、安徽問天等公司已有量子密鑰分發(fā)的相關(guān)產(chǎn)品問市。在戰(zhàn)略層面，2019 年 7月歐盟 10 國簽署量子通信基礎(chǔ)設(shè)施（QCI）聲明，探討未來十年在歐洲范圍內(nèi)將量子信息技術(shù)整合到傳統(tǒng)通信基礎(chǔ)設(shè)施中，以確保加密通信系統(tǒng)免受網(wǎng)絡(luò)安全威脅。2020 年 6 月，以色列成立量子通信聯(lián)盟，重點(diǎn)研發(fā)改進(jìn)量子密碼技術(shù)，并降低實(shí)現(xiàn)成本。2021年，日、韓等國也相應(yīng)公布了戰(zhàn)略文件，并在 ITU-T 等標(biāo)準(zhǔn)開發(fā)平臺(tái)上開展標(biāo)準(zhǔn)化工作。

另一方面，后量子密碼是緩解量子威脅的重要手段。對(duì)于后量子密碼（PQC）算法，是指那些在大規(guī)模量子計(jì)算機(jī)出現(xiàn)后仍保持計(jì)算安全的密碼算法。這些算法的構(gòu)造沒有采用量子力學(xué)的物理特性，而是延續(xù)傳統(tǒng)主流的計(jì)算上的可證安全研究方法。目前，后量子算法的研究重點(diǎn)是構(gòu)造解決公鑰加密（密鑰建立）和簽名問題的非對(duì)稱算法，主要包括基于格、編碼、多變量多項(xiàng)式以及 Hash 函數(shù)等相關(guān)困難問題構(gòu)造的密碼算法。這些問題已在傳統(tǒng)密碼學(xué)領(lǐng)域發(fā)展多年，其抵抗量子攻擊的復(fù)雜度假設(shè)是支撐后量子算法安全的基礎(chǔ)。目前還未出現(xiàn)兼顧安全性和效率的 PQC 算法，但是由于形式上 PQC 的部署主要涉及算法模塊的替換，相比 QKD 技術(shù)更為簡單實(shí)用，這種解決方案目前承載著更多期望。不過，PQC 的局限性也很突出。例如，PQC 算法模塊仍不可避免地存在側(cè)信道泄露問題；其次，由于無法排除未來出現(xiàn)的量子攻擊算法能進(jìn)一步削弱基礎(chǔ)數(shù)學(xué)問題的困難性，導(dǎo)致 PQC 無法實(shí)現(xiàn)長期安全目標(biāo)，不便用于特殊的保密場(chǎng)合。這點(diǎn)對(duì)對(duì)稱算法仍然適用。通常認(rèn)為根據(jù) Grover 算法的搜索復(fù)雜性將密鑰長度增加一倍即可抵抗量子攻擊，但這種理解不一定正確。盡管理論上不存在超越平方加速的非結(jié)構(gòu)化搜索算法，但不排除后續(xù)仍會(huì)出現(xiàn)更好的根據(jù)對(duì)稱算法結(jié)構(gòu)性缺陷的量子破解算法。因此，增大密鑰長度實(shí)現(xiàn)分組算法安全性的做法只能是權(quán)宜之計(jì)。在實(shí)際應(yīng)用中選擇結(jié)合后量子算法和 QKD 技術(shù)來實(shí)現(xiàn)長期安全目標(biāo)的做法比較可取，這點(diǎn)與歐洲標(biāo)準(zhǔn)組織ETSI 的策略一致。

美國軍方和智庫一致認(rèn)為，美軍當(dāng)前幾乎所有的作戰(zhàn)系統(tǒng)（包括：定位、導(dǎo)航、授時(shí)、偵察監(jiān)視、測(cè)繪遙感、通信傳輸?shù)龋┒几叨纫蕾囂召Y源的關(guān)鍵支撐，隨著中俄不斷發(fā)展激光、地基、在軌、電子與網(wǎng)絡(luò)等反衛(wèi)星武器，現(xiàn)有太空體系高度脆弱并面臨關(guān)鍵威脅和嚴(yán)峻挑戰(zhàn)，亟需發(fā)展致命性、彈性、有威懾力又低成本的軍事太空能力。“彈性太空”概念隨著美國太空戰(zhàn)略調(diào)整不斷豐富完善。2019年7月，美國太空發(fā)展局發(fā)布《下一代太空體系架構(gòu)》，認(rèn)為在大國競(jìng)爭時(shí)代，“彈性、靈活性、敏捷性”是美國太空軍事化的發(fā)展趨勢(shì)，彈性太空是一個(gè)新方向。2021年4月，美國智庫“大西洋委員會(huì)”與斯考克羅夫特戰(zhàn)略與安全中心共同發(fā)布《太空安全的未來：未來30的美國戰(zhàn)略》研究報(bào)告，報(bào)告建議美國優(yōu)先發(fā)展“作戰(zhàn)響應(yīng)空間技術(shù)群、在軌服務(wù)技術(shù)群、新興防御技術(shù)群”等能夠提升未來太空體系彈性的關(guān)鍵技術(shù)。

“彈性太空”是美國太空戰(zhàn)略發(fā)展的新方向，其內(nèi)涵隨著美國太空戰(zhàn)略調(diào)整而不斷豐富，具體體現(xiàn)為：分散式、擴(kuò)散式、多樣化部署；體系能夠隨時(shí)分解、重組、重構(gòu)、重建與自我修復(fù)；威脅全面感知與快速溯源反擊；高風(fēng)險(xiǎn)條件下持續(xù)支援其他域聯(lián)合作戰(zhàn)。在“彈性太空”思想指導(dǎo)下，美國提出了下一代彈性太空七層體系架構(gòu)；重點(diǎn)研究抗干擾、強(qiáng)機(jī)動(dòng)、軟件定義的彈性衛(wèi)星技術(shù)；探索“航天母艦”平臺(tái)X-37B空天飛機(jī)、太空攻防武器、天基互聯(lián)網(wǎng)等太空戰(zhàn)關(guān)鍵技術(shù)的軍事應(yīng)用；始終引領(lǐng)著世界太空技術(shù)的發(fā)展。