網(wǎng)絡(luò)安全戰(zhàn)略與技術(shù)發(fā)展趨勢(shì)藍(lán)皮書(2024年)

紫金山實(shí)驗(yàn)室2024年11月的重大戰(zhàn)略問(wèn)題。2014年2月27日，習(xí)近平主持召開(kāi)中央網(wǎng)絡(luò)安全和信息化領(lǐng)忽視(無(wú)視)數(shù)字產(chǎn)品設(shè)計(jì)中的網(wǎng)絡(luò)安全問(wèn)題”、“補(bǔ)丁摞補(bǔ)丁、反復(fù)踩坑的惡管”“建立可防御且富有彈性的數(shù)字生態(tài)系統(tǒng)”,并上升為其統(tǒng)籌網(wǎng)絡(luò)空間“發(fā)字產(chǎn)品全生命周期的初始設(shè)計(jì)階段就有意識(shí)地確保網(wǎng)絡(luò)安全是產(chǎn)品開(kāi)發(fā)的關(guān)鍵動(dòng)生態(tài)環(huán)境中不可能徹底消除的“基因缺陷”,試圖通過(guò)“封門補(bǔ)漏、打補(bǔ)丁”版權(quán)聲明安全戰(zhàn)略與技術(shù)發(fā)展趨勢(shì)，紫金山實(shí)驗(yàn)室，20本藍(lán)皮書主要貢獻(xiàn)者 2 4本藍(lán)皮書主要貢獻(xiàn)者 4 5 1 11.2網(wǎng)絡(luò)安全威脅全球形勢(shì) 21.3網(wǎng)絡(luò)安全威脅為什么愈演愈烈 42國(guó)內(nèi)外網(wǎng)絡(luò)安全戰(zhàn)略發(fā)展現(xiàn)狀及趨勢(shì) 62.1全球網(wǎng)絡(luò)安全環(huán)境概述 62.2美國(guó)網(wǎng)絡(luò)安全戰(zhàn)略 72.2.1網(wǎng)絡(luò)攻擊不可避免驅(qū)使安全向彈性轉(zhuǎn)型 72.2.2制造商責(zé)任失衡迫使內(nèi)生安全設(shè)計(jì) 92.2.3身份信任危機(jī)引領(lǐng)零信任架構(gòu)變革 2.2.4地緣政治博弈加速供應(yīng)鏈安全重構(gòu) X……142.2.5智能技術(shù)革新驅(qū)動(dòng)網(wǎng)絡(luò)安全新布局 2.3歐盟網(wǎng)絡(luò)安全戰(zhàn)略 202.5網(wǎng)絡(luò)安全戰(zhàn)略發(fā)展趨勢(shì)分析 23國(guó)內(nèi)外網(wǎng)絡(luò)安全技術(shù)發(fā)展現(xiàn)狀及趨勢(shì) 273.1國(guó)外網(wǎng)絡(luò)安全技術(shù)發(fā)展現(xiàn)狀 273.1.1網(wǎng)絡(luò)彈性技術(shù) 273.1.2設(shè)計(jì)安全技術(shù) 303.1.3零信任技術(shù) 3.2國(guó)內(nèi)網(wǎng)絡(luò)安全技術(shù)發(fā)展現(xiàn)狀 3.2.1可信計(jì)算技術(shù) 3.3網(wǎng)絡(luò)安全技術(shù)發(fā)展趨勢(shì)分析 4我國(guó)網(wǎng)絡(luò)安全領(lǐng)域的優(yōu)勢(shì)、不足及建議 444.1我國(guó)網(wǎng)絡(luò)安全領(lǐng)域的優(yōu)勢(shì) 44.2我國(guó)網(wǎng)絡(luò)安全領(lǐng)域存在的不足 474.3我國(guó)網(wǎng)絡(luò)安全領(lǐng)域發(fā)展建議 49 參考文獻(xiàn) 1其重要性與日俱增。隨著數(shù)字經(jīng)濟(jì)的蓬勃發(fā)域，而是以驚人的速度和規(guī)模向物理域和認(rèn)信息層面軟損害演變?yōu)榭赡軐?dǎo)致物理層面硬損毀的字設(shè)備武器化威脅國(guó)家總體安全。這種多維度、全權(quán)威機(jī)構(gòu)的預(yù)測(cè)和研究進(jìn)一步突出了問(wèn)題的急迫性和嚴(yán)峻性測(cè)，2025年全球?qū)⒂薪霐?shù)組織遭受供應(yīng)鏈攻擊；歐盟委員會(huì)聯(lián)合研究中心的如果以經(jīng)濟(jì)體量衡量，網(wǎng)絡(luò)犯罪已是僅次于美國(guó)和中國(guó)的世界第三大經(jīng)濟(jì)體，2023年底，損失達(dá)8萬(wàn)億歐元，到2025年底將達(dá)10.5萬(wàn)億歐元。隨著全球互聯(lián)然而，當(dāng)前數(shù)字產(chǎn)品設(shè)計(jì)制造領(lǐng)域普遍存在的問(wèn)題是對(duì)網(wǎng)絡(luò)安全的重視程度不夠。許多制造商仍然將安全性視為一個(gè)事后考慮的問(wèn)題，而非產(chǎn)品設(shè)計(jì)和開(kāi)發(fā)而非從根本上提升產(chǎn)品的固有安全性。這種做法不僅增加了后期維護(hù)的成本和復(fù)雜性，也為潛在攻擊者提供了可乘之機(jī)。同時(shí)，由于數(shù)字產(chǎn)品市場(chǎng)粘性、技術(shù)遷數(shù)據(jù)庫(kù)、智能手機(jī)(硬件)、智能網(wǎng)聯(lián)車、海底光纜安全等方面，數(shù)字產(chǎn)品生態(tài)2雜數(shù)字基礎(chǔ)設(shè)施，關(guān)鍵要地/服務(wù)/支撐的單點(diǎn)缺陷被利用后，相關(guān)影響的二階/個(gè)關(guān)鍵領(lǐng)域造成嚴(yán)重影響。早在1996年，以色列就曾遙控引爆手機(jī)，炸死了哈響了全球超過(guò)250家企業(yè)，包括美國(guó)聯(lián)邦機(jī)構(gòu)和多家知名科技公司。2021年3月，針對(duì)蘋果Xcode的供應(yīng)鏈攻擊通過(guò)GitHub上的開(kāi)源項(xiàng)目植入后門，影響相關(guān)蘋果手機(jī)應(yīng)用程序。2022年3月意大利羅馬特米尼火車站及米蘭市多處火車站不得不安排工作人員使用擴(kuò)音器提供指示和信息。2023年3月，3CX軟件供應(yīng)商攻擊影響了全球約60萬(wàn)家企業(yè)用戶，涉及金融、工業(yè)、能源等多個(gè)行業(yè)。2023年7月，MOVEitTransfer的漏洞導(dǎo)致2706個(gè)組織遭到攻擊，影響了政府、金融、IT服務(wù)、能源、大學(xué)等多個(gè)行業(yè)3Clop勒索軟件團(tuán)伙聲稱對(duì)此次攻擊負(fù)責(zé)，這一事件被認(rèn)為是2023年殺傷半徑最大的供應(yīng)鏈攻擊。2023年以來(lái)，美聯(lián)邦政府自導(dǎo)自演“伏特臺(tái)風(fēng)”事件，不斷進(jìn)入今年，網(wǎng)絡(luò)安全事件頻發(fā)，2024年1月，烏克蘭利沃夫市市政能源公等多個(gè)Linux發(fā)行版的系統(tǒng)，同月，美國(guó)國(guó)家網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局 (CybersecurityandInfrastruc利用英萬(wàn)齊軟件技術(shù)有限公司產(chǎn)品的安全漏洞侵入CISA網(wǎng)絡(luò)系統(tǒng)，迫使CI緊急關(guān)閉兩個(gè)關(guān)鍵業(yè)務(wù)系統(tǒng)——基礎(chǔ)設(shè)施保護(hù)網(wǎng)關(guān)和化學(xué)安全評(píng)估工具。2024年4月美國(guó)領(lǐng)先通信服務(wù)提供商邊疆通信公司遭受網(wǎng)斷事件，導(dǎo)致至少全球850萬(wàn)臺(tái)使用微軟視窗系統(tǒng)的設(shè)備量。2024年9月17日和18日，黎巴嫩多地發(fā)生傳呼機(jī)、對(duì)講機(jī)等數(shù)字產(chǎn)品爆炸事件，造成至少37人死亡和2931人受傷，被視為全球首起基于供應(yīng)鏈攻擊的黨領(lǐng)導(dǎo)人納斯魯拉在內(nèi)的18名真主黨高級(jí)成員，展示了以方高超的情報(bào)戰(zhàn)和科技戰(zhàn)能力，以及情報(bào)信息與人工智能結(jié)合的認(rèn)知域作戰(zhàn)新方式。2024年10月，美國(guó)高通公司發(fā)布安全警告，稱其多達(dá)64款芯片組中的數(shù)字信號(hào)處理器服務(wù)中存在一項(xiàng)潛在的嚴(yán)重“零日漏洞”(CVE-2024-43047)涵蓋了智能手機(jī)、汽車、物聯(lián)網(wǎng)設(shè)備等多個(gè)領(lǐng)域。2024年10月12日，伊朗遭4公共服務(wù)、交通和港口等關(guān)鍵網(wǎng)絡(luò)也遭到攻擊。2024年10月16日，中國(guó)網(wǎng)絡(luò)空間安全協(xié)會(huì)發(fā)布《漏洞頻發(fā)、故障率高應(yīng)系統(tǒng)排查英特爾產(chǎn)品網(wǎng)絡(luò)安全風(fēng)險(xiǎn)》一文，指出英特爾產(chǎn)品安全漏洞問(wèn)題頻發(fā)，可靠性差等問(wèn)題，并揭示了英特爾產(chǎn)商假借遠(yuǎn)程管理之名，行監(jiān)控用戶之實(shí)，暗設(shè)后門，危害網(wǎng)絡(luò)和信息安全等行為。這些事件不僅暴露了當(dāng)前網(wǎng)絡(luò)安全防護(hù)體系的脆弱性，也凸顯了網(wǎng)絡(luò)安全威脅影響范圍不斷擴(kuò)大、破壞性顯著增強(qiáng)、以及政治化程度日益加深的趨勢(shì)。上述事件表明，網(wǎng)絡(luò)攻擊的規(guī)模和波及領(lǐng)域迅速擴(kuò)展，影響已不再局限于特定行業(yè)或區(qū)域，而是逐漸覆蓋多個(gè)關(guān)鍵行業(yè)和全球范圍的企業(yè)與政府機(jī)構(gòu)，揭示出信息基礎(chǔ)設(shè)施的高度相互依賴性。隨著攻擊技術(shù)的演進(jìn)，網(wǎng)絡(luò)安全事件的破壞力逐漸提升，超越了傳統(tǒng)的數(shù)據(jù)泄露和系統(tǒng)中斷，開(kāi)始對(duì)關(guān)鍵基礎(chǔ)設(shè)施乃至物理設(shè)備產(chǎn)生直接破壞，導(dǎo)致不可估量的經(jīng)濟(jì)損失與社會(huì)動(dòng)蕩。網(wǎng)絡(luò)空間已成為國(guó)家間戰(zhàn)略競(jìng)爭(zhēng)的新前沿，網(wǎng)絡(luò)攻擊愈發(fā)成為國(guó)家博弈和政治對(duì)抗的工具。這一系列趨勢(shì)表明，網(wǎng)絡(luò)安全問(wèn)題的復(fù)雜性和嚴(yán)重性持續(xù)上升，未來(lái)全球應(yīng)對(duì)網(wǎng)絡(luò)威脅的能力與策略將面臨更大的挑戰(zhàn)和壓力。1.3網(wǎng)絡(luò)安全威脅為什么愈演愈烈網(wǎng)絡(luò)安全威脅呈現(xiàn)出愈演愈烈的態(tài)勢(shì)，全球范圍內(nèi)的攻擊頻率、破壞力和復(fù)雜性不斷上升，其背后的原因不僅涉及技術(shù)層面的挑戰(zhàn)，還涵蓋了數(shù)字生態(tài)系統(tǒng)的結(jié)構(gòu)性問(wèn)題、網(wǎng)絡(luò)安全責(zé)任的缺失等多方面的原因：1、數(shù)字技術(shù)安全悖論與底層固有缺陷的疊加效應(yīng)數(shù)字技術(shù)在提供前所未有的能力與效率的同時(shí)，不可避免地帶來(lái)了安全隱患，數(shù)字系統(tǒng)的通信能力促進(jìn)了協(xié)作與網(wǎng)絡(luò)化，但也為潛在入侵者打開(kāi)了大門，數(shù)據(jù)和控制的集中雖然提高了運(yùn)營(yíng)效率，卻大大增加了單一攻擊成功所造成的損害[1-6]。此外，數(shù)字系統(tǒng)底層技術(shù)的固有缺陷——存儲(chǔ)程序控制構(gòu)造的數(shù)字系統(tǒng)使得隱匿漏洞和后門難以避免，硬件和軟件的復(fù)雜性創(chuàng)造了強(qiáng)大的功能，但這種數(shù)字技術(shù)的復(fù)雜性也產(chǎn)生了更多漏洞，降低了對(duì)入侵行為的可見(jiàn)性，現(xiàn)有網(wǎng)絡(luò)安全防御技術(shù)限制無(wú)法徹底解決路徑或狀態(tài)爆炸問(wèn)題。2、多域交織且高度互聯(lián)的數(shù)字化社會(huì)存在根深蒂固的脆弱性5物聯(lián)網(wǎng)設(shè)備、關(guān)鍵基礎(chǔ)設(shè)施以及信息系統(tǒng)的互聯(lián)互通，使得攻擊的范圍和復(fù)雜性大大增加。認(rèn)知域網(wǎng)絡(luò)作戰(zhàn)、數(shù)字產(chǎn)品武器化逐漸興起，網(wǎng)絡(luò)攻擊不僅局限于信息系統(tǒng)本身，還通過(guò)信息操控、輿論引導(dǎo)等方式影響社會(huì)認(rèn)知，甚至是將數(shù)字產(chǎn)品變身“遙控炸彈”發(fā)動(dòng)恐怖襲擊，這種跨越“物理、網(wǎng)絡(luò)與認(rèn)知域”的復(fù)雜聯(lián)合攻擊使得防御難度顯著增加。高度互聯(lián)的數(shù)字化社會(huì)存在根深蒂固的脆弱性，網(wǎng)絡(luò)威脅的級(jí)聯(lián)傳導(dǎo)極易導(dǎo)致系統(tǒng)性安全事件，安全事件影響難以控制，給網(wǎng)絡(luò)安全體系帶來(lái)了前所未有的挑戰(zhàn)。3、數(shù)字產(chǎn)品設(shè)計(jì)制造安全責(zé)任缺失導(dǎo)致網(wǎng)絡(luò)安全威脅失控當(dāng)前數(shù)字產(chǎn)品設(shè)計(jì)和制造商缺乏對(duì)網(wǎng)絡(luò)安全的重視，進(jìn)一步加劇了威脅的嚴(yán)重性，長(zhǎng)期以來(lái)，數(shù)字產(chǎn)業(yè)一直秉承“先搶占市場(chǎng)、事后修補(bǔ)”的迭代邏輯，缺乏認(rèn)真對(duì)待網(wǎng)絡(luò)安全質(zhì)量的動(dòng)力往往“選擇性忽視”產(chǎn)品設(shè)計(jì)制造中的網(wǎng)絡(luò)安全問(wèn)題，導(dǎo)致網(wǎng)絡(luò)安全問(wèn)題往往以附加方式被處理，數(shù)字產(chǎn)品已經(jīng)陷入“補(bǔ)丁越補(bǔ)越多的惡性循環(huán)”。網(wǎng)絡(luò)安全責(zé)任與風(fēng)險(xiǎn)的嚴(yán)重失衡，數(shù)字產(chǎn)品設(shè)計(jì)或制造商缺乏明確法定責(zé)任，導(dǎo)致安全技術(shù)的發(fā)展延緩和潛在威脅的滋生、擴(kuò)展甚至是失控。62國(guó)內(nèi)外網(wǎng)絡(luò)安全戰(zhàn)略發(fā)展現(xiàn)狀及趨勢(shì)伴隨著數(shù)字化進(jìn)程的不斷深化，全球網(wǎng)絡(luò)安全環(huán)境呈現(xiàn)出高度復(fù)雜的特征。網(wǎng)絡(luò)威脅已不再局限于單一的技術(shù)層面，而是全面滲透到物理與認(rèn)越多的網(wǎng)絡(luò)攻擊展示出其復(fù)雜性和隱蔽性，例如高級(jí)持續(xù)性威脅(Advanced72.2美國(guó)網(wǎng)絡(luò)安全戰(zhàn)略進(jìn)入21世紀(jì)第三個(gè)十年，全球戰(zhàn)略格局發(fā)生深刻變化，大國(guó)戰(zhàn)略博弈日趨復(fù)雜。在此背景下，美國(guó)國(guó)家安全戰(zhàn)略實(shí)現(xiàn)了從單一領(lǐng)域威懾向綜合威懾[2-1]2.2.1網(wǎng)絡(luò)攻擊不可避免驅(qū)使安全向彈性轉(zhuǎn)型8絕對(duì)安全的傳統(tǒng)思維轉(zhuǎn)向更具實(shí)踐意義的彈性戰(zhàn)略，著力提升系統(tǒng)在預(yù)測(cè)、抵御、恢復(fù)和適應(yīng)網(wǎng)絡(luò)攻擊及各類中斷事件方面的綜合能力。在這一戰(zhàn)略轉(zhuǎn)向過(guò)程中，2013年成為美國(guó)網(wǎng)絡(luò)彈性戰(zhàn)略發(fā)展的關(guān)鍵節(jié)點(diǎn)。當(dāng)年2月，美國(guó)發(fā)布第21號(hào)總統(tǒng)政策指令(PPD-21)《關(guān)鍵基礎(chǔ)設(shè)施安全與彈性》,首次系統(tǒng)性地定義了彈性概念，將其闡釋為“準(zhǔn)備好應(yīng)對(duì)并適應(yīng)變化條件，承受破壞并從中快速恢復(fù)的能力”。這一定義為后續(xù)政策制定奠定了重要基礎(chǔ)。在此指導(dǎo)下，國(guó)土安全部(DepartmentofHomelandSecurity,DHS)制定了2013版國(guó)家基礎(chǔ)設(shè)施保護(hù)計(jì)劃(NIPP2013),創(chuàng)新性地將安全和彈性統(tǒng)一納入風(fēng)險(xiǎn)管理框架，并建立了完整的風(fēng)險(xiǎn)評(píng)估方法、防護(hù)措施和恢復(fù)機(jī)制。隨著實(shí)踐的深入，美國(guó)不斷完善其網(wǎng)絡(luò)彈性政策體系。2019年11月，DHS與國(guó)務(wù)院聯(lián)合發(fā)布《關(guān)鍵基礎(chǔ)設(shè)施安全和彈性指南》,進(jìn)一步細(xì)化了關(guān)鍵基礎(chǔ)設(shè)施保護(hù)要求，為各行業(yè)部門提供了具體的實(shí)施指導(dǎo)。緊隨其后，2021年國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院(NationalInstituteofStandardsandTechnology,NIST)發(fā)布的網(wǎng)絡(luò)彈性權(quán)威技術(shù)文件《開(kāi)發(fā)網(wǎng)絡(luò)彈性系統(tǒng)：一種系統(tǒng)安全工程方法》[2-2],從技術(shù)層面規(guī)范了網(wǎng)絡(luò)彈性建設(shè)要求，提供了具體的實(shí)施方法和技術(shù)標(biāo)準(zhǔn)。進(jìn)入2020年代，美國(guó)的網(wǎng)絡(luò)彈性戰(zhàn)略建設(shè)進(jìn)入新的發(fā)展階段。2022年9月，網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(Cybersecurity&InfrastructureSecurityAgency,CISA)發(fā)布《2023-2025戰(zhàn)略規(guī)劃》,確立了加強(qiáng)網(wǎng)絡(luò)防御、減少風(fēng)險(xiǎn)和增強(qiáng)彈性、業(yè)務(wù)協(xié)作、統(tǒng)一機(jī)構(gòu)等四大核心目標(biāo)。2023年3月，美國(guó)政府新版《國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略》提出了增強(qiáng)網(wǎng)絡(luò)安全彈性的五大戰(zhàn)略支柱，包括保護(hù)關(guān)鍵基礎(chǔ)設(shè)施、塑造市場(chǎng)力量加強(qiáng)網(wǎng)絡(luò)安全和彈性、通過(guò)戰(zhàn)略投資和協(xié)調(diào)合作建立數(shù)字生態(tài)系統(tǒng)等。該戰(zhàn)略特別強(qiáng)調(diào)了政府引導(dǎo)與市場(chǎng)機(jī)制相結(jié)合的方式，旨在構(gòu)建更具彈性的網(wǎng)絡(luò)空間。該戰(zhàn)略通過(guò)兩版《國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略實(shí)施計(jì)劃》(2023年7月和2024年5月)得到具體落實(shí)，涉及31個(gè)機(jī)構(gòu)的100多項(xiàng)具體舉措。在推進(jìn)網(wǎng)絡(luò)彈性建設(shè)的過(guò)程中，美國(guó)也格外注重創(chuàng)新驅(qū)動(dòng)。2023年12月美國(guó)國(guó)家科學(xué)技術(shù)委員會(huì)發(fā)布的《聯(lián)邦網(wǎng)絡(luò)安全研發(fā)戰(zhàn)略規(guī)劃》將以人為本的網(wǎng)絡(luò)安全、可信度和網(wǎng)絡(luò)彈性列為優(yōu)先研發(fā)領(lǐng)域，體現(xiàn)了美國(guó)在該領(lǐng)域的創(chuàng)新導(dǎo)向。2024年2月美國(guó)總統(tǒng)科技顧問(wèn)委員會(huì)發(fā)布的《網(wǎng)絡(luò)物理彈性戰(zhàn)略》報(bào)告進(jìn)一步9提出了建立性能目標(biāo)體系、加強(qiáng)研發(fā)協(xié)調(diào)、打破部門壁壘、提升私營(yíng)部門參與度等四項(xiàng)核心措施。2024年的政策發(fā)展顯示了美國(guó)在網(wǎng)絡(luò)彈性領(lǐng)域的持續(xù)努力。4月，美國(guó)政府發(fā)布的《關(guān)于關(guān)鍵基礎(chǔ)設(shè)施安全和彈性的國(guó)家安全備忘錄(NSM-22)》取代了PPD-21,建立了更全面的框架體系，明確了各方責(zé)任，并設(shè)立了16個(gè)關(guān)鍵基礎(chǔ)設(shè)施部門。同年10月，CISA發(fā)布2025-2026財(cái)年國(guó)際戰(zhàn)略計(jì)劃，強(qiáng)調(diào)通過(guò)國(guó)際合作提升全球網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施彈性。值得注意的是，在民用領(lǐng)域大力推進(jìn)網(wǎng)絡(luò)彈性建設(shè)的同時(shí)，美國(guó)軍方也將網(wǎng)絡(luò)彈性防御視為維護(hù)國(guó)家安全的關(guān)鍵支柱。2023年美國(guó)國(guó)防部的《網(wǎng)絡(luò)空間戰(zhàn)略》強(qiáng)調(diào)了增強(qiáng)聯(lián)合部隊(duì)網(wǎng)絡(luò)彈性的重要性，提出通過(guò)零信任架構(gòu)、現(xiàn)代化加密算法等技術(shù)手段提升系統(tǒng)彈性，并注重提高部隊(duì)在網(wǎng)絡(luò)受損環(huán)境下的作戰(zhàn)能力。在軍事領(lǐng)域的具體實(shí)踐中，2021年啟動(dòng)的安全與網(wǎng)絡(luò)彈性工程項(xiàng)目(SecurityandCyberResiliencyEngineering,SCRE)發(fā)揮了重要作用。該項(xiàng)目采用全生命周期的安全理念，從設(shè)計(jì)階段就開(kāi)始考慮網(wǎng)絡(luò)安全因素，建立了完整的軍事系統(tǒng)網(wǎng)絡(luò)彈性評(píng)估體系，開(kāi)展了網(wǎng)絡(luò)彈性技術(shù)研究，并將網(wǎng)絡(luò)彈性要求納入裝備采購(gòu)評(píng)估指標(biāo)。這些舉措不僅反映了美國(guó)對(duì)未來(lái)戰(zhàn)爭(zhēng)形態(tài)的深刻認(rèn)識(shí)，也表明網(wǎng)絡(luò)彈性已成為美國(guó)國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略的核心組成部分。通過(guò)軍事領(lǐng)域的具體實(shí)踐，美國(guó)正在推動(dòng)網(wǎng)絡(luò)彈性理念的實(shí)質(zhì)性落地。通過(guò)民用和軍事兩個(gè)領(lǐng)域的協(xié)同推進(jìn)，美國(guó)在網(wǎng)絡(luò)彈性建設(shè)方面形成了完整的政策體系和實(shí)踐經(jīng)驗(yàn)，為應(yīng)對(duì)日益復(fù)雜的網(wǎng)絡(luò)安全挑戰(zhàn)提供了有效解決方案。這種全方位的戰(zhàn)略布局，充分體現(xiàn)了美國(guó)在網(wǎng)絡(luò)安全領(lǐng)域從傳統(tǒng)防御向綜合彈性轉(zhuǎn)型的決心和智慧。2.2.2制造商責(zé)任失衡迫使內(nèi)生安全設(shè)計(jì)網(wǎng)絡(luò)安全領(lǐng)域的范式正在發(fā)生深刻變革。2023年3月，美國(guó)《國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略》明確指出，現(xiàn)有驅(qū)動(dòng)美國(guó)數(shù)字生態(tài)系統(tǒng)的底層架構(gòu)存在嚴(yán)重缺陷，必須從根本上改變數(shù)字生態(tài)系統(tǒng)的底層驅(qū)動(dòng)，向防御優(yōu)勢(shì)方轉(zhuǎn)變。該戰(zhàn)略提出要徹底糾正市場(chǎng)失靈，重新平衡網(wǎng)絡(luò)空間安全責(zé)任和風(fēng)險(xiǎn)，明確指出過(guò)去過(guò)分依賴最終用戶承擔(dān)網(wǎng)絡(luò)安全責(zé)任的做法已不能適應(yīng)當(dāng)前的網(wǎng)絡(luò)安全形勢(shì)。戰(zhàn)略強(qiáng)調(diào)將網(wǎng)絡(luò)安全責(zé)任向制造側(cè)“左移”,要求“規(guī)模最大、能力最強(qiáng)、地位最有優(yōu)勢(shì)的實(shí)體”為推進(jìn)這一戰(zhàn)略轉(zhuǎn)型，美國(guó)政府隨即采取了一系列具體行動(dòng)。2023年7月，白宮發(fā)布《國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略實(shí)施計(jì)劃》,進(jìn)一步細(xì)化了2024年5月發(fā)布的第2版實(shí)施計(jì)劃進(jìn)一步完善了相關(guān)要求。在國(guó)際合作層面，美國(guó)積極推動(dòng)多邊協(xié)作。2023年4月，CISA與美國(guó)聯(lián)邦變網(wǎng)絡(luò)安全風(fēng)險(xiǎn)平衡：設(shè)計(jì)安全與默認(rèn)安全的原則與方法挪威等8個(gè)機(jī)構(gòu)的加入進(jìn)一步擴(kuò)大了國(guó)際合作范圍。事實(shí)上，美國(guó)在特定領(lǐng)域已開(kāi)始探索設(shè)計(jì)安全理念的實(shí)踐應(yīng)用。2022年6在技術(shù)層面，美國(guó)特別關(guān)注內(nèi)存安全問(wèn)題。2023年12月，CISA聯(lián)合多國(guó)網(wǎng)2024年的政策發(fā)展進(jìn)一步深化了設(shè)計(jì)安全理念。2月，美國(guó)等十國(guó)聯(lián)合發(fā)布系統(tǒng)行為更可預(yù)測(cè)。4月，CISA加入最低可行安全產(chǎn)品工作組，為組織提供安美國(guó)設(shè)計(jì)安全相關(guān)政策實(shí)施已取得了積極進(jìn)展。2024年5月，美國(guó)《網(wǎng)絡(luò)安降低漏洞類別、改進(jìn)安全補(bǔ)丁安裝、建立漏洞披露政策、及時(shí)發(fā)布CVE漏洞信息以及提升客戶收集網(wǎng)絡(luò)安全入侵證據(jù)的能力。截至11月，參與企業(yè)數(shù)量已增至243家。持續(xù)深化的國(guó)際合作也推動(dòng)了設(shè)計(jì)安全理念的普及。2024年6月，CISA與件內(nèi)存安全風(fēng)險(xiǎn)評(píng)估指導(dǎo)。9月，CISA發(fā)布聯(lián)邦民事行政部門運(yùn)營(yíng)網(wǎng)絡(luò)安全調(diào)發(fā)布《產(chǎn)品安全不良實(shí)踐》指南草案，要求軟件制造商在2026年前發(fā)布內(nèi)存安SQL注入漏洞、默認(rèn)密碼等)、安全功能(如缺乏多因素認(rèn)證、缺乏入侵證據(jù)收集能力)以及組織流程政策(如未及時(shí)發(fā)布CVE漏洞信息和漏洞披露政策)?？蛻舻目煽啃浴分改?。該指南作為CISA設(shè)計(jì)安全計(jì)劃的件安全部署的六個(gè)關(guān)鍵階段，包括規(guī)劃、開(kāi)發(fā)測(cè)試、內(nèi)部推廣、部署和金絲雀測(cè)試、受控推廣以及反饋規(guī)劃。種種政策舉措反映出美國(guó)正在系統(tǒng)性地推進(jìn)設(shè)計(jì)安全理念，通過(guò)政策引導(dǎo)、國(guó)際合作和具體實(shí)踐，努力實(shí)現(xiàn)網(wǎng)絡(luò)安全責(zé)任的有效“左移”,構(gòu)建更加安全可靠的數(shù)字生態(tài)系統(tǒng)。2.2.3身份信任危機(jī)引領(lǐng)零信任架構(gòu)變革零信任安全理念的興起標(biāo)志著網(wǎng)絡(luò)安全思維模式的重大轉(zhuǎn)變。該概念最早由Forrester研究公司的前分析師約翰·金德維格在2010年提出，其核心思想是“從不信任，始終驗(yàn)證”[2-3]。零信任架構(gòu)以身份為基礎(chǔ)，遵循最小權(quán)限原則，通過(guò)動(dòng)態(tài)授權(quán)和訪問(wèn)控制，對(duì)企業(yè)數(shù)據(jù)和應(yīng)用實(shí)施細(xì)粒度保護(hù)。這一理念可以較好地解決傳統(tǒng)安全體系中過(guò)度信任和持續(xù)訪問(wèn)控制等問(wèn)題，因此迅速成為網(wǎng)絡(luò)安全領(lǐng)域的研究熱點(diǎn)。2019年成為零信任發(fā)展的重要轉(zhuǎn)折點(diǎn)。這一年，零信任安全理念及其防護(hù)效能在網(wǎng)絡(luò)安全行業(yè)獲得廣泛認(rèn)可，并完成了初步的技術(shù)驗(yàn)證和實(shí)踐探索。美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院隨即著手推動(dòng)零信任的標(biāo)準(zhǔn)化進(jìn)程，在2019至2020年期間相繼發(fā)布了兩版《零信任架構(gòu)》[2-4]標(biāo)準(zhǔn)草案。政府部門對(duì)零信任架構(gòu)的推進(jìn)呈現(xiàn)出系統(tǒng)化、制度化的特點(diǎn)。2021年2月，美國(guó)國(guó)家安全局發(fā)布《擁抱零信任安全模型》指南，強(qiáng)烈建議國(guó)家安全系統(tǒng)采用零信任安全模型。同年5月，拜登政府通過(guò)第14028號(hào)行政命令明確要求聯(lián)邦政府機(jī)構(gòu)實(shí)施零信任方法。2022年1月，管理和預(yù)算辦公室發(fā)布《聯(lián)邦政府零信任戰(zhàn)略》,進(jìn)一步細(xì)化了實(shí)施路徑。2023年7月，F(xiàn)ortinet發(fā)布的《2023年零信任狀態(tài)報(bào)告》顯示，盡管零信任部署比例穩(wěn)步提升，但組織在實(shí)施過(guò)程中仍面臨挑戰(zhàn)，其中近31%的組織將訪問(wèn)延遲視為急需解決的重大問(wèn)題。在軍事領(lǐng)域，美軍對(duì)零信任架構(gòu)的探索始于2020年之前，當(dāng)時(shí)正在尋找替代聯(lián)合區(qū)域安全堆棧(JointRegionSecurityStack,JRSS)的安全方案。2019年零信任相關(guān)試驗(yàn)獲得認(rèn)可后，美軍開(kāi)始系統(tǒng)性推廣零信任安全，將其作為支撐國(guó)防部數(shù)字化戰(zhàn)略的重要手段。2021年5月，美國(guó)國(guó)防信息系統(tǒng)局(DefenseInformationSystemsAgency,DISA)和國(guó)家安全局零信任工程組發(fā)布《國(guó)防部零信任參考架構(gòu)》,為國(guó)防信息系統(tǒng)安全環(huán)境建設(shè)提供了指導(dǎo)框架。2024年5月，DISA發(fā)布的《DISA2025-2029年戰(zhàn)略計(jì)劃》將零信任工具發(fā)展作為八大目標(biāo)之為確保零信任戰(zhàn)略的有效落地，美軍采取了一系列具體舉措。2成立國(guó)防部零信任投資組合辦公室，負(fù)責(zé)制定遷移計(jì)劃并統(tǒng)籌資源保障。同年11月，國(guó)防部發(fā)布《零信任戰(zhàn)略》,提出了到2027財(cái)年全面實(shí)施零信任安全架2022年1月，博思艾倫咨詢公司獲得680萬(wàn)美元合同，負(fù)責(zé)開(kāi)發(fā)原型系統(tǒng)。該近期，零信任架構(gòu)的發(fā)展繼續(xù)深化。2023年4月，網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局發(fā)布《零信任成熟度模型2.0版》,旨在降低實(shí)施壁壘。2024年的發(fā)展進(jìn)一強(qiáng)化數(shù)據(jù)安全指導(dǎo)。5月，CISA發(fā)布加密DNS零信任戰(zhàn)略的具體指導(dǎo)。10月，聯(lián)邦首席信息安全官委員會(huì)和首席數(shù)據(jù)官委員會(huì)聯(lián)合發(fā)布了一份具有里程碑意義的《零信任數(shù)據(jù)安全指南》,這是對(duì)管理與預(yù)算辦公室2022年備忘錄的重要響應(yīng)。該指南由超過(guò)30個(gè)聯(lián)邦機(jī)構(gòu)和部門共同參2.2.4地緣政治博弈加速供應(yīng)鏈安全重構(gòu)供應(yīng)鏈安全已成為美國(guó)國(guó)家安全戰(zhàn)略的重要支柱。2023年美國(guó)國(guó)家科技委早在2018年12月，美國(guó)就已開(kāi)始系統(tǒng)性布局供應(yīng)鏈安全。網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CybersecurityandInfrastructureSecurityAgency,CISA)成立信息和通信技術(shù)(InformationandCommunica提高風(fēng)險(xiǎn)認(rèn)知。2019年5月，第13873號(hào)行政命令的簽署進(jìn)一步強(qiáng)化了這一方拜登政府上臺(tái)后，供應(yīng)鏈安全政策進(jìn)入快速發(fā)展期。2021年2月發(fā)布的第14017號(hào)行政命令《美國(guó)供應(yīng)鏈行政命令》強(qiáng)調(diào)建立“應(yīng)鏈”,將供應(yīng)鏈彈性提升至國(guó)家戰(zhàn)略高度。同年5月的《關(guān)于改善國(guó)家網(wǎng)絡(luò)安2023年成為供應(yīng)鏈安全政策的重要里程碑。9月，CISA聯(lián)合國(guó)家安全局發(fā)布《保護(hù)軟件供應(yīng)鏈：軟件物料清單消費(fèi)的推薦做法》,件開(kāi)發(fā)商和供應(yīng)商提供最佳實(shí)踐指南，包括管理開(kāi)源軟件和軟件物料清單 (SoftwareBillsofMaterials,SBOM),以維護(hù)和提供對(duì)軟件安全性的認(rèn)識(shí)。同2024年，美國(guó)進(jìn)一步完善供應(yīng)鏈安全治理體系。6月，拜登總統(tǒng)簽署行政命告將于2024年底提交。同月，能源部與愛(ài)達(dá)荷國(guó)家實(shí)驗(yàn)室合作發(fā)布供應(yīng)鏈網(wǎng)絡(luò)在具體實(shí)施層面，2024年8月CISA發(fā)布《政府企業(yè)消費(fèi)者軟件采購(gòu)指南》,聚焦軟件生命周期活動(dòng)中的安全保障。隨后，CISA與FBI聯(lián)合發(fā)布《需求安全指南》,強(qiáng)調(diào)軟件物料清單的標(biāo)準(zhǔn)化和開(kāi)源組件的安全審查。9月，CISA發(fā)布的聯(lián)邦民事行政部門運(yùn)營(yíng)網(wǎng)絡(luò)安全調(diào)整計(jì)劃將網(wǎng)絡(luò)供應(yīng)鏈風(fēng)險(xiǎn)管理列為五大優(yōu)先領(lǐng)域之一，特別強(qiáng)調(diào)快速識(shí)別和降低第三方風(fēng)險(xiǎn)。2.2.5智能技術(shù)革新驅(qū)動(dòng)網(wǎng)絡(luò)安全新布局在人工智能快速發(fā)展的背景下，美國(guó)政府對(duì)AI的戰(zhàn)略布局經(jīng)歷了系統(tǒng)性演進(jìn)，從確立領(lǐng)導(dǎo)地位、完善監(jiān)管框架到推動(dòng)安全發(fā)展，體現(xiàn)了在把握發(fā)展機(jī)遇的同時(shí)，著力防范相關(guān)風(fēng)險(xiǎn)的戰(zhàn)略考量。美國(guó)政府最早通過(guò)2019年2月簽署的第13859號(hào)行政命令《保持美國(guó)在人工智能(ArtificialIntelligence,AI)領(lǐng)域的領(lǐng)導(dǎo)地位》確立了AI發(fā)展的戰(zhàn)略基調(diào)。該命令要求預(yù)算管理辦公室(OfficeofManagementandBudget,OMB)制定AI應(yīng)用監(jiān)管指南，并將AI列為研發(fā)投資、數(shù)據(jù)共享和勞動(dòng)力發(fā)展的優(yōu)先領(lǐng)域。隨后在2020年1月，OMB發(fā)布的《備忘錄M-21-06》進(jìn)一步細(xì)化了監(jiān)管指導(dǎo)框架。2020年成為美國(guó)AI政策框架的關(guān)鍵轉(zhuǎn)折點(diǎn)。這一年9月美國(guó)國(guó)會(huì)通過(guò)的《2020年人工智能政府法案》提出建立AI卓越中心，推動(dòng)政府采用AI技術(shù)。到了12月，《2020年國(guó)家人工智能倡議法案》更是提供了數(shù)十億美元支持AI研發(fā)，并授權(quán)NIST開(kāi)發(fā)AI風(fēng)險(xiǎn)管理框架。在同一個(gè)月簽署的第13960號(hào)行政命令中，政府確立了聯(lián)邦機(jī)構(gòu)使用AI的九項(xiàng)核心原則，強(qiáng)調(diào)合法性、安全性和問(wèn)責(zé)制，為后續(xù)發(fā)展奠定了基礎(chǔ)。隨著AI技術(shù)的深入發(fā)展，美國(guó)政府開(kāi)始更加關(guān)注制度建設(shè)和安全保障。2022年10月，白宮科技政策辦公室發(fā)布《人工智能權(quán)利法案藍(lán)圖》,提出確保系統(tǒng)安全、防止歧視、保護(hù)隱私等五項(xiàng)原則，強(qiáng)調(diào)在推動(dòng)創(chuàng)新的同時(shí)要保護(hù)公民權(quán)利。進(jìn)入2023年，NIST發(fā)布AI風(fēng)險(xiǎn)管理框架1.0版(AIRMF1.0)[2-5],為AI產(chǎn)品和系統(tǒng)的全生命周期管理提供了具體指導(dǎo)。2023年美國(guó)政府先是在7月和9月與15家領(lǐng)先AI公司達(dá)成自愿性承諾，確立了安全性、保障性和信任三個(gè)基本原則，具體包括在產(chǎn)品發(fā)布前進(jìn)行內(nèi)部和號(hào)行政命令則對(duì)AI發(fā)展與管理做出全面部署，提出八項(xiàng)指導(dǎo)原則，涵蓋安全評(píng)估、創(chuàng)新競(jìng)爭(zhēng)、人才吸引等多個(gè)方面，其中包括建立AI安全測(cè)試機(jī)制、促進(jìn)AI研發(fā)創(chuàng)新、簡(jiǎn)化AI人才簽證程序、加強(qiáng)AI應(yīng)用監(jiān)管以及推動(dòng)國(guó)際合作等，旨在鞏固美國(guó)在全球AI發(fā)展中的領(lǐng)導(dǎo)地位。11月，美國(guó)國(guó)家安全局人工智能安全中心聯(lián)合CISA、FBI以及來(lái)自澳大利亞、加拿大、新西全機(jī)構(gòu)共同發(fā)布《安全人工智能開(kāi)發(fā)指南》,它是對(duì)美國(guó)確保安全、可靠AI自議和緩解措施。CISA同時(shí)發(fā)布了AI路線圖，展示了其對(duì)AI技術(shù)和網(wǎng)絡(luò)安全的進(jìn)入2024年，美國(guó)進(jìn)一步推進(jìn)AI安全戰(zhàn)略的具體落地。4月，能源部發(fā)布AI在關(guān)鍵能源基礎(chǔ)設(shè)施中的應(yīng)用評(píng)估報(bào)源部門的安全性、可靠性和彈性等方面，但同時(shí)也識(shí)別出了四類主要風(fēng)Security,andTechnology,FASST),該計(jì)劃將依托DOE的17個(gè)國(guó)家實(shí)驗(yàn)室和能源和國(guó)家安全領(lǐng)域。FASST計(jì)劃將把DOE用戶設(shè)施產(chǎn)生的大量科學(xué)數(shù)為AI就緒數(shù)據(jù)，并建設(shè)新一代高能效AI超級(jí)計(jì)算機(jī)，為包括4萬(wàn)名國(guó)家實(shí)驗(yàn)室科學(xué)家在內(nèi)的研究人員提供可信的基礎(chǔ)AI模型開(kāi)發(fā)平臺(tái)。最新的重要進(jìn)展出現(xiàn)在2024年10月，美國(guó)政府發(fā)布《人工智能國(guó)家安全備忘錄》,提出了三大核心目標(biāo)：確立美國(guó)在安全、可靠的人工智能發(fā)展方面的全際人工智能治理環(huán)境。備忘錄要求各政府部門建立完善的AI安全評(píng)估和風(fēng)險(xiǎn)管理框架，設(shè)立首席AI官員和AI治理委員會(huì)，加強(qiáng)跨部門協(xié)調(diào)，并與盟友合作推動(dòng)建立國(guó)際AI治理標(biāo)準(zhǔn)。該備忘錄強(qiáng)調(diào)了AI技術(shù)在國(guó)家安全方面的多種應(yīng)2.3歐盟網(wǎng)絡(luò)安全戰(zhàn)略通過(guò)法律規(guī)制推動(dòng)安全治理的制度化、規(guī)范化發(fā)展。2020年，歐盟發(fā)布《關(guān)于關(guān)鍵實(shí)體彈性的法案草案》和《未來(lái)數(shù)字化十年的網(wǎng)絡(luò)安全戰(zhàn)略》聯(lián)網(wǎng)設(shè)備在設(shè)計(jì)上確保安全，對(duì)網(wǎng)絡(luò)攻擊具有彈性，并能迅速發(fā)現(xiàn)這些文件的出臺(tái)標(biāo)志著歐盟將網(wǎng)絡(luò)安全從事后補(bǔ)救轉(zhuǎn)向事前預(yù)防，盟于2020年9月提出《數(shù)字運(yùn)營(yíng)彈性法案》(DigitalOperationalResilienceAct,DORA)提案，并于2022年11月獲歐盟理事會(huì)通過(guò)。該法案主要針對(duì)金融服務(wù)法案特別強(qiáng)調(diào)了第三方風(fēng)險(xiǎn)管理的重要性，要求金融機(jī)構(gòu)對(duì)其ICT服務(wù)提供商進(jìn)一步深化網(wǎng)絡(luò)安全立法的重要成果是2022年9月發(fā)布的全球首個(gè)《網(wǎng)絡(luò)年3月獲得歐洲議會(huì)批準(zhǔn)，并于2024年10月獲得歐盟理事會(huì)批準(zhǔn)。法案采用分階段實(shí)施策略：在生效后的21個(gè)月內(nèi)，所有數(shù)字產(chǎn)品制造商將需承擔(dān)報(bào)告主動(dòng)利用的漏洞和相關(guān)事件的義務(wù)；36個(gè)月后，進(jìn)入歐盟市場(chǎng)的數(shù)字產(chǎn)品必須滿足料清單(SoftwareBillso在歐盟成員國(guó)層面，各國(guó)也積極響應(yīng)歐盟的戰(zhàn)略部署。英國(guó)在2022年密集發(fā)布了《國(guó)家網(wǎng)絡(luò)戰(zhàn)略2022》、《國(guó)防網(wǎng)絡(luò)彈性戰(zhàn)略》和《2緩解漏洞：設(shè)計(jì)安全、減少漏洞歐盟的網(wǎng)絡(luò)彈性和設(shè)計(jì)安全理論主要基于歐盟委員會(huì)聯(lián)合研究中心(JointResearchCentre,JRC)在2020年發(fā)布的研究報(bào)告《網(wǎng)絡(luò)安全——我們的數(shù)字之報(bào)告提出網(wǎng)絡(luò)安全風(fēng)險(xiǎn)演變概念模型(如圖2-1所示),將網(wǎng)絡(luò)安全風(fēng)險(xiǎn)緩解策在2016年NIS指令通過(guò)后，歐盟顯著加強(qiáng)了對(duì)網(wǎng)絡(luò)安全的重視，進(jìn)一步推動(dòng)產(chǎn)面性思維，即網(wǎng)絡(luò)安全不僅是基礎(chǔ)研究(如密碼學(xué))的問(wèn)題，也是技術(shù)、社會(huì)立在供應(yīng)鏈安全方面，2024年5月歐盟議會(huì)通過(guò)的《企業(yè)可持續(xù)發(fā)展盡職調(diào)查指令》(也被稱為歐盟“供應(yīng)鏈法案”)要求在歐盟運(yùn)營(yíng)的公司對(duì)其自身、子20公司及價(jià)值鏈中的業(yè)務(wù)伙伴活動(dòng)進(jìn)行全面的盡責(zé)管理，預(yù)計(jì)最早將于2026年下隨著人工智能技術(shù)的快速發(fā)，歐盟于2024年7月發(fā)布《人工智能法案》,開(kāi)創(chuàng)性地建立了全球首個(gè)綜合性AI監(jiān)管框架。該法案采用基于風(fēng)險(xiǎn)的分級(jí)管理并針對(duì)不同風(fēng)險(xiǎn)級(jí)別制定相應(yīng)的監(jiān)管要求。該法案重點(diǎn)關(guān)注高風(fēng)險(xiǎn)AI系統(tǒng)的管AI生成內(nèi)容必須明確標(biāo)識(shí)等。該法案于8月1日生效，并將在2年后(2026年8月2日)完全適用，但有一些例外：禁令將在6個(gè)月后生效，通用AI模型規(guī)則12個(gè)月后適用，并由2024年2月在歐盟委員會(huì)內(nèi)成立的歐洲人工智能辦公室其中還包括AI創(chuàng)新包和AI協(xié)調(diào)計(jì)劃。這些措施共同保障了人們和企業(yè)在AI方面的安全和基本權(quán)利。它們還加強(qiáng)了整個(gè)歐盟對(duì)AI的吸收、投資2.4中國(guó)網(wǎng)絡(luò)安全戰(zhàn)略梁八柱”,走出了一條具有中國(guó)特色的網(wǎng)絡(luò)安全發(fā)展道路。這一發(fā)展道路既體現(xiàn)計(jì)體系。2016年中共中央辦公廳、國(guó)務(wù)院辦公廳印發(fā)的《國(guó)家網(wǎng)絡(luò)空間安全戰(zhàn)略》,明確了維護(hù)國(guó)家網(wǎng)絡(luò)空間主權(quán)、安全和發(fā)展利益的總體要求，提出了九大21體系，同時(shí)出臺(tái)了《網(wǎng)絡(luò)安全審查辦法》《云計(jì)算服務(wù)安全評(píng)估辦法》《汽車數(shù)據(jù)安全管理若干規(guī)定(試行)》《生成式人工智能服務(wù)管理暫行辦法》等一系列政策文件作為補(bǔ)充。這一體系不僅明確了網(wǎng)絡(luò)運(yùn)營(yíng)者的安全責(zé)任，而且對(duì)個(gè)人信息和重要數(shù)據(jù)的保護(hù)提出了具體要求，實(shí)現(xiàn)了從技術(shù)治理向法治化治理的重要轉(zhuǎn)變。特別是在數(shù)據(jù)安全和個(gè)人信息保護(hù)方面的立法，充分體現(xiàn)了我國(guó)對(duì)數(shù)字時(shí)代公民權(quán)益保護(hù)的高度重視，也為全球數(shù)據(jù)治理提供了中國(guó)經(jīng)驗(yàn)。在關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)方面，我國(guó)建立了完善的制度保障體系。通過(guò)實(shí)施網(wǎng)絡(luò)安全等級(jí)保護(hù)制度[2-8]和關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)制度，構(gòu)建起了全方位的防護(hù)體系。2021年國(guó)務(wù)院頒布的《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》進(jìn)一步細(xì)化了保護(hù)要求，明確了各相關(guān)部門的職責(zé)分工，為提升關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)能力提供了制度保障。這些制度的實(shí)施顯著提升了我國(guó)網(wǎng)絡(luò)空間的整體安全性和韌性，為數(shù)字經(jīng)濟(jì)的健康發(fā)展提供了堅(jiān)實(shí)保障。在技術(shù)創(chuàng)新方面，我國(guó)取得了一系列具有國(guó)際影響力的原創(chuàng)性突破。在“十四五”規(guī)劃的指導(dǎo)下，我國(guó)重點(diǎn)布局了安全度量、內(nèi)生安全、抗量子密碼等前沿領(lǐng)域的研究。在擬態(tài)防御、數(shù)據(jù)加密等關(guān)鍵技術(shù)領(lǐng)域取得重要突破，部分技術(shù)達(dá)到國(guó)際領(lǐng)先水平。同時(shí)，我國(guó)積極推進(jìn)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化工作，建立了涵蓋基礎(chǔ)通用、關(guān)鍵技術(shù)、安全管理、產(chǎn)品應(yīng)用等各個(gè)層面的標(biāo)準(zhǔn)體系，為產(chǎn)業(yè)發(fā)展提供了有力支撐。在產(chǎn)業(yè)發(fā)展方面，我國(guó)推動(dòng)網(wǎng)絡(luò)安全產(chǎn)業(yè)實(shí)現(xiàn)了跨越式發(fā)展。通過(guò)實(shí)施《“十四五”數(shù)字經(jīng)濟(jì)發(fā)展規(guī)劃》等政策措施，培育了一批具有國(guó)際競(jìng)爭(zhēng)力的網(wǎng)絡(luò)安全企業(yè)，形成了完整的產(chǎn)業(yè)生態(tài)鏈。特別是在新一代信息技術(shù)與網(wǎng)絡(luò)安全深度融合方面，我國(guó)推動(dòng)人工智能、區(qū)塊鏈等技術(shù)在網(wǎng)絡(luò)安全領(lǐng)域的創(chuàng)新應(yīng)用，催生了一批新的安全防護(hù)模式和解決方案。在人才培養(yǎng)方面，我國(guó)建立了多層次的人才培養(yǎng)體系。通過(guò)設(shè)立網(wǎng)絡(luò)安全學(xué)院、推動(dòng)產(chǎn)學(xué)研合作等方式，培養(yǎng)了大批高水平網(wǎng)絡(luò)安全人才。同時(shí)，通過(guò)舉辦網(wǎng)絡(luò)安全競(jìng)賽、建設(shè)實(shí)訓(xùn)基地等方式，提升了全社會(huì)的網(wǎng)絡(luò)安全意識(shí)和技能水平。這些措施為我國(guó)網(wǎng)絡(luò)安全事業(yè)的持續(xù)發(fā)展提供了人才保障。在國(guó)際合作方面，我國(guó)積極推動(dòng)構(gòu)建網(wǎng)絡(luò)空間命運(yùn)共同體。通過(guò)提出“四項(xiàng)原則”和“五點(diǎn)主張”的中國(guó)方案，為全球網(wǎng)絡(luò)空間治理提供了中國(guó)智慧。我國(guó)22積極參與聯(lián)合國(guó)框架下的網(wǎng)絡(luò)安全國(guó)際規(guī)則制定，推動(dòng)建立公平、民主、透明的國(guó)際網(wǎng)絡(luò)治理體系。通過(guò)“一帶一路”數(shù)字絲綢之路建設(shè)，深化了與沿線國(guó)家在網(wǎng)絡(luò)安全領(lǐng)域的務(wù)實(shí)合作，推動(dòng)形成了互利共贏的合作格局。在中國(guó)發(fā)展、安全、文明“三大倡議”指引下，我國(guó)的網(wǎng)絡(luò)安全實(shí)踐不斷深化和完善。通過(guò)構(gòu)建全方位、多層次的網(wǎng)絡(luò)安全體系，我國(guó)在維護(hù)網(wǎng)絡(luò)主權(quán)、保障數(shù)字經(jīng)濟(jì)發(fā)展、保護(hù)公民權(quán)益等方面取得了顯著成效。“建設(shè)包容、普惠、有韌性的數(shù)字世界”的中國(guó)方案，已經(jīng)成為推動(dòng)全球數(shù)字生態(tài)系統(tǒng)轉(zhuǎn)型的重要力量，為構(gòu)建網(wǎng)絡(luò)空間命運(yùn)共同體作出了重要貢獻(xiàn)。2.5網(wǎng)絡(luò)安全戰(zhàn)略發(fā)展趨勢(shì)分析隨著數(shù)字技術(shù)在社會(huì)各領(lǐng)域的廣泛滲透以及人們對(duì)網(wǎng)絡(luò)安全問(wèn)題認(rèn)知的不斷深化，網(wǎng)絡(luò)安全正由一種技術(shù)選擇項(xiàng)(technologicaloption)演變?yōu)樯鐣?huì)必需項(xiàng)(societalmust)。這一轉(zhuǎn)變推動(dòng)了網(wǎng)絡(luò)安全戰(zhàn)略的重大調(diào)整，主要體現(xiàn)在五個(gè)方面：網(wǎng)絡(luò)安全目標(biāo)向網(wǎng)絡(luò)彈性范式轉(zhuǎn)變，安全責(zé)任由用戶側(cè)向制造側(cè)轉(zhuǎn)移，安全發(fā)展聚焦以人為本、可信度和網(wǎng)絡(luò)彈性等關(guān)鍵領(lǐng)域，加強(qiáng)供應(yīng)鏈安全和人工智能技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用與發(fā)展。這些趨勢(shì)反映了網(wǎng)絡(luò)安全戰(zhàn)略在應(yīng)對(duì)日益復(fù)雜的數(shù)字環(huán)境挑戰(zhàn)時(shí)的系統(tǒng)性思考和前瞻性布局。1.網(wǎng)絡(luò)安全目標(biāo)致力于向網(wǎng)絡(luò)彈性范式轉(zhuǎn)變?cè)诋?dāng)前復(fù)雜多變的網(wǎng)絡(luò)環(huán)境中，完全避免網(wǎng)絡(luò)攻擊已不現(xiàn)實(shí)。網(wǎng)絡(luò)安全的目標(biāo)正在經(jīng)歷一個(gè)重要的范式轉(zhuǎn)換，從單純阻止網(wǎng)絡(luò)事故的發(fā)生轉(zhuǎn)向緩解事故帶來(lái)的危害，從被動(dòng)抵御攻擊轉(zhuǎn)變?yōu)橹鲃?dòng)保障業(yè)務(wù)連續(xù)性、可用性和快速恢復(fù)能力。這種轉(zhuǎn)變體現(xiàn)了對(duì)網(wǎng)絡(luò)安全更加全面和動(dòng)態(tài)的理解。美國(guó)網(wǎng)絡(luò)安全戰(zhàn)略明確提出了向網(wǎng)絡(luò)彈性范式轉(zhuǎn)變的目標(biāo)，將網(wǎng)絡(luò)安全、可信度和任務(wù)生存能力視為系統(tǒng)設(shè)計(jì)和使用中的基礎(chǔ)要素。該戰(zhàn)略強(qiáng)調(diào)網(wǎng)絡(luò)彈性必須內(nèi)置于系統(tǒng)架構(gòu)和管理中，與功能和性能同等重要。同時(shí)，歐盟正加快制定網(wǎng)絡(luò)彈性法案，要求數(shù)字產(chǎn)品制造商實(shí)施網(wǎng)絡(luò)彈性設(shè)計(jì)，并對(duì)因產(chǎn)品設(shè)計(jì)缺陷導(dǎo)致的網(wǎng)絡(luò)安全事故承擔(dān)責(zé)任。這些政策舉措反映了主要發(fā)達(dá)國(guó)家對(duì)網(wǎng)絡(luò)彈性重要性的共識(shí)。23各國(guó)積極推進(jìn)網(wǎng)絡(luò)彈性科學(xué)研究，致力于確定網(wǎng)絡(luò)彈性的基本屬性和指標(biāo)要求，描述影響網(wǎng)絡(luò)彈性的各種因素間的相互作用，并強(qiáng)調(diào)將人類及社會(huì)的需求納入考慮范圍。這種全方位的研究方法有助于構(gòu)建更加完善的網(wǎng)絡(luò)彈性評(píng)估體系，為政策制定和實(shí)踐提供科學(xué)依據(jù)。2.網(wǎng)絡(luò)安全責(zé)任由用戶側(cè)到制造側(cè)轉(zhuǎn)移隨著數(shù)字化轉(zhuǎn)型的深入推進(jìn)，以高級(jí)持續(xù)性威脅(AdvancedPersistentThreat,APT)和零日漏洞(Oday)為代表的網(wǎng)絡(luò)安全問(wèn)題日益突出，其規(guī)模和危害程度不斷升級(jí)。更為嚴(yán)重的是，數(shù)字制造商的安全責(zé)任失衡問(wèn)題愈發(fā)明顯，部分企業(yè)將經(jīng)濟(jì)利益置于產(chǎn)品安全之上，選擇性忽視潛在的安全風(fēng)險(xiǎn)。歐盟委員會(huì)聯(lián)合研究中心的報(bào)告指出，“數(shù)字行業(yè)缺乏有效競(jìng)爭(zhēng)，且容易出現(xiàn)激勵(lì)錯(cuò)位?！币环矫?，數(shù)字產(chǎn)品為了迅速占領(lǐng)市場(chǎng)，往往忽視安全性；另一方面，由于用戶粘性強(qiáng)，產(chǎn)品更換成本高，這種“勝者通吃”的網(wǎng)絡(luò)效應(yīng)進(jìn)一步加劇了制造商忽視產(chǎn)品安全性的傾向。美國(guó)2023年發(fā)布的《國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略》中明確指出，“現(xiàn)有驅(qū)動(dòng)美國(guó)數(shù)字生態(tài)系統(tǒng)的底層架構(gòu)存在嚴(yán)重缺陷。”為應(yīng)對(duì)這些挑戰(zhàn)，美歐國(guó)家提出了“設(shè)計(jì)安全”的概念，旨在從源頭上解決網(wǎng)絡(luò)安全問(wèn)題。這一概念的提出反映了對(duì)網(wǎng)絡(luò)安全責(zé)任的深刻反思，強(qiáng)調(diào)將安全責(zé)任從用戶側(cè)轉(zhuǎn)移到制造側(cè)。美國(guó)CISA執(zhí)行總監(jiān)在2023年2月的演講“停止在網(wǎng)絡(luò)安全問(wèn)題上推卸責(zé)任”中強(qiáng)調(diào)，企業(yè)必須將安全融入科技產(chǎn)品，體現(xiàn)了美國(guó)在這一問(wèn)題上的堅(jiān)定立場(chǎng)。美歐認(rèn)為，傳統(tǒng)的“外掛式”網(wǎng)絡(luò)安全方法已不能滿足當(dāng)今數(shù)字化轉(zhuǎn)型的需求。只有通過(guò)制造側(cè)發(fā)力，在系統(tǒng)工程的早期階段就將網(wǎng)絡(luò)安全問(wèn)題納入考慮，才能最大程度地降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。這種思路轉(zhuǎn)變標(biāo)志著網(wǎng)絡(luò)安全策略正在向更加主動(dòng)、系統(tǒng)的方向發(fā)展。3.網(wǎng)絡(luò)安全發(fā)展聚焦以人為本、可信度、網(wǎng)絡(luò)彈性等關(guān)鍵領(lǐng)域隨著網(wǎng)絡(luò)攻擊手段的不斷演進(jìn)，越來(lái)越多的攻擊開(kāi)始利用最終用戶的行為特征、無(wú)意識(shí)錯(cuò)誤和心理傾向。這一趨勢(shì)凸顯了以人為本的網(wǎng)絡(luò)安全方法的重要性。該方法強(qiáng)調(diào)在確定信息技術(shù)系統(tǒng)的目的、設(shè)計(jì)、操作和安全選擇時(shí)，必須將人的需求、動(dòng)機(jī)、激勵(lì)、行為和能力放在首位。這種方法不僅有助于提高系統(tǒng)的安全性，還能增強(qiáng)用戶體驗(yàn)和系統(tǒng)的整體效能。24在網(wǎng)絡(luò)空間中，確定實(shí)體的可信度以及建立各方和各組成部分之間的信任機(jī)制仍是一個(gè)亟待解決的問(wèn)題。當(dāng)前零信任戰(zhàn)略通過(guò)“永不信任，始終驗(yàn)證”的理念，將網(wǎng)絡(luò)安全從傳統(tǒng)的邊界防護(hù)轉(zhuǎn)向基于身份和行為的動(dòng)態(tài)信任評(píng)估，但還不足夠。未來(lái)的網(wǎng)絡(luò)安全發(fā)展需要建立能夠在所有計(jì)算層中執(zhí)行所需信任級(jí)別的機(jī)制，從硬件層開(kāi)始，涵蓋操作系統(tǒng)、軟件應(yīng)用程序、網(wǎng)絡(luò)等各個(gè)層面，以及電子商務(wù)、社交媒體等服務(wù)。這種全方位的信任機(jī)制將為構(gòu)建更安全、可靠的網(wǎng)絡(luò)環(huán)境奠定基礎(chǔ)。網(wǎng)絡(luò)彈性已成為任務(wù)和業(yè)務(wù)保障總體戰(zhàn)略中的關(guān)鍵因素。未來(lái)的網(wǎng)絡(luò)安全戰(zhàn)略必須超越傳統(tǒng)的預(yù)防、保護(hù)和恢復(fù)模式，更加關(guān)注如何有效地設(shè)計(jì)、開(kāi)發(fā)和運(yùn)行系統(tǒng)，使其能夠在面對(duì)持續(xù)攻擊甚至系統(tǒng)受損的情況下仍能維持適當(dāng)水平的任務(wù)執(zhí)行能力。這種轉(zhuǎn)變要求我們重新思考系統(tǒng)設(shè)計(jì)的原則，將網(wǎng)絡(luò)彈性作為核心屬性嵌入到系統(tǒng)的每個(gè)層面。4.網(wǎng)絡(luò)安全布局強(qiáng)化供應(yīng)鏈安全隨著全球化和數(shù)字化的深入發(fā)展，供應(yīng)鏈的復(fù)雜性和互聯(lián)性日益增加，供應(yīng)鏈安全已成為網(wǎng)絡(luò)安全戰(zhàn)略中的關(guān)鍵關(guān)注點(diǎn)。近年來(lái)，供應(yīng)鏈攻擊事件頻發(fā)，攻擊者利用供應(yīng)鏈環(huán)節(jié)中的脆弱性，對(duì)目標(biāo)系統(tǒng)實(shí)施攻擊，造成嚴(yán)重后果。因此，加強(qiáng)供應(yīng)鏈安全已成為各國(guó)網(wǎng)絡(luò)安全戰(zhàn)略的重要趨勢(shì)。美國(guó)CISA在2024年9月發(fā)布的聯(lián)邦民事行政部門運(yùn)營(yíng)網(wǎng)絡(luò)安全調(diào)整計(jì)劃中，將網(wǎng)絡(luò)供應(yīng)鏈風(fēng)險(xiǎn)管理列為五大優(yōu)先領(lǐng)域之一，特別強(qiáng)調(diào)要快速識(shí)別和降低對(duì)聯(lián)邦I(lǐng)T環(huán)境構(gòu)成的風(fēng)險(xiǎn)，包括來(lái)自第三方的風(fēng)險(xiǎn)。同時(shí)，美國(guó)政府還推出了軟件供應(yīng)鏈安全相關(guān)政策，要求檢查制造商是否以標(biāo)準(zhǔn)的、機(jī)器可讀的格式生成軟件物料清單，并審查其所包含的開(kāi)源軟件組件的安全性。歐盟通過(guò)一系列法律法規(guī)，構(gòu)建了全面的網(wǎng)絡(luò)安全防護(hù)網(wǎng)絡(luò)。特別是在供應(yīng)鏈安全方面，歐盟要求所有聯(lián)網(wǎng)設(shè)備在設(shè)計(jì)上確保安全，對(duì)網(wǎng)絡(luò)攻擊具有彈性，并能迅速發(fā)現(xiàn)和修補(bǔ)漏洞。這種將安全要求前移到設(shè)計(jì)階段的做法，體現(xiàn)了對(duì)網(wǎng)絡(luò)安全治理的前瞻性認(rèn)識(shí)。為加強(qiáng)供應(yīng)鏈安全，各國(guó)主要采取以下措施：強(qiáng)化供應(yīng)鏈風(fēng)險(xiǎn)評(píng)估與管理，建立全面的供應(yīng)鏈安全審查機(jī)制；推進(jìn)供應(yīng)鏈透明化，增強(qiáng)對(duì)軟硬件組件來(lái)源的25大幅提升了網(wǎng)絡(luò)防御的效率和準(zhǔn)確性。另一方面，AI也被不法分子利用，生成各國(guó)在網(wǎng)絡(luò)安全戰(zhàn)略中高度重視AI技術(shù)的雙重作用。美國(guó)在2024年的《人工智能國(guó)家安全備忘錄》中提出要建立完善的AI安全評(píng)估和風(fēng)險(xiǎn)管理框架，并強(qiáng)調(diào)了AI技術(shù)在國(guó)家安全方面的多種應(yīng)用，包括網(wǎng)絡(luò)安全、反間諜、后勤支持和軍事行動(dòng)。歐盟則通過(guò)《人工智能法案》規(guī)范AI技術(shù)的開(kāi)發(fā)和應(yīng)用，確保其加強(qiáng)AI在網(wǎng)絡(luò)安全中的應(yīng)用，主要包括以下措施：加大對(duì)AI安全技術(shù)的研發(fā)投入，提升對(duì)新型網(wǎng)絡(luò)威脅的感知和應(yīng)對(duì)能力；建立AI技術(shù)的安全標(biāo)準(zhǔn)和倫理規(guī)范，防范AI技術(shù)的濫用和潛在風(fēng)險(xiǎn)；培養(yǎng)跨學(xué)科的專業(yè)人才，促進(jìn)AI與網(wǎng)絡(luò)安全領(lǐng)域的協(xié)同創(chuàng)新；加強(qiáng)國(guó)際合作，構(gòu)建針對(duì)AI相關(guān)安全問(wèn)題的全球本、可信度和網(wǎng)絡(luò)彈性等關(guān)鍵領(lǐng)域，加強(qiáng)供應(yīng)鏈安全，以及強(qiáng)化人工智能技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用和發(fā)展，網(wǎng)絡(luò)安全戰(zhàn)略正在適應(yīng)日益復(fù)雜的數(shù)字環(huán)境，為構(gòu)建更安全、更可靠的網(wǎng)絡(luò)空間奠定基礎(chǔ)。這些趨勢(shì)的深入發(fā)展將持續(xù)推動(dòng)網(wǎng)絡(luò)安全領(lǐng)域的創(chuàng)新和進(jìn)步，為數(shù)字時(shí)代的安全保障提供新的思路和方法。273國(guó)內(nèi)外網(wǎng)絡(luò)安全技術(shù)發(fā)展現(xiàn)狀及趨勢(shì)3.1國(guó)外網(wǎng)絡(luò)安全技術(shù)發(fā)展現(xiàn)狀隨著當(dāng)今的社會(huì)活動(dòng)越來(lái)越依賴于復(fù)雜且相互關(guān)聯(lián)的網(wǎng)絡(luò)系統(tǒng)和數(shù)字基礎(chǔ)設(shè)施，網(wǎng)絡(luò)安全威脅種類越來(lái)越多，規(guī)模越來(lái)越大，造成的損失也越來(lái)越嚴(yán)重。由于潛在安全威脅的不可預(yù)測(cè)性，極度不確定性和快速演變的特性，人們逐漸認(rèn)識(shí)到要保證網(wǎng)絡(luò)空間絕對(duì)安全是不現(xiàn)實(shí)的。國(guó)內(nèi)外網(wǎng)絡(luò)安全研究機(jī)構(gòu)正積極探索和實(shí)踐新型安全架構(gòu)與技術(shù)，以提升整體網(wǎng)絡(luò)防御能力和應(yīng)對(duì)未來(lái)網(wǎng)絡(luò)安全挑戰(zhàn)。本節(jié)將重點(diǎn)闡述三種在國(guó)際網(wǎng)絡(luò)安全領(lǐng)域備受關(guān)注的前沿技術(shù)：網(wǎng)絡(luò)彈性(CyberResilience)[3-1]、設(shè)計(jì)安全(SecuritybyDesign)[3-2]以及零信任(ZeroTrust)[3-3]。面對(duì)當(dāng)今日益嚴(yán)峻的網(wǎng)絡(luò)安全形勢(shì)，歐美國(guó)家逐漸認(rèn)識(shí)到，傳統(tǒng)的網(wǎng)絡(luò)安全范式追求絕對(duì)安全或“不破防”的目標(biāo)是不現(xiàn)實(shí)的。在復(fù)雜多變的網(wǎng)絡(luò)攻擊環(huán)境中，必須從單純抵御攻擊轉(zhuǎn)向保障業(yè)務(wù)連續(xù)性和可用性，構(gòu)建快速恢復(fù)能力，以盡可能維持業(yè)務(wù)的正常運(yùn)營(yíng)。因此，網(wǎng)絡(luò)彈性已受到各國(guó)政府和網(wǎng)絡(luò)安全產(chǎn)業(yè)的高度關(guān)注，對(duì)網(wǎng)絡(luò)安全的創(chuàng)新以及信息化的可持續(xù)發(fā)展產(chǎn)生越來(lái)越深遠(yuǎn)的影響。網(wǎng)絡(luò)彈性被定義為系統(tǒng)在面對(duì)網(wǎng)絡(luò)攻擊以及自然或意外中斷時(shí)，預(yù)測(cè)、抵御、恢復(fù)和適應(yīng)的能力[3-4]。它通常被視為彈性工程、網(wǎng)絡(luò)安全和任務(wù)保障工程的交叉產(chǎn)物，具備以下五個(gè)獨(dú)特特征：(1)聚焦于任務(wù)或業(yè)務(wù)功能；(2)關(guān)注復(fù)雜攻擊(如APT)的影響；(3)假設(shè)環(huán)境不斷變化；(4)假設(shè)攻擊者一定能攻破系統(tǒng)；(5)假設(shè)攻擊者長(zhǎng)期存在。網(wǎng)絡(luò)彈性特別聚焦于復(fù)雜系統(tǒng)和極端不利環(huán)境等場(chǎng)景，形成獨(dú)特的研究領(lǐng)域。與傳統(tǒng)網(wǎng)絡(luò)安全相比，網(wǎng)絡(luò)彈性強(qiáng)調(diào)從任務(wù)視角保障系統(tǒng)能力。它不僅關(guān)注防止攻擊和保護(hù)數(shù)據(jù)，更重視在防護(hù)失效時(shí)如何確保關(guān)鍵任務(wù)的持續(xù)完成。這意味著，即使遭遇網(wǎng)絡(luò)攻擊或系統(tǒng)故障，組織依然能夠迅速調(diào)整和恢復(fù)運(yùn)作，從而保持業(yè)務(wù)連續(xù)性。因此，網(wǎng)絡(luò)安全與網(wǎng)絡(luò)彈性相輔相成，前者提供防御，后者確保在防護(hù)失效時(shí)的恢復(fù)與應(yīng)對(duì)能力。兩者之間的關(guān)系體現(xiàn)為從傳統(tǒng)安全到彈性的28網(wǎng)絡(luò)彈性技術(shù)的發(fā)展歷史如下：2010年，美國(guó)MITRE研究所發(fā)表了《構(gòu)建安全的、彈性的架構(gòu)以實(shí)現(xiàn)網(wǎng)絡(luò)使命保障》一文，強(qiáng)調(diào)保護(hù)任務(wù)關(guān)鍵功能的連續(xù)性，并指出必須考慮在防護(hù)失效時(shí)采取補(bǔ)償措施，以確保在遭受攻擊的情況下仍EngineeringFramework)首次提出網(wǎng)絡(luò)彈性工程和網(wǎng)絡(luò)彈性工程框架的概念，其中提出了一系列具有代表性的設(shè)計(jì)原則，這些原則可在整個(gè)系統(tǒng)生命周期中以不同的方式和程度進(jìn)行應(yīng)用。網(wǎng)絡(luò)彈性與彈性工程、任務(wù)保障、網(wǎng)絡(luò)安全防護(hù)、業(yè)務(wù)連續(xù)性和備份恢復(fù)等領(lǐng)域密切相關(guān)，不僅關(guān)注應(yīng)對(duì)外部網(wǎng)絡(luò)攻擊，還注重系統(tǒng)的健壯性與可靠性。2018年，MITRE發(fā)布了網(wǎng)絡(luò)彈性評(píng)估指標(biāo)(CyberResiliencyMetrics)系列文件，描述了近500個(gè)具有代表性的指標(biāo)，用于評(píng)估系統(tǒng)方案、技2021年，美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)正式發(fā)布了《開(kāi)發(fā)網(wǎng)絡(luò)彈性系統(tǒng)——一種系統(tǒng)安全工程方法》(NISTSP800-160V2R1)[3-5],標(biāo)志著網(wǎng)絡(luò)設(shè)計(jì)原則等。2023年12月，美國(guó)國(guó)家科學(xué)技術(shù)委員會(huì)(NationalScienceandTechnologyCouncil,NSTC)發(fā)布了《網(wǎng)絡(luò)安全研發(fā)戰(zhàn)略計(jì)劃(2024-2027)》,29性和提升運(yùn)行期間的網(wǎng)絡(luò)彈性等研究目標(biāo)，為未來(lái)美國(guó)網(wǎng)絡(luò)彈性的發(fā)展指明了方20242024MITRE網(wǎng)絡(luò)彈性框架與網(wǎng)絡(luò)生存屬性2011MITRE網(wǎng)絡(luò)彈性框架MT2013MITRE網(wǎng)絡(luò)彈性評(píng)估2018MITRE網(wǎng)絡(luò)彈性指標(biāo)和度量2017MITRE網(wǎng)絡(luò)彈性設(shè)計(jì)原則2015MITRE網(wǎng)絡(luò)彈性技術(shù)指導(dǎo)2021NIST開(kāi)發(fā)網(wǎng)絡(luò)彈性系統(tǒng)為開(kāi)發(fā)網(wǎng)絡(luò)彈性系統(tǒng)，NIST提出了一個(gè)理解和應(yīng)用網(wǎng)絡(luò)彈性的系統(tǒng)工程框架，包括網(wǎng)絡(luò)彈性工程概念、網(wǎng)絡(luò)彈性構(gòu)成要素、工程實(shí)踐和解決方案等。網(wǎng)絡(luò)彈性工程框架包括4個(gè)網(wǎng)絡(luò)彈性頂層目的：預(yù)測(cè)(anticipate)、抵御(withstand)、恢復(fù)(recover)和適應(yīng)(Evolve),8個(gè)網(wǎng)絡(luò)彈性需求目標(biāo)(對(duì)應(yīng)分解為若干子目標(biāo)及需求能力):阻止/避免、準(zhǔn)備、持續(xù)、扼制、理解、重建、轉(zhuǎn)變、重構(gòu)，14項(xiàng)網(wǎng)絡(luò)彈性支撐技術(shù)(實(shí)現(xiàn)網(wǎng)絡(luò)彈性頂層目的和需求目標(biāo)的方法),分別是自適應(yīng)響應(yīng)、分析監(jiān)測(cè)、協(xié)調(diào)保護(hù)、欺騙混淆、多樣性、動(dòng)態(tài)定位、動(dòng)態(tài)表示、非持久化、權(quán)限限制、重新調(diào)整、冗余、分段/分割、完整性證明、不可預(yù)測(cè)性，5項(xiàng)網(wǎng)絡(luò)彈性策略原則：關(guān)注公共關(guān)鍵資產(chǎn)、支持敏捷性和架構(gòu)適應(yīng)性、減小攻擊面、假設(shè)資源會(huì)受損、預(yù)計(jì)對(duì)手會(huì)進(jìn)化，和14項(xiàng)網(wǎng)絡(luò)彈性設(shè)計(jì)原則，分別是保持態(tài)勢(shì)感知、充分利用運(yùn)行狀況和狀態(tài)數(shù)據(jù)、確定持續(xù)的可信度、限制對(duì)信任的需求、控制使用和可見(jiàn)性、遏制和排除行為、分層防御和分區(qū)資源、自適應(yīng)管理、計(jì)劃和管理多樣性、保持冗余、資源位置多樣化、最大化瞬態(tài)、改變或破壞攻擊面、創(chuàng)造對(duì)用戶透明的欺騙效果和不可預(yù)測(cè)性。網(wǎng)絡(luò)彈性頂層目的和需求目標(biāo)確定了網(wǎng)絡(luò)彈性系統(tǒng)需包含哪些屬性和特性，網(wǎng)絡(luò)彈性支撐技術(shù)和構(gòu)建原則描述了實(shí)現(xiàn)網(wǎng)絡(luò)彈性的路徑和方式。網(wǎng)絡(luò)彈性工程實(shí)踐是用于辨識(shí)、提出解決方案的方法、流程、建模和分析技術(shù)。這些實(shí)踐在系統(tǒng)生命周期過(guò)程中可提供足夠水平的網(wǎng)絡(luò)彈性，以滿足風(fēng)險(xiǎn)相關(guān)者的需求，并在存在各種威脅源(包括APT)時(shí)降低組織任務(wù)或業(yè)務(wù)能力風(fēng)險(xiǎn)。302023年4月和10月，美國(guó)多個(gè)機(jī)構(gòu)聯(lián)合五眼聯(lián)盟以及德國(guó)、荷蘭、捷克、31件《改變網(wǎng)絡(luò)安全風(fēng)險(xiǎn)平衡：設(shè)計(jì)安全與默認(rèn)安全的原則與方法》[3-6]。該指南指出，“只有結(jié)合安全的設(shè)計(jì)實(shí)踐，才能打破不斷創(chuàng)建和應(yīng)用修復(fù)程序的惡性循為當(dāng)前階段，技術(shù)制造商比以往任何時(shí)候都更需要將“設(shè)計(jì)安全”和“默認(rèn)安全”作為產(chǎn)品設(shè)計(jì)和開(kāi)發(fā)過(guò)程的焦點(diǎn)。為了創(chuàng)造一個(gè)技術(shù)和相關(guān)產(chǎn)品對(duì)客戶更安全的未來(lái)，這些機(jī)構(gòu)敦促制造商修改他們的設(shè)計(jì)和開(kāi)發(fā)計(jì)劃，只允許向客戶運(yùn)送設(shè)計(jì)安全和默認(rèn)安全的產(chǎn)品。其中設(shè)計(jì)安全的產(chǎn)品是指客戶的安全是核心業(yè)務(wù)目標(biāo)，而不僅僅是技術(shù)功能；而默認(rèn)安全的產(chǎn)品是指可以安全使用的、幾乎不需要或根本不需要更改配置的、并且沒(méi)有額外成本的“開(kāi)箱即用”產(chǎn)品?？傊@兩個(gè)原則將保證安全的大部分負(fù)擔(dān)轉(zhuǎn)移給了制造商，并減少了客戶因配置錯(cuò)誤、補(bǔ)丁速度不夠快或許多其他常見(jiàn)問(wèn)題而成為安全事件受害者的機(jī)會(huì)。針對(duì)設(shè)計(jì)安全概念，美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院發(fā)布的《安全軟件開(kāi)發(fā)框架》制定了一份簡(jiǎn)要的設(shè)計(jì)安全技術(shù)策略，其包括：■內(nèi)存安全編程語(yǔ)言：盡可能優(yōu)先使用內(nèi)存安全語(yǔ)言；■安全硬件基礎(chǔ)：包含能夠?qū)崿F(xiàn)細(xì)粒度內(nèi)存保護(hù)的體系結(jié)構(gòu)功能；■安全軟件組件：從經(jīng)過(guò)驗(yàn)證的商業(yè)、開(kāi)源和其他第三方開(kāi)發(fā)人員處獲取并維護(hù)安全性良好的軟件組件；■Web模板框架：使用實(shí)現(xiàn)用戶輸入自動(dòng)轉(zhuǎn)義的Web模板框架，以避免跨站點(diǎn)腳本等Web攻擊；■參數(shù)化查詢：使用參數(shù)化查詢，而不是在查詢中包含用戶輸入，以避免SQL注入攻擊；靜態(tài)和動(dòng)態(tài)應(yīng)用程序安全測(cè)試：使用安全測(cè)試工具來(lái)分析產(chǎn)品源代碼和應(yīng)用程序行為，以檢測(cè)容易出錯(cuò)的做法；■代碼評(píng)審：努力確保提交到產(chǎn)品中的代碼通過(guò)其他開(kāi)發(fā)人員的同行評(píng)審，以確保更高的質(zhì)量?！雎┒磁队?jì)劃：建立讓安全研究者報(bào)告漏洞的漏洞公開(kāi)方案?！龀Ｒ?jiàn)漏洞與公開(kāi)威脅完整性：確保已發(fā)布的常見(jiàn)漏洞與公開(kāi)威脅包括根本原因或常見(jiàn)弱點(diǎn)列舉，以實(shí)現(xiàn)軟件安全設(shè)計(jì)缺陷的全行業(yè)分析。■縱深防御技術(shù)：設(shè)計(jì)基礎(chǔ)設(shè)施，多層次保證系統(tǒng)的安全。32織網(wǎng)絡(luò)邊界設(shè)置防御措施，如防火墻、入侵探測(cè)系統(tǒng)等，以阻擋外部威脅。這種較高的信任度和訪問(wèn)權(quán)限。然而，隨著技術(shù)的發(fā)展和業(yè)務(wù)模式的變革，這種基于邊界的安全模型逐漸暴露出諸多問(wèn)題。云計(jì)算、移動(dòng)設(shè)備和遠(yuǎn)程工作的普及使得傳統(tǒng)網(wǎng)絡(luò)邊界變得模糊不清。用戶無(wú)論從哪個(gè)位置、使用多種設(shè)備都可以訪問(wèn)企業(yè)資源，這就造成了網(wǎng)絡(luò)邊界越來(lái)越難以界定。其次，內(nèi)部威脅的增加也挑戰(zhàn)了取得訪問(wèn)權(quán)限的內(nèi)部人員中衍生出來(lái)的。此外，組織需要與外部合作伙伴共享數(shù)據(jù)和資源，這就要求安全模型能夠更精細(xì)地控制訪問(wèn)權(quán)限。同時(shí)，網(wǎng)絡(luò)攻擊的復(fù)雜性和持久性也在不斷提高。高級(jí)持續(xù)性威脅能夠突破傳統(tǒng)的邊界防御伏在網(wǎng)絡(luò)內(nèi)部，這使得僅依靠邊界防御變得不夠充分。面對(duì)這些挑戰(zhàn)，零信任技術(shù)應(yīng)運(yùn)而生。零信任發(fā)展脈絡(luò)如圖3-2所示，隨著零信任理論和實(shí)踐的不斷完善(理念探索、產(chǎn)業(yè)實(shí)踐和國(guó)家戰(zhàn)略推動(dòng)),零信任逐漸從原型概念演進(jìn)為主流網(wǎng)絡(luò)安全技術(shù)架構(gòu)。2021年5月，美國(guó)總統(tǒng)拜登簽署的14028號(hào)行政令要求將網(wǎng)絡(luò)安全架構(gòu)遷移至零信任架構(gòu)。隨后，美聯(lián)邦政府和國(guó)防部相繼發(fā)布了《聯(lián)邦零信任戰(zhàn)略》和《國(guó)防部零信任戰(zhàn)略》[3-7]。聯(lián)邦戰(zhàn)略通過(guò)備忘錄《推動(dòng)美國(guó)政府邁向零信任網(wǎng)絡(luò)安全原則》概述了零信任架構(gòu)的五大支柱：用戶、設(shè)備、網(wǎng)絡(luò)、應(yīng)用和工作負(fù)載，以及數(shù)據(jù)，并提供了推進(jìn)零信任戰(zhàn)略的“任務(wù)矩陣”。美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)發(fā)布的《零信任成熟度模型》詳細(xì)介紹了這五大支柱的具體關(guān)鍵能力和目標(biāo)等級(jí)，為政府機(jī)構(gòu)、供應(yīng)商、企業(yè)用戶和安全研究人員在設(shè)計(jì)和實(shí)施零信任項(xiàng)目時(shí)提供了路線圖和資源。為了創(chuàng)建一個(gè)具有防御能力、可擴(kuò)展性、彈性和可審計(jì)性的國(guó)防信息環(huán)境，2022年11月，美國(guó)國(guó)防部發(fā)布了《國(guó)防部零信任戰(zhàn)略》。該戰(zhàn)略涵蓋用戶、設(shè)備、網(wǎng)絡(luò)和環(huán)境、應(yīng)用和工作負(fù)載、數(shù)據(jù)、自動(dòng)化與編排、可視化與分析等七大支柱，提出了45項(xiàng)關(guān)鍵能力，構(gòu)成了完整的國(guó)防部零信任能力框架。ZeroTrustArchitecture)出國(guó)防部零信任參考結(jié)構(gòu)1.0,建議,絡(luò)安全和基礎(chǔ)設(shè)施安全局CISA稿),細(xì)化五個(gè)“具體的零信任目標(biāo)”零信任摒棄了傳統(tǒng)模型“內(nèi)在可信”的假想，其核心理念是“永不信任，永遠(yuǎn)驗(yàn)證”。零信任要求對(duì)每次訪問(wèn)請(qǐng)求進(jìn)行嚴(yán)格的身份驗(yàn)證和授權(quán)，無(wú)論請(qǐng)求來(lái)自組織內(nèi)部還是外部。核心原則包括：最小特權(quán)原則—用戶僅能訪問(wèn)必需資源以降低潛在攻擊面、多層次的安全—結(jié)合多因素身份驗(yàn)證以增強(qiáng)身份確認(rèn)、持續(xù)監(jiān)測(cè)—實(shí)時(shí)監(jiān)控用戶和設(shè)備活動(dòng)以及時(shí)識(shí)別潛在威脅。實(shí)施零信任需要一系列技術(shù)工具，主要包括細(xì)粒度訪問(wèn)控制(動(dòng)態(tài)管理用戶訪問(wèn)權(quán)限)、多因素身份驗(yàn)證(結(jié)合知識(shí)因素、擁有因素和生物識(shí)別因素以增強(qiáng)安全性)、網(wǎng)絡(luò)分割(將網(wǎng)絡(luò)劃分為多個(gè)隔離區(qū)域以降低橫向移動(dòng)攻擊風(fēng)險(xiǎn)),以及日志和分析(收集和分析日志34數(shù)據(jù)以檢測(cè)異?；顒?dòng))。通過(guò)這些技術(shù)，組織能夠有效提升網(wǎng)絡(luò)安全性，快速響年5月，美國(guó)國(guó)防信息系統(tǒng)局(DISA)發(fā)布了《國(guó)防部零信任參考架構(gòu)》1.0版本，并于2022年7月推出2.0版本，這些參考架構(gòu)制定了一系列安全原則和能NIST架構(gòu)類似。持續(xù)診斷和持續(xù)診斷和緩解系統(tǒng)策略決策點(diǎn)策略管理器(PA)行業(yè)合規(guī)性威脅情報(bào)活動(dòng)日志安全信息與事件管理系統(tǒng)策略執(zhí)行點(diǎn)(PEP)策系統(tǒng)不可信數(shù)據(jù)訪問(wèn)策略公鑰基礎(chǔ)設(shè)施控制平面數(shù)據(jù)平面企業(yè)數(shù)據(jù)身份管理主體可信圖3-3零信任邏輯架構(gòu)圖(來(lái)自NISTSP800-207《零信任架構(gòu)》)零信任架構(gòu)作為前瞻性的安全策略，通過(guò)持續(xù)驗(yàn)證和精細(xì)控制應(yīng)對(duì)復(fù)雜的網(wǎng)絡(luò)威脅，但面臨多重挑戰(zhàn)。首先，盡管集成了加密、身份認(rèn)證和微隔離等零信任架構(gòu)仍未能有效整合這些技術(shù)，無(wú)法徹底消除實(shí)現(xiàn)過(guò)程中的漏洞和導(dǎo)致制造側(cè)難以應(yīng)對(duì)分布式認(rèn)證節(jié)點(diǎn)中的網(wǎng)絡(luò)威脅。其次，實(shí)施零信實(shí)施復(fù)雜性高，需深入分析和重構(gòu)現(xiàn)有網(wǎng)絡(luò)，這可能導(dǎo)致高昂的初始成本深入監(jiān)控用戶行為和數(shù)據(jù)分析可能引發(fā)合規(guī)性和隱私問(wèn)題，需在確保力。353.2國(guó)內(nèi)網(wǎng)絡(luò)安全技術(shù)發(fā)展現(xiàn)狀國(guó)家戰(zhàn)略層面的重要問(wèn)題。我國(guó)網(wǎng)絡(luò)安全產(chǎn)業(yè)正處于快速成長(zhǎng)期，但仍面臨著諸多挑戰(zhàn)，如關(guān)鍵核心技術(shù)受制于人、安全防護(hù)體系不完善等問(wèn)題。為應(yīng)對(duì)這些挑戰(zhàn)，國(guó)內(nèi)學(xué)術(shù)界和產(chǎn)業(yè)界積極探索創(chuàng)新性的網(wǎng)絡(luò)安全方法論及技術(shù)路線。其中，得到了廣泛關(guān)注和實(shí)踐。這兩種方法分別從系統(tǒng)架構(gòu)設(shè)計(jì)和計(jì)算環(huán)境可信性的角度，為構(gòu)建自主可控、安全可靠的網(wǎng)絡(luò)空間提供了新的思路和技術(shù)支撐。隨著云計(jì)算、物聯(lián)網(wǎng)、5G、大數(shù)據(jù)等新技術(shù)涌現(xiàn)而來(lái)，網(wǎng)絡(luò)安全邊界不斷日益嚴(yán)峻的網(wǎng)絡(luò)安全形勢(shì)。在可信體系中，信任鏈以可信根(TPM)為起點(diǎn)而建36我國(guó)在1992年開(kāi)始進(jìn)行可信計(jì)算方面的研究與實(shí)踐，至今可信計(jì)算經(jīng)歷了算模式，對(duì)進(jìn)入機(jī)體內(nèi)的有害物質(zhì)進(jìn)行破壞和排斥，即“2023年12月，美國(guó)國(guó)家科技委員會(huì)發(fā)布《聯(lián)邦網(wǎng)絡(luò)安全研究與發(fā)展戰(zhàn)略規(guī)劃》(2024-2027),指出當(dāng)前網(wǎng)絡(luò)彈性工程在理論模型、架構(gòu)設(shè)計(jì)和度量評(píng)估果。這些觀點(diǎn)驗(yàn)證了鄔江興院士團(tuán)隊(duì)于2023年7月出版的著作《內(nèi)生安全賦能建高可信、可控、可驗(yàn)證的數(shù)字生態(tài)安全體系。網(wǎng)絡(luò)韌性不僅關(guān)注攻擊后的恢復(fù)與適應(yīng)，更注重從設(shè)計(jì)階段強(qiáng)化系統(tǒng)結(jié)構(gòu)安全，達(dá)成難以被攻破、持續(xù)穩(wěn)定運(yùn)行的目標(biāo)，是網(wǎng)絡(luò)彈性發(fā)展的高級(jí)階段。網(wǎng)絡(luò)內(nèi)生安全機(jī)理與構(gòu)造不僅是一個(gè)重大的科學(xué)發(fā)現(xiàn)而且也是一項(xiàng)顛覆性的技術(shù)發(fā)明?；谖覈?guó)原創(chuàng)的內(nèi)生安全賦能網(wǎng)絡(luò)彈性理論，能夠引領(lǐng)國(guó)際網(wǎng)絡(luò)韌性發(fā)展新潮流。內(nèi)生安全網(wǎng)絡(luò)韌性設(shè)計(jì)技術(shù)[3-9]的提出是為了應(yīng)對(duì)和解決是解決網(wǎng)絡(luò)空間普遍存在的內(nèi)生安全共性問(wèn)題，轉(zhuǎn)變單純地依靠漏洞后門和攻擊特征精確發(fā)現(xiàn)以及縮小攻擊表面的技術(shù)發(fā)展路線，其借鑒系統(tǒng)工程理論、可靠性設(shè)計(jì)理論、生物仿生和免疫理論等，在國(guó)際上首次提出一種不依賴(但不排斥)漏洞后門發(fā)現(xiàn)和攻擊特征分析等先驗(yàn)知識(shí)的內(nèi)生安全理論與體系，建立一套有效解決網(wǎng)絡(luò)空間內(nèi)生安全共性問(wèn)題的實(shí)踐規(guī)范，以創(chuàng)新的廣義魯棒控制構(gòu)造破解目前功能安全與網(wǎng)絡(luò)安全不能量化設(shè)計(jì)、無(wú)法驗(yàn)證度量的工程技術(shù)難題，從根本上實(shí)現(xiàn)當(dāng)前網(wǎng)絡(luò)安全領(lǐng)域思維視角與方法論的轉(zhuǎn)變，破解如何有效防范未知的未知威脅、如何基于相對(duì)性構(gòu)造原理抑制內(nèi)生安全共性問(wèn)題影響等亟待解決的重大科學(xué)問(wèn)題。內(nèi)生安全理論提出了一個(gè)新的概念：內(nèi)生安全問(wèn)題。其指出當(dāng)某個(gè)事物在其主要功能之外，還具有一些意料之外的負(fù)面效果或隱藏功能時(shí)，就會(huì)出現(xiàn)安全隱患。同樣，如果一個(gè)系統(tǒng)或模型中存在一些由其自身結(jié)構(gòu)決定的、相互依賴但又相互矛盾的內(nèi)在因素，也屬于內(nèi)生安全問(wèn)題的范疇。內(nèi)生安全理論指出，動(dòng)態(tài)性/隨機(jī)性、多樣性/異構(gòu)性、冗余性這三大網(wǎng)絡(luò)安全防御領(lǐng)域的核心技術(shù)要素對(duì)于增加不確定性和防范未知威脅至關(guān)重要[3-10]。內(nèi)生型安全理論基于上述思想，提供了動(dòng)態(tài)異構(gòu)冗余的創(chuàng)新架構(gòu)，如圖3-4所示，其能夠有效抑制“已知的未知”和“未知的未知”等構(gòu)造中存在的異常擾動(dòng)所產(chǎn)生的不良影響，其不依賴于先驗(yàn)知識(shí)，自然獲得高可靠、高可信、高可用的三位一體的內(nèi)生安全屬性。38輸入(a)輸入(a)策略E1E策略分發(fā)E3Em異構(gòu)執(zhí)行體集多模/策略表決異構(gòu)體集合構(gòu)件池多維動(dòng)態(tài)重構(gòu)策略調(diào)度圖3-4內(nèi)生安全動(dòng)態(tài)異構(gòu)冗余架構(gòu)圖中國(guó)原創(chuàng)的網(wǎng)絡(luò)韌性研究以內(nèi)生安全理論為核心，經(jīng)10余年迭代發(fā)展，在熱潮中處于引領(lǐng)性地位。先后初版《內(nèi)生安全賦能網(wǎng)絡(luò)彈性工程》等專著,奠定了動(dòng)態(tài)、多樣、冗余(DVR)防御模型和結(jié)構(gòu)加密等原創(chuàng)理論基礎(chǔ)，深刻闡明11項(xiàng)擬態(tài)防御技術(shù)標(biāo)準(zhǔn)，內(nèi)生安全擬態(tài)防御技術(shù)標(biāo)準(zhǔn)體系已初步建立，規(guī)范了踐證明內(nèi)生安全理論和技術(shù)具有領(lǐng)先優(yōu)勢(shì)!構(gòu)建內(nèi)生安全知識(shí)體系，培育開(kāi)發(fā)者網(wǎng)絡(luò)安全培養(yǎng)新模式。團(tuán)隊(duì)的成果涵蓋車聯(lián)網(wǎng)、6G、工業(yè)互聯(lián)網(wǎng)等領(lǐng)域，為構(gòu)39(1)不依賴關(guān)于攻擊者的先驗(yàn)信息。能在不依賴(但不排斥)攻擊者先驗(yàn)信息的條件下，有效避免已知的未知或未知的未知等廣義功能安全問(wèn)題導(dǎo)致的安全事件；(2)可以一體化構(gòu)造賦能?；跀?shù)學(xué)物理加密性質(zhì)的賦能構(gòu)造，能夠阻斷廣義功能安全問(wèn)題之內(nèi)因和人為或非人為擾動(dòng)之外因間的相互作用，架構(gòu)內(nèi)即使存在內(nèi)生安全問(wèn)題也難以演變?yōu)榘踩录?3)安全性可量化設(shè)計(jì)。不論是已知的未知概率問(wèn)題，或者未知的未知不確定性問(wèn)題所造成的廣義不確定擾動(dòng)都能變換為廣義可靠性(概率)量綱呈現(xiàn)的可量化設(shè)計(jì)與驗(yàn)證度量指標(biāo)；(4)完美拒止試錯(cuò)攻擊。能夠從機(jī)理上顛覆試錯(cuò)攻擊所必須的背景不變假設(shè)前提，阻斷或屏蔽攻擊者的單向透明優(yōu)勢(shì)，使得攻擊者沒(méi)有比窮舉攻擊更好的選擇；(5)具備內(nèi)生安全黃金檢驗(yàn)法，即白盒注入。內(nèi)生安全DHR架構(gòu)完美安全性質(zhì)允許第三方在目標(biāo)構(gòu)造內(nèi)“植入任何數(shù)量、差模性質(zhì)且不為設(shè)備制造者和使用者所知悉的測(cè)試用例”,測(cè)試者可在DHR架構(gòu)輸入端構(gòu)造測(cè)試?yán)鄳?yīng)的激勵(lì)序列并觀察輸出端的響應(yīng)信息，依此可測(cè)量出現(xiàn)安全事件的發(fā)生概率。特別是，與歐美網(wǎng)絡(luò)彈性方案相比，內(nèi)生安全還具備兩項(xiàng)獨(dú)有能力。一是具備感知并抵御基于未知漏洞后門的網(wǎng)絡(luò)攻擊的能力；二是具有同時(shí)抵御隨機(jī)故障失效和人為網(wǎng)絡(luò)攻擊的一體化安全能力。總之，基于中國(guó)原創(chuàng)的內(nèi)生安全賦能網(wǎng)絡(luò)彈性創(chuàng)新方案，能夠不依賴(可融合)基于先驗(yàn)知識(shí)的網(wǎng)絡(luò)安全理論與方法，實(shí)現(xiàn)可量化設(shè)計(jì)/驗(yàn)證度量的設(shè)計(jì)安全，有效避免我國(guó)在數(shù)字化產(chǎn)業(yè)生態(tài)安全轉(zhuǎn)型過(guò)程中被再度“牽鼻子/卡脖子”,引領(lǐng)國(guó)際網(wǎng)絡(luò)彈性/設(shè)計(jì)安全/零信任技術(shù)發(fā)展新潮流。3.3網(wǎng)絡(luò)安全技術(shù)發(fā)展趨勢(shì)分析隨著數(shù)字技術(shù)的快速發(fā)展和網(wǎng)絡(luò)環(huán)境的日益復(fù)雜，傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)已經(jīng)難以應(yīng)對(duì)當(dāng)前的安全挑戰(zhàn)。為了更好地保護(hù)數(shù)字資產(chǎn)和信息系統(tǒng)，網(wǎng)絡(luò)安全領(lǐng)域正在經(jīng)歷一系列重要的變革。這些變革反映了網(wǎng)絡(luò)安全技術(shù)的幾個(gè)關(guān)鍵發(fā)展趨勢(shì)，不僅體現(xiàn)了安全理念的轉(zhuǎn)變，也展示了技術(shù)應(yīng)用的創(chuàng)新。具體而言，可以觀察到40以下四個(gè)主要趨勢(shì)：首先是安全策略的綜合化，其次是安全機(jī)制的內(nèi)生化，再次是防護(hù)范圍的整體化，最后是評(píng)估方法的量化。1.針對(duì)越來(lái)越復(fù)雜的數(shù)字生態(tài)系統(tǒng)，需要將目標(biāo)加固、損害限制和業(yè)務(wù)恢復(fù)綜合考慮針對(duì)日益復(fù)雜的數(shù)字生態(tài)系統(tǒng)，網(wǎng)絡(luò)安全策略必須全面且系統(tǒng)地考慮多個(gè)層面。首先，目標(biāo)加固是基礎(chǔ)，它要求在系統(tǒng)設(shè)計(jì)之初就納入安全性，通過(guò)實(shí)施最小權(quán)限原則、強(qiáng)身份驗(yàn)證和定期漏洞掃描等措施，最大限度地減少潛在的攻擊面。這種前期預(yù)防措施能夠有效降低安全事件發(fā)生的概率，為后續(xù)的防護(hù)奠定堅(jiān)實(shí)基其次，在面對(duì)現(xiàn)實(shí)的網(wǎng)絡(luò)攻擊時(shí)，損害限制成為關(guān)鍵環(huán)節(jié)。此策略要求組織在發(fā)現(xiàn)安全事件時(shí)迅速采取響應(yīng)措施，以控制事態(tài)發(fā)展并減少損失。這包括實(shí)施實(shí)時(shí)監(jiān)控和應(yīng)急響應(yīng)計(jì)劃，確保在攻擊發(fā)生后能夠迅速隔離受影響的系統(tǒng)和數(shù)據(jù)，防止攻擊擴(kuò)散。同時(shí)，組織還需進(jìn)行持續(xù)的威脅評(píng)估，以便及時(shí)更新和優(yōu)化響應(yīng)策略，增強(qiáng)對(duì)未來(lái)攻擊的抵御能力。最后，業(yè)務(wù)恢復(fù)是網(wǎng)絡(luò)安全管理中不可或缺的一部分。即便在實(shí)施了目標(biāo)加固和損害限制措施后，組織仍需準(zhǔn)備好迅速恢復(fù)正常業(yè)務(wù)運(yùn)營(yíng)。這涉及到制定和測(cè)試災(zāi)難恢復(fù)計(jì)劃，確保在遭遇攻擊后，關(guān)鍵業(yè)務(wù)能夠盡快恢復(fù)，從而減少對(duì)客戶和合作伙伴的影響。通過(guò)構(gòu)建健全的備份和恢復(fù)機(jī)制，組織可以在面臨安全事件時(shí)迅速恢復(fù)系統(tǒng)功能，實(shí)現(xiàn)業(yè)務(wù)連續(xù)性。綜合考慮目標(biāo)加固、損害限制和業(yè)務(wù)恢復(fù)是構(gòu)建現(xiàn)代網(wǎng)絡(luò)安全體系的關(guān)鍵。這一系統(tǒng)性方法不僅能增強(qiáng)組織的安全防護(hù)能力，還能提高其應(yīng)對(duì)復(fù)雜網(wǎng)絡(luò)威脅的靈活性和韌性。在未來(lái)的數(shù)字生態(tài)系統(tǒng)中，組織需要不斷完善這一閉環(huán)安全策略，以適應(yīng)快速變化的威脅環(huán)境。2.隨著網(wǎng)絡(luò)邊界融合化，網(wǎng)絡(luò)安全技術(shù)從“疊加式”“外掛式”的安全向“內(nèi)生”安全轉(zhuǎn)變隨著云計(jì)算、人工智能等數(shù)字技術(shù)的深入應(yīng)用，智慧城市展現(xiàn)出融合、協(xié)同與智能化的特征。這一趨勢(shì)通過(guò)網(wǎng)絡(luò)更有效地連接智慧城市的服務(wù)、居民和企業(yè)，使信息實(shí)現(xiàn)高度集中與共享。然而，信息資源的集中共享也帶來(lái)了更為集中的安全風(fēng)險(xiǎn)。此外，內(nèi)生安全的理念促進(jìn)了整個(gè)組織內(nèi)安全意識(shí)的建立。開(kāi)發(fā)團(tuán)隊(duì)、運(yùn)維團(tuán)隊(duì)與安全團(tuán)隊(duì)之間的協(xié)作愈發(fā)重要，通過(guò)信息共享和最佳實(shí)踐，確保在軟件生軟件等單點(diǎn)防御。這種“點(diǎn)式防御”雖然在一定程度上提供了保護(hù)，但往往無(wú)法有效應(yīng)對(duì)復(fù)雜的攻擊手段和不斷演化的威脅。在當(dāng)前數(shù)字化環(huán)境中，攻擊者常常利用多種技術(shù)和策略進(jìn)行協(xié)調(diào)攻擊，單一的防護(hù)措施顯得捉襟見(jiàn)肘。網(wǎng)絡(luò)安全正在經(jīng)歷從局部防護(hù)措施向系統(tǒng)整體安全管理的轉(zhuǎn)變?，F(xiàn)代網(wǎng)絡(luò)安全方法強(qiáng)調(diào)整體防護(hù)的重要性，要求從全局視角出發(fā)，綜合考慮系統(tǒng)內(nèi)各個(gè)組成部分的安全性，覆蓋信息系統(tǒng)的整個(gè)生命周期。它強(qiáng)調(diào)安全要素之間的協(xié)同整合，以及安全措施與業(yè)務(wù)流程的深度融合，以實(shí)現(xiàn)全面和有效的安全保護(hù)。因此，系統(tǒng)整體安全不僅關(guān)注單一的安全工具或技術(shù)，而是將安全作為系統(tǒng)設(shè)計(jì)和實(shí)施的核心元素，從而提供持續(xù)性的保護(hù)。通過(guò)在系統(tǒng)的各個(gè)階段融入安全考量，組織能夠在設(shè)計(jì)、開(kāi)發(fā)、部署和維護(hù)過(guò)程中確保安全性，減少潛在風(fēng)險(xiǎn)。例如，身份認(rèn)證、訪問(wèn)控制、數(shù)據(jù)加密、入侵檢測(cè)和響應(yīng)等安全措施需要相互配合，共同構(gòu)建一個(gè)多層次的防御體系。這種整合不僅提高了安全防護(hù)的效率，也增強(qiáng)了對(duì)新型攻擊的抵御能力。在這一整體安全管理框架下，網(wǎng)絡(luò)安全措施將更加系統(tǒng)化和動(dòng)態(tài)化。與傳統(tǒng)的靜態(tài)防護(hù)不同，現(xiàn)代安全管理需要實(shí)時(shí)監(jiān)測(cè)和評(píng)估系統(tǒng)狀態(tài)，以便及時(shí)響應(yīng)新出現(xiàn)的威脅和漏洞。這種持續(xù)的監(jiān)測(cè)和反饋機(jī)制使組織能夠在面對(duì)不斷變化的網(wǎng)絡(luò)環(huán)境時(shí)，迅速調(diào)整和優(yōu)化其安全策略，從而實(shí)現(xiàn)更高的安全韌性。這樣的轉(zhuǎn)變不僅提升了整體防護(hù)能力，也為組織在面對(duì)未來(lái)復(fù)雜威脅時(shí)提供了更為堅(jiān)實(shí)的保障。4.網(wǎng)絡(luò)安全防御能力評(píng)估從防御效能定性分析向定量確保轉(zhuǎn)變網(wǎng)絡(luò)安全防御能力評(píng)估正經(jīng)歷從定性分析向定量確保的轉(zhuǎn)變。這一變化不僅補(bǔ)充了傳統(tǒng)評(píng)估方法，更是滿足現(xiàn)代系統(tǒng)設(shè)計(jì)、開(kāi)發(fā)和運(yùn)維需求的重要一步。隨著網(wǎng)絡(luò)環(huán)境的日益復(fù)雜，僅依靠定性判斷已無(wú)法全面反映系統(tǒng)在隨機(jī)失效和人為攻擊下的可用性和生存性。因此，采用量化指標(biāo)和科學(xué)評(píng)估方法顯得尤為重要。通過(guò)量化設(shè)計(jì)，網(wǎng)絡(luò)安全評(píng)估的準(zhǔn)確性和客觀性得以顯著提升。這使組織能夠更深入地理解自身的安全防護(hù)能力，識(shí)別具體的弱點(diǎn)和改進(jìn)空間。量化指標(biāo)不僅提供了明確的數(shù)據(jù)支持，還幫助安全團(tuán)隊(duì)分析不同防御措施的有效性，明確哪些環(huán)節(jié)需要加強(qiáng)或調(diào)整。這種深入分析促進(jìn)了針對(duì)性改進(jìn)措施的制定，為優(yōu)化網(wǎng)絡(luò)安全策略奠定了堅(jiān)實(shí)的基礎(chǔ)，從而使安全防護(hù)更加科學(xué)和精準(zhǔn)。43引入定量評(píng)估后，組織能夠更加客觀地衡量其安全防御能力，使得安全防護(hù)效果可以通過(guò)具體的數(shù)字和指標(biāo)來(lái)表達(dá)，為決策者提供了更為可靠的依據(jù)。例如，通過(guò)計(jì)算系統(tǒng)的安全事件響應(yīng)時(shí)間、攻擊成功率和恢復(fù)時(shí)間等指標(biāo)，組織可以深入分析防御措施的有效性，從而為安全策略的優(yōu)化提供實(shí)證支持。最后，定量評(píng)估為持續(xù)改進(jìn)和對(duì)標(biāo)分析提供了堅(jiān)實(shí)的基礎(chǔ)。通過(guò)定期監(jiān)測(cè)和評(píng)估安全防御能力，組織能夠及時(shí)識(shí)別薄弱環(huán)節(jié)并制定相應(yīng)的改進(jìn)措施。同時(shí)，量化指標(biāo)使得與行業(yè)標(biāo)準(zhǔn)或最佳實(shí)踐的對(duì)比分析更加便捷，促進(jìn)了整個(gè)安全體系的不斷完善和提升。這一系列變革將使網(wǎng)絡(luò)安全防御能力評(píng)估不僅僅局限于“合格”與“未合格”的簡(jiǎn)單判斷，而是形成一種動(dòng)態(tài)、可持續(xù)優(yōu)化的安全管理機(jī)制。5.AI提升網(wǎng)絡(luò)安全技術(shù)自動(dòng)化水平通過(guò)機(jī)器學(xué)習(xí)和數(shù)據(jù)分析，AI可以實(shí)時(shí)監(jiān)測(cè)網(wǎng)絡(luò)流量，識(shí)別異常行為，迅速檢測(cè)潛在威脅。這種智能化的監(jiān)控不僅提高了識(shí)別攻擊的準(zhǔn)確性，還能有效減少誤報(bào)，確保安全團(tuán)隊(duì)能夠?qū)Ｗ⒂谡嬲陌踩录3-12]。自2022年底，以LLM(大語(yǔ)言模型)為核心的生成式人工智能帶來(lái)了新的技術(shù)與產(chǎn)業(yè)革命，被認(rèn)為“改變游戲規(guī)則”的戰(zhàn)略性科技，促成網(wǎng)絡(luò)安全產(chǎn)品功能、性能提升。AI還能夠通過(guò)自動(dòng)化響應(yīng)機(jī)制，快速處理已識(shí)別的安全事件。例如，在遭遇網(wǎng)絡(luò)攻擊時(shí)，AI可以即時(shí)執(zhí)行封鎖、隔離受影響的系統(tǒng)，甚至啟動(dòng)預(yù)設(shè)的防御措施，從而顯著降低攻擊造成的損害。同時(shí)，AI的學(xué)習(xí)能力使其能夠不斷適應(yīng)新的攻擊模式，提升對(duì)未來(lái)威脅的預(yù)警能力。在數(shù)據(jù)分析方面，AI可以處理海量的安全日志和事件數(shù)據(jù)，幫助安全團(tuán)隊(duì)識(shí)別潛在的安全隱患和漏洞。通過(guò)深度學(xué)習(xí)算法，AI能夠從歷史數(shù)據(jù)中提取出有價(jià)值的見(jiàn)解，為系統(tǒng)安全策略制定提供支持。此外，AI還可以輔助進(jìn)行合規(guī)性檢查，確保遵循相關(guān)法律法規(guī)?？傊珹I賦能網(wǎng)絡(luò)安全不僅提高了防御效率，還增強(qiáng)了安全體系的靈活性和智能化，使企業(yè)在面對(duì)日益復(fù)雜的網(wǎng)絡(luò)威脅時(shí)能夠更從容地應(yīng)對(duì)挑戰(zhàn)。隨著技術(shù)的不斷進(jìn)步，AI將在網(wǎng)絡(luò)安全領(lǐng)域發(fā)揮越來(lái)越重要的作用。4我國(guó)網(wǎng)絡(luò)安全領(lǐng)域的優(yōu)勢(shì)、不足及建議發(fā)布了《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》,同時(shí)網(wǎng)絡(luò)安全產(chǎn)業(yè)絡(luò)安全相關(guān)標(biāo)準(zhǔn)已達(dá)300余項(xiàng)，涵蓋了各類安全管理和技術(shù)45產(chǎn)品的迭代優(yōu)化提供了廣闊的實(shí)踐空間。數(shù)字經(jīng)濟(jì)的迅猛發(fā)展使得網(wǎng)大幅增加，覆蓋了從電子商務(wù)、金融科技到智慧城市、工業(yè)互聯(lián)網(wǎng)等些多元化和復(fù)雜化的應(yīng)用場(chǎng)景不僅迫使技術(shù)不斷升級(jí)以應(yīng)對(duì)新的安全新技術(shù)和新產(chǎn)品提供了豐富的試驗(yàn)田?？焖僭鲩L(zhǎng)的網(wǎng)絡(luò)安全需求推動(dòng)的擴(kuò)大，形成了從基礎(chǔ)設(shè)施建設(shè)、技術(shù)研發(fā)到安全服務(wù)的全產(chǎn)業(yè)鏈布模呈現(xiàn)持續(xù)高速增長(zhǎng)態(tài)勢(shì)，網(wǎng)絡(luò)安全投入顯著提升。特別是在政府大在新威脅、新需求的牽引下，傳統(tǒng)防火墻、抗D安全即服務(wù)方案演變。依托國(guó)家重點(diǎn)實(shí)驗(yàn)室、研究機(jī)構(gòu)和科技企業(yè)的協(xié)同創(chuàng)新，如華為、騰訊等，在網(wǎng)絡(luò)安全技術(shù)的前沿探索中起到了帶頭作用，如華為在5G46在相關(guān)政策、資金扶持下，以工業(yè)互聯(lián)網(wǎng)、車聯(lián)網(wǎng)、5G、人工智能等為代表的產(chǎn)業(yè)布局和深層次拓展持續(xù)加速，新技術(shù)產(chǎn)業(yè)化安全防護(hù)體系布局逐步形成[4-8]。已形成了強(qiáng)大的研發(fā)能力和系統(tǒng)集成經(jīng)驗(yàn)，通過(guò)網(wǎng)絡(luò)安全能力成熟度評(píng)價(jià)、先進(jìn)技術(shù)應(yīng)用試點(diǎn)示范等促進(jìn)網(wǎng)絡(luò)安全能力持續(xù)提升，構(gòu)建了覆蓋底層基礎(chǔ)設(shè)施安全至上層應(yīng)用場(chǎng)景服務(wù)安全等多個(gè)維度的網(wǎng)絡(luò)安全產(chǎn)品體系，著力面向自適應(yīng)安全、網(wǎng)絡(luò)彈性、智能對(duì)抗等高端能力等重點(diǎn)方向攻關(guān)，形成了理論與工程領(lǐng)先優(yōu)勢(shì)，在應(yīng)對(duì)復(fù)雜攻擊和新型網(wǎng)絡(luò)威脅時(shí)具備了更多的主動(dòng)權(quán)。四、網(wǎng)絡(luò)安全人才培養(yǎng)機(jī)制日臻完善我國(guó)在網(wǎng)絡(luò)安全人才培養(yǎng)方面進(jìn)行了系統(tǒng)化部署，投入巨大，通過(guò)政產(chǎn)學(xué)研的深度融合，使網(wǎng)絡(luò)安全人才建設(shè)取得了顯著進(jìn)展。近年來(lái)，國(guó)家相繼發(fā)布了一系列政策，為網(wǎng)絡(luò)安全人才培養(yǎng)提供了有力的政策引導(dǎo)與支持，涵蓋學(xué)科專業(yè)建設(shè)、人才培養(yǎng)機(jī)制、教師隊(duì)伍建設(shè)以及校企合作的多方面內(nèi)容，進(jìn)一步明確了網(wǎng)絡(luò)安全學(xué)科專業(yè)建設(shè)方向和人才培養(yǎng)重點(diǎn)，完善了網(wǎng)絡(luò)安全人才培養(yǎng)體系[4-9]。與此同時(shí)，國(guó)內(nèi)網(wǎng)絡(luò)安全和互聯(lián)網(wǎng)龍頭企業(yè)積極參與高等院校網(wǎng)絡(luò)安全人才培養(yǎng)，通過(guò)共建網(wǎng)絡(luò)空間安全研究院和制定聯(lián)合培養(yǎng)計(jì)劃等手段協(xié)同育人，以定向培養(yǎng)為目標(biāo)，為網(wǎng)絡(luò)安全人才培養(yǎng)、技術(shù)創(chuàng)新與產(chǎn)業(yè)發(fā)展構(gòu)建了良性生態(tài)鏈。為促進(jìn)網(wǎng)絡(luò)安全人才的多樣化選拔，我國(guó)還鼓勵(lì)網(wǎng)絡(luò)安全科研人員積極參與國(guó)際聯(lián)合研究和學(xué)術(shù)交流，提升人才的學(xué)術(shù)水平與國(guó)際交流能力，同時(shí)