網絡安全未來的發展趨勢

李文杰

（中國石化銷售股份有限公司廣東石油分公司 廣東省廣州市 510000）

隨著信息技術的發展和應用，信息化已經從互聯網時代步入大數據時代。我國網絡安全也從等保1.0 時代邁入等保2.0 時代，由傳統的靜態防御向動態防御，由單純的防御向網絡對抗進行轉變。網絡安全關注的問題從單純的網絡攻擊、病毒入侵等向數據、服務和應用安全轉變。

1 網絡安全的發展

網絡安全指網絡與信息系統中的軟件、硬件及其中承載的數據受到保護，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統連續可靠正常地運行，網絡服務不中斷。信息安全和網絡安全最終的目標都是防范國家秘密不被竊取、防止商業秘密不會泄露和保護個人隱私不受侵犯。隨著信息技術的發展，網絡安全的概念也在改變。

1.1 通信安全時代

從70年代初，我國信息化的發展處于起步階段，更多的是通過加密技術解決數據傳輸安全的問題。通信安全不同于信息安全，它是建立在信號層面的安全，不涉及具體的數據信息內容，通信安全是信息安全的基礎，為信息的正確，可靠傳輸提供了物理保障。

1.2 計算機安全時代

隨著計算技術的發展，計算機的普及和應用，70年代后期，我國逐漸步入計算機安全時代，計算機安全主要解決數據的存儲和處理的安全問題，特別是計算機面臨的各種木馬、蠕蟲、病毒等攻擊。

1.3 信息安全時代

隨著信息化的發展和互聯網的廣泛應用，90年代進入信息安全時代。遵循IATF（信息保障技術框架），通過構建整體的信息安全保障體系，從技術到管理對信息系統實施“深度防護戰略”，通過層層防御，增加攻擊者的攻擊難度，為防護方提供更多時間來查找攻擊源。強調人、技術、操作這三個核心原則，關注四個信息安全保障領域：保護網絡和基礎設施、保護邊界、保護計算環境、支撐基礎設施。

1.4 網絡安全時代

網絡安全的概念則出現在2014年。我國將網絡空間作為與“海陸空天”并列的人類活動第五空間，國家《網絡安全法》的頒布和實施昭示著網絡安全已成為國家戰略，網絡安全概念的內涵和外延也得到擴展。網絡安全不再局限于傳統信息安全所定義的網絡設備、操作系統、數據庫和軟件程序的安全，而是將其防護對象擴展到組成我國經濟社會生活的網絡基礎設施和其承載的各類信息系統。

從技術發展角度而言，信息安全向網絡安全轉變勢在必行。當今時代是互聯網的時代，移動互聯網、工業物聯網、5G 等新技術的應用給政府、企業和個人帶來巨大便利，移動辦公、社交網絡、互聯網+、工業4.0 等應用場景越來越多地依賴于互聯網，打破了傳統信息安全獨立網絡單個系統，基于從網絡邊界、到主機應用的靜態防護已不能滿足互聯網架構下新特征帶來的安全防護需求。因為在物聯網時代，除了要關注信息安全，更要思考如何保障關鍵信息基礎設施和眾多物聯網設備的運行安全。

2 網絡安全新技術新應用

網絡安全技術隨著信息技術的發展而發展，是保障核心業務、數據、基礎設施的重要保障措施。其涉及的技術面非常廣，傳統的網絡安全技術如認證、加密、訪問控制及入侵檢測是網絡安全的重要手段。但隨著網絡形態的變化，業務結構的變化，工業控制系統連接互聯網、醫療系統連接互聯網，智能穿戴設備連接互聯等，已經初步形成“萬物互聯”網絡空間。在網絡空間安全則涉及各個領域，如基礎設施設備、軟件、數據、環境、互聯網、局域網、信息，以及所有事物最核心的“人”，均通過互聯網相互連接，互通。網絡空間安全技術是各國及網絡安全行業關注的重點，呈現出網絡新技術新應用在安全領域的發展特點。

2.1 軟件定義安全的應用

軟件定義安全本質上是一種理念，即數據與控制分離，安全管理與控制集中化，主要是隨著網絡虛擬化和云計算技術的發展，保障網絡和云計算環境安全。

在傳統安全的體系中是重點防護，通過堆砌大量的防御措施避免或降低安全事件的發生。軟件定義安全是通過“自適應安全”的防護模型，消除了部署防護設施后就能實現萬無一失的安全。通過利用南北向應用編排機制進行安全資源和策略的靈活調用，實現多重防護手段的協同運作保障網絡安全。

2.2 大數據技術的應用

隨著網絡傳輸速度的加快，特別是近年4G、5G 的應用，圖片，視頻等非結構化數據充斥著整個互聯網，以及云平臺、大數據平臺的建立使得數據存儲空間的數量級已經從TB 轉變為PB。相對于傳統的數據分析技術而言，大數據技術為海量的信息數據的存儲和管理提供了可能。

特別是大數據技術在網絡安全領域的應用，實現海量日志和流量數據的高效采集、存儲、分析和檢索，有效提升網絡安全信息分析和處理的效率，起到節省資源和縮短時間的作用。通過信息關聯、場景關聯等大數據技術可以更準確發現安全事件之間的關聯性，從而對安全漏洞、病毒入侵、黑客攻擊、數據泄露等網絡安全問題起到有效地預防，提前預警，降低事件的影響。

特別是利用Storm 或者Spark 等流式計算架構，聯合復雜事件處理技術和定制的電聯分析計算方法，實現數據的實時分析、監控和關聯，當網絡安全出現異常行為時，及時預警，避免嚴重安全隱患的發生。對于非實時數據的分析可以采用Hadoop 架構，利用HDFS 分布式存儲和MapReduce 分布式計算，聯合數據聚合、數據挖掘、數據抽取等技術，離線統計風險、分析事態、尋找攻擊源。

態勢感知系統通過利用大數據技術，收集網絡中資產的狀態、版本、IP、MAC 信息、事件日志、操作日志、全流量、漏洞、配置、威脅情報等信息，對海量的網絡安全事件相關的信息進行分類、分級、以及關聯分析，實現網絡安全態勢的可視化。

2.3 量子技術的應用

現代密碼學所采用的加密通常是利用數學算法的復雜度來增加破譯難度，從網絡安全的應用角度分析，現代密碼技術主要應用在認證和訪問控制，通過加密技術保障明文信息在數據傳輸過程中的機密性。加密后的數據不是不能夠被破解，而是破解利用復雜加密算法加密的數據花費的時間長短問題。目前，網絡安全中保障數據傳輸安全的做法是通過部署遵循國密和商密算法的加密設備，如VPN、加密機等。

而量子計算作為一種與傳統計算完全不同的計算模型，在運算效率方面的潛力大大超過傳統計算方式，使利用量子計算機迅速破解傳統加密技術成為可能。 而量子通信則被認為是迄今為止唯一被嚴格證明是“無條件安全”的通信方式， 成為安全通信領域的一面堅盾。隨著量子技術的研究和在網絡安全中的應用，現代加密技術將被取代，極大增強網絡安全數據傳輸的安全性。

2.4 可信計算技術的應用

傳統的計算機結構包括計算機軟件系統和硬件系統。計算機軟件系統包括機器內的數據表示、尋址方式以及對這些數據的運算和控制這些運算的執行等。對于通用型機器，一般包括數據表示、尋址方式、寄存器定義、指令系統、中斷機構、機器工作狀態的定義和狀態切換、機器級的輸入、輸出結構以及對信息保護的支持等。計算機硬件系統主要分為五個部分：控制器，運算器，存儲器，輸入設備，輸出設備。數據是以明文的方式通過計算機語言處理和存儲數據。主要通過計算機軟件系統的權限（主要包括：①基于身份的安全策略；②基于規則的安全策略；③基于角色的安全策略）和訪問控制（主要包括：①入網訪問控制；②網絡權限限制；③目錄級安全控制；④屬性安全控制；⑤網絡服務器安全控制；⑥網絡監測和鎖定控制；⑦網絡端口和節點的安全控制；⑧防火墻控制）策略保障數據安全。

可信計算最核心的就是TPM 硬件芯片，我國對應的是TCM 芯片，可以參考國標“可信計算密碼支撐平臺功能與接口規范”。可信計算是在計算和通信系統中廣泛使用基于硬件安全模塊支持下的可信計算平臺，以提高系統整體的安全性。簽注密鑰是一個2048位的RSA 公共和私有密鑰對，它在芯片出廠時隨機生成并且不能改變。隨著可信計算的研究和應用，其可以為可信計算提供物理安全特征，實現密鑰安全存儲、認證、信任根等功能，這項技術將會使計算機更加安全、更加不易被病毒和惡意軟件侵害。通過建立信任體系，強化人員安全行為和消除不安全行為，從而減少因為人員不安全行為造成的安全事故。

2.5 人工智能的應用

現階段網絡安全產品對網絡安全事件的檢測和分析主要通過特征、規則、沙箱等方式進行檢測和分析。隨著大數據、云計算、互聯網、物聯網等信息技術的發展，特別是物聯網、云計算由于自身安全性或技術融合、發展引發新型網絡安全風險，基于漏洞利用和網絡攻擊的數據泄漏、關鍵基礎設施故障等網絡安全事件給云服務商和云租戶帶來巨大損失。

《新一代人工智能發展規劃》中明確提出了“要加強人工智能標準框架體系研究，逐步建立并完善人工智能基礎共性、互聯互通、行業應用、網絡安全、隱私保護等技術標準”，切實加強人工智能安全標準化工作，是保障人工智能安全的必由之路。

目前，人工智能在網絡安全中的應用主要是機器學習。機器學習主要研究計算機等功能單元，是通過模擬人類學習方式獲取新知識或技能，或通過重組現有知識或技能來改善其性能的過程。深度學習又稱為深度神經網絡，是機器學習中一種基于對數據進行表征學習的方法。在傳統機器學習中，手工設計特征對學習效果很重要，但是特征工程非常繁瑣，而深度學習基于多層次神經網絡，能夠從大數據中自動學習特征，具有模型規模復雜、過程訓練高效、結果訓練準確等特點。近幾年來，深度學習憑借強大的自動提取特征的能力，被用于解決異常協議檢測、惡意軟件檢測、網絡入侵檢測等方面。

2.6 區塊鏈技術的應用

區塊鏈技術是一個完全打破我們現在認知的全新的領域，區塊鏈技術脫胎于傳統互聯網技術，但是通過分布式賬本、授權和加密技術、共識機制、智能合約四大手段解決了信任和安全問題，可以被信任的數據才有價值，因此會幫助移動互聯網向價值互聯網進行轉變；能夠解決互聯網、云計算無法解決或需花高額成本解決的安全問題。如：如數據的安全性、完整性，中心化潛在的風險以及高額的信用成本等。系統本身去中心化的特性具有明顯的優勢。區塊鏈數據庫不存儲在集中位置，這意味著記錄確實是開放的，而且是可保證的。這些沒有中央存儲位置的記錄是分散的，黑客難以利用。

區塊鏈技術是一種幫助用戶維護集體的、可靠的和分散的數據庫的底層技術。它永久地擴大記錄列表（所有記錄都可溯源），能夠免疫黑客篡改的密碼學技術。一種革命性的新技術，通過分權廢除了需要有一個中央管理員，能夠進行真正的p2p 網絡交易和消除中心化的相關風險，便于通過互聯網安全存儲數據。典型應用就是比特幣產業鏈。

區塊鏈采用對等網絡系統，不需要集中式數據庫進行存儲機密信息。沒有中心故障點，使其比集中式網絡系統更加健壯。區塊鏈使用非對稱加密，其中用戶有兩個密鑰：公鑰用于加密消息/事務，用于特定用戶以及只能使用的私鑰解密通過用戶的公鑰加密的消息，能夠維護用戶匿名以及隱私。

DDoS 攻擊仍是全球網絡安全的一大威脅，利用僵尸網絡或“僵尸軍隊”實施攻擊，直到系統崩潰，合法用戶被拒絕訪問資源。區塊鏈技術通過DNS 服務器的分散，一致的協議可用于在用戶和服務器之間建立信任同時避開中心控制點，允許用戶租用集體社區抵御DDoS 攻擊。

身份管理平臺在區塊鏈上存儲可驗證的用戶身份憑據，從而打擊身份欺詐。它記錄所有用戶的活動，以及在分布式分類賬上的事務透明度以及安全性。它允許轉移、處理和驗證所有與身份證有關的信息，如護照、駕駛許可證，銀行相關文件，從而有效對互聯網上的用戶進行身份鑒別。

3 結論

隨著我國在量子技術、可信計算和人工智能等新興領域的研究和在網絡安全技術方面的應用，能夠有效的解決萬物互聯時代下面臨的安全問題，從而實現網絡安全被動防御到主動防御的轉變，通過技術手段有效解決“人的因素”（程序員刪庫跑路事件）在網絡安全事件中起到的負面影響。