网络空间安全关系到人民生命财产安全和国家重要基础设施的正常运转。各国纷纷将网络空间安全作为国家安全战略的重要载体和纽带。2017年6月1日《中华人民共和国网络安全法》正式实施,从宏观的层面来讲,这意味着网络安全同国土安全、经济安全等一样成为国家安全的一个重要组成部分。作为保证网络安全的重要方式,加密认证、查漏补缺、沙箱蜜罐等安全技术和机制可以为网络安全提供重要安全保障。然而,传统安全机制很难抵御未知漏洞、后门等不确定性威胁。内生安全是我国科学家提出的能够抵御未知漏洞、后门等不确定性威胁的开创性技术,是网络安全领域的新兴概念与技术发展方向。
随着5G、车联网、云计算、工业控制系统等新兴网络技术和网络应用的发展,网络安全的威胁强度陡然增加,网络空间安全形势也日趋复杂严峻。传统互联网中的不确定性威胁在新的应用场景下容易造成更加严重的后果。当然,内生安全技术赋能新兴领域中也面临一些难题,例如,云环境下攻击类型纷杂众多,内生安全机制设计复杂;工控环境下异构资源条件有限,内生安全构造面临异构度保证挑战等。因此,有必要开展内生安全理论技术赋能新兴领域的相关研究,攻坚克难,突破被动式防御的滞后性和网络攻防态势的普遍不对称性,结合现有防护手段,共同打造内外一体、体系防御的网络安全新防线。
本专题共组织7篇文章,从多个方面探讨内生安全技术。
为了利用拟态构造设计解决现有防护手段难以处理的漏洞、后门等内生安全问题,《基于拟态架构的内生安全云数据中心关键技术和实现方法》通过新兴的内生安全概念来探索云数据中心的安全架构、关键技术和实现方法,提出了一种云数据中心内生安全架构与相关关键技术实现构想,同时给出了现有云平台系统拟态化改造的模式与技术趋势,或将加速未来内生安全云数据中心的技术应用与推广。
《生物免疫启发下的一种内生安全技术框架》受生物免疫机制体现出的内生性安全效应启发,提出了一种内生安全技术框架,剖析了该框架的主要技术挑战,给出了对应的解决方案,分析了该框架的应用场景。分析发现,该框架具有较高的鲁棒性、自主性和自适应性,且具有很强的实用性。
针对工业应用的生态资源相对封闭,可实现的异构执行体个数受限的问题,《有限异构资源条件下的工业控制拟态调度算法》提出一种适用于有限异构资源约束条件下的工业控制拟态调度算法。实验结果表明,提出的三余度工业控制拟态调度算法,可自适应根据环境特性选择合适的执行体上线。即使在高强度攻击环境下,依然能保持高可用概率。
网络靶场已被广泛认可为一种研究网络攻防技术与网络架构脆弱性的有效途径。基于以5G发展为核心的网络空间新形势,《网络空间内生安全试验场管理技术》提出了面向虚实结合网络环境的试验场管理技术,采用内生安全网络控制系统为试验场提供安全可靠的网络控制能力,提出了支持快速场景重构切换与资源编排的试验场部署方案。
资源公钥基础设施(resource public key Infrastructure,RPKI)是一种真正得以部署的边界网关协议安全解决方案,《资源公钥基础设施RPKI:现状与问题》综述了RPKI的技术现状和研究进展,介绍了RPKI功能扩展的相关研究,最后探讨了未来的研究趋势。
《基于区块链的云数据匿名确定性删除方法》提出一种基于区块链的云数据匿名确定性删除方法。该方法改进了可链接环签名方案,使用户可以通过控制签名中的链接标记在匿名情况下实现确定性删除;同时,它利用区块链记录删除行为,使其具有不可抵赖性。理论分析表明:该方法不仅能满足用户数据的确定性删除要求,而且还具有匿名性以切断用户数据与其身份的关联,从而有效避免攻击者或云服务提供商对用户行为的追踪分析。
准确快速地流量分析是运营商及网络管理者在保障服务质量和确保网络安全急需解决的问题,《基于机器学习和深度学习的网络流量分类研究》给出了流量分类的问题定义、性能指标,介绍了基于机器学习和基于深度学习的流量分类方法,并分析了这些方法的优缺点,围绕流量分类线上部署时会遇到的3个问题:数据集问题、新应用识别问题、部署开销问题对相关工作进行阐述与分析,探讨了当前的挑战和下一步的研究方向。
感谢作者们的辛勤付出,希望借此机会,激发更多的科研工作者在内生安全理论和应用上取得更多创新性的成果。