当前全球网络攻击事件频发,网络与信息安全风险日益加剧。我国网络安全产业正处于提速发展阶段,产业规模稳步增长,技术创新高度活跃,生态建设加快完善,云安全、零信任安全、内生安全、AI安全、容器安全等创新技术、新框架、新产品、新服务不断涌现,5G、5G+工业互联网、车联网、物联网等新安全应用场景日益丰富,网络安全已经成为数字经济的重要组成部分、关键推动力与保障力量,发展前景广阔。
为了推动网络安全领域的技术交流和合作,本刊策划了本期《网络安全专刊》,内容涵盖安全技术前沿、零信任安全、人工智能安全、5G安全、安全技术应用等多个方向。这些论文汇集了作者的最新研究成果和工作经验,希望能给读者提供有益的参考和借鉴。
查看全文>分析了网络安全保险的定义与内涵,提出了网络安全保险产品设计需要权衡的4个要素与业务流程设计方案,并提出了一种覆盖网络安全保险业务全生命周期的风险管理方案,阐述了每个环节的关键目标、工作步骤与技术手段。
渗透测试能够对目标网络系统的安全进行评估,有效地预防网络攻击,保护目标系统。传统的渗透测试过程依赖专业人员的背景知识,人力和时间开销大。自动化测试通过对目标网络的自动分析,发现并验证其潜在的脆弱性,极大地降低了人工参与的程度。当前的自动化测试主要依赖自动化渗透工具和自动化渗透框架,主流的自动渗透测试工具和框架的实现逻辑各不相同。针对各种渗透工具,论述了多种框架的实现功能和实现逻辑,对比了传统渗透测试和自动化渗透测试的差别,并对渗透测试的发展和未来进行总结和展望。
工业互联网的连接逐步打破了传统工业相对封闭可信的生产环境,针对近年工业互联网安全事件频发的严峻形态,对工业互联网的相关网络安全技术进行分析研究。从工业互联网的安全体系架构出发,针对工业互联网安全架构中网络安全的模块,识别出相关的安全风险,并针对识别出的风险进行分析研究,依靠现有的安全技术提出了相应的解决方案与规避措施,并对落地实施方案做了简要介绍;同时对于工业互联网的安全技术发展趋势做了简要分析。
研究了软件供应链的安全治理技术,解决软件供应链所面临的安全风险,构建软件供应链安全治理体系,形成业务应用软件设计、编码、测试、运营全生命周期的防护方案,实现对软件全流程链条的安全治理,提升应用系统的自身免疫力。
针对信息系统漏洞的直接修复方案带来的一系列问题,提出了基于动态系统画像的漏洞风险遏制方案。方案通过对系统资产以及漏洞的统一管控,分析漏洞的风险以及风险路径,对系统的风险进行动态画像。针对画像中的风险以及风险路径,结合修复操作、风险影响面进行决策分析,形成从风险控制到消除的一组风险遏制方案。再通过运维人员对方案的实施,完成画像中风险点的消除,形成对风险的一套闭环管理方案。
近年来,全球软件供应链安全事件频发,影响面也越来越大。软件供应链安全已成为一个全球性问题。如何更全方位、更有效地保障软件供应链的安全,对于我国软件产业的发展和数字化进程的推进具有重要意义。主要分析了国内外软件供应链的安全现状,根据现状全面分析了软件供应链的安全风险,并提出了如何防范和管理。另介绍了国际软件供应链监管和标准,软件供应链管理建议,最后对软件供应链安全的发展趋势进行了分析和展望。
随着“新基建”战略的发布与推进,在 5G、算力网络等新技术新应用的推动下,智慧城市已进入规模化建设阶段,同时也伴随着安全威胁的持续变化。国家针对安全可控、网络安全、智慧城市建设作出重要指示,在十四五规划中也提出要建设智慧城市和数字乡村、要加强网络安全保护、建立健全数据要素市场规则。在 5G、算力网络、智慧能力建设的基础上,提出了高速、移动、安全、泛在的“连接能力服务”,构建“一点接入、即取即用”的“新型算力服务”,该方案已在某市的业务系统中应用部署,取得了良好的应用效果。
针对5G网络“一网赋能万业”的开放性特点以及多终端、多行业的接入趋势,5G网络安全认证体系在以运营商USIM卡为基础的主认证上,增加了垂直行业客户可控的二次认证和切片认证,丰富和拓展了5G网络的安全认证体系。在运营商安全认证的基础上,最大程度满足垂直行业客户的不同安全需求。详细介绍了5G网络的安全认证体系,涵盖主认证、二次认证和切片认证。
随着5G在行业应用中的不断渗透,5G网络切片安全性不足、SLA保障不具备场景化灵活调节能力等问题逐渐凸显。通过虚拟化机制,建立了灵活的安全与路由策略控制方法,以应用系统内外部(应用系统内部以消息对网络性能的需求为基础,进行路由;应用系统外部以消息对网络性能的需求为基础,选择适当的网络切片)整体调度优化网络资源配置为基础,并基于整体安全策略控制,实现系统链路保障、身份认证、访问控制等,即从网络链路的物理和逻辑多层面保障应用系统的整体可靠性、可用性和安全性。
基于网信安全背景,研究IMS体制的加密通信技术架构及解决方案。提出加密通信整体技术架构,并介绍了架构的主要功能模块;同时与核心业务场景结合,设计身份鉴权、一对一加密消息、一对一加密通话等功能与业务流程,探讨了加密通信应用的实际场景和业务价值。最后,对加密通信后续发展进行展望。
安全访问服务边缘(SASE)模型基于自身特性实现了网络能力和安全能力的分布式云服务交付。基于SASE云原生架构的特性,提出了一种结合SD-WAN网络工具和SDN技术的SASE云安全资源池设计方案。介绍了SASE云安全资源池的整体架构、安全能力端云协同、云安全资源池业务流程设计及方案验证,最后总结SASE云安全资源池的设计建设经验并展望该技术的发展趋势。
首先介绍了私有云技术及面临的安全风险,然后介绍了零信任技术架构及零信任体系中的软件定义边界(Software Defined Perimeter,SDP)和微隔离(Micro Segmentation,MSG),在此基础上设计了基于零信任理念的私有云优化安全解决方案,接着针对优化方案与传统安全方案进行对比总结,最后展望了零信任技术在云环境中的发展和应用前景。
首先阐述了课题研究的背景,从电话反诈需求出发,提出了基于大数据+AI机器学习模式建立反诈模型的思路,搭建反诈态势感知大数据平台。接着介绍了随机森林、支持向量机、朴素贝叶斯、梯度提升决策树等机器学习算法,详细描述了重要功能接口,介绍了数据源采集处理,通过自定义规则与时俱进更新反诈模型,实现反诈趋势实时监控、涉诈号码关停、溯源分析等功能。最后对平台部署进行了测试验证。
云环境可以通过虚拟化技术共享软硬件资源,但是使用者在使用虚拟化平台时可能会面临额外的安全威胁。共存攻击是指攻击者利用共享基础设备的特性,来攻击共存在同一实体机上的其他虚拟机。使用机器学习来训练云环境共存攻击多目标响应系统,以最小成本和最小威胁检测目标共存攻击。实验结果显示,该模型具有2 000倍加速比的效率提升,同时获得 87.9%高准确度的解答,在响应策略与时间效率上取得平衡。
随着数字经济的蓬勃发展,各行各业迎来数字化转型新机遇,这对企业安全防护提出了更高的要求。传统的基于安全管理人员手工接收情报指令、操作安全设备与系统进行安全防护的模式面临越来越多的挑战和困难,安全防护自动化、智能化势在必行。简要介绍和分析了企业网络安全管理各环节自动化防护场景,并探讨了运用软件开发技术实现网络自动化防护,以降低企业安全管理成本、提高安全管理可靠性的可行性方案。
数字化转型和云形态日新月异的变化,给网络安全领域带来了各种各样的新式挑战,有效的保证网络空间安全,开展攻击溯源及反制,已经成为新形势下网络安全行业所面临的新任务。网络安全防护人员如何在当今攻守不对称的情况下做好入侵检测与防御,已经成为每个组织需要重点解决的问题。分析了当前入侵检测与防御体系存在的问题,结合 ATT&CK 框架,讨论了如何构建入侵检测与防御体系,才能更好地应对攻击行为。
随着云原生技术的发展,容器应用越来越广泛。作为容器运行的载体,镜像对于容器安全起着至关重要的作用。为更好理解容器镜像安全扫描的原理,指导容器安全实践,详细分析镜像在本地和仓库中的存储原理,总结其存储规律。最后,以1个含有木马病毒的镜像为例,分析镜像非法篡改过程。
近年来,随着互联网应用的大规模普及,DDoS黑色产业链也日益壮大,大流量、多种类、高频次的DDoS攻击使网络服务提供者蒙受了巨大的损失。为了对抗DDoS攻击,高防系统被广泛使用。阐述了高防系统的概念、部署架构、引流方式及其核心技术和原理。针对实际工作中遇到的高防系统资源编排的痛点,综合考虑高防系统整体架构,总结提炼出一套高防系统资源弹性扩缩容的解决方案,为高防系统资源优化、相关功能开发提供一些思路。
