天地一体化网络安全使能技术研究王蕴实,张曼君,徐 雷,谢中怀
多样化的场景、接入方式以及新型网络架构,给天地一体化网络安全带来了新的需求和挑战。从梳理天地一体化网络新特征入手,提出了天地一体化网络安全新挑战;分析了天地一体化网络在认证鉴权、数据传输和攻击溯源方面的安全风险和需求,并探讨了应对相关问题的天地一体化安全使能技术。
天地一体化安全使能技术
面向政企移动办公的信创云手机产品解决方案陈 飔,李兴新,侯玉华
当前网络安全风险日益突出,网络冲突对抗已成新常态。“十四五”规划将网络安全列为新兴数字产业,要求加强网络安全基础设施建设和网络安全关键技术研发,实现“关键领域安全可控”。依托信创操作系统、芯片技术、国密技术等系列核心安全技术,研发 5G终端可信安全架构,形成信创云手机创新安全产品,实现端到端的移动信息安全,为行业用户提供安全解决方案。
信创产业国产芯片国产操作系统云手机
基于SBOM的软件安全治理实践王 戈,郭新海,刘 安,丁 攀,蓝鑫冲
当今高度信息化和数字化时代,软件已经成为人们生活和工作中不可或缺的重要组成部分。随着软件产业的快速发展和安全事件频繁发生,软件自身的安全问题已经成为当下亟待解决的重大问题。针对这一挑战,越来越多的企业和组织开始关注软件安全治理,其中基于SBOM的软件安全治理方案效果显著,得到了越来越多的关注和实践。
SBOM软件供应链安全治理开源组件
基于零信任理念的企业端到端安全解决方案研究蔺 旋,李长连,徐宝辰,贺译册,余思阳
随着数字化转型和业务上云的发展需求日益增长,企业在云原生背景下的防护能力成为其安全建设的重点,传统的网络安全架构无法满足技术架构和业务模式变革下的安全需求。通过整合零信任核心技术,提出了一种满足企业端到端的零信任安全解决方案。首先介绍了企业 IT架构变化下的安全需求及零信任理念和其核心技术,并在此基础上设计了企业端到端零信任安全解决方案。随后对零信任安全解决方案和传统的安全方案进行了对比分析,最后展望了零信任安全在云原生环境下的应用前景。
零信任虚拟安全域SDPMSG
基于应用运行时自保护的网络攻击溯源方法蓝鑫冲,郭新海,刘 安,丁 攀,王 戈
近年来,以高级持续性威胁(APT)为代表的高级网络攻击已经对政府、能源、金融、通信等诸多领域造成了巨大的影响。因此,开展网络攻击溯源技术的研究实现对高级网络攻击溯源成为网络安全领域的重要研究方向。介绍了基于应用运行时自保护技术(Runtime application self-protection,RASP)的网络攻击溯源方法,通过生成综合指纹标识网络攻击者,提高网络攻击溯源的准确性。
应用运行时自保护网络攻击溯源综合指纹
面向云攻击的安全防护技术研究郑 涛,郭新海,丁 攀,王 戈,刘 安
随着信息技术、数字技术和智能技术的不断演进与发展,云计算已经成为了企业数字化转型所依赖的重要基础设施,并日益发挥出重要作用。如今,云计算已经经历了虚机时代和原生时代,即将进入智能时代。新的时代背景下,云计算将面临更多样、更复杂、更大量的攻击。分析云攻击的特点,并针对云攻击构建相应的安全防护能力,对云的安全发展至关重要。分析了当前云计算的特点和所面临的主要威胁,结合云上攻击行为,研究了新形势下面向云攻击的安全防护能力。
云原生云攻击云安全安全防护
全方位网络信息安全防护体系研究王 娜,王 新,杨 飞,李长连,李发财
近年来,全球性的网络安全威胁和新型网络犯罪日益猖獗,APT 攻击、勒索病毒、挖矿病毒、黑色产业链等问题凸显,造成十分巨大的社会经济损失。通过回顾分析近年来的安全事件,对安全攻击的思路和步骤进行了解析,提出并详细介绍了如何建立全方位网络安全防护体系。
安全态势全方位网络信息安全防护体系
API接口安全运营研究韦峻峰,李耀文
根据当前API技术发展的趋势,从实际应用中发生的安全事件出发,分析并讨论相关 API安全运营问题。从风险角度阐述了 API接口安全存在的问题,探讨了API检测技术在安全运营中起到的作用,同时针对API安全运营实践,提出了几个方面的设想以及能够带来的运营价值。
API接口检测技术安全运营
基于SRv6和流量负载的新型高防系统研究徐宝辰,余思阳,李长连,李发财,赵 通
现有的高防DNS引流方式,需用户手动修改DNS域名,SRv6基于路由转发,不需要在每个节点做标签配置,只需要设定SRv6的头、尾节点即可通过路由进行自行选路从而将数据包转发至目标。介绍了 SRv6 Policy 下 unaware SF 节点的应用模型,创新性提出在高防及WAF系统下采用SRv6引流的方式将攻击流量引入高防系统进行防护的模型,提供“即插即用”式的高防服务。
SRv6BGP FlowspecWAF高防
面向安全场景的服务链技术研究和实践杨振东,陈善杰
为了解决网络服务与网络物理拓扑紧耦合的问题,研究了一种面向安全场景的服务链技术并进行了功能验证。SRv6服务链技术具有网络可编程能力,能够协助算力资源和网络资源进行协同,可实现不同网络服务的灵活调用。依靠算网大脑和 SDN 网络控制器,基于 SRv6 服务链技术,实现了服务链路径编排与数据流转发功能以及分钟级的业务开通,解决了网络服务与网络物理拓扑紧耦合的问题,提升了网络服务调度的灵活性,提高了网络服务资源利用率。
算力网络SRv6SFCSDNL3EVPN
基于DNS流量分析识别加密货币矿工的研究和实现周婧莹,黎 宇,黄 坤,梁洪智
随着加密货币的兴起,恶意挖矿在全球肆虐,成为国家整治的重点,而挖矿木马不断进化,以各种方式规避当前主流的挖矿监测手段。为解决这一问题,提出一种 AI算法,基于运营商 DNS流量、AAA日志和挖矿威胁情报数据,自动识别挖矿行为和矿工。通过模型训练和结果分析,选择使用 GMM 和 Bisecting K�means 混合模型对 DNS 查询和响应中的模式进行识别,实时准确地检测矿工及其行为规律。
加密货币挖矿DNS流量分析机器学习
基于K-means聚类模型的加密流量识别方法程筱彪,张曼君
通信流量的加密有助于实现网络数据的安全传输和隐私数据的有效防护,因此近年来加密流量在网络流量中的比例不断攀升,在保障安全的同时也给攻击者提供了绕过传统安全防护设备的途径。因此提出一种基于K-means聚类模型的加密流量识别方法,基于网络流数据特征的离散程度和整体随机程度,判断未知流量是否属于加密流量。此外对加密流量识别面临的主要挑战和未来的研究方向进行了分析,为后续的相关研究提供借鉴和参考。
加密恶意流量聚类模型
基于漏洞优先级技术的综合动态风险评估方案研究刘 果,杨丽丽,戚大强,陈 晨,郭钰璐
随着信息技术的不断发展和网络威胁的日益增加,对企业资产的漏洞评估变得至关重要。然而,传统的漏洞评估方法忽视了资产的动态特性和环境上下文,无法准确评估漏洞的优先级和风险。为了解决这一问题,提出了一种基于漏洞优先级技术的综合动态风险评估方案。该框架将资产的静态和动态信息进行综合分析,并结合环境因素和威胁情报,全面评估漏洞的优先级,以帮助企业有效地管理漏洞风险。
资产动态画像漏洞优先级威胁情报风险管理
基于欺骗防御技术的网络安全攻击检测与技术实现黄 健
介绍了基于欺骗防御技术的网络安全攻击检测和技术实现方法,并与传统方案进行对比,结果表明,欺骗防御技术可以更有效地识别并防御恶意攻击。提出的仿真能力、欺骗环境构建、威胁识别分析等技术实现方式很好地展现了欺骗防御技术的主动防御能力,为网络安全攻击检测和响应优化提供了新的思路和方法,对提高网络安全防御能力具有重要意义。
欺骗防御技术网络安全攻击检测威胁识别
企业安全防御体系的智能化有效性验证方案研究杨丽丽,刘 果,戚大强,张 彬,高贯银
常用的有效性验证手段大大控制了企业的安全风险,但也存在很多客观制约条件。提出了智能化有效性验证方案,首先进行可视化的二维坐标攻击面管理和积累攻击方法、技术、路径的系统知识库;然后基于攻击面和系统知识库进行“双视角”的攻击模拟模型训练,通过AI调度算法和攻击模拟模型对企业安全防御体系进行持续验证;对验证过程进行复盘、整改、调优。该方案可有效管控系统风险,快速核验系统攻击知识的信息,使验证的活动可持续。
攻击面管理攻击模拟有效性验证
基于模糊综合评价理论的网络安全风险量化评估方法研究高贯银,曹京卫,余思阳,徐 瑶,杨 飞
网络安全风险评估越来越受到人们的关注,而将模糊综合评价理论应用到网络安全风险评估中已经成为一个研究热点。针对模糊综合评价法在网络安全风险评估应用中存在的因主观性太大而影响评估结果准确性的问题,在评估因子的隶属度设定和权重设计方面提出了一种客观的分析方法,并通过模拟实验验证了方案的可行性。
网络安全资产风险量化评估模糊综合评价
5G网络商密应用问题研究张曼君,陆 勰,姚 戈,谢泽铖
随着5G网络的飞速发展及其与垂直行业的不断融合,人们对安全的差异化与精细化的需求更加迫切。密码作为网络安全的重要内核,在5G中的作用越来越凸显。对我国商用密码发展及 5G网络密码的应用进行了简要介绍,同时结合5G网络特点设计了商密应用体系架构,提出了基于商用密码技术的5G专网的3种建设模式。
5G网络商用密码网络架构
5G MEC的网络安全研究王 凯,汪剑桥,卜 寅
在5G MEC各类应用场景中,平台组成的复杂度和网络的暴露面均有所增大,网络安全防护是5G MEC需要重点考虑的能力之一。针对5G MEC系统各个功能模块的网络安全防护、端到端整体网络安全防护以及统一安全管控等多个维度进行了探究,并面向MEC 5G核心网域、云平台域、内联外联网络、安全运营等方向提出了相应的网络安全防护方案及整体网络安全防护架构。
5GMECUPF边缘资源池
5G邻近服务安全关键技术姚 戈,徐 雷,张曼君
随着5G 与垂直行业加速融合,5G 邻近服务(Proximity Services,ProSe)作为5G网络支持各种应用和服务的关键技术之一,是3GPP当前研究的重点。经过3GPP R17、R18阶段的研究,5G ProSe技术已经逐渐成熟,其安全问题也成为业界关注的重点。对5G ProSe技术和安全标准进行梳理,针对不同阶段的5G ProSe功能和特性,分析对应的安全关键技术,最后指出 5G ProSe技术的演进方向和潜在的安全问题。
邻近通信ProSe5G安全
