新型基础设施建设发展中的内生安全技术研究

作者简介

贺倩，中国信息通信研究院安全研究所网络安全部高级工程师，主要从事网络安全领域相关研究工作。

论文引用格式：

贺倩. 新型基础设施建设发展中的内生安全技术研究[J]. 信息通信技术与政策, 2020(10): 84-87.

∗基金项目：国家重点研发计划项目（No.2018YFB0804000）资助

新型基础设施建设发展中的内生安全技术研究*

贺倩

（中国信息通信研究院安全研究所，北京 100191）

摘要：随着新型基础设施建设的推进，其面临的安全风险和安全挑战亟待解决。内生安全技术与新型基础设施建设的结合可以提供安全技术基础和新型的安全保障解决方案。在探讨了新型基础设施建设的特点和安全挑战的基础上，对内生安全技术的应用进行了研究和分析。

关键词：新型基础设施建设；内生安全；拟态防御

1 引言

自2018年中央经济工作会议首次提出新型基础设施建设这一概念后，国家高度重视并不断加快布局以 5G、人工智能、数据中心等为代表的新型基础设施建设。随着国家对新型基础设施部署的逐步深入，加速布局新型基础设施建设已成为国家进行中长期高质量发展的重要举措之一，是支撑国家进行网络化、数字化、智能化转型的重要手段。在此发展背景下，网络安全产业的发展迎来了新的机遇，网络空间安全面临着前所未有的挑战，网络安全环境愈加复杂，网络安全防护的边界和对象也在不断扩大。积极维护网络空间安全成为保障新型基础设施建设安全发展的关键，也是维护新型基础设施建设的重要安全基石。

为更好地维护网络空间安全，并适应新型基础设施建设下的多领域、多技术融合应用场景，传统网络安全防护手段有了新的要求，迫切需要新型的网络安全技术体系。内生安全技术作为能够抵御未知漏洞和威胁的综合防御体系，凭借能够更好地适应复杂融合场景的技术体系而崭露头角，为新型基础设施建设的发展保驾护航。

2 新型基础设施建设

2.1 新型基础设施建设的内涵和外延

2018年，中央经济工作会议对基础设施建设进行了定义，把5G、人工智能、工业互联网、物联网定义为“新型基础设施建设”；2020年，国家发展和改革委员会首次明确新型基础设施建设范围：新型基础设施是以新发展理念为引领，以技术创新为驱动，以信息网络为基础，面向高质量发展需要，打造产业升级、融合、创新的基础设施体系。同时，进一步明确新型基础设施包含的主要内容。

（1）信息基础设施：包括以5G、物联网、工业互联网、卫星互联网为代表的通信网络基础设施，以人工智能、云计算、区块链等为代表的新技术基础设施，以数据中心、智能计算中心为代表的算力基础设施等。

（2）融合基础设施：主要指深度应用互联网、大数据、人工智能等技术,支撑传统基础设施转型升级，进而形成的融合基础设施，如智能交通基础设施、智慧能源基础设施等。

（3）创新基础设施，主要指支撑科学研究、技术开发、产品研制的具有公益属性的基础设施，如重大科技基础设施、科教基础设施、产业技术创新基础设施等。

2.2 新型基础设施建设的特点

2.2.1 新型基础设施建设是新技术与传统基建的发展和融合

与传统基建相比，新型基础设施建设内涵更加丰富，涵盖范围更广，也更侧重于推动技术创新与基础设施建设的结合，更强调技术创新在基础设施建设中的作用。从新型基础设施建设的范围和主要内容中，可以明确5G、人工智能、大数据等新型技术在其中的重要作用。创新技术支撑传统基础设施转型升级的同时也给传统基建带来了更多的创新和融合应用场景，并催生出创新的业态和新型的商业模式。

2.2.2 新型基础设施建设促进产业的数字化转型

与传统基建相比，新型基础设施是以数据和网络为核心，促进传统产业向数字化和智能化转型。以数字化为核心的新型数字基础设施，促进了传统通信业、制造业的技术改造和设备更新，同时也为传统行业注入了数字化的新生力量。

2.2.3 新型基础设施建设实现深度互联

新型基础设施建设在数字化、网络化和智能化的发展进程中，进一步推动了数据融合和数据交换在传统产业领域的应用。特别是在5G与人工智能、大数据、物联网等新兴技术的融合应用场景中，为加强数据分析，建设数字化基础设施，实现多方互联，需要打破数据孤岛，形成跨层级、跨地域、跨系统、跨部门、跨业务的深度互联建设体系。

3 新型基础设施面临的网络安全挑战

3.1 新兴技术的安全保障不足

新型基础设施建设作为新技术发展融合的基础和载体存在安全保障方面的不足。一方面，包括5G、云计算、大数据、人工智能等在内的新型基础设施建设的重点技术目前都存在其自身安全方面的脆弱性。如在5G 领域，虚拟化技术、网络切片技术、网络能力开放、异构网络接入和边缘计算场景的引入本身就会带来复杂的安全问题并增加引入恶意攻击的风险；而云计算、大数据和人工智能的应用中也不可避免会给数据安全和个人隐私保护等造成一定的安全风险。另一方面，新兴技术与传统基建的结合所带来的复杂融合应用场景也增加了安全攻击的暴露面。在新型基础设施建设推进过程中，会产生新兴技术与新兴技术之间、新兴技术与传统基建之间的碰撞，促生出新的业务场景，提供开拓性的创新服务，如远程医疗、自动驾驶、智能制造等场景。这个过程也会引发乘数效应，导致更多的设施面临网络攻击，因此亟需对各部分设施和技术进行相应的安全保障措施。

3.2 数字化带来的网络安全脆弱性

新型基础设施建设在促进传统基建进行数字化转型的过程中，也将数字空间的网络安全威胁带向了传统行业，使得更多的传统设施面对前所未有的新型网络攻击风险。随着网络安全漏洞和后门的数量与日俱增、涵盖场景日益广泛，零日漏洞的增长速度极快，已基本包括主要信息基础设施生产厂商，大大增加新型基础设施建设中的安全威胁。对近来发生的网络重大安全事件分析也可看出，针对信息基础设施的攻击大部分都是与其自身的漏洞有关。因此，在新型基础设施建设推进过程中，传统行业需要兼顾网络安全、数据安全、业务与应用安全等多方面的安全防护任务。

3.3 传统安全边界的缺失

在新型基础设施建设的发展过程中，随着数据交互的维度和范围的增加，业务提供的个性化和复杂性提升。网络的动态化发展，以及5G、大数据、人工智能等新兴技术的进一步融合，使原有的安全边界已经不再适合目前的发展情景，需要重建多层次、多维度、多领域的新型安全边界。在层次上，要综合考虑基础算力资源层面、网络基础设施层面、业务平台与应用层面以及运营层面等多层次的安全防护；在维度上，要将顶层架构安全设计、重点技术安全保障、工程实施安全方案、业务应用安全防护以及安全管理等多个维度纳入安全考量范围；在领域上，要将新一代信息技术和传统基建在融合过程中的各领域所涉及的安全保障机制考虑到。在此基础上，形成一个全面的安全边界和安全防护模式。

4 内生安全技术为新型基础设施发展提供安全保障

4.1 内生安全理论为新型基础设施建设保驾护航

为更好地促进新型基础设施的发展，需要解决其相关的安全问题和安全隐患，提供更加可靠的安全保障策略和措施。综上分析，新型基础设施建设所面临的安全风险是复杂的、立体的且与不同产业相互关联、无法割裂的。传统的采用防火墙、安全软件、入侵检测的方法，一方面无法面对复杂的安全场景和安全形势，另一方面是其安全手段具有滞后性，容易造成安全问题，引起巨大损失。内生安全理论能够将安全设计根植于建设之初，从建设设计开始就打好安全基石，靠自身内在构造而不是外部因素得到安全保障，能够适应新型基础设施建设中多层次、多维度、多领域的安全保障需要，更好地完成安全保障任务。

内生安全理论是对现有设备结构进行调整，以重新建立安全防御边界为基础，不以先验信息作为安全防御的先决条件，完全依靠自身体系架构而进行的安全防护的理论（见图1）。作为基于系统架构的内源性技术，内生安全理论将新型信息基础设施的安全要求和功能要求统一设计实现，重塑安全边界，并从根源上完成对漏洞后门等未知威胁的有效防御。

图1 内生安全理论模型

4.2 拟态防御理论

拟态防御理论是在不依赖攻击者先验知识和行为特征信息情况下，通过内生安全功能克服内生安全缺陷，将网络空间不确定安全威胁问题，归一化为可靠性与鲁棒控制理论和技术能够解决的问题^[1]。从拟态防御架构上来看（见图2），可以简单理解为通过将输入分发给多个异构执行体，并将执行体输出结果进行裁决，通过裁决策略评判找出可能被攻击成功的执行体，最后通过控制器将有问题的执行体调度下线，来保证在线工作的执行体均为安全可靠的，以抵御未知漏洞和后门并应对不确定的安全威胁。

图2 拟态防御通用架构

在新型基础设施建设中，引入拟态防御架构可以将针对目标对象个体的确定性未知漏洞攻击转化为系统层面上攻击效果不确定的事件，使得确定性攻击转变成概率性攻击。同时，能够将系统效果不确定的攻击事件变换为概率可控的可靠性问题，实现了安全防御能力可量化设计、安全态势可量化感知和安全威胁可量化控制的突破。进一步来说，基于裁决的策略调度和多维动态重构负反馈机制能够使攻击者无法把握攻击效果和结果，使得攻击手法和经验难以复现或继承，无法产生可规划、可预期的攻击效果。

拟态防御架构在新型基础设施建设中可以应用到器件、组件、部件中，也可应用到硬件、软件、固件中^[2]，从业务系统到网络对新型基础设施所涉及的各方面进行渗透，形成多位一体的全面安全保障环境。

4.3 拟态防御理论为新型基础设施提供安全解决方案

拟态防御理论作为一种通用的防御架构模型，可以与5G、云计算、大数据、人工智能等新型基础设施相结合，对于关键设备和重点设备的拟态构造化改变，相较于复杂的安全保障体系更具有简化性，所以拟态防御理论可以广泛快速地应用于新型基础设施安全保障工作。同时，拟态防御理论通过采用将输入分发至多个异构执行体并结合拟态裁决的基本思想，不依赖于关于攻击或攻击者的先验知识，不取决于业务场景和设备特点，可以将新设备、新应用、新场景中面对的未知的确定性攻击转化为概率性攻击，能够更好地处理复杂的、融合的网络安全威胁。

拟态防御理论打破了传统的网络安全防御体系，由内而外地进行安全边界重新定义，引入拟态界的概念，将纳入拟态界内的平台、系统、网元、组件、模块等以内生安全机理进行有效控制，从而创建一个垂直、闭环、开放的体系架构^[3]。一方面，拟态界内的安全防护提供与防御对象的元功能无关或弱相关，能提供一种跨功能、跨层次的安全防护服务；另一方面，拟态界能够承载和接纳现有的或未来的信息技术和安全技术成果，可以兼容新型基础设施建设发展的需要。基于拟态界建立的安全防护体系能够更好地应对新型基础设施多层次、多维度、多领域的安全边界需求，解决其融合化和复杂化的安全防护问题。

5 结束语

随着新型基础设施建设中对传统基础设施进行的数字化转型和新兴信息技术的发展和创新，传统的安全边界被打破，并随之涌现了大量的安全风险和安全挑战。为提升新型基础设施的安全基础，从建设和设计之初就应将安全架构和安全理论内嵌其中，保证功能实现和安全保障的并行发展。内生安全与新型基础设施的结合是基于系统架构的内源性技术，能够重塑安全边界，抵御未知漏洞和后门的攻击，形成新型的安全防护体系。内生安全理论能够为新型基础设施建设提供安全领域的解决方案，构建健康发展的产业生态环境，为我国新型基础设施建设摸索安全发展的新模式。

参考文献

[1] 邬江兴. 拟态计算与拟态安全防御的原意和愿景[J]. 电信科学, 2014,30(7): 2-7.

[2] 张伟丽, 贺磊. 关于新型内生安全信息基础设施的思考[J]. 无线电通信技术, 2020,46(4): 399-404.

[3] 邬江兴. 网络空间拟态防御原理: 广义鲁棒控制与内生安全[M]. 北京: 科学出版社, 2018.

Research on endogenous security technology in the development of new infrastructure construction

HE Qian

(Security Research Institute, China Academy of Information and Communications Technology, Beijing 100191, China)

Abstract: With the advancement of new infrastructure construction, the security risks and challenges need to be resolved. The combination of endogenous security technology and new infrastructure construction can provide foundation for security technology and new security assurance solution. This article introduces the characteristics and security challenges of new infrastructure construction, moreover, studies and analyzes the application of endogenous security technology in new infrastructure construction.

Key words: new infrastructure construction; endogenous security; mimic defense

本文刊于《信息通信技术与政策》2020年 第10期

声明：本文来自信息通信技术与政策，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。