文 | 安天研究院 肖新光 徐菲 赵超 李晓利

网络安全的发展和创新演进是十分复杂的过程,表现为理论、方法、框架、技术、产品、算法等多种能力升级迭代,涉及用户、安全厂商、IT厂商、研究机构和政府等多类主体,包含对抗、供需、监管、合作、竞争、共享等多种复杂关系。由于这种复杂性,认识网络安全创新规律需要从全局出发、整体分析:既总结历史经验教训,又研判未来演化趋势;既借鉴国际先进理念和成果,又立足国内实际情况。

当前,零信任成为网络安全技术的主旋律。Gartner预测,到2023年将有60%的企业采用零信任策略;到2025年,至少70%的新增远程部署将使用零信任网络访问。2022年11月,美国正式公布《国防部零信任战略》,计划2027财年之前实施零信任战略,并从战略愿景、战略设想、战略目标以及执行方法等多个角度对如何实施给出了体系化的指导和参考。零信任从一个模糊而理想化的设想,到提出具体支撑和实施技术,进而提出整体解决方案和战略实施框架体系,是一个多方参与、共同创新的结果,其演进过程为分析网络安全的创新规律提供了很好的样本。本文以零信任为切入点,分析美方推动零信任的过程,剖析并提炼网络安全创新的规律特点,以期为我国网络安全的创新发展提供参考。

一、零信任的发展和演进过程

(一)理念探索阶段

零信任理念最早源于2004年成立的耶利哥论坛,目的是寻求网络无边界化趋势下的全新安全架构及解决方案。在这种全新的架构中,所有系统都应保护自身免受网络威胁,并能够处理全球范围内的身份验证和授权等功能,而无需每个单独的服务器都具备以上功能。从用户角度来看,单点登录等功能将成为可能。2010年,约翰·金德维格(John Kindervag)首次提出了零信任这一术语,认为零信任本质是以身份为基石的动态访问控制,即以身份为基础,通过动态访问控制技术,以细粒度的应用、接口、数据为核心保护对象,遵循最小权限原则,构筑端到端的安全边界。

零信任打破了传统网络安全模式的防护机制,对网络边界安全进行全新的审视。其原则是不应该对任何外部或内部的人员、设备、应用等给予默认信任,而是基于认证、加密等安全技术本身进行信任授权。

(二)产业初步实践阶段

2011年,谷歌开始探索和实践零信任理念,并于2014年发表关于内部零信任安全项目BeyondCorp的系列论文,阐述零信任实践经验。与传统的外围安全模型不同,BeyondCorp消除了将网络分段作为保护敏感资源的主要机制的概念,而是将所有应用程序都部署到公共网络,允许通过以用户和设备为中心的身份验证和授权工作流进行访问。2017年BeyondCorp取得成功,验证了零信任安全在大型网络场景下的可行性。

2014年,国际云安全联盟在零信任理念的基础上提出了软件定义边界(SDP),并发布标准规范,进一步推动零信任的落地。SDP协议旨在提供按需、动态配置的隔离网络(与所有不安全网络隔离的受信任网络),缓解基于网络的攻击。该协议以DoD制定并由部分联邦机构使用的工作流程网络为基础,提供更高级别的安全性。SDP遵循美国国家标准技术研究院(NIST)关于加密协议的准则,可用于政府应用程序,例如支持对联邦风险和授权管理计划(FedRAMP)认证云网络的安全访问;以及企业应用程序,例如启用对公共云的安全移动电话访问等。

2017年,Gartner分析师提出持续自适应风险与信任评估(CARTA)的概念,与零信任相比,该策略具有更广泛的安全视图,但在几个重要方面与其重叠,因此Gartner认为零信任是实现CARTA的基本步骤。随后分析师斯蒂夫·赖利(Steve Riley)将这一概念优化为零信任,认为零信任网络访问(ZTNA)包括CARTA,且在不影响可用性的情况下提供最大的安全性。

2018年,Forrester分析师蔡斯·坎宁安(Chase Cunningham)提出零信任拓展生态系统(ZTX)概念,并构建这一概念演进的控制映射框架,从策略、功能、技术以及特征等维度为安全专业人员提供更详细的参考。Forrester从2018年开始发布年度报告,探索零信任架构在企业中的应用,并对零信任厂商的能力进行系统性评估。

Gartner在2019年的市场报告中,选择ZTNA作为主题,将其定义为一种IT安全解决方案,可根据明确定义的访问控制策略提供对组织应用程序、数据和服务的安全远程访问。Gartner认为ZTNA创建了一个基于身份和上下文的逻辑访问边界,包括一个用户和一个应用程序或一组应用程序。同时,Gartner表示安全和风险管理人员应将ZTNA项目作为安全访问服务边缘(SASE)战略的一部分,快速扩展远程访问。

(三)美国政府整体作为国家战略推动阶段

近年来,美国各政府机构积极开发零信任架构,推动零信任部署,从全局视角衡量给定任务或业务流程中的潜在风险,应对这些风险所带来的网络安全挑战。美国防网络从传统网络安全架构向零信任架构转变是一种必然,并且这将是一个渐进式的过程。

图1 美方零信任全景战略图谱(2022年12月)

2019-2020年,美NIST连续发布两版《零信任架构》标准草案,推动零信任向标准化进展。根据NIST的定义:零信任提供了一系列概念和思想,它假定网络环境已经被攻陷,在执行信息系统和服务中的每次访问请求时,降低其决策准确度的不确定性。标准中介绍了实现零信任架构的三种方案,分别是软件定义边界(SDP)、增强的身份权限管理(IAM)和微隔离(MSG)。SDP围绕某一个或某一组应用创建基于身份和上下文的逻辑访问边界,利用基于身份的访问控制和权限认证机制,让企业应用和服务“隐身”。IAM是一种IT解决方案,使用身份这种唯一用户配置文件管理用户并将用户安全连接到IT资源,包括设备、应用、文件、网络等,同时限制其访问工作内容以外的数字资产。IAM的身份管理不仅是人的身份管理,还包括设备、应用的身份管理。身份管理本身属于网络安全领域的一个细分方向,同时也是大多数组织实现安全和IT运营策略的核心。MSG由Gartner于2015年提出,实现方式是将数据中心内部所有的业务按照特定的原则划分为数个微小的网络节点,根据动态策略分析对这些节点执行访问控制,在逻辑上将这些节点隔离开。通过细粒度的网络隔离技术,可以跨物理网络自定义虚拟安全边界以及自定义基于角色的访问控制策略,防止攻击者入侵内部业务网络后的横向移动。实际上,这三种技术是对过去的VPN、4A和防火墙技术在新应用场景中的发展和升级,是自网络安全发展初始就不断发展演化的,并不属于新防御技术或防御机理的范畴。

图2 NIST零信任逻辑架构图

2021年2月,美国国家安全局(NSA)发布关于零信任安全模型的指南《拥抱零信任安全模型》,强烈建议国家安全系统(NSS)内的所有关键网络和系统都考虑采用零信任安全模型。5月,美国防信息系统局(DISA)发布《国防部零信任参考架构》,旨在增强国防部网络安全并保持数字战场的信息优势。同月,拜登政府发布旨在加强国家网络安全的行政命令(EO 14028),明确指示联邦政府各机构实施零信任方法。9月,美国管理和预算办公室(OMB)发布《联邦政府零信任战略》草案,并于2022年1月发布《联邦政府零信任战略》正式版本,进一步推动零信任实施。该战略并未描述或规定一个成熟的零信任实现,但明确了零信任战略的五大支柱和三大基石,并给出了实现每个支柱目标的分解行动。以网络为例,其零信任安全的战略目标包括各联邦机构对其网络环境中的所有DNS请求和HTTP流量进行加密,并开始执行将其边界分解为孤立环境的计划。具体行动计划包括:(1)只要技术条件允许,联邦政府机构都必须使用加密DNS解析DNS查询。网络安全和基础设施安全局(CISA)的保护DNS计划支持加密DNS请求。(2)联邦政府机构都必须对其网络环境中的所有Web网站和API调用流量强制实施HTTPS加密。必须与CISA合作,将其.gov域名预加载到浏览器中实现浏览器只能通过HTTPS访问联邦政府网站。(3)CISA将与FedRAMP管理办公室合作,评估联邦政府范围内可行的电子邮件加密解决方案,并向OMB提出建议。(4)联邦机构必须与CISA协商,制定一个零信任架构计划,阐述如何实施网络环境的隔离,并将其作为零信任实施计划的一部分提交OMB。

2022年11月,美发布《国防部零信任战略》,计划在2027财年之前实施战略和相关路线图中概述的零信任能力及活动。战略概述了四个高级综合战略目标,每个目标都定义了为实现其零信任愿景将采取的行动,并围绕7个支柱设定了45项需具备的网络安全能力。七大支柱实施目标包括:(1)用户,对个人和非人员实体访问进行安全、限制和强制身份验证;(2)设备,连续实施识别、清点、授权、认证和修补所有设备;(3)应用程序和工作负载,保护所有应用程序和工作负载,包括扩容器和虚拟机;(4)数据,通过企业基础架构、应用程序、标准、稳健的端到端加密和数据标记,实现并保护数据透明度和可见性;(5)网络和环境,使用细粒度访问和策略限制对内外部网络/环境进行物理或逻辑分段、隔离和控制;(6)自动化和编排,自动化手动安全和其他使用流程,以便在整个企业范围内快速、大规模地采取基于策略的行动;(7)可见性和分析,分析事件、活动和行为以获得上下文信息,并应用AI/ML实现模型,提高实施访问决策中的检测和反应时间。用户支柱包含的访问控制、多因素认证、身份识别、行为/上下文/生物特征、最小访问权限、不间断认证、综合ICAM平台等,都是原有的安全能力。设备支柱则强调了UEM、MDM以及EDR和XDR等自端点安全以来,不断发展和承袭的端点安全理念架构和技术产品。可视化和分析支柱阐述了日志记录所有流量(网络、数据、应用、用户)、安全信息和事件管理平台(SIEM)、安全和风险分析、用户和实体行为分析、威胁情报集成以及自动化动态策略。不难看出,所提出的45项能力大都是现有的网络安全技术能力。

图3 国防部零信任战略能力要求

2022年12月,NIST发布SP 1800-35《零信任架构(ZTA)》草案,指出ZTA侧重于保护数据和资源,支持对分布在本地和多个云环境中的企业资源进行安全授权访问,同时使员工和合作伙伴能够随时随地从任何设备访问资源,以支持组织的业务运营。ZTA通过包括请求者的身份和角色、请求设备的运行状况和凭据、资源的敏感性、用户位置和用户行为一致性等标准,验证访问时可用的上下文来评估每个访问请求。如果满足企业定义的访问策略,则会创建一个安全会话来保护传入和传出资源的所有信息,执行实时和持续的策略驱动、基于风险的评估,从而建立和维护访问权限。美国国家网络安全卓越中心(NCCoE)通过与其合作伙伴使用商用技术,建立与《零信任架构》标准中的概念和原则相一致的实现示例,聚焦ZTA落地实践。

二、零信任理念产生的成因和创新价值

(一)零信任是在传统IT边界消亡时对安全边界的重塑

随着技术发展和IT场景演进,在大规模云的资产体系和VPN的应用下,逻辑上的安全边界和物理上的内外网空间高度不一致。物理空间位置在物理环境体系之外,逻辑权限却可能在体系之内,这使得安全边界无法基于统一的安全网关来约束,必须随着资产的弹性范围和接入动态延展。安全边界从内外网级别缩小到子网级别、子网到资产级别、资产到具体应用,以及对应用的每个使用者身份等进行细粒度管控,边界不断最小化。因此,“安全边界”不再是一个绝对的网络通信边界的概念,而是转变成为行为边界的概念,这就是“边界消失”的本质。在此背景下,零信任应运而生。零信任的本质是每一个应用都有自己的安全边界,安全边界到达每一个可执行体、每一个操作和每一个身份。对于具体实现方法,从验证、密码协议到主机安全,零信任采用的技术都是对既有技术的重新组织和整合。

(二)零信任是对原有安全能力体系的重新整合

零信任不是颠覆替代原有技术的创新技术或者产品,而是建构在对既有能力的重新组合运用之上的重大理念和体系结构创新。零信任是对既有的安全能力整合,以实现一种细粒度、持续性的可信方法;需要网络安全能力的各个环节,包括识别、塑造、防护、监测、响应等,按照其理念做延展和适配,对传统的安全能力体系提出了更高的要求。例如,零信任验证登录身份安全和当前场景安全,仍然需要依赖传统的端点安全能力。因此,传统基础安全能力需要不断夯实,以支撑零信任的实现。

(三)零信任创新的价值在于支撑业务第一性业务原则

长期以来,系统安全性与业务的便利性、威胁的检查阻断与信息的有效共享、风险的控制与业务的发展等,被看成是相互制约的矛盾体。原有安全能力演进是以安全为第一性的诉求,网络安全技术和信息化结合方式,没有充分兼顾业务和安全的一致性,而零信任解决了这一难题。零信任以更有效的保障连续性、效率和共享为前提来构建安全,建构在安全要支撑业务的第一性原则之上,兼顾业务系统的稳定性和持续性,通过安全与业务的深层次融合,充分保障信息的访问共享连接、消除信息孤岛和达成更高效的运行。

(四)零信任创新的特点在于保障范围更加全域化

网络空间不是孤立的,它同时兼具物理域和认知域的关联要素,以物理域为支撑与认知域联通。零信任是一种更全域化的,跨越物理层面、逻辑层面和人员层面的安全方法,信任对象包括物理实体和人员身份。原有的网络安全逻辑体系,其下对于物理资产的有效管控与耦合,其上对于人员活动的管理与耦合都有一些尝试,但缺少统一的范式和方法。零信任通过持续性验证方法将其信任对象深层次地嵌入到由物理资产所支撑、由软件系统所承载、基于人机协同形成的业务逻辑中,使得保障范围更加全域化。

(五)零信任创新的生命力在于能力和文化的融合

零信任以更加开放、广泛共享的认知趋势为基础。过去几年里重大网络安全与信息化的复合型创新,如安全左移、DevSecOps等,都带有鲜明的技术、能力、流程与文化融合的特点,而非简单的技术与能力融合。美《国防部零信任战略》中提到:“文化,不仅仅是科技。国防部如何保护和保障拥有的信息设备安全,不能仅靠技术解决;需要跨越所有的国防部信息设备用户,从国防部的领导到任务操作员,彻底改变思维方式和文化。”零信任本质上所要达成的不止是一种能力升级,同时也是理念和心智的升级,是文化的升级。

在保障数字化发展的大背景下,网络安全需要通过一体性演进、全域性演进,以及认知与行动共同演进的方式,来保障所需的资源要素、管理要素、认知和文化要素,进而确保自身的创新发展。

三、美国政府在网络安全创新和能力建设的作用

美政府高度重视网络安全能力建设,通过政府与市场共同推动网络安全战略发展。从零信任发展历程来看,美政府机构不是第一时间下场扮演引路者和裁判员角色,而是在达成基础学术共识并初步形成产业实践基础后,才将零信任上升为网络安全战略发展的“整合器”。美NIST、OMB和DoD等官方机构,通过发布参考标准、行政命令、实施战略等方式直接参与零信任的推动。

(一)美国国家标准于技术研究院(NIST)

NIST隶属于美国商务部,提供标准、标准参考数据及相关服务,其使命是“通过以增强经济安全和提高生活质量的方式推进测量科学、标准和技术,从而促进美国的创新和工业竞争力。” NIST在美国推动零信任战略的过程中,主要起到的是标准制定、实践指导的作用。

2019年9月,NIST发布了第一版《零信任架构》标准草案,并于2020年8月发布了《零信任架构》标准正式版。标准中提出,向零信任架构的转型是漫长的旅程而不是简单地置换企业现有基础设施。零信任模式并不是一个单一的网络架构或技术产品,而是一套理念、战略和架构体系的结合。2020年3月NIST下属机构NCCoE发布《实施零信任架构》项目说明书(草案),并在10月发布了《实施零信任架构》项目说明书(正式版),瞄准零信任架构的落地实践,旨在使用商用产品,在通用企业IT基础设施中,建立与NIST《零信任架构》标准中的概念和原则相一致的零信任架构的实现示例。2022年5月,NIST发布CSWP 20白皮书《零信任架构的实施规划——针对联邦系统管理员的规划指南》,解读了NIST《零信任架构》标准提出的零信任基本原则,比较了风险管理框架(RMF)模型与金德维格的零信任实施模型,并指出了联邦信息系统在零信任迁移改造时,管理员在每个RMF环节中需要重点关注和完成的相关事项。

(二)美国政府管理和预算办公室(OMB)

OMB是协助总统编制和审核国家预算的机构,加强预算管理和行政管理。在这一过程中,OMB的作用更多是对美国政府各部门推行零信任战略提供战略规划和引领。

2021年5月,美国总统拜登签署第14028号行政令《改善国家网络安全》,在政府范围内全面开展行动,以确保基线安全实践到位,将联邦政府网络迁移到零信任架构,实现基于云的基础设施的安全优势,同时降低相关风险。为支持这一行政令,OMB于2022年1月26发布《联邦零信任战略》,提出了零信任安全五大目标和行动计划,明确具体落实要求,旨在加速政府机构尽快向零信任成熟度的安全基线迈进,并要求在2024财年末实现以上战略目标。CISA随后发布的《零信任成熟度模型》及《云安全技术参考架构》均是对该行政令的响应。2022年6月,国土安全部(DHS)部长、CISA局长、OMB主任、FedRAMP执行总务局长共同协商,发布了《云安全技术参考架构》2.0版本。云迁移需要文化改变、确定优先顺序和设计创新方法,而这些都必须得到所有机构的支持才能取得成功。

表1 美国《联邦零信任战略》重点任务规划

(三)美国国防部(DoD)

DoD是总统领导与指挥全军的办事机构,也是向各联合司令部发布总统和国防部长命令的军事指挥机关。在美零信任发展进程中,DoD主要负责美军的零信任战略发展规划和目标指引。

2022年1月,DoD设立了“国防部零信任资产组合管理办公室”,负责协调零信任战略所述的各项工作,加快零信任理念落地,实现DoD在零信任方面的总体目标。11月,美发布《国防部零信任战略》及《国防部零信任能力执行路线图》,概述DoD计划如何在2027财年前在整个国防部范围全面实施零信任网络安全框架。战略指出,零信任是一套将网络安全防御从静态的、基于网络边界转移到用户、资产和资源上的动态发展的网络安全模式,提出零信任的执行纲要、战略愿景、战略目标以及执行方法,并从体系规划的视角提出了框架方法,为DoD推进零信任理念落地提供必要的指导,涵盖了差距分析、需求开发、实施路径和决策制定等内容,并阐述了如何通过采购和部署/开展必要的零信任能力和活动,使网络安全水平得到有价值的改善。

(四)美国官方机构在推动零信任发展中的角色对比分析

表2 推动零信任发展的不同主体的不同视角

通过对美国政府机构发布的相关文件进行梳理、分析,能够发现NIST、OMB和DoD等不同机构在推进零信任的发展中扮演着不同角色。作为标准化组织,NIST在一种新的安全概念和范式的形成过程中,给出明确清晰的定义和实施方法,解决概念的内涵、范畴和边界等问题。以OMB代表的联邦政府作为行政指导机构,同时也是用户,明确实现零信任相对清晰的目标和行动导向。DoD作为兼具战略属性、规划属性、指导属性和用户属性的复合型国家能力单元,面向军方,通过用户规划,建构了一个全局的体系战略,包括从顶层规划到具体实施的全生命周期。

零信任早期一度处于“叫好不叫座”的状态。虽然符合发展趋势,但此时零信任构想尚未成熟,无法充分解答其概念的内涵与外延、零信任和现有技术体系之间的关系。随着各方积极探索零信任与现有技术的结合,并在大型IT企业落地实施,逐渐形成了实践示例。从2004年零信任理念的初步形成,到2010年零信任概念的提出,再到后来学术界、产业界的探索实践,直到2019年在行业达成理念共识、关键支撑技术经过了一定验证的情况下,美国官方开始密集出台文件,自上向下积极推广零信任,拉动防御能力体系建设和产业发展。这一过程中,美国政府既避免了早期就大量投入而可能导致的资源浪费,又避免了过晚介入而错过战略机遇期。此外,美国在用户认知、技术积累、产业环境等诸多方面也为零信任的落地提供了良好的基础。

四、从零信任的演进分析网络安全创新的规律特点

零信任起源于一种理念,而非商业企业的技术发明,或某个大客户的自我应用想象,亦非某一种学术流派的产物。零信任在美国的发展,不是单一主体主导,而是多主体协同推动的结果,具备国家顶层设计的色彩,是一种综合的体系创新。通过分析可以看出,网络安全创新是若干组辩证统一的属性的平衡。本章分别从网络安全的自生性与伴生性、长周期性与敏捷性、开放性与封闭性、叠加性与颠覆性、独立性与协同性的视角来进行论述。

(一)从与信息化的关系来看,网络安全创新是以伴生性为主、自生性为辅的创新

网络安全并不孤立的产生自身价值,其价值取决于所保障的目标资产对象。网络安全体系依托于信息系统的基础、算力、存储和通信基础设施而存在,也是信息化体系的有机组成部分。网络安全与信息化体系之间是差异化功能、同类型架构的耦合存在。网络安全的第一目标是保障信息系统的正常运行,保障其机密性、完整性和可用性,脱离信息环境场景的网络安全缺乏实际意义。这就决定了网络安全的创新以伴生性为主,不能逾越信息化本身的发展阶段。零信任的产生服务于IT网络边界的变化。IT资产形态演进、异构互联、弹性延展导致了传统网络边界的消亡,零信任将安全边界最小化并弹性连接为一个防御体系是必然趋势。

安全创新伴生性的另一个原因是,安全工作依赖基础计算环境、能力和条件。基础计算环境的成熟和发展,是安全技术发展的支撑和保障。算力的增长、带宽的提升和网络性能的全面改善为零信任的实施提供了基础条件。由于零信任需要大量的负载消耗,如果没有足够的算力资源,就很难支撑相关机制的实现,会延缓网络业务访问的持续认证,严重干扰业务的连续性和用户使用体验。一些安全理念在早期不能落实和实施可能由于当时的算力和带宽条件无法支持,而非理念不合理。安全技术创新,既不能脱离其保障对象本身的规律特点,也不能脱离算力等计算条件。将安全看成超越信息体系结构的独立存在而进行孤立的创新,必将迎来失败。

(二)从生命周期来看,网络安全创新是长生命周期下提高敏捷性的创新

网络安全的生命周期与信息化的“主题”周期基本符合。网络安全能力主要基于软件功能逻辑来实现。软件功能逻辑具有较低的继承成本和改动成本的优势。由于继承成本低,使得网络安全具有更长的生命周期;改动成本低,表明产品可以快速迭代改进、敏捷升级。零信任是以一套连接框架做基础,要保证框架结构的稳定性、持续性、兼容性和标准化,体现出长周期性的特点。在面对威胁的快速演进和IT场景的快速变化时,又必须满足敏捷性要求。

在网络安全发展过程中,周期性规律通常会被忽视。以Gartner技术成熟度曲线为例,安全厂商习惯于在某个网络安全技术处于期望膨胀期时,进行过度炒作和超额投入,本应在泡沫幻灭期继续投入,却没有进行持续探索,导致这些技术无法进入稳步爬升复苏期。此外,还存在将一些创新概念简单化、短视化的认知偏差,例如将零信任简单的理解为身份认证。从美国零信任战略所提出的框架体系看,零信任几乎涵盖了所有的基础安全技术能力。因此,网络安全创新要做好长周期准备和能力积累。

(三)从能力形态上看,网络安全创新是以开放性为主、封闭性为辅的创新

信息系统具有开放式信息交换的特点,决定了网络安全创新以开放性为主导。信息化以开源体系为基础,遵循和参照开放式标准,具有高度开放协同的基础文化。在网络安全体系中,通常越是有联通和兼容性需求的情况越需要开放,如接口、通信标准、密码算法等,对加密算法的标准是基于算法公钥保密来保证算法安全。

网络安全的对抗优势建立在对攻击者的低可见性上,因此网络安全创新对封闭性也有一定的需求。但面对强威胁对抗场景时,往往需要对阻断威胁的基础作用原理、检测规则、检测方法、识别方式、判定逻辑等进行保密,过于公开会降低攻击者绕过安全机制的成本。此外,网络安全厂商通常具有较强的逆向研究能力,能够还原竞争产品的实现逻辑并予以借鉴。因此,网络安全需要一定的封闭性。

零信任创新是以开放式的理念演进为主导的,其内涵、思路和技术标准等一直处于开放迭代状态。同时,零信任能力集合中的很多能力域,如威胁检测规则、检测模型等依然还是封闭式演进。目前,网络安全仍然存在着基础认知误区。一些观点不认同在密码体系设计中基于密钥保密公开算法,而是强调算法隐藏;或想象一个防御封闭场景,如迷信物理隔离。也有一些观点过于理想化,强调无条件面向公众的数据公开和威胁情报共享,导致这些资源成为攻防双方的资源地。因此,创新要基于网络安全是开放而非封闭的总体基调,统合协调开放和封闭之间的关系。

(四)从演化模式来看,网络安全创新是以叠加性为主、颠覆性为辅的创新

从理念框架上看,网络安全呈现迭代与颠覆的特点,但在具体能力组织方面,更多表现为对既有能力的叠加重组。在基础系统平台和体系结构发生重大变化的情况下,网络安全的基础能力大多数表现为商业产品的持续功能演进和升级。信息化和网络安全主要通过代码编程实现,新技术要依托于既有基础技术和实现能力产生。

把零信任看成某个产品赛道,或是彻底的技术创新和颠覆,都是错误的。零信任在其标准内涵、产品边界、整体架构和能力集合上是不断发展扩大的,DoD零信任战略与NIST零信任标准已经超越零信任原有的定义范畴。一般来说,成熟的能力体系深厚积累型厂商,只要愿意积极追随和把握演进趋势和潮流,往往比创新能力厂商更具有优势。安迪·帕特尔(Andy Patel)指出,新型企业缺乏成熟的技术能力体系和足够的基础能力积累,没有将资源投入到技术和基础设施上,因此无法实现理念创新的落地以及价值产生。

在网络安全领域,决策者往往夸大新技术理念的作用,而忽略新技术的适用范围,及其需要在既有基础能力上叠加才能发挥作用的事实。对此存在几类理解误区:(1)忽视了传统反病毒引擎技术不止提供黑白鉴定功能,还承载着对威胁精准分类、标定和完成情报指向等任务,错误地认为可以抛弃现有的引擎+特征工程体系,单纯依靠AI算法应用,就能实现有效的恶意代码和威胁对抗;(2)简单地认为靠数据采集和响应是万能的,不认同端点防护体系对于数据获取和有效拦截的作用,认为没有端点保护平台(EPP)功能的端点检测与响应(EDR)能够取代传统EPP;(3)将AI算法视为能够颠覆既有威胁检测和风险识别的能力。以上均为不尊重创新的叠加性,过度期待和依赖创新的颠覆性的表现。

(五)从安全关系体系来看,网络安全创新是协同式为主、独立式为辅的创新

网络安全的经济属性和其他经济领域相比具有较大差异。网络安全不是简单的供需关系,而是涉及需求方客户、供给方安全厂商、关联方IT厂商、攻击方攻击者和监管方政府机构等多边主体关系,因此重大战略创新需要带有顶层设计的协同推动。能力改进级创新的主体是安全企业;赛道级概念创新主体是具有引领性的主流或标杆厂商;重大的理念和方法创新受创新成本、用户接受能力、行政资质认证门槛、攻击者的防御检验、IT生态接受程度等一系列因素制约,需要多主体深度协同。需要国家主管部门发挥主导作用,牵引创造系统刚性的安全需求,引导供给方提供高质量快速迭代的供给。协同式创新包含多种模式,如开源社区组织、产学研融合创新基地、需求和供给联合创新,以及企业间的竞争性协同创新。竞争企业尽管在能力、功能和商业策略方面存在差异,但认同同一种创新理念,也能够共同巩固和推动理念发展。零信任的顶层战略推动,符合信息化的大规模供应生产和协同的特点,提供了一个战略协同创新的范式。

通常认为供给侧能力不足是阻碍网络安全产业发展的主要因素,因此将供给侧作为发展重点,而忽视了对需求侧的需求牵引,以及政府侧的顶层规划、设计、标准制定及政策引导作用。网络安全是一项综合问题,除了开发安全技术外,还需要理解用户场景和需求,掌握威胁方威胁意图、威胁目标和手段,以及履行监管方的标准、体系、理念等方式共同推进。

五、思 考

党的二十大报告,对网络安全工作提出了更高的要求:要贯彻总体国家安全观,让网络安全的能力体系成为国家安全体系和能力现代化的更强有力的支点;要将发展路径和保障对象尽快对齐到加快建设数字中国、网络强国的新发展格局中。推进这些工作落实,不能闭门造车,既要从自身实际情况出发,也要有参考借鉴的他山之石。同时我们需要看到,网络安全领域是一个对抗性为主要属性、竞争性为次要属性的领域,其主导模式不单纯是一般性的产品与技术的先进性和市场份额的竞赛,而更表现为体系化的防御能力与外部攻击能力的真实较量。我们既要知己、也要知彼。

为此,我们梳理了零信任从理念雏形上升为美国信息安全国家战略的演进过程,分析了理念产生成因和创新价值,以及美国政府机构在推动网络安全创新和能力建设方面发挥的作用,总结并提炼网络安全创新规律,在此基础上得出几点启示与建议。首先,我国网络安全创新发展需要深入研究并遵循创新的基础规律,把握网络安全创新的本质。明确不同主体责任,并在网络安全创新过程中始终坚持其特有属性的辨证与结合。其次,我国网络安全创新发展需要吸收借鉴发达国家的理念和实践成果。美方的零信任参考架构对于零信任的规模化落地实施具有较好的指导性和可操作性作用,其成熟经验值得深入研究和借鉴。再次,我国网络安全创新发展需要立足于当前信息化发展不平衡不充分的实际情况。在关注创新的同时,还要注重从基础出发弥补信息化发展差距,创新、补课两手抓。

中美两国都拥有庞大的信息资产体系,都在加速数字化、智能化的转型,网络安全都在跟随数字化、智能化发展实现关口前移、基因融合,大的技术趋势和规律是共性化的。从现实水平来看,中国的信息化是不平衡、不充分的发展,而且存在大量碎片化、低质量、小生产的环节。网络安全防护水平有了长足进步,但基础工作依然不够扎实,无效防护和防护缺失的情况依然大量存在,中美在实际网信环境上既有差异性、也有现实差距。从能力体系建设和产业供给来看,由于美方的脱钩、断链、制裁,严重破坏了原有的产业协同的产业链机制,因此双方产业体系不可避免呈现出阵营化的特点。从防护能力要求来看,中国作为网络安全攻击的主要受害者,关键信息基础设施的防护水平面临要应对类似美方情报机构这样的上帝视角攻击,接受更高水平攻击的检验,我方面临的挑战更加艰巨。

面对这种复杂的情况,中国网络安全工作者既需要有历史使命感、又需要保持战略定力,既准确把握信息基础和威胁对抗的共性规律,又需要直面网络安全现实工作基础的客观条件。既要打造自主先进可控安全好用的安全能力与生态,又要积极吸取发达国家的理念和实践成果。希望本文能为这些工作的开展提供一定的借鉴和参考。

(本文精简版刊登于《中国信息安全》杂志2023年第3期)

声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。