中國2030+網絡內生安全愿景白皮書

1、目錄前言驅動力定義愿景需求演進結束語參考資料前言01前言對于人類 , 剛剛過去的 2020 年，是個極為不平凡的年份。新冠疫情肆虐下，遠程辦公、在線教育等需求劇增，人類的生活方式發(fā)生了巨大改變，人類對科技尤其是移動通信網絡的依賴更為緊密，網絡空間升級為與天、空、海、地并列的第五人類活動空間，網絡也正式成為基礎訴求。時代大變局下，新基建、數(shù)字化浪潮風起云涌，5G 正在以前所未有的速度迅猛滲透到千行百業(yè)，DOICT 加速融合匯聚，網絡價值迅猛提升?！皟r值與安全恒成正比”，伴隨著網絡價值的迅猛提升，網絡安全也被急劇推到前所未有的高度。新形勢下，網絡安全已成為產業(yè)和行業(yè)關注的焦點，安全需求已經成為網絡

2、的基礎需求，也成為決定網絡能否發(fā)揮最大化潛能和價值的關鍵因素，人類已正式跨入大安全時代。從 1G 到 5G，移動通信網絡一直呈明顯代際發(fā)展效應。在 4G 以前，網絡架構相對封閉，標準設計對網絡安全的考慮基本滿足和適應安全需求，網絡實際建設時安全也主要依靠遵循標準來保障。5G 采用了全新 SBA 架構，引入網絡功能虛擬化、網絡切片、邊緣計算等新型關鍵技術，大幅提升移動網絡業(yè)務能力，支持增強移動寬帶（eMBB）、海量機器類通信（mMTC）和超可靠低時延通信（uRLLC）等場景應用，更多的業(yè)務和應用也在向云化轉移，從傳統(tǒng)的人與人通信延伸覆蓋到人與物、物與物之間的智能互聯(lián)，使移動通信技術極快的發(fā)展和應

3、用到更加廣闊的領域。架構的開放、新技術的引入、云網的融合、各行業(yè)場景的滲透，不可避免的將其原來面臨的安全風險交織到一起，安全問題復雜且充滿不確定性。盡管 5G 標準層面相比 4G 已做了諸多考慮，但從市場訴求尤其是各垂直行業(yè)訴求和實際建設驗證來看，還需要進一步的增強安全性。與此同時，全球 6G 研究已經開啟。6G 時代，天空海地網一體化，通信、超算、AI、感知等技術將高度發(fā)達，網絡對基礎信任機制、安全準入、存證與溯源、應急處置等需求將更為強烈。然而，傳統(tǒng) IT 領域的分散式、外掛式、補丁式安全防御模式已無法有效支撐。網絡安全亟需在理念層面進行變革和創(chuàng)新，在設計構建時就要做出充分考慮。2020

4、年 7 月，中興通訊在 GSMA Thrive 面向全球正式提出了 5G 及未來網絡內生安全的全新安全范式和安全理念，把網絡與復雜精密的人類身體類比，借鑒人體生物學理念，為網絡構建免疫能力體系，通過先天構建和后天生長，交付安全網絡，并呼吁業(yè)界共同研究、積極分享，引起了業(yè)界強烈反響?；诔掷m(xù)深度的探索實踐，網絡內生安全體系構建遠非一朝一夕之事，需要長期的研究、思考、探索、驗證、實踐，本白皮書對 2030 + 網絡架構進行了暢想，基于架構描繪了 2030+ 網絡內生安全愿景，提出了統(tǒng)一的網絡內生安全的定義，初步提出了網絡內生安全需求，并設想了三個發(fā)展演進階段，旨在引發(fā)業(yè)界的共同討論與思考。目前 5

5、G 正在如火如荼的建設中，6G 研究尚在初始起步階段，后續(xù)中興通訊將聯(lián)合業(yè)界共同完善更新報告，持續(xù)推進網絡內生安全體系構建和潛能技術研究，護航并促進網絡的可持續(xù)發(fā)展和演進。驅動力02動力驅 社會發(fā)展驅動可持續(xù)發(fā)展是人類的共同目標，移動通信網絡重新定義了社會運轉和人類的生活方式，這一點在 2020 年的疫情陰霾中顯露無疑。通過網絡，移動在線教育得以實施，孩子們教育有了持續(xù)保障；醫(yī)生可以在線診斷病情甚至手術，病患仍有醫(yī)可就；云上應用、遠程自動化生產，保障工業(yè)等經濟正常運轉；遠程辦公、居家辦公，保障就業(yè)收入；便捷的在線電商、買菜等，使得衣食住行有條不紊；未來，網絡將會深度滲透賦能工業(yè)、經濟、教育、生

6、活等方方面面，這一切都需要安全作為基礎和前提來持續(xù)保障。 技術演進驅動在社會快速發(fā)展的驅動下，原有互聯(lián)網、移動通信網、物聯(lián)網、工業(yè)互聯(lián)網等各種網絡正在快速融合，如同大大小小的江河匯成大海，天空海地一體化成為必然。移動、云化、大數(shù)據、人工智能等技術賦予了未來網絡強大的計算能力和智慧，安全的技術和新理念也層出不窮，零信任、軟件定義安全、云原生、安全接入邊緣服務等如雨后春筍般出現(xiàn)，傳統(tǒng)的補丁式防御分散不成體系，遠遠不能發(fā)揮單項技術的潛能，也無法將新技術軌范在一個健康正向的發(fā)展道路上，因此，回本溯源，從頂層設計出發(fā)，建立“以一應萬變”的安全體系，迫在眉睫。 商業(yè)模式驅動如同人體，抵御疾病的第一主力軍是

7、免疫力，治療疾病主要依靠免疫力加醫(yī)生藥品等科學治療手段，免疫力對于人體如此重要。千百年來的人類經驗表明，頭疼醫(yī)頭、腳疼醫(yī)腳的模式，只治其表、不治其本，最終會導向被疾病不斷牽著鼻子走的局面，更無法從根本上預防和解決生病的問題，深入研究人體運作機能、免疫體系、能力，才有可能獲得事半功倍的效果。這種智慧，對于網絡同樣適用。唯一不同的是，嬰兒的免疫體系在母胎中就開始形成，而網絡的免疫體系則需要智慧的網絡專家來構建。未來，基于網絡免疫體系，網絡安全產業(yè)鏈和服務模式，將會呈現(xiàn)出醫(yī)療體系式的發(fā)展，網絡安全的商業(yè)模式將真正實現(xiàn)健康、正向、可持續(xù)發(fā)展和演進。定義03定義內生安全最早源于生物領域的生物免疫系統(tǒng)，后

8、來被借鑒和延續(xù)到科技領域、IT 領域，然后到 CT 領域，不過至今還沒有形成統(tǒng)一標準的定義。內生安全能夠為網絡提供一個全新的安全理念乃至安全范式，啟發(fā)以“向內轉，向內思考”的視角來重新認知和看待網絡安全問題。借鑒人體生物學啟示，汲取業(yè)界各領域的已有研究，面向未來，本白皮書嘗試給出一個統(tǒng)一的“網絡內生安全”定義：內生安全是網絡的一種綜合能力，這個能力由一系列安全能力構成，這些安全能力共同協(xié)作構成自感知、自適應、自生長的網絡免疫體系。它必須在網絡構建的時候同步構建，且能夠在網絡運行中不斷自主成長，隨網絡的變化而變化，隨系統(tǒng)業(yè)務的提升而提升，最終來持續(xù)保障網絡及業(yè)務和數(shù)據的安全。根據定義，網絡內生安

9、全應具備兩個基本特點：先天構建和后天成長。先天構建，指安全需要與網絡系統(tǒng)的設計與建設同步進行，如同一個嬰兒，在出生時就已有基礎的免疫能力，盡管這種免疫能力可能沒有那么強大，或者因人而異，但必須有，好處是為后續(xù)的免疫能力成長提供了一個基礎的機制和環(huán)境；后天成長，主要指安全能力對網絡環(huán)境的適應和變化，如同嬰兒出生后，在成長過程中，隨環(huán)境等免疫能力也在不斷適應和改變。根據定義，網絡內生安全具有兩個核心功能：一體化、免疫。一體化指標準制定、頂層設計、建設、運維等階段各層面需要將網絡安全與功能網絡全面融合，免疫指對惡意攻擊、主動情報信息等的反饋和響應等完整閉環(huán)處理，同時保障網絡數(shù)據全生命周期中的不可泄露

10、、不可篡改和不可否認性。愿景04愿景暢想未來網絡架構是描繪網絡內生安全愿景的基礎前提。作為人類第五活動空間，未來網絡的架構將徹底向融合的新型一體化網絡演進，這種融合體現(xiàn)在多個維度：DOICT 徹底融合、云網邊端徹底融合、天空海地融合。未來，網絡的概念也將發(fā)生變化，網絡將成為由端、網、管理等共同構成的一個虛擬社會空間，被稱為廣義的網絡體，而當前的傳統(tǒng)網絡則成為廣義網絡中的聯(lián)結的一部分。未來網絡架構將呈現(xiàn)扁平、分層、解耦等多個特性。關于未來網絡的更深理解和展望，需要基于全新的視角進行抽象和審視。體系架構全網安全統(tǒng)一身份與信任體系.自感知自適應自生長邊界安全網元安全網元安全網元安全邊界安全一體化 免

11、疫未來，網絡內生安全則作為廣義網絡的基礎能力而存在。類似人體免疫體系，功能網絡 + 管理 + 安全將共同構成具備內生安全的網絡，安全既與網絡深度一體化，又能獨立成為完整的安全平面。統(tǒng)一的身份與信任體系將是未來網絡及網絡內生安全的基石，由邊界、網元、全網三道防線相互協(xié)作，通過自感知、自適應、自生長等功能，實現(xiàn)具備一體化、免疫核心能力的內生安全能力體系。人類第五活動空間未來架構演進徹底融合的新型一體化網絡ITCTOT基礎層（企業(yè)/個人） （空/天/地/ （內生安全）海/網）算力聯(lián)結算力/視頻/管理等）/視頻/管理等）（AI/大數(shù)據/數(shù)據庫 （AI/大數(shù)據/數(shù)據庫專用能力組件通用能力組件能力組件支撐

12、層通用場景專用場景（企業(yè)/個人）（關鍵行業(yè)）應用層圖 1 未來網絡架構圖 2 網絡內生安全能力體系需求05求需從網絡內生安全的功能看，網絡內生安全將圍繞網絡架構及功能需求，支撐網絡自身、行業(yè)，此外，安全自身也需要具備安全特質，因此，可以從業(yè)務的安全、安全的服務、安全的安全三大類，來綜合概括對網絡內生安全的需求：業(yè)務的安全指內生安全能夠保障基礎層（網絡、算力）、能力組件層以及應用層等各層安全，納含軟硬件設備及資源、傳輸、運行、大數(shù)據 /AI 等各能力組件安全、各行業(yè)場景（如工業(yè)、自動駕駛等）安全等需求。安全的服務指內生安全面向應用層，內生安全能夠提供安全能力、安全管理等安全服務，例如：舊業(yè)務下線

13、時的安全收縮自適應、新業(yè)務上線時的安全能力自動化編排等需求。安全的安全指內生安全能夠保障自身安全。根據歷史經驗，安全與系統(tǒng)暴露面存在同向關聯(lián)關系，因此，內生安全應遵從精簡的原則，盡可能深度融于網絡并盡量精簡和優(yōu)化設備，包括軟件、硬件、端口等。從網絡內生安全自身的構建和發(fā)展演進角度，網絡內生安全首先需要具備與網絡深度的一體化，尤其是網絡內生安全的先天體系，不能延后于網絡體系，包括標準設計、頂層設計、方案設計、產品設計等。從網絡內生安全的衡量和演進看，網絡內生安全還需要具備合理、可度量的分級和衡量標準。演進06進演考慮現(xiàn)有網絡正處于多個異構網絡的快速交織滲透和融合進程中，5G 及云網融合等也正在緊

14、密的開展和進行，因此，從當前現(xiàn)狀出發(fā)，面向未來，網絡內生安全預計可以分為三個階段來演進。PhaseI 初級基礎體系建設階段 2020-2025PhaseIII 高級完全自塑階段 2030+PhaseII 中級自適應發(fā)展階段 2026-2030免疫：AI、網絡空間災害模型、免疫: AI、威脅模型、關聯(lián)分析密碼、量子、抗量子等模型、密碼、量子QKD等免疫：免疫度量、安全彈性自治、基因級的協(xié)議可變、身份變換等一體化：云網邊一體化，共識身份與統(tǒng)一標識，基于統(tǒng)一信任模型的溯源一體化：云網邊端協(xié)同、端到、分層、閉環(huán)一體化：泛在接入和服務、第五空間統(tǒng)一共識和信任體系圖 3 網絡內生安全演進階段演進07Pha

15、seI （2020-2025）：這個階段是網絡內生安全的初級階段，主要從業(yè)界網絡現(xiàn)狀出發(fā)，目標是初步構建一個完整的、沒有嚴重缺失的基礎內生安全體系，著重完成先天體系的雛形構建。從架構層面，該階段主要以云網邊端協(xié)同為特征，初步構建一個端到端、分層、閉環(huán)的內生安全體系，重新梳理當前的安全能力，基于軟件定義、零信任等技術初步構建邊界安全能力；基于軟件定義安全、NFV、云等技術初步實現(xiàn)具備原子化安全能力的網元；基于密碼、量子QKD 等技術初步實現(xiàn)數(shù)據安全能力；基于態(tài)勢感知、關聯(lián)分析、APT 等技術初步構建和實現(xiàn)全網安全聯(lián)動；基于AI、威脅模型、關聯(lián)分析模型等，初步進行免疫能力構建；初始階段，網絡安全將

16、由外在的發(fā)散式、不可控的建設，轉向收斂式、可規(guī)劃建設；PhaseII（2026-2030）：這個階段是網絡內生安全的中級階段，主要基于PhaseI 所構建的先天體系，著重進行后天自適應能力建設及發(fā)展，并反向促進先天體系的健全和成熟。從架構層面，該階段主要以云網邊端及云網邊一體化為特征，發(fā)展和催熟內生安全自適應能力；基于共識身份和統(tǒng)一標識，通過構建基于分布式技術實現(xiàn)信任體系和溯源體系，進一步推進深層的全網一體化；在繼續(xù) PhaseI 的工作基礎上，邊界、網元等安全能力將向智能和協(xié)同方向深化；進一步基于 AI 和網絡空間災害模型等提升網絡免疫能力。自適應階段，安全需要部分人工干預，網絡安全建設逐步

17、具備一定的可控和收斂；PhaseIII（2030+）：這個階段是網絡內生安全的高級階段。經過 PhaseI 和 PhaseII，此時的網絡內生安全應該已具備基本健全的先天體系和全網一體化的后天免疫能力，在第三個階段，內生安全將反向促進網絡架構的演進與變革，該階段主要以端 - 網 - 管模式為特征，正式構成以共識體系為基石的第五空間一體化系統(tǒng)，該階段將以支持協(xié)議級變化和身份變化等網絡安全技能來適應安全訴求，網絡的免疫能力也將能夠量化度量，安全將能夠彈性自治，基本不再需要人為干預。這也意味著網絡安全將完成徹底的、系統(tǒng)化的收斂。 參考資料 網絡空間內生安全，鄔江興An artificial immu

18、ne system architecture for computer security applications.J . Paul K. Harmer,Paul D. Williams,Gregg H. Gunsch,Gary B. Lamont. IEEE Trans. Evolutionary Computation . 2002 (3)全球數(shù)字經濟新圖景（2020 年）大變局下的可持續(xù)發(fā)展新動能，中國信息通信研究院 2020.105G Security Report, CAICT, 2020.2中國移動 _2030 愿景與需求報告，中國移動研究院中國電信 _ 云網融合 2030 技術白皮書，中國電信集團