Part 01、背景阐述
随着网络规模的逐步扩大,流量数据迅速增长,网络系统的安全性正在对社会生活的各个领域产生巨大的影响。传统网络防御技术,如防火墙、入侵检测系统等,都是以“外挂”式的边界防御来保证网络的安全性能,如下图所示。
但随着数据的爆炸增长及攻击技术的发展,外壳式防御逐渐暴露问题。首先,外壳式防御主要根据已有攻击制定相应规则,因此无法抵抗未知攻击;其次,外壳式防御主要在单机器上部署,因其单点性的特点网络组件之间缺乏联动性;最后,现有异常检测机制大多在异常开始特征表现才进行识别,具有一定的滞后性。为解决传统架构带来的问题,内生安全的概念开始产生。
Part 02、内生安全的概念
在2019年的北京网络安全大会中,奇安信董事长提出,内生安全旨在解决网络数据快速增长给安全防御体系造成的威胁检测及响应速率的压力,以及无法解决未知威胁的问题。内生安全提倡将与安全相关的因素部署到系统的所有组件中,使网络中所有组件进行联合防御,共同构成新型安全防御架构。
内生安全可以理解为从仿生学的角度,将网络系统功能与生物系统功能进行融合,构建一个基于生物系统的、组件高度融合的网络系统,使其具有自适应、自主和自成长这三大特性的安全能力。
- “自适应”是指网络系统可以对一般的网络攻击进行自我检测,对于存在安全威胁的情况下可以自动告警并产生应急响应。根据威胁情况进行自我修复来维持系统的正常稳定工作。
- “自主”是指系统具有自主安全能力,相对于传统防御体系的被动防御,内生安全体系的目标是由系统自身进行主动防御,在攻击发生之前或攻击产生威胁之前进行响应。
- “自成长”则是通过信息系统运行过程中与环境的不断交互,使自己能够通过自身学习来适应操作环境的变化,从而应对更多的安全事件。
Part 03、内生安全的能力架构
针对内生安全的概念和特性,要实现内生安全的系统体系架构,需要具备以下几项能力,如图所示。
第一,是作为能够感知网络系统各项数据的感知能力,对相关信息进行采集,实时获取系统状况作为网络系统自主安全能力的基础;
第二,是根据感知信息对网络安全的判决能力,对感知到的信息进行分析计算以得到系统内是否存在安全威胁的结果;
第三,是对安全事件的响应能力,包括在判决确定发生安全事件之后给出策略消灭威胁的能力,以及对产生威胁的攻击者进行反制的能力;
第四,是自主成长能力,在系统刚开始运行到运行一段时间之内,对于系统的前三项能力随着不断与环境交互、学习而变得更强。通过每一次对于不同安全威胁的发生情况进行学习,在安全性能和运行效率方面都能有一定的提升。
Part 04、内生安全的实现方式与应用
基于已有的内生理论,戴元顺等人在2014年提出了一种仿生自主神经系统(BANS)[1]。将网络系统类比到人体神经系统,赋予组件包含“网络中枢神经、网络周围神经、网络轴突及网络神经元”的仿生自主功能。网络神经元为边缘主机,产生数据包的交互作为网络轴突的感知信息。网络轴突依据感知信息进行响应,并将安全情报传输到网络周围神经和中枢神经。网络周围神经和中枢神经相互配合,联动实现整体网络系统的自主成长能力。在以往的研究中,BANS理论已经成功实现网络的自我诊断、自我修复以及自我防范,去确保大规模计算机系统的安全性和可靠性。
面对算力网络新技术与新应用场景引入的潜在安全风险,中国移动智慧家庭运营中心参考安全访问服务边缘(SASE)的架构理念,从安全内生、安全服务两个角度严选安全能力,对算力安全管控、算力编排安全、算网威胁监测、算网转发组件国产化等四个方面的关键安全能力进行云化和自主可控,并实现安全能力在算力网络中的智能编排调度。探索构建算力网络安全能力编排解决方案,打造算力算力网络安全智能云池。目前,该方案已成功运用于东数西算、云电脑等多种业务场景,帮助涉及边缘计算的相关基础设施在研发、测试、生产、运营过程中抵抗各种安全威胁。
Part 05、总结
针对现有安全架构面临的困境,内生安全架构以其自主性、联动性以及发展性的特点,很好地打破了传统网络架构带来的局限。在各类实际应用,如云计算体系、网络异常检测等方面,都先后有研究学者验证其价值所在。随着对于内生安全研究的投入逐渐增大,相信这种新型网络架构的领域还将有更多的未知等待开采。