i ()業(yè)務(wù)需求 2 2 3 4 4 5 5 6 ii 23 23 25 25 29 33 35 35 38 40 12(衛(wèi)星)和空基網(wǎng)絡(luò)(無人機)等通信資源,實現(xiàn)廣域無縫覆蓋34施)、海洋(海上/海下通信設(shè)備、島嶼網(wǎng)絡(luò))、空中(各類飛星地融合指低軌衛(wèi)星與地面基站協(xié)同組網(wǎng),衛(wèi)星覆蓋偏遠(yuǎn)地區(qū) 56擊擾動威脅,則把這種狀況稱為廣義功能安全(GeneralizedFunctionalsafety)問題。功能安全(safety)和網(wǎng)絡(luò)安全(security)全性問題,故廣義功能安全問題又稱作一體化安全(safety&security)問題。能安全層面,超大規(guī)模異構(gòu)網(wǎng)絡(luò)與AI深度自治導(dǎo)致系統(tǒng)復(fù)雜性海量設(shè)備引發(fā)的資源競爭可能剝奪高優(yōu)先級安全業(yè)務(wù)的關(guān)鍵資解傳統(tǒng)信任邊界,加劇供應(yīng)鏈攻擊和AI模型投毒等內(nèi)生安全威7隨著數(shù)字社會系統(tǒng)性安全風(fēng)險的劇增和人類社會對安全問 網(wǎng)絡(luò)韌性通常是指擁有網(wǎng)絡(luò)資源的實體所具備的對各種不力點放在系統(tǒng)失守后如何最大限度地保證業(yè)務(wù)連續(xù)性并將損失網(wǎng)絡(luò)韌性理論為新一代移動信息網(wǎng)絡(luò)廣義功能安全提供了有效應(yīng)對空天地海一體化及通感智算融合環(huán)境中隨機故障與惡發(fā)展和應(yīng)用仍存在諸多瓶頸和挑戰(zhàn)[7,8]。一是難以應(yīng)對網(wǎng)絡(luò)空間8應(yīng)運而生。與驗證度量的精確實踐規(guī)范,實現(xiàn)了對安全核心矛盾的解構(gòu)和傳統(tǒng)安全范式的顛覆[9]。 (但可融合)關(guān)于攻擊者經(jīng)驗(安全知識庫)或附加安全措施的、安全(cyberspaceEndogenoussafety&security)屬性[10]。通過9????ж?絲????ф??天地一體云網(wǎng)融合信息基礎(chǔ)設(shè)施面臨高級持續(xù)性安全威脅、題提供了引領(lǐng)性、根本性和全局性的架構(gòu)創(chuàng)新方案。內(nèi)生安全DHR構(gòu)造同時具備動態(tài)、異構(gòu)、冗余三個特性,并且具備反饋現(xiàn)網(wǎng)絡(luò)空間內(nèi)生安全。DHR架構(gòu)通過異構(gòu)性冗余配置的交叉驗務(wù)/業(yè)務(wù)運行狀態(tài)感知和內(nèi)生安全網(wǎng)絡(luò)攻擊感知無縫的結(jié)合到一人類將迎來以內(nèi)生安全賦能信息物理系統(tǒng)或數(shù)字產(chǎn)品網(wǎng)絡(luò)關(guān)產(chǎn)業(yè)也將由此迸發(fā)出裂變式的創(chuàng)新活力并迎來強勁的市場升大語言模型和知識圖譜等AI技術(shù)深度融入資源調(diào)度、狀態(tài)感知多元化的網(wǎng)絡(luò)技術(shù)體制來適配多種不同需求的垂直應(yīng)用行業(yè)或載和部署。多模態(tài)網(wǎng)絡(luò)環(huán)境支持有線/無線、靜態(tài)/動態(tài)等各種接模態(tài)網(wǎng)絡(luò)環(huán)境是支持多種或多個網(wǎng)絡(luò)模態(tài)共生運行的統(tǒng)一物理其通過標(biāo)準(zhǔn)化的軟硬件接口在多模態(tài)網(wǎng)絡(luò)環(huán)境中進分眾化和定制化的精準(zhǔn)支撐。技術(shù)與產(chǎn)業(yè)環(huán)境,又充分釋放網(wǎng)絡(luò)技術(shù)體系和應(yīng)用的創(chuàng)新活力,圖1天地一體韌性云網(wǎng)系統(tǒng)架構(gòu)圖核心設(shè)備、構(gòu)建韌性安全云連續(xù)統(tǒng)、突破內(nèi)生安全關(guān)鍵服務(wù)和AI與安全雙向賦能關(guān)鍵技術(shù),實現(xiàn)韌性自愈、智能自治、模態(tài)圖2天地一體韌性云網(wǎng)技術(shù)架構(gòu)圖從系統(tǒng)和能力兩個維度開展天地一體韌性云網(wǎng)總體技術(shù)架為計算層和網(wǎng)絡(luò)層兩個層級;其次,從韌性能力維度(X軸),(1)網(wǎng)絡(luò)層通過韌性安全網(wǎng)絡(luò)核心設(shè)備保障網(wǎng)絡(luò)基礎(chǔ)設(shè)施星載一體化安全構(gòu)造技術(shù)實現(xiàn)空間環(huán)境下的故障隔離與攻擊抵(2)計算層提供韌性安全云連續(xù)統(tǒng)和內(nèi)生安全關(guān)鍵云服務(wù)。韌性安全云連續(xù)統(tǒng)平臺構(gòu)建中心云-邊緣云-終端協(xié)同防御安全賦能工具鏈基于異構(gòu)化技術(shù)生成功能等價但結(jié)構(gòu)差異化的軟件執(zhí)行體,并利用端到端網(wǎng)絡(luò)韌性賦能技術(shù)將安全能力左移;(3)AI與安全雙向賦能技術(shù)實現(xiàn)系統(tǒng)智能閉環(huán)。多維行為智能裁決系統(tǒng)采用基于時間維度冗余的單執(zhí)行體擬態(tài)裁決機制,通過多維度行為基線實現(xiàn)無規(guī)則依賴的異常感知;內(nèi)生安全AI應(yīng)用系統(tǒng)則借助數(shù)據(jù)集異構(gòu)與模型結(jié)構(gòu)異構(gòu)化機制構(gòu)建差異化AI子模型,通過動態(tài)調(diào)度與裁決過濾確保集群采用異構(gòu)孿生和浮動IP技術(shù),在節(jié)點故障時,能夠快速切鍵業(yè)務(wù)。例如,內(nèi)生安全云連續(xù)統(tǒng)的AI智心設(shè)備韌性安全、云連續(xù)統(tǒng)韌性安全、關(guān)鍵服務(wù)內(nèi)與安全雙向賦能四個維度對相應(yīng)天地一體韌性云網(wǎng)內(nèi)生安全技術(shù)的架構(gòu)和關(guān)鍵技術(shù)點進行介紹和說明,在呼應(yīng)系統(tǒng)架擬態(tài)路由器創(chuàng)新性地將擬態(tài)防御理論運用到路由器的設(shè)計換能力,使路由器這一網(wǎng)絡(luò)核心設(shè)備具備網(wǎng)絡(luò)韌性安全能力。(1)總體架構(gòu)擬態(tài)路由器采用SDN轉(zhuǎn)發(fā)與控制分離的設(shè)計理念主控單元是異構(gòu)執(zhí)行體池及其功能子池內(nèi)執(zhí)行體狀態(tài)的控全功能的路由轉(zhuǎn)發(fā)執(zhí)行體,對外提供服務(wù)。20執(zhí)行體路由協(xié)議狀態(tài)監(jiān)測通告CLI執(zhí)行體路由協(xié)議狀態(tài)監(jiān)測通告CLI主控單元攻擊檢測多模裁決協(xié)議代理動態(tài)調(diào)度VXLAN業(yè)務(wù)單元VLANout圖3擬態(tài)路由器架構(gòu)圖與擬態(tài)部件對接時存在的接口難以解耦合和協(xié)調(diào)問題。其借鑒SDN的設(shè)計原理,設(shè)計轉(zhuǎn)發(fā)與控制分離的內(nèi)部數(shù)據(jù)流轉(zhuǎn)模型,21執(zhí)行體調(diào)度機制主要功能是管理異構(gòu)執(zhí)行體池及其功能子擊者掃描發(fā)現(xiàn)的難度,隱藏未知漏洞和后門的可見程度。能。(1)總體架構(gòu)數(shù)據(jù)面維護控制面下發(fā)的表項,完成數(shù)據(jù)報文轉(zhuǎn)發(fā),具備MCA調(diào)度管理功能,具備容錯與可靠性保證功能,能夠檢測單粒子翻轉(zhuǎn)(SEU)事件并從中恢復(fù)。22控制面MCA-1MCA-n基礎(chǔ)協(xié)議多模裁決控制面MCA-1MCA-n基礎(chǔ)協(xié)議多模裁決協(xié)議代理基礎(chǔ)協(xié)議多模裁決協(xié)議代理管理通道管理面拿管理面電源控制運行控制狀態(tài)監(jiān)測數(shù)據(jù)通道數(shù)據(jù)轉(zhuǎn)發(fā)數(shù)據(jù)轉(zhuǎn)發(fā)異常檢測表項維護錯誤恢復(fù)動態(tài)調(diào)度數(shù)據(jù)面圖4低成本高可靠內(nèi)生安全星載路由器架構(gòu)圖面向地面網(wǎng)絡(luò)的擬態(tài)路由器采用集中式協(xié)議代理實現(xiàn)異構(gòu)低成本高可靠內(nèi)生安全星載路由器創(chuàng)新實現(xiàn)了異構(gòu)對等執(zhí)23風(fēng)險,實現(xiàn)可靠性和安全性的雙重提升。構(gòu)建了云連續(xù)統(tǒng)(cloudcontinuum)韌性安全架構(gòu)。基于動態(tài)知威脅與高級持續(xù)性攻擊(APT),確保云連續(xù)統(tǒng)在中心云、邊安全基礎(chǔ)設(shè)施。(1)總體架構(gòu)云連續(xù)統(tǒng)韌性安全架構(gòu)采用分層協(xié)同防御設(shè)計:在中心云部署擬態(tài)構(gòu)造的核心組件(如全局?jǐn)M態(tài)控制器、全局多模裁決器)實現(xiàn)全局調(diào)度與多模裁決;在邊緣云植入輕量級探針數(shù)據(jù)分析和本地裁決器完成近源決策;在終端設(shè)備按需部署輕量級安全探針中心云(擬態(tài)防御核心層):全局?jǐn)M態(tài)控制器負(fù)責(zé)管理全局異構(gòu)執(zhí)行體資源池及擬態(tài)核心組件;全局多模裁決器匯聚邊緣層特征,執(zhí)行全局多模裁決分析;策略管理引擎根據(jù)裁決結(jié)果生成并下發(fā)跨層協(xié)同響應(yīng)策略,確保系統(tǒng)層面的可靠性與安全性。邊緣云(邊緣安全執(zhí)行層):部署輕量級探針數(shù)據(jù)分析組件、24圖5內(nèi)生安全云連續(xù)統(tǒng)平臺架構(gòu)圖采用基于內(nèi)生安全理念的動態(tài)異構(gòu)冗余(DHR)擬態(tài)防御技25通過終端設(shè)備的輕量級安全探針實時采集多維安全數(shù)據(jù)(包內(nèi)生安全賦能工具鏈?zhǔn)敲嫦驍?shù)字化轉(zhuǎn)型背景下日益復(fù)雜的26(1)總體架構(gòu)圖6內(nèi)生安全賦能工具鏈架構(gòu)圖在設(shè)計安全方面,基于領(lǐng)域?qū)Ｓ冒踩竽Ｐ?security-LLM)構(gòu)建的威脅建模工具,在設(shè)計階段即引入攻擊者視角:通過形式27必要網(wǎng)絡(luò)韌性能力。續(xù)安全運行。(2)關(guān)鍵技術(shù)的異構(gòu)執(zhí)行體生成,有效抑制共性漏洞利用與攻擊傳播路徑。調(diào)優(yōu)-入侵防護”全鏈路自動化,確保網(wǎng)絡(luò)韌性指標(biāo)在開發(fā)早期即被鎖定并持續(xù)演進,成為軟件可交付的默認(rèn)屬性。內(nèi)生安全高可用異構(gòu)孿生集群的核心思想在于利用冗余和28能力;基于內(nèi)生安全理念構(gòu)造異構(gòu)孿生集群,全面提升集群的安全性,確保集群的穩(wěn)定運行和數(shù)據(jù)安全。(1)總體架構(gòu)圖7內(nèi)生安全高可用異構(gòu)孿生集群架構(gòu)圖數(shù)據(jù)。代理模塊:接收原始集群轉(zhuǎn)發(fā)的報文,并將接收到的發(fā)至異構(gòu)孿生集群,確保兩套集群間輸入數(shù)據(jù)的一致性。29多維行為智能裁決系統(tǒng)作為具備內(nèi)生安全屬性的入侵防護30張量的統(tǒng)一行為模型,實現(xiàn)對已知/未知漏洞利用、后門注入及高級持續(xù)威脅(APT)的實時感知、精準(zhǔn)裁決與智能處置。(1)總體架構(gòu)主機側(cè)部署輕量化行為探針,確保捕獲語義豐富的多維行為特征;取短時攻擊動作與長時戰(zhàn)役脈絡(luò),實現(xiàn)全鏈路可解釋威脅敘事;圖8多維行為智能裁決系統(tǒng)架構(gòu)圖31度,同時采用定制化編排的AIAgent智能體提出“原始事件—擬態(tài)裁決—shortTTP—LongTTP”四級置信異常流;隨后利用大模型先在該流上提取短時戰(zhàn)術(shù)模式 基于模型上下文協(xié)議(MCP)構(gòu)建具有內(nèi)生安全特色的可編化下發(fā)至主機、網(wǎng)絡(luò)與云側(cè)執(zhí)行點,實現(xiàn)零人工干預(yù)的“檢測-32基于人工智能算法模型構(gòu)建的應(yīng)用系統(tǒng)已被應(yīng)用于眾多行業(yè)中,AI應(yīng)用系統(tǒng)在顯著提升工作效率、提高生產(chǎn)力的同時也帶來諸多安全問題,包括但不限于數(shù)據(jù)安全:數(shù)據(jù)隱量、數(shù)據(jù)保護安全風(fēng)險;算法安全:算法設(shè)計、算法黑箱和算法偏見歧視風(fēng)險;模型安全:數(shù)據(jù)投毒與后門攻擊風(fēng)險、對抗攻擊與指令攻擊風(fēng)險和隱私攻擊與模型竊取風(fēng)險;軟硬件運行環(huán)境安全:AI應(yīng)用系統(tǒng)所依賴的軟硬件基礎(chǔ)設(shè)施安全問題;惡意使用風(fēng)險:不法分子可能會使用AI應(yīng)用系統(tǒng)來做違反國家法律法規(guī)“底座”,提供受信任的服務(wù)環(huán)境,實現(xiàn)內(nèi)生安全賦能AI應(yīng)用系統(tǒng),緩解AI應(yīng)用系統(tǒng)面臨的諸多安全問題。(1)總體架構(gòu)正常樣本=+=對抗樣本反饋裁決模塊輸出代理輸入代理功能等價子模型M1功能等價子模型M2功能等價子模型M3反饋裁決模塊輸出代理輸入代理功能等價子模型M1功能等價子模型M2功能等價子模型M3調(diào)度調(diào)度<調(diào)度控制系統(tǒng)動態(tài)變結(jié)構(gòu)<調(diào)度控制“bird”99%confidence輸出響應(yīng)圖9基于DHR架構(gòu)的人工智能內(nèi)生安全防御框架圖成要素,同時作為AI應(yīng)用系統(tǒng)服務(wù)的主要提供者,接收樣本并給出推理結(jié)果,構(gòu)建具有差異性的子模型是內(nèi)生安全賦能AI應(yīng)33模塊反饋的裁決異常或者其他規(guī)則實施模型的動態(tài)調(diào)度。(2)關(guān)鍵技術(shù)數(shù)據(jù)集異構(gòu)是指在保證模型任務(wù)一致的情況下使得每個模AI模型結(jié)構(gòu)異構(gòu)是指在保證模型任務(wù)相同的情況下,使模通過結(jié)合不同類型的AI模型實現(xiàn)應(yīng)用推理異構(gòu)以實現(xiàn)模型維度,故本節(jié)從這兩個維度對相關(guān)技術(shù)進行梳理和說明。34預(yù)防維度旨在通過前瞻性安全措施主動阻止?jié)撛谕{的實要包括訪問控制、防火墻和入侵預(yù)防系統(tǒng)(IPS)、加密技術(shù)、接,有效預(yù)防分布式拒絕服務(wù)(DDoS)攻擊或惡意代碼滲適應(yīng)維度強調(diào)組織從安全事件中學(xué)習(xí)并動態(tài)調(diào)整防御體系35安全與AI融合兩條發(fā)展路徑,并給出了初步的技術(shù)框架構(gòu)想;標(biāo)準(zhǔn)制定工作進行了展望;在安全教學(xué)實訓(xùn)平臺構(gòu)建層面,提出內(nèi)生安全云原生教學(xué)實訓(xùn)平臺的構(gòu)想和實現(xiàn)路徑。在云網(wǎng)融合范疇,安全訪問服務(wù)邊緣(SASE)作為一種新認(rèn)其可信而失效。36圖10內(nèi)生安全SASE技術(shù)架構(gòu)圖獨立于云業(yè)務(wù)之外。內(nèi)生安全云防火墻采用DHR架構(gòu)設(shè)計,基基于以上組件按訪問鏈形成協(xié)同閉環(huán),先由內(nèi)生安全SDP控制器校驗身份、終端合規(guī)性,通過后指令內(nèi)生安全云web網(wǎng)37因此以內(nèi)生安全范式重構(gòu)云網(wǎng)安全可信底層邏輯成為平衡發(fā)展圖11云算網(wǎng)安一體化XDR架構(gòu)圖38層面:模型及智能體的設(shè)計安全;另一方面將安全邊界相對模糊的智能同時,可基于ATT&CK和CAPEC框架構(gòu)建內(nèi)生安全大模型,決策等方面的能力。響應(yīng)系統(tǒng)。在網(wǎng)絡(luò)層面,將內(nèi)生安全能力植入網(wǎng)絡(luò)轉(zhuǎn)發(fā)與策39圖12天地一體云網(wǎng)融合韌性安全標(biāo)準(zhǔn)體系及邏輯關(guān)系圖天地一體云網(wǎng)融合韌性安全標(biāo)準(zhǔn)體系及各類標(biāo)準(zhǔn)間的邏輯①云安全標(biāo)準(zhǔn),該類標(biāo)準(zhǔn)的定位為云計算領(lǐng)域的通用安全標(biāo)準(zhǔn),代表;②網(wǎng)安全標(biāo)準(zhǔn),該類標(biāo)準(zhǔn)的定位為網(wǎng)絡(luò)領(lǐng)域的通用安全標(biāo)準(zhǔn),以GB40050-2021《網(wǎng)絡(luò)關(guān)鍵設(shè)備安全通用要求》[16]為代保護測評要求》[17]為代表;④網(wǎng)絡(luò)