一、前言

網(wǎng)絡空間是第五大主權領域空間，維護網(wǎng)絡空間安全事關人民生命財產(chǎn)安全、

關系到國家安全和社會穩(wěn)定。黨的二十大報告提出，加快建設網(wǎng)絡強國、數(shù)字中

國，強化網(wǎng)絡、數(shù)據(jù)等安全保障體系建設，堅決打贏關鍵核心技術攻堅戰(zhàn)。保障

網(wǎng)絡空間安全，對維擰國家網(wǎng)絡空間主權、安全和發(fā)展具有重要意義。目前，使

用單一技術難以應對復雜多變的網(wǎng)絡安全風險，需要全面理解和防范網(wǎng)絡空間安

全威脅，運用多種網(wǎng)絡空間安全技術作為支撐，因此，系統(tǒng)梳理網(wǎng)絡空間安全技

術體系，明晰網(wǎng)絡空間安全技術體系的要素，深入探究網(wǎng)絡空間安全技術發(fā)展，

對提升網(wǎng)絡安全風險防范能力、促進網(wǎng)絡空間安全技術的創(chuàng)新與發(fā)展尤為重要。

2010年，國際電信聯(lián)盟（ITU）將網(wǎng)絡空間定義為：包括計算機、計算機系

統(tǒng)、網(wǎng)絡及其軟件支持、計算機數(shù)據(jù)、內容數(shù)據(jù)、流量數(shù)據(jù)以及用戶在內的全部

或部分要素創(chuàng)建/組成的物理或非物理的領域。早期網(wǎng)絡空間重點關注單一的

基本通信領域，研究主體和對象通常為電話、電報、傳真等傳統(tǒng)的通信基礎設施。

隨著傳輸控制協(xié)議/網(wǎng)際協(xié)議（TCP/IP）通信技術和互聯(lián)網(wǎng)技術的普及，網(wǎng)絡空

間的研究范圍從傳統(tǒng)的通信領域擴展到計算機與網(wǎng)絡領域，研究主體也逐漸變?yōu)?/p>

計算機、數(shù)據(jù)庫、信息系統(tǒng)和互聯(lián)網(wǎng)應用等。21世紀以來，隨著人工智能、大

數(shù)據(jù)、物聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)等技術和應用的不斷成熟，網(wǎng)絡空間的研究主體也

日趨多樣化，從互聯(lián)網(wǎng)轉變?yōu)殛P鍵基礎設施、公共服務等。從網(wǎng)絡空間的發(fā)展歷

程來看，隨著技術的不斷發(fā)展，網(wǎng)絡空間的研究主體也發(fā)生變化。

網(wǎng)絡空間安全威脅會隨著網(wǎng)絡空間主體的不斷變化而變化，在不同時期產(chǎn)生

了應對不同威脅的網(wǎng)絡空間安全防護技術。例如，網(wǎng)絡空間安全防護技術從語音

竊聽、信息保密等數(shù)據(jù)安全通信傳輸技術發(fā)展到網(wǎng)絡空間關鍵基礎設施安全防護

技術；網(wǎng)絡空間安全技術的研究重點從通信保密、計算機安全、網(wǎng)絡安全、信息

安全保障發(fā)展到網(wǎng)絡空間安全，從單一化防御技術逐漸變?yōu)榉烙w系。網(wǎng)絡空間

安全模型是網(wǎng)絡空間安全體系的具象化表現(xiàn)，其呈現(xiàn)形式和包含的技術內容也在

不斷更新。因此，把握安全模型的未來發(fā)展方向，建立一種可以適應網(wǎng)絡空間安

全研究主體變化的體系化模型，具有重要的研究價值。

目前，研究人員已開展了網(wǎng)絡空間安全模型和框架構建的研究，如網(wǎng)絡空間

安全防御體系中的核心技術要點分析、政策規(guī)章與安全模型發(fā)展之間的關系等,

但仍缺失從整體上立足國情開展的我國網(wǎng)絡空間安全技術體系宏觀研究。為此,

文章系統(tǒng)梳理網(wǎng)絡空間安全模型發(fā)展情況，闡明當前的能力缺失與現(xiàn)實問題，構

建我國網(wǎng)絡空間安全技術體系框架并展示實際應用場景，進一步提出我國網(wǎng)絡安

全模型的發(fā)展建議，以期更好地應對網(wǎng)絡空間安全的新風險。

二、多視角下的網(wǎng)絡空間安全模型評估

網(wǎng)絡空間發(fā)展經(jīng)歷了多個階段，相應的安全防護技術側重點有所不同；描述

各個安全模型的方法也不唯一，很難從單一視角全面闡述網(wǎng)絡空間安全模型。本

研究對典型的網(wǎng)絡安全模型進行分析整理，梳理網(wǎng)絡空間安全模型的發(fā)展肽絡,

分別從技術、學科和產(chǎn)業(yè)視角分析我國網(wǎng)絡空間安全的發(fā)展現(xiàn)狀，并將技術視

角細化為信息安全保障、攻防對抗、關鍵信息基礎設施安全、零信任、內生安

全5個方面（見圖1）o

攻防對抗模型

/136年，F(xiàn)mEMK基

自念安全保障模型2000^.網(wǎng)償女M/“0Afettf.WUffl

所年，七夕?設施安全..

19%年.PIMRIBV

約做紀如年代.P2DRRV20”年.AHA<K?*1"P樞系

內生安全模曳

I9W年.IAUM?20IS年.CARTA安全豪種204年，CSFIM8

202g.上?防，Sh悶d悔第20U<r.OPDA幡笈等信任模型

2014年.IPl>RR?tf4餌體金

21做圮，WPIMRCMflW2I年，卜IMF*某2023%€SFm?20刈04,零信任模立如怎安全

圖1技術視角下網(wǎng)絡空間安全模型及其演進

（一）技術視角

1.信息安全保障模型

信息安全保障模型是從信息和信息系統(tǒng)防御年度出發(fā)建立的信息安全防御

模型，以防護、檢測和響應為核心，前期加入策略、預警識別等感知因素，后期

加入恢復、反擊等行動因素組成的防御架構。1996年，美國國防部首次給出了

信息安全保障的定義，并于同年提出了防護、檢測、響應、恢復（PDRR）模型。

PDRR模型強調運用傳統(tǒng)的單一安全防御思想，專注于信息安全保障，涵蓋防護、

檢測、響應和恢復等環(huán)節(jié)。之后，美國提出了動態(tài)網(wǎng)絡安全模型P2DR模型，即

在防護、檢測、響應（PDR）模型的防護環(huán)節(jié)前加入策略因素，并將其作為模型

的核心，使防護、檢測和響應環(huán)節(jié)都按照既定策叫實施，體現(xiàn)了在防御之前利用

風險評估來分析安全狀態(tài)的動態(tài)過程。為了保障用戶信息及信息系統(tǒng)的安全，

1998年美國國家安全局在P2DR模型的基礎上，提出了IATF框架。該框架首次

引入了〃管理〃的概念，將人為因素帶入到網(wǎng)絡安全防御模型中，為美國政府和工

業(yè)界的信息及信息系統(tǒng)安全提供指南。為了體現(xiàn)安全保障系統(tǒng)化的思想，2014

年美國國家標準與技術研究院(NIST)提出了IPDRR模型。該模型在PDRR模型

的基礎上增加了風險評估環(huán)節(jié)，主要用于業(yè)務優(yōu)先級確定、風險識別、資源優(yōu)先

級劃分等。

在信息安全保障模型方面，我國在21世紀初結合國情，基于PDRR、P2DR

等模型提出了WPDRRC模型。該模型包括預警、防護、檢測、響應、恢復和反

擊等6個環(huán)節(jié)，能夠全面反映信息系統(tǒng)安全保障的各方面能力，涵蓋人員、策略

和技術等方面的要素，以確保安全策略的貫徹執(zhí)行。從信息保障角度來看，網(wǎng)絡

空間安全模型以防護、檢測、響應為核心，根據(jù)需求變化不斷增加關鍵要素以改

進模型。

2.攻防對抗模型

攻防對抗模型是以武器化、漏洞利用和攻擊對抗為核心組成的攻擊架構，對

應的安全防御模型通常分為防護、檢測和響應3個階段。最早的攻防對抗模型是

1996年由美國空軍提出的F2T2EA模型。2000年、2011年美國又分別提出了基

于F2T2EA模型的網(wǎng)絡空間防御鏈模型、〃七步殺傷鏈〃模型。其中，〃七步殺傷鏈〃

模型明確提出，網(wǎng)絡攻防過程中攻防雙方雖各有優(yōu)勢，但重在識別和評估攻擊鏈

中的多個關鍵步驟，以支持安全專業(yè)人員的安全決策。2013年，美國MITRE公

司首次提出ATT&CK模型，該模型將已知攻擊者行為轉化為戰(zhàn)術和技術的結構化

列表，通過若干矩陣及結構化信息來表示攻防知識庫，目前已在攻防能力覆蓋評

估、高級可持續(xù)威脅攻擊（APT）情報分析、威脅狩獵系統(tǒng)等領域廣泛應用，基

于ATT&CK模型，后續(xù)也出現(xiàn)了CARTA安全架構（2015年）、主動防御Shield

模型（2020年）以及Engage框架（2021年）等。

無論是以經(jīng)典殺傷鏈為核心的網(wǎng)絡攻防框架，還是以ATT&CK模型為核心提

出的攻防知識庫框架，均通過研究攻擊過程以提升防御能力。以〃七步殺傷鏈”

模型為例，前期的偵查、武器化、投遞階段對應的防御手段有網(wǎng)絡安全分析、防

火墻訪問控制等，可對應防御模型中的檢測、保護階段；后期的安裝、指揮與控

制、行動階段對應的防御手段有拒絕訪問、網(wǎng)絡分割、入侵檢測、權限降級等,

可對應防御模型中的檢測、防護、響應階段。由此可見，攻防對抗模型中的每個

防御步驟都與經(jīng)典模型一致。

3.關鍵基礎設施安全模型

隨著物聯(lián)網(wǎng)、大數(shù)據(jù)等新應用的不斷出現(xiàn)，物理空間逐步擴展到網(wǎng)絡空間，

關鍵基礎設施安全成為網(wǎng)絡空間重要的防護對象。傳統(tǒng)單一模塊化的網(wǎng)絡安全防

御手段已經(jīng)無法滿足關鍵基礎設施的安全防護需求。美國發(fā)布了一系列針對關鍵

基礎設施保護的法案和技術框架。例如，2002年，美國國土安全部頒布《國土

安全法》，規(guī)定了針對關鍵基礎設施保護的任務、設施、管理和技術要求；2006

年，又發(fā)布《國家基礎設施保護計劃》（NIPP框架），標志著美國全面開展針

對關犍基礎設施的安全保護工作。此后，美國NIST于2014年發(fā)布《提升關鍵基

礎設施網(wǎng)絡安全框架》（CSF框架）。該框架以傳統(tǒng)防御框架的識別、防護、檢

測、響應、恢復為技術核心，融合了可根據(jù)預期目標彈性化、定制化防御手段的

配置文件層，并且融合了評估網(wǎng)絡安全狀態(tài)的實現(xiàn)層；通過搭建一個具有彈性又

兼?zhèn)湓u價反饋的復合型防御體系，滿足網(wǎng)絡空間階段關鍵基礎設施保護的需求。

2016年，美國提出美國聯(lián)邦政府網(wǎng)絡空間安全研發(fā)戰(zhàn)略規(guī)劃，其中的DPDA模型

為聯(lián)邦政府的網(wǎng)絡空間安全技術發(fā)展指明了方向。針對關鍵基礎設施安全防護,

美國先后提出了CSF的不同版本。2018年，美國推出CSF框架1.1版本,添加了

更全面的身份管理和供應鏈網(wǎng)絡安全管理進程，這對于組織在處理個人身份信息

和符合隱私法規(guī)方面具有重要意義。2023年1月，NIST發(fā)布了CSF2.0概念文件，

并于2023年8月發(fā)布CSF2.0的公開草案，再次明確了CSF模型的最新適用范圍。

CSF2.0版本擴大了模型的適用范圍，從保護醫(yī)院和發(fā)電廠等關鍵基礎設施擴展

到為所有組織提供網(wǎng)絡安全；同時，CSF2.0版本的核心層在傳統(tǒng)的5個功能外

還增加了第6個功能，即管理功能，使組織通過制定和執(zhí)行內部決策以支持其網(wǎng)

絡安全戰(zhàn)略，強調網(wǎng)絡安全是企業(yè)風險的主要來源，與法律、財務和其他風險并

列，是高層管理的考慮因素。由此可見，針對關鍵基礎設施的安全防護模型是不

斷迭代發(fā)展的，以防御不同時期的新風險、滿足不斷增加的網(wǎng)絡安全需求。

4.零信任模型

云計算、虛擬化和分布式計算是網(wǎng)絡空間技術不斷演進的產(chǎn)物，致使網(wǎng)絡邊

界和數(shù)據(jù)控制邊界逐漸消失，網(wǎng)絡安全的靈活性受到廣泛關注。傳統(tǒng)網(wǎng)絡模型依

賴大范圍的訪問權限，缺乏動態(tài)的上下文評估和持續(xù)驗證，過度依賴被固化的網(wǎng)

絡邊界，存在潛在風險和一定的安全漏洞。為了適應復雜的網(wǎng)絡威脅環(huán)境，美國

ForresterResearch公司在2010年提出了零信任網(wǎng)絡架構（ZTA）,嘗試擺脫傳統(tǒng)

網(wǎng)絡邊界的固有限制，在保證網(wǎng)絡安全的情況下，實現(xiàn)更便捷、更靈活的接入和

接出。零信任模型的核心策略是不信任任何人或設備，基于最小權限原則的訪問

控制，執(zhí)行動態(tài)訪問控制、持續(xù)身份驗證等，核心技術為認證、授權、檢測、分

割和協(xié)作等。

零信任安全與傳統(tǒng)的〃信任但驗證〃的安全觀念相比，更加強調〃動態(tài)防御〃概

念。零信任模型有助于提高網(wǎng)絡安全水平，保障月戶、設備或應用程序的數(shù)據(jù)安

全，減少風險并適應日益復雜和威脅嚴重的網(wǎng)絡環(huán)境。

5.內生安全模型

為了解決傳統(tǒng)網(wǎng)絡安全模型的靜態(tài)訪問控制、依賴固定邊界等局限性，內生

安全概念于2013年首次提出，并得到廣泛關注。內生安全通過將安全性內置到

系統(tǒng)、應用程序和數(shù)據(jù)中，不再依賴傳統(tǒng)的外部邊界和靜態(tài)權限控制，從而提供

了更加靈活、細粒度的自我保護安全策略，以適應現(xiàn)代網(wǎng)絡和智能化的網(wǎng)絡安全

威脅的挑戰(zhàn)。

為解決網(wǎng)絡空間未知風險帶來的安全黑洞問題，改變“易攻難守〃的固有形勢,

我國學者提出了擬態(tài)安全。這是一-種不依賴漏洞后門檢測和攻擊特征分析等先驗

知識的內生安全理論與體系，核心策略為動態(tài)與彈性防御，利用虛假目標、誘餌

和陷阱等手段擾亂攻擊者的攻擊行為，同時結合調度重構、同質異構和多模裁決

等核心算法實現(xiàn)遭受攻擊情況下仍能夠〃帶菌生存〃。

此外，針對計算機系統(tǒng)的安全問題，我國學者提出了可信計算的概念，其思

路是建立可信的計算環(huán)境，利用可信環(huán)境、身份驗證、加密保護、安全監(jiān)測和審

計等手段，增強計算機和數(shù)據(jù)的安全性。通過應對未經(jīng)授權的訪問、數(shù)據(jù)泄露和

篡改，確保計算平臺的可信性，降低與計算環(huán)境不可信的相關安全風險，從而保

障計算機系統(tǒng)安全以及數(shù)據(jù)的完整性和可靠性。

(二)學科視角

2015年，我國設立了網(wǎng)絡空間安全一級學科，將網(wǎng)絡空間安全劃分為網(wǎng)絡

空間安全基礎、系統(tǒng)安全、網(wǎng)絡安全、應用安全、密碼學及應用5個方向。2018

年，國際上發(fā)布了網(wǎng)絡空間安全學科知識體系(CSEC)oCSEC主要面向本科教

育，將學科知識體系劃分為數(shù)據(jù)安全、軟件安全、組件安全、連接安全、系統(tǒng)安

全、人員安全、組織安全和社會安全等8個部分。CSEC中不僅包含網(wǎng)絡空間的

科學和技術，還包含社會學、管理學等人文學因素。學科視角下的網(wǎng)絡空間安全

技術體系主要從學科知識體系出發(fā)，注重網(wǎng)絡安全人才培養(yǎng)，將網(wǎng)絡空間安全

知識體系模塊的邏輯性、系統(tǒng)性、完整性方面貫徹于課程體系建設及學生培養(yǎng)

的各個環(huán)節(jié)。

（三）產(chǎn)業(yè)視角

網(wǎng)絡空間安全產(chǎn)業(yè)與網(wǎng)絡空間安全技術緊密結合，共同推動著網(wǎng)絡空間安全

的發(fā)展。從網(wǎng)絡空間安全產(chǎn)業(yè)視角來看，美國的網(wǎng)絡空間安全產(chǎn)業(yè)體系較為完備,

上游產(chǎn)業(yè)涵蓋技術研發(fā)和創(chuàng)新，提供安全防御的軟硬件基礎設備；中游產(chǎn)業(yè)主要

完成技術集成，提供網(wǎng)絡安全解決方案、網(wǎng)絡安全產(chǎn)品和網(wǎng)絡安全服務等；下游

產(chǎn)業(yè)涵蓋終端用戶，包括企業(yè)、政府和用戶，由傳統(tǒng)互聯(lián)網(wǎng)、云計算、移動互聯(lián)

網(wǎng)、物聯(lián)網(wǎng)、大數(shù)據(jù)、工業(yè)等行業(yè)支撐，購買和使用中上游企業(yè)提供的網(wǎng)絡安全

技術和服務。美國網(wǎng)絡空間安全產(chǎn)業(yè)生態(tài)系統(tǒng)中的各部分相互合作，確保網(wǎng)絡及

信息系統(tǒng)的安全性?！?022年中國網(wǎng)絡安全產(chǎn)業(yè)研究報告》顯示，我國網(wǎng)絡空

間安全產(chǎn)業(yè)鏈的上游可以提供基礎理論、算法、芯片、高質量樣本數(shù)據(jù)等產(chǎn)業(yè)基

礎能力，中游可提供各類網(wǎng)絡安全專業(yè)設備、應用產(chǎn)品，下游可提供系統(tǒng)集成、

工程建設、服務和產(chǎn)品分銷。

近年來，我國在網(wǎng)絡空間安全戰(zhàn)略性政策制定方面落實到位，市場規(guī)模占有

率增長顯著，但對比美國在網(wǎng)絡空間安全領域和網(wǎng)絡空間安全技術創(chuàng)新方面的先

發(fā)優(yōu)勢來看，我國仍需加大網(wǎng)絡空間安全產(chǎn)業(yè)投入，加快網(wǎng)絡空間安全關鍵技

術突破，加強網(wǎng)絡空間安全產(chǎn)業(yè)鏈建設。

三、現(xiàn)有網(wǎng)絡空間安全模型存在的問題

（一）現(xiàn)有模型缺乏對新技術、新應用的安全能力評估

現(xiàn)有的網(wǎng)絡空間安全模型大多是為應對網(wǎng)絡安全風險而制定的，如ATT&CK

模型和基于PDR模型衍生的信息安全保障模型等。雖然基于既有攻防戰(zhàn)術建立

的防御模型或針對特定風險的網(wǎng)絡安全防護模型在日常防御網(wǎng)絡空間威脅時有

其獨特的優(yōu)勢，能夠直觀地發(fā)現(xiàn)防御鏈條的薄弱點、快速針對威脅行為作出應對,

但.上述模型缺乏針對新應用和新技術的必要安全能力分析。開展對新技術、新應

用的安全能力評估能夠提升網(wǎng)絡空間技術的自身安全能力，從“頭疼醫(yī)頭、腳疼

醫(yī)腳〃的發(fā)展現(xiàn)狀轉變?yōu)樵鰪娮陨戆踩芰?，從根源上解決網(wǎng)絡空間安全威協(xié)。

（二）現(xiàn)有模型的體系化防護程度不足

現(xiàn)有的網(wǎng)絡空間安全模型和框架是在特定歷史階段、瞄準相應時期的戰(zhàn)略導

向及需求制定的，體系化相對較弱。網(wǎng)絡空間技術發(fā)展迅速，防護理念也從防御

威脅本身發(fā)展到減輕網(wǎng)絡風險的脆弱性，傳統(tǒng)針對不同安全威脅建立的網(wǎng)絡空間

安全模型無法全面滿足網(wǎng)絡空間安全發(fā)展需要，固化的防御策略不具備風險形態(tài)

的敏感性。在全面應對網(wǎng)絡空間安全復雜多樣的威脅時，現(xiàn)有單一的防御手段防

護能力明顯不足。網(wǎng)絡空間安全模型需要進一步提升體系化程度，增加網(wǎng)絡空間

安全防御韌性，以適應網(wǎng)絡空間風險的快速變化。

（三）網(wǎng)絡空間安全技術體系的未來發(fā)展路經(jīng)不清晰

當前，網(wǎng)絡空間安全模型發(fā)展存在演進式發(fā)展和創(chuàng)新式發(fā)展兩種發(fā)展路徑。

縱觀美國網(wǎng)絡空間安全模型的發(fā)展歷史，現(xiàn)有的體系框架多數(shù)都是從原始核心框

架不斷衍生和迭代而來。以CSF框架為例，利用IPDRR模型構成CSF框架的核心

層，而IPDRR模型是基于PDRR模型升級迭代而來；ATT&CK模型的初始版本只

有9個戰(zhàn)術，現(xiàn)己更新完善為14個戰(zhàn)術，據(jù)此衍生的Shield知識庫和Engage框

架已被廣泛應用。網(wǎng)絡空間安全的內涵和范圍一直在變化，網(wǎng)絡空間安全模型也

隨著新觀念、新理念的提出不斷變化。多數(shù)網(wǎng)絡空間安全模型根據(jù)網(wǎng)絡空間安全

內涵和外延的變化不斷演進發(fā)展。與之相對，包括零信任模型和內生安全模型在

內的創(chuàng)新性安全模型，則是以網(wǎng)絡空間安全需求為驅動構建的一種網(wǎng)絡空間安全

模型。我國為了應對面臨的網(wǎng)絡空間安全威脅，布?必要深入研究采用何種技術體

系發(fā)展路徑，以更好地適應網(wǎng)絡空間的現(xiàn)實發(fā)展需要。

四、網(wǎng)絡空間安全模型的體系化發(fā)展

在分析已有網(wǎng)絡空間安全模型的基礎上，探討網(wǎng)絡空間安全技術體系框架

可能的發(fā)展形態(tài)，構建可擴展、基于技術要素的網(wǎng)絡空間安全技術體系框架，

為從技術視角探究網(wǎng)絡空間安全技術發(fā)展提供了新思路。同時，初步開展了典型

應用的安全風險防范分析，為網(wǎng)絡空間安全模型的體系化發(fā)展提供理論支撐。

（一）基于技術要素的網(wǎng)絡空間安全技術體系框架

網(wǎng)絡空間安全技術作為防御網(wǎng)絡空間安全風險的重要手段，與網(wǎng)絡空間技術

呈現(xiàn)相伴相生、相輔相成的特性，網(wǎng)絡空間安全技術的發(fā)展依托于網(wǎng)絡空間技術

的迭代更新。結合現(xiàn)有網(wǎng)絡安全模型的特點，本研究從分析網(wǎng)絡空間技術的構成

要素出發(fā)，充分考慮安全技術的發(fā)展，構建了可擴展的網(wǎng)絡空間安全技術體系框

架。此框架模型從伴生角度出發(fā)，對網(wǎng)絡空間技術本體進行剖析，有利于分析出

關鍵技術存在的網(wǎng)絡空間安全風險，也可以預測未來的應用安全風險，解決不斷

出現(xiàn)的網(wǎng)絡空間新威脅，并提供技術分析體系支撐。網(wǎng)絡空間技術體系具有可擴

展的特性，因而從伴生角度構建的安全技術體系更易適應技術的發(fā)展而與時俱進。

結合經(jīng)典互聯(lián)網(wǎng)體系結構的分層思想，本研究將網(wǎng)絡空間技術體系分為3

層（見圖2）,自下而上依次為：由衛(wèi)星、第五代移動通信（5G）、無線上網(wǎng)（WiFi）、

光纖等物理通信硬件、拓撲結構構成的通信核心技術層；由各類計算機系統(tǒng)技

術和互聯(lián)網(wǎng)連接協(xié)議、技術構成的處理器（CPU）、操作系統(tǒng)（OS）和互聯(lián)網(wǎng)核

心技術層；基于云計算、工業(yè)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、人工智能等應用構成的上層應

用核心技術層?；诰W(wǎng)絡空間技術與安全技術的關系，對應的網(wǎng)絡空間安全技術

分別為通信安全技術、系統(tǒng)安全技術、網(wǎng)絡安全技術、應用安全技術。此外，網(wǎng)

絡空間安全基礎研究對網(wǎng)絡空間安全技術體系具有重要的理論支撐,因此在上述

框架中也添加了基礎理論核心要素。

網(wǎng)絡空間安全技術體系

圖2基于技術要素的網(wǎng)絡空間安全技術體系構建邏輯原理

在基于技術要素的網(wǎng)絡空間安全技術體系框架中，將網(wǎng)絡空間安全技術要素

點按照對應的技術分層進行歸類，如圖3所示。其中，通信安全技術層包含通信

線路安全、通信傳輸安全等技術：系統(tǒng)安全技術層包含芯片安全、操作系統(tǒng)安全、

存儲安全等技術；網(wǎng)絡安全技術層包含路由安全、域名安全、入侵檢測、訪問控

制等技術；應用安全技術層包含人工智能安全、云計算安全、區(qū)塊鏈安全等通用

技術以及金融、能源、工業(yè)互聯(lián)網(wǎng)等領域的專有應用安全技術；基礎理論層包含

密碼學、博弈論、信息論等網(wǎng)絡空間安全基礎理論。該技術體系框架遵循互軼網(wǎng)

體系結構的演進式發(fā)展思路，可以根據(jù)網(wǎng)絡空間安全技術的不斷變化進行擴展，

包容不同領域應用的多樣化特性。同時，從網(wǎng)絡空間技術要素的角度來看，體現(xiàn)

網(wǎng)絡空間安全各個層面的技術發(fā)展趨勢，能夠較全面地分析新風險應對的防御技

術，為網(wǎng)絡空間安全技術提高風險和威脅應對能力提供有力支撐。將以防火墻應

用和生成式人工智能應用為例，探究此技術體系框架用于分析安全風險及對應防

御技術的過程。

域名女全傳侑達區(qū)宅余

路曲發(fā)全訪問控制9份認運

砂切珞崗以血無線接入安全入世松防

芯片安全金歌較域

能源領域

S?

.網(wǎng)絡空間安全&g物聯(lián)網(wǎng)

操作系統(tǒng)安全S技術體系?

極架*

人工口能安仝

云計算安全

存儲安全

通信安仝

通信線路安全通信傳輸安全

圖3基于技術要素的網(wǎng)絡空間安全技術體系框架構成

（二）網(wǎng)絡空間安全技術體系的應用分析

1.已有安全技術的能力分析

以防火墻產(chǎn)品為例，按照實現(xiàn)技術的不同，分為應用程序代理防火墻、包過

濾防火墻、檢測防火墻等。如圖4所示，防火墻產(chǎn)品目前使用的網(wǎng)絡空間安全技

術包括應用代理技術、包過濾技術、狀態(tài)檢測技術、完全內容檢測技術等。

利用基于技術要素的網(wǎng)絡空間安全技術體系框架分析防火墻產(chǎn)品，在應用安

全技術層使用了防火墻的應用代理技術、完全內容檢測技術中的內容過濾與應用

識別功能，防火墻的應用安全技術層可以檢查所有應用層的信息包，并將檢查的

內容信息放入決策過程從而提升安全性；在網(wǎng)絡安全技術層使用包過濾技術、狀

態(tài)檢測技術等，在網(wǎng)絡中相互連接的設備上進行訪問控制，對通過設備的數(shù)據(jù)包

進行檢查，同時檢測數(shù)據(jù)包的狀態(tài)，限制惡意數(shù)據(jù)包進出內部網(wǎng)絡；在計算系統(tǒng)

安全技術層使用內容檢測技術中的防病毒檢測、漏洞掃描修復等技術。在應對網(wǎng)

絡攻擊事件時，可以利用上述框架中的要素點將需要升級加固的對象從一個技術

層細化到一個技術點，進一步提升防火墻整體的防護效率，加快技術迭代效率,

降低成本；可以評估每一個技術層的安全技術分布和技術更新，為保證防火墻的

整體安全，對于安全技術較少、長時間沒更新的技術要素需要更加關注，以防新

風險產(chǎn)生。

圖4網(wǎng)絡空間安全技術體系框架的應用分析

2.新興技術的安全風險分析

利用基于技術要素的網(wǎng)絡空間安全技術體系框架，以生成式人工智能應用

為例（見圖4）,分析其在不同的網(wǎng)絡空間安全技術層面可能產(chǎn)生的安全問題。

生成式人工智能應用帶來的安全問題主要有3個方面：①大模型訓練多采用分

布式訓練方法，訓練結果通過網(wǎng)絡傳輸至終端，而分布式存儲和數(shù)據(jù)傳輸會帶來

網(wǎng)絡流量側的安全問題；@大模型訓練和數(shù)據(jù)運算需要在服務器上完成，致使

服務器存在相應的安全風險；③在大模型訓練后的部署階段，應用端會存在投

毒攻擊、隱私泄露問題。對應到網(wǎng)絡空間安全技術體系中，將參數(shù)服務器交互安

全問題分類到網(wǎng)絡安全技術層；將圖形處理器及其操作系統(tǒng)的安全漏洞問題分類

到系統(tǒng)安全技術層；將對抗樣本攻擊、數(shù)據(jù)偏見等投毒攻擊產(chǎn)生的安全風險以及

隱私泄露、數(shù)據(jù)污染等安全問題分類到應用安全技術層中。

除了生成式人工智能自身存在的安全風險，本研究探討了人工智能對已有安

全防御體系的威脅分析。人工智能賦能網(wǎng)絡攻擊的典型技術包括網(wǎng)絡資產(chǎn)自動探

測識別技術、智能社會工程學攻擊技術、智能惡意代碼攻擊技術、自動化漏洞挖

掘與利用技術等。自動探測識別技術會威脅到數(shù)據(jù)安全，可劃分到應用安全層內；

社會工