网络安全数字孪生研究2023.docx

《网络安全数字孪生研究2023.docx》由会员分享，可在线阅读，更多相关《网络安全数字孪生研究2023.docx（16页珍藏版）》请在第一文库网上搜索。

1、网络安全数字挛生研究2023目录内容提要2摘要2前言21 .新时代网络安全的挑战31.1. 1.网络空间“未知大于已知”31.2. 安全风险“防不胜防”41.3. 网络安全“牵一发而动全身”42 .网络安全下一个热点：恶意数字李生52. 1.概述53. 2.数字李生扩大了攻击面64. 3.“恶意数字李生”时代即将到来73 .网络安全数字李生83. 1.体系架构83.1.1,物理层93.1.2.挛生层93.1.3.应用层93.2.核心要素IO3.2.1.安全数据103.2.2,安全模型103.2.3.安全大脑113.3.基本特征113.4.外部关系123.4.1.与数字学生Fi）络的关系123.

2、4.2.与网络安全监测预警的关系123.4.3.与网络安全靶场的关系123. 5.应用价值123. 5.1.网络安全产品研发的数字试脸床124. 5.2.网络安全决策推演的数字化沙盘145. 主要推进思路145.1. 将数字李生纳入网络安全企业数据化转型发展战略154. 2.强化网络安全数字化建模，构筑数字享生发展牢固根基154. 3.加快开展核心技术壁垒突破，推进数字挛生尽快落地154. 4.加强数字挛生自身安全设计，确保数字挛生安全运行165. 结语16内容提要提出网络安全数字挛生的概念，剖析网络安全数字挛生的核心要素和外部关系，构建网络安全数字学生的体系架构，明确网络安全数字学生的应用价

3、值。摘要随着数字化转型进程的深入推进，以数据为驱动的网络安全引发产业界的普遍关注。数字挛生技术将会成为网络安全企业实现数字化转型与创造价值的重要驱动力，有助于解决网络安全发展过程中面临的现实问题。在分析新时代网络安全面临问题和挑战的基础上，提出网络安全数字挛生的概念，剖析网络安全数字挛生的核心要素和外部关系，构建网络安全数字挛生的体系架构，明确网络安全数字挛生的应用价值，最后结合网络安全企业数字化转型，提出网络安全数字挛生的推进思路。前言在新时代，网络空间已经成为人类不可或缺的“第二生存空间”，网络空间安全已成为人类普遍关注的世界性难题。当前，网络空间安全形势日益严峻，特别是随着数字化进程的不

4、断深入，网络安全问题已经从网络空间向物理世界延伸，线上线下的安全边界日益模糊，网络安全防御的范围、边界、范畴持续拓展。基于经济社会数字化转型的迫切需求及其可能带来的网络安全风险和挑战，亟须从网络安全设计的本源出发，变革网络安全防御体系设计、产品研制、系统试验等研发模式，增强网络安全防御体系的高效性、适应性和主动性，对于提升网络空间安全具有非常重要的意义。数字李生的概念设想起源于2003年，并于2010年被美国国家航空航天局(NatiOna1AeronauticsandSpaceAdministration,NASA)正式提出。其后在2017年、2018年和2019年连续被国际知名调研机构Gar

5、tner列为十大技术趋势之一。2023年7月28日，Gartner携手树根互联发布了工业互联网行业白皮书如何利用数字挛生帮助企业创造价值。该白皮书预测，数字挛生将是未来企业转型与创造价值的重要驱动力，到2024年，超过25%的全新数字挛生将作为新IOT原生业务应用的绑定功能被采用。近年来，数字挛生已经在智慧城市、智能制造、智慧建筑、智慧医疗等诸多领域得到成功的实践应用。数字挛生网络的概念也被提出，被认为是未来网络规划、运行、管理和运营的新方向。数字挛生是以数字化方式创建物理实体的虚拟实体，借助历史数据、实时数据及算法模型等，模拟、验证、预测、控制物理实体全生命周期过程的技术手段。作为数字时代推

6、进数字化转型的重要抓手，数字挛生能够建立物理世界的虚拟化数字镜像，是实现以数据为驱动创造新价值的重要途径。在网络安全体系设计及产品研发过程中，充分利用数字字生虚实双向映射、实时交互、动态连接等特点，辅以数据全维采集、智能分析预测、模拟仿真推演等技术，构建基于数字挛生的产品研发与试验平台，能够大幅提升网络安全防御效能，促进网络安全产品研、建、用、维等全环节的使能闭环，从而有可能创造出“改变游戏规则”的颠覆性技术机遇。本文以新时代网络安全防御建设面临的主要挑战为切入点，提出网络安全数字挛生的概念，构建网络安全数字挛生体系架构，并结合数字时代网络化、数字化、智能化的发展趋势，提出推进网络安全数字挛生

7、建设的主要思路，为提升网络安全防御的整体效能提供可行的解决途径。1 .新时代网络安全的挑战1.1. 网络空间“未知大于已知“维护网络安全，首先要知道风险在哪里，是什么样的风险，什么时候发生风险。作为典型的复杂人造空间，网络空间蕴含着无数无法探知的漏洞和风险，无法从根本上做到绝对安全。众多国家行为体、非国家行为体都可以利用这些未知漏洞信息发动网络零时差攻击，并利用跳板攻击、复合攻击、防溯源等智能攻击技术，提升网络攻击的隐蔽性和复杂性，导致未知威胁和蛰伏攻击的应对成为困扰网络空间安全防御的一大难题。在这种背景下，准确感知网络安全态势成为最基本的工作。我国网络安全等级保护2.0十分关注基于监测预警的

8、主动防御，要求通过网络安全监测预警技术，收集态势信息，找出安全漏洞，及时准确预警，快速响应处置，化解网络漏洞引发的安全风险。然而，现有的网络安全监测预警系统主要是通过部署监测探针的方式，采集网络重点部位的离散态势数据。这种方式数据分析的来源和范围有限，无法真实还原网络的实际运行环境和安全状态，也无法做出精准的安全风险研判和趋势预测，导致网络空间的“未知”风险和隐患仍然普遍存在。1.2. 安全风险“防不胜防”面对层出不穷的网络安全风险，诸如防火墙、入侵检测、防病毒、信息加密等众多安全防护手段不断涌现。这些安全防护手段往往以分域隔离、边界固防为目标，以基于已知漏洞和风险规则的模式识别为主要运用模式

9、，并由此形成了“护城河”式的边界网络安全防护模式。这种安全防护模式可以防范已知的安全威胁，对于业务单一、封闭隔离的信息系统具有一定的安全防护作用。随着数字化进程的不断加快，网络的应用模式发生了本质变化，传统网络安全方式已经力不从心，陷入了“防不胜防”的尴尬境地。一是疫情引发的远程办公、医疗等“无接触”模式加快推广，网络安全的防护边界和范围不再是固定的，而是动态弹性变化的；二是基础设施和应用程序逐步向云迁移，云计算、虚拟化、移动计算等新技术的应用迫使网络安全防护从边界设防向端到端定制设计发展，“一招制敌”的边界安全防护不再有效；三是数字化转型拉动以数据为生产要素的新型业务模式，数据全生命周期的安

10、全防护成为新的研究课题，势必要求安全防护深入具体的数据流程和典型的业务过程。在上述背景下，动态防御、主动防御、欺骗防御、智能防御等新型网络安全防御机制不断产生，以获取更佳的安全防御能力。然而，由于网络攻防处于不对等的困境，从根本上解决网络安全问题并非易事，亟须寻找一种新的网络安全设计机制和方法，打通现有安全产品研发到安全产品运维的梗阻，能够通过与现实网络的实时交互和动态学习，以“道高一尺，魔高一丈”的迭代演进模式，摆脱网络安全风险“防不胜防”的现实困境。1. 3.网络安全“牵一发而动全身”网络安全是网络空间的伴生属性，与信息化是-体之两翼、驱动之双轮。这就决定了不能以孤立、封闭、静态的角度看待

11、网络安全问题，而是要辩证地从体系、关联、动态、开放等多个角度把握网络安全的本质特征，才能在网络安全防御中取得实效。一是网络安全是体系性的，任何安全漏洞都可能引发“底漏效应”；二是网络安全是共同的，与通信网络、业务系统等信息化建设深度耦合，任何安全策略的调整都会对信息系统运行带来直接影响；三是网络安全是动态发展的，新的业务模式、攻击手段、信息技术都需要针对性的安全防护设计，一招鲜式的网络安全防护手段并不存在；四是网络安全是开放的，需要整合和利用漏洞库、情报库、知识库等各类社会资源，以合力的方式对抗日益国家化、智能化、隐蔽化的网络攻击。在这种意义上，网络安全防御设计需要坚持顶层设计，既要考虑现有问

12、题，也要以发展的角度看待未来需求；既要考虑全局性目标，也要深入具体的业务特征进行针对性设计；既要考虑自身的安全运维管理，也要考虑与通信网络、业务系统的协同联动；既要考虑自身特色资源库的建设，也要考虑外部资源的引接与汇聚。正是因为这种“牵一发而动全身”的特性，网络安全防御需要一种覆盖设计、研发、试验、建设、使用等全生命周期的设计模式和进化环境，使得网络安全防御能够更加实战化、体系化、常态化。综上所述，面向新时代网络安全的发展需求，亟须发展新的网络安全设计理念，探求“改变游戏规则”的网络安全创新方法。在这种背景下，数字挛生技术凭借其虚实双向映射、全程实时交互、数据智能挖掘等特点，能够在网络安全防御

13、中发挥更加重要的作用。2.网络安全下一个热点：恶意数字季生2.1. 概述“数字挛生(DigitaITWin)是一种通过物理对象的精确数字模型来理解、预测和优化性能的技术，可以帮助用户提高决策效果并提供优化方案，在数字城市、行业和企业市场的应用越来越普遍。数字挛生也可以应用于模拟人类的倾向、行为和态度，此类数字挛生通常应用于营销、研究和元宇宙场景。数字挛生最大的价值是有助于获得有关物理资产、系统乃至人员的实时洞察，从而在问题发生之前或之中检测问题，也就是所谓的“预测性维护(或医护。2023年，数字字生市场规模约为11亿美元。根据GrandViewResearch的预测，从2023年到2030年，

14、全球数字挛生市场预计将以平均每年37.5%的高速增长，规模将达到156亿美元。2. 2.数字挛生扩大了攻击面随着数字挛生的蓬勃发展，新的网络安全风险也正如影随形。毕竟，数字李生也是基于数字基础设施的应用，面临的安全风险并不比IT系统风险小，甚至扩大了原有的攻击面，以下是数字挛生面临的主要风险：数据泄露：数字挛生技术依赖于收集和处理大量数据，包括可能敏感的设备信息、操作数据、个人隐私数据等。如果数据存储、处理或传输的环节没有得到充分保护，可能会导致数据泄露。篡改风险：如果数字挛生的数据或模型被恶意修改，可能会导致错误的决策或操作，从而影响物理系统的安全和性能。身份认证和访问控制：如果数字挛生系统

15、的身份验证和访问控制机制存在漏洞，可能会被未经授权的用户或恶意软件利用，进而获得对系统的控制。依赖性风险：数字挛生系统通常依赖于其他的基础设施，例如云服务、物联网设备等。如果这些基础设施遭到攻击，可能会影响到数字学生系统的正常运行。软件安全：数字挛生通常依赖于复杂的软件系统。如果软件存在漏洞，可能会被恶意利用。美国政府问责办公室主任BrianBothwe11认为，数字挛生与传统的IT和OT环境一样容易受到现有威胁的攻击：”许多行业正在使用数字李生来降低成本、改进设计和生产，并测试其供应链。但这项技术有多个攻击面。有些应用，例如个人的数字挛生，会带来技术、隐私、安全和道德问题”。sInformation&DecisionsSources:GAO;1adoga/stock.adobe.m.GAO-23-106453图1数字李生与现实世界的季生对象有着同样复杂技术堆栈和配置SPR首席架构师MahadevaBisappa认为，数字挛生与现实世界的李生对象有着同样复杂技术堆栈和配置（图1）,它们共享相同的系统、计算力（通常来自云）、网络和数据流。“无论你使用什么产品（包括数字李生应用），都需要保护所有端点和云平台。这同样适用于输入（数字挛生）的所有数据，Bisappa总结道：“数字挛生基本上可以看作是一个联网应用程序，其安全性本质上仍然是应用安全问题。”安全与合规提供商Hyper