当前网络空间内生安全技术主要包括哪些

当前网络空间内生安全技术主要包括以下这些：

• 拟态防御：拟态防御是基于动态、异构、冗余信息基础设施，以“架构决定安全”为主要思想的内生安全技术。拟态防御是中国工程院院士邬江兴首创的技术体系，主张通过非侵入式拟态防御支撑工具、平台、产品构建视在结构可变的信息系统运行环境，可将随机发生的网络威胁事件量化为广义不确定扰动从多级差模基础设施环境逃逸的概率问题。拟态防御是一种不依赖网络威胁行为、特征码、知识库的新型内生安全架构，具备主动防御、威胁感知、柔性重构等特点，可大幅度提高信息系统针对已知和未知网络威胁的防御能力，有效支撑高可用、高可靠信息系统建设。拟态防御技术未来发展将体现分布式、微服务、动态防护、软件定义等特点，研究分布式内生安全通用运行支撑、基于上下文语义的应用指令动态检测引擎、基于分布式部署架构的动态防护、内生安全运营等关键技术，构建覆盖威胁感知、响应、分析、管控的自主可控内生安全框架，实现内生安全系列产品和解决方案的开发、度量、测试和标准规范建设。

• 移动目标防御：移动目标防御是美国国家科学技术委员会提出的基于动态化、随机化、多样化思想改造现有信息系统缺陷的理论和方法。其核心思想是构建动态、不确定的网络空间目标环境，增加攻击难度，以系统的随机性和不可预测性来对抗网络攻击。移动目标防御常用的技术手段包括：无线通信跳频抗干扰技术，即通过动态IP，动态网络混淆进行通信跳频；指令集随机化技术，即系统在代码加载时生成随机关键指令序列；动态内存技术，即系统运行时分配的内存、堆栈地址空间的随机化。移动目标防御可在网络、平台、运行环境、软件、数据等多个层面实施，不断变化的目标系统环境和资源配置关系极大地增加了信息系统嗅探难度与系统缺陷的可利用性，是一种主要聚焦于系统运行时的内生安全技术。移动目标防御技术未来发展在于动态变化的可管理性。攻击面的变化性必须以一种内部可管理的方式来实施，才能在进行主动防御的同时保证任务的连续性及系统的功能与性能。另一方面，要研究系统动态跳变时机和配置的最优方案，这需要统筹系统的资源和状态表达，平衡系统多样化、变换速率、可用资源等变量，并在激烈的系统攻防对抗中保持优势。

• 可信计算：可信计算保障信息行为的机密性、完整性和真实性，其核心为具备签注密钥的安全硬件芯片，签注密钥是一个2048位的RSA公共和私有密钥对，在芯片出厂时随机生成并且不能改变，私钥存储于芯片中，公钥用来认证及加密发送到该芯片的敏感数据。围绕可信根，可信计算构建从平台加电，到BIOS执行、操作系统加载程序，再到操作系统启动、应用程序执行等层层传递的可信链，可信计算可保障预设的安全策略的执行落实，有效屏蔽非注册用户、设备、系统、程序对信息系统的指令操作，如病毒、木马、攻击驱动注入等。我国沈昌祥院士提出的可信计算3.0主动免疫防御体系，基于三层三元对等的可信连接框架，以自主密码为基础，以可控芯片为支柱，以双融主板为平台，以可信软件为核心，以对等网络为纽带，形成可信生态应用体系，确保系统全程可测可控、防干扰，构建防御与计算并行的免疫计算模式。

• 零信任架构：零信任架构基于身份而非网络位置来构建访问控制体系，为网络中的人和设备赋予数字身份，将身份化的人和设备进行运行时组合，并为访问主体设定其所需的最小权限。零信任架构关注业务暴露面的收缩，应用、服务、接口、数据都可以视作业务资源，使用业务资源默认隐藏，所有业务访问请求进行流量加密和强制授权。通过信任评估模型和算法对访问的上下文环境进行风险判定，实时地调整对访问主体的信任评级。通过RBAC和ABAC的组合授权灵活的访问控制基线，基于信任等级动态地对主体资源访问进行授权。零信任架构未来的发展方向是访问控制的动态化和身份分析的智能化，访问控制的动态化是指通过对业务访问主体的信任度、环境的风险进行持续度量并动态判定授权，其考量维度可扩大至人、物、环境相关的时间、地址、访问频度等信息。智能身份分析能够通过人工智能、大数据等技术实施自适应访问控制，对当前系统的权限、策略、角色进行分析，发现潜在的策略违规并触发工作流引擎进行自动或人工干预的策略调整，构建治理闭环。