2023年網絡安全熱點技術領域全景掃描*

付國晴，賈儒鵬，呂 瑋

（中國電子科技集團公司第三十研究所，四川 成都 610041）

0 引 言

2023年，與網絡空間安全密切相關的多種技術都取得了令人矚目的進步。以ChatGPT 為代表的生成式人工智能首次展現出接近人類的表達能力，這將顯著加強網絡攻防雙方的信息獲取能力；首個零信任項目“雷霆穹頂”正式投產[1]，標志著美國大步踏上基礎安全架構的轉型之路；美國政府和軍隊全面擁抱云計算，各部門紛紛推動業務上云；后量子密碼完成最終篩選，正式納入美國國家標準[2]；“擴增型作戰人員太空架構”等太空網絡逐漸成型[3]，太空系統的網絡彈性隨之大增。隨著這些技術快步向實用階段邁進，2023年或將成為全球網絡安全態勢發生深刻變革的重要轉折點。

1 2023年網絡安全熱點技術發展態勢

在2023年取得進展的信息技術不在少數。從網絡安全的角度看，人工智能、零信任、云計算、太空網絡安全技術和量子信息技術這5 個領域的進展尤其值得關注，它們的發展態勢將在一定程度上決定今后全球網絡空間的格局。

1.1 人工智能信息技術迎來井噴式發展期

對網絡安全領域而言，人工智能并非新鮮事物。IBM 和Darktrace 等公司早在數年前就開發了基于人工智能的網絡安全工具，但這些工具往往只能處理特定模式的威脅（如阻止勒索軟件的加密行為），所提供的信息支持也相當有限。不過隨著ChatGPT、Bard 和New Bing 等生成式人工智能在2023年前后的問世，人工智能的通用性得到極大提升，基于人工智能的網絡安全能力必將因此發生飛躍。在此背景下，以美國為代表的多國紛紛加大對人工智能類網絡安全技術的研發和部署力度，以期在新一輪網絡安全變革中占得先機。

作為人工智能領域的領軍者和網絡安全形勢最嚴峻的國家之一，美國的政軍企部門都迫切希望利用人工智能來改善網絡安全，并在2023年做出了多方面的努力。在政策上，美國國家標準與技術研究院（National Institute of Standards and Technology，NIST）成立了工作組來探索人工智能的應用和風險，國土安全部也發布了《人工智能用例列表》，以指導和規范人工智能在網絡安全領域的發展。在研發上，美國陸軍、國防先進研究項目局（Defense Advanced Research Projects Agency，DARPA）和網絡安全與基礎設施安全局（Cybersecurity and Infrastructure Security Agency，CISA）等軍政部門先后啟動“支點項目”[4]、“智能生成安全工具”[5]和“面向機器學習的CISA 先進分析平臺”[6]等項目，積極研發涉及網絡安全的人工智能技術。在部署上，美國陸軍和特種作戰司令部已啟用“數據機器人”[7]和“百眼巨人”[8]等人工智能工具，通過自動分析虛假信息來加強美軍的認知戰防御能力。除美國外，很多國家也開始利用人工智能維護網絡安全。比如新加坡和法國合作開發可識別網絡威脅的人工智能，日本則部署人工智能系統來識別社交媒體上的犯罪信息。雖然人工智能尚未完全成熟，但鑒于其極高的工作效率，未來必然有更多國家將這一技術用于網絡安全領域，人類與人工智能協同工作將是大勢所趨。

與此同時，各國也意識到人工智能對網絡安全而言是一把雙刃劍。理論上講，攻擊方也可利用人工智能來快速發現目標系統的漏洞，或是快速生成大量惡意代碼。隨著FraudGPT 和DarkBERT 等惡意人工智能的出現[9]，這種風險已從假設變為現實。除惡意利用人工智能外，生成式人工智能的運行原理決定了其難以徹底擺脫數據外流和虛假信息等安全問題。為減輕這種風險，以意大利為首的多國開始調查生成式人工智能的安全問題，一些具有全球影響力的國家也相繼出臺針對人工智能的規范性政策，比如我國出臺《生成式人工智能服務管理暫行辦法》，美國出臺《關于安全、可靠且可信地開發和使用人工智能的行政命令》，英國發布《有利于創新的人工智能監管方法》白皮書，以及歐盟出臺《人工智能法案》等。然而，隨著人工智能技術的擴散（僅在2022年，美國就新成立了500 多家人工智能企業），人們有足夠的理由擔憂未來各國能否有效管控人工智能技術。

1.2 零信任網絡安全架構即將投入實際部署

隨著移動通信和云服務的快速普及，過去由固定設備構成的網絡安全邊界如今已變得相當模糊，網絡安全風險也隨之加劇。Solarwind事件更是表明，在供應鏈高度商業化、全球化的時代，基于邊界的安全架構已不足以應對日趨險惡的網絡安全態勢。為化解這一難題，美國政府從2018年起把目光投向零信任，希望利用這種基于對象的安全架構來繼續保障網絡安全。尤其是在2022年1月發布M-22-09《推動美國政府落實零信任網絡安全原則》備忘錄后，對美國政府而言，零信任從此不再是一種“可選方案”，而是所有部門都必須落實的網絡安全原則。

在該理念的推動下，CISA 于2023年4月發布《零信任成熟度模型2.0》指南，其中指明了數十項零信任功能在4 個發展階段（傳統、初始、高級和最優）的預期目標，以指導各政府和軍事部門因地制宜地制定各自的零信任發展規劃。2023年7月，美軍首個零信任項目“雷霆穹頂”終于完成原型設計并正式投產，這意味著美軍今后不只在特定業務上使用零信任工具，更將部署高度體系化的零信任架構。與此同時，美軍也開始嘗試利用現有的零信任商業產品，比如Xage Security Gov 公司將為太空軍提供零信任網絡安全平臺Xage Fabric[10]，陸軍更是在約2 萬名軍人的手機等個人移動設備上，安裝了Hypori 公司的零信任程序Halo，以便用戶通過Halo 訪問陸軍的云環境cARMY[11]。如果這些項目反響良好，美軍很可能會更廣泛地使用零信任商業產品。

值得注意的是，盡管有報告稱，截至2023年10月，已有61%的公司或多或少采用了零信任策略，但除英國國家網絡安全中心2021年6月發布的《設備安全指南》建議采用零信任架構外，其他國家都未像美國那樣大規模推行零信任架構。背后的原因可能是各國政府和軍隊的網絡開放程度遠小于美國，所以對零信任的需求并不迫切；加之零信任所需的檢測和監控資源遠超傳統架構，大規模更換安全體系不但會付出巨大的經濟成本，還可能因引入大量設備而帶來額外的安全風險?？紤]到這些因素，各國政府目前并未輕動，而是普遍在觀望美國的零信任建設能否取得預期效果。

1.3 美國全面推動軍政業務向云環境遷移

作為一種計算資源高度集約化且彈性良好的網絡服務模式，云技術對美國來說并不陌生，其駐阿富汗部隊早在2010年就使用過基于3G網絡的云計算設備。雖然美國的云建設早年間進展緩慢，但突如其來的新冠疫情迫使美國廣泛開展遠程辦公，從而大大加快了美國向云遷移的腳步。從2023年的情況來看，不論是國防信息系統局和陸?？哲姷溶娛虏块T，還是財政部、內政部和總務管理局等政府部門，均已按照2021年《關于改善國家網絡安全的行政命令》的要求啟動了云項目，以盡快將美國在云計算領域的優勢轉換為作戰效能和工作效益。值得注意的是，美國近年來之所以積極推動零信任，很大程度上是因為只有依靠零信任機制，才能為缺乏明確邊界的云環境提供充分的安全保障。相比之下，其他國家并未像美國這樣大范圍開展云環境建設，自然對成本高昂的零信任缺乏興致。

2023年，美國政府和軍隊啟動或繼續開展了十余個云項目。其中部分項目旨在建設或提供云基礎設施，以便將機構現有的數據和應用程序遷移到云環境中，比如美國空軍已通過“一號云”項目將至少100 款應用程序遷移到云端，未來還將繼續遷移近200 款程序[12]。更多云項目則是重新開發云原生服務，比如Raft 公司為美國空軍的“高級戰斗管理系統”開發云基指揮與控制能力[13]，洛克希德?馬丁公司新建基于云平臺的衛星遠程管理中心[14]，以及聯邦緊急事務管理局啟動“機構數據與分析現代化計劃”[15]，以開發基于云的現代化數據與分析平臺等。

有兩個云項目尤其值得注意。一是2023年3月，美國防部將“聯合作戰人員云能力”項目的第一批訂單平分給谷歌、甲骨文、亞馬遜和微軟這4 家公司[16]，以便該項目辦公室能在沙盒環境中測試云服務產品。二是2023年8月，美國情報界授予甲骨文公司“甲骨文國家安全區域”云基礎設施托管服務合同[17]，以便情報機構通過絕密網絡使用甲骨文公司的50 多種云服務。這兩個項目的特別之處在于這是美軍和情報機構首次將絕密信息納入云環境中，標志著美國將在不久后建成覆蓋所有信息的統一云環境（此前Stratus 等云基礎設施已獲準處理機密級及以下的信息），從而為實現“聯合全域指揮與控制”鋪平道路。

1.4 專用太空軟硬件與獨立衛星網絡并行發展

盡管惡意網絡活動已在網絡空間內肆虐了三十年之久，但由于設計和控制高度保密和獨立，很長時間以來太空系統都是網絡攻擊的禁區。不過隨著“星鏈”等太空互聯網服務的興起，越來越多的太空系統開始采用相對公開的商業技術，太空網絡風險也因此驟增。在2022年的KA-SAT 衛星網絡攻擊事件后，各國意識到太空系統面臨著切實的網絡威脅，軍事和商業利益高度依賴太空系統的美國更是深感焦慮。為應對這一挑戰，近年來美國簽訂了一系列太空網絡安全合同，法國也開始為歐盟的太空系統打造網絡安全方案，這些情況表明網絡安全技術正逐漸延伸到太空領域。近兩年來，一些美國參議員多次提出衛星網絡安全立法議案，這表明網絡安全保障未來很可能成為所有太空系統的基本設計要求。

美國在太空技術和網絡安全技術上均占據全球領先地位，其太空網絡安全技術自然也走在各國前列。美國在2023年開發的太空網絡安全技術大體可分為兩類：一是開發或采購專門的網絡安全軟硬件，并將其嵌入到現有的太空系統中；二是從頭建設相對獨立的涉密太空網絡。前者的案例包括雷神等公司的GRIFFON 軟件[18]和SpiderOak 公司的OrbitSecure 軟件[19]，該路線的優點在于成本較低，且開發和部署速度較快，可在短期內彌補現有的安全短板，缺點在于可能存在兼容問題或削弱主系統的性能，另外也很難從根本上消除所有安全漏洞。后者的案例包括太空軍的“擴增型作戰人員太空架構”衛星網絡[3]和SpaceX 公司的“星盾”衛星網絡[20]，該路線的優點在于其設計既像傳統太空系統那樣高度保密和獨立，又在設計之初就考慮到了網絡安全和網絡彈性問題，使得攻擊方難以找到有效的攻擊面，缺點在于開發和部署周期較長，成本較高，且短期內難以投入使用?？紤]到美國有足夠的資源和技術在這兩條路線上同時發力，其他絕大多數國家則基本沒有能力獨自建立太空網絡，未來美國很可能繼續在太空網絡安全領域中占據絕對優勢。

She worked for a man.The man used to be an athlete.She admired the man a lot.

除此之外，太空網絡安全技術的另一傾向是側重于太空系統的地面段。事實上，不論是2022年2月的美國KA-SAT 衛星網絡攻擊事件，還是2023年6月的俄羅斯Dozor 衛星網絡攻擊事件，遭到攻擊的都是整套太空系統中的地面子系統（比如用于地面組網的調制解調器和服務器），衛星本身并未受到直接影響。這主要是因為衛星有專用的通信安全機制，只有通過控制站才能訪問衛星的內部系統，黑客幾乎無從下手，而部分地面子系統卻與互聯網相連，且采用了公開的商業軟件和系統，從而給黑客提供了可乘之機。鑒于此，美國NIST 在2022年底發布了針對衛星地面段的網絡安全指南IR 8401，而OrbitSecure 等網絡安全軟件也是用于地面系統。此外，為“伽利略第二代”衛星網絡提供網絡安全服務的法國Thales 公司也參與了“伽利略第二代”地面系統的設計。由此可見，為了消除最現實、最緊迫的安全風險，各國不約而同地把針對地面系統的太空網絡安全技術放在了優先位置。

1.5 量子信息技術與網絡安全領域加速融合

量子信息技術雖尚未對網絡安全形勢產生實質性的影響，但未來量子計算機很可能動搖現有的密碼算法體系。歐洲政策中心預測，到2031年，多達50%的常用加密系統將被量子計算機破解，這種前景使各國不得不高度重視量子信息技術的開發和運用。近年來，美、俄、英、法、日等技術強國紛紛加快對量子信息技術的研發，不論是有助于網絡防御的量子密鑰分發技術，還是有助于網絡攻擊的量子計算技術，均在2023年取得了一定進展。其中，基于數學理論的后量子密碼學進展最快，一些商業公司甚至已將后量子密碼嵌入到其產品中。如果現有的后量子密碼確實能夠抵御量子計算機，那么包括后量子密碼和量子密鑰分發在內的量子信息技術，將把各國的網絡安全水平提升到全新的高度。

2023年，美國涉及網絡安全的量子信息技術項目如雨后春筍般涌現，其熱度并不比人工智能遜色幾分。這些項目的目標各異，有的側重于基礎科學研究，比如美國阿貢國家實驗室試圖開發性質更優越的量子位[21]，美國DARPA通過“合成量子納米材料”項目探索適合量子計算設備的新材料[22]，同時DARPA 還啟動了“量子增強網絡”項目[23]，嘗試利用量子開關、量子傳感和量子計量等相對冷門的量子技術來改善網絡安全。更多項目則旨在解決實際工程問題，比如DARPA 啟動“量子啟發式經典計算”項目以改善軍用求解器的性能[24]，空軍啟動“量子信息科學”項目以研究量子算法、量子網絡和異構量子平臺等[25]，NIST 研制可減輕量子計算“噪聲”的開關設備[26]，歐盟啟動“量子密鑰工業系統”以建設量子通信基礎設施[27]，以及英國國家量子計算中心啟動容錯量子計算應用項目[28]等。還有一些項目甚至以幾近成熟的量子密鑰分發技術和后量子密碼為基礎，著力開發實用化的量子信息技術產品，比如ID Quantique公司開發集成量子密鑰分發功能的通信加密設備[29]，Honeywell 公司開發面向小型衛星的量子密鑰分發解決方案[30]，Quantum Machine 公司推出量子計算機控制平臺OPX1000[31]，SandboxAQ公司推出采用后量子公鑰基礎設施的安全套件[32]，以及谷歌公司打算在Chrome 瀏覽器的“傳輸層安全”協議中采用后量子密碼算法[33]等。不過通用型量子計算機的誕生尚需時日，加之量子密鑰分發方案防范的是物理竊聽而非網絡攻擊，后量子密碼算法的效果一時也難以驗證，因此短期內量子信息技術還不太可能對網絡安全產生顛覆性影響。

2 未來的技術發展趨勢

2023年，與網絡空間安全息息相關的人工智能等技術發展迅猛，新的信息安全時代已然拉開大幕。在目睹了ChatGPT、“星鏈”和量子通信等技術展現出的巨大價值后，中、俄、歐、日等所有具備一定技術實力的國家和組織，都將爭相研發和應用類似的新興技術，而這種技術競爭很可能為全球網絡空間帶來前所未有的變革。

2.1 人工智能技術勢必聚焦安全能力

ChatGPT 的問世引發了人工智能熱潮，但ChatGPT 及類似產品也屢屢暴露出安全問題，引起了各國政府和企業的高度警覺：不但中、美、英、德、意等國紛紛開展相關調查、啟動立法進程或出臺安全指南，微軟、亞馬遜、沃爾瑪和三星等行業巨頭也相繼限制或禁止員工使用ChatGPT。在此背景下，雖然各國不太可能徹底禁用人工智能，但勢必會對人工智能的數據來源、訓練規則、輸出內容和應用場景等方面做出進一步的規范，比如禁止人工智能未經授權使用用戶數據進行訓練，制定統一的提示詞拒答規則，以及強制要求在人工智能生成的內容中添加水印等。就目前而言，盡管Stable Diffusion 和Midjourney 等軟件可為其生成的圖片添加水印，但各國尚未出臺針對性的法規。就連歐盟于2023年底通過的《人工智能法案》（全球首部針對人工智能的法律），也只是籠統地表示應防止人工智能生成的內容違反歐盟法律。不過隨著“《紐約時報》起訴OpenAI 公司違規用其文章訓練人工智能”等事件的增多，未來各國很可能會為人工智能制定更加具體和嚴格的法律法規。

此外，由于人工智能模型的規模過于龐大，且存在嚴重的“黑箱”問題，單靠監管規則恐難以有效化解其安全威脅。因此，未來各國很可能借助技術手段來加強對人工智能的規范，比如利用生成式對抗網絡來檢測人工智能產品的拒答規則是否存在漏洞，以及利用內容檢測器來識別由人工智能生成的虛假信息等。比如Protect AI公司開發了Rebuff 軟件，以檢測人工智能能否有效拒答各類惡意提示詞；市場上更是已有十余款用于識別人工智能生成內容的檢測器，這些檢測器普遍采用語言統計學方法來分析文本，其中Turnitin 檢測器的準確率號稱達到了98%。

2.2 單云環境逐漸讓位于多云環境

從美國在2023年部署的云項目來看，云環境從單云向多云轉變的趨勢愈發明顯。舉例來說，2022年美國沒有啟動任何多云項目，而在2023年，美軍最主要的云項目“聯合作戰人員云能力”就是典型的多云環境，國防信息系統局的“分布式混合多云”項目和財政部的T-Cloud項目[34]也同樣如此。之所以呈現出這一趨勢，主要是因為不同供應商的云服務各有所長，多云環境有助于用戶在不同領域中分別使用來自不同供應商的最佳服務。

除此之外，美國國防部曾大力推動云項目“聯合機構防御基礎設施”，該項目卻因亞馬遜與微軟公司長達兩年的合同之爭而被迫下馬[35]，所以美國轉向多云環境的部分原因，很可能也是為了使各大國防承包商能夠“雨露均沾”，從而化解IT 巨頭之間的利益沖突。從這一點來看，其他國家也可能因類似的困境而選擇多云環境。

不過從單云環境轉向多云環境也并非易事，美國不但將為此承受更高的成本和實行更復雜的管理，還必須確保能在各供應商的云環境之間快速、無縫地傳輸數據，但不同云環境之間的銜接卻很可能帶來更多的攻擊面?？紤]到這些因素，多云環境是否一定優于單云環境還有待時間的考驗。

2.3 后量子密碼或將在美大范圍普及

就目前而言，量子計算帶來的網絡威脅還不算迫在眉睫，不過美國已對這種風險十分焦慮，開始設法在全美范圍內普及后量子密碼。一個明顯的例證就是拜登總統于2022年底批準《量子計算網絡安全防備法案》[36]，希望以立法形式推動政府和軍隊部門快速過渡到后量子密碼體系。從2023年的情況來看，美國也確實是最重視后量子密碼學的國家：在絕大多數國家尚未提出后量子密碼算法之際，NIST 就已通過3 輪篩選敲定了4 種后量子密碼算法，并將其列入了強制性法規《聯邦信息處理標準》的草案[2]；同時CISA 也聯合國家安全局等部門發布相關指南，以指導各部門向后量子密碼學體系過渡。除政府機構外，包括谷歌在內的美國IT 企業也紛紛將后量子密碼嵌入到其軟硬件產品中，以此作為安全性賣點。

不過盡管美國建立后量子密碼學體系的意愿十分強烈，但已有研究發現，美方4 種后量子密碼算法之一的CRYSTALS-Kyber存在缺陷，特定情況下可通過側信道攻擊予以破解[37]。從這一點來看，美國的后量子密碼究竟能否抵御量子計算機及其他攻擊手段，只有等到通用型量子計算機誕生后方能知曉。

3 結 語

2023年，人工智能的性能飛躍在網絡安全領域掀起新的風暴，其自身的網絡安全及對網絡攻防的影響成為亟待探索的重大課題。與此同時，新冠疫情雖已基本平息，但因疫情而快速發展的零信任和云計算等技術卻并未止步不前，反而加快了開發和部署的步伐。除此之外，網絡安全已成為各國太空系統的關鍵設計要素，而量子信息技術則始終保持著穩定的發展勢頭，有朝一日或將從根本上重塑網絡安全領域。總的來看，盡管2023年出現顛覆性的網絡安全技術，但以人工智能為代表的諸多新興技術展現出了巨大潛力，它們的發展態勢將決定未來數十年的全球網絡格局。