近日,中国通信学会揭晓了本年度中国通信学会科学技术奖,其中,中国移动集团公司、中移互联网有限公司、中移(杭州)信息技术有限公司联合申报的《基于运营商“云网号卡”特色能力的一体化全程可信安全防护方案》获评二等奖。
图片来源:中国通信学会官网
《基于运营商“云网号卡”特色能力的一体化全程可信安全防护方案》充分发挥运营商云、网、卡优势,创新提出以身份、信任为核心的一体化全程可信安全防护体系。该防护体系面向政府、金融、教育、医疗、企业等行业用户,提供端到端的一体化全程可信网络安全防护服务,解决行业用户面临的恶意攻击、数据泄露等网络安全威胁。
方案的核心优势在于通过自主研发的一套商用系统,突破了传统以漏洞为核心的防护思路,发挥基础通信网络的管控优势,将网络安全防护范围从目标系统本身扩展到网络承载层,从源头隔离安全风险,形成安全能力覆盖身份认证、边界防护、应用防护和安全运营的端到端纵深防护,推动网络安全从“单点可控”迈向“全程可信”。
一、身份认证方面,基于运营商号卡安全能力,改进了身份自动化编排引擎的CAMFA技术,业界首次构建基于超级SIM号卡能力的可信安全认证体系。
中国移动基于持续自适应多因素认证策略引擎技术,在身份认证方面实现了介质载体方面的突破。使用以UICC多应用架构的超级SIM卡作为私钥硬介质载体,能够有效避免弱口令、撞库、窃取、隐私泄露等安全风险。以手机号码作为IT系统账号,采用国密算法对认证信息进行全流程加密传输,实现全方位高安全身份认证,大幅提升了IT系统的安全性、便捷性。
二、边界防护方面,打破“一次授权,全程通行”的传统边界访问控制模式,以实名身份为核心结合持续性动态信任评估,实现边界访问控制能力突破性提升。
伴随着技术的发展,传统的网络安全防护手段已难以有效应对愈发复杂的网络攻击手段,也无法满足日益发展的业务需求。为解决这个问题,该方案创新自学习技术,搭建低耦合、自适应身份认证技术体系,提供免改造、无感知边界访问控制体验,创新性研发UDP和SSL复合敲门技术,实现网络暴露面的隐藏和隔离,有效防止多种网络攻击;提出基于风险的实时信任评估和基于信任变化的动态访问控制模型,构建深层次的信任评估机制,根据信任变化对用户访问行为进行实时控制,真正实现网络边界的动态防御。
三、应用防护方面,利用深度学习和神经网络,突破攻击参数编码变换、漏洞突发难检测的瓶颈,实现精准深度检测。
面对网络攻击手段的层出不穷,方案攻克了网络攻击者通过编码替换等绕过手段躲避规则检测的难题,提出基于主动学习的改进型随机森林算法,实现攻击请求的主动检测和拦截。并提出了通过客户端运行JS等特征的终端身份技术,实现对攻击者客户端是否为浏览器的判断,通过获取浏览器指纹并封禁,解决了攻击者隐藏源IP而无法封禁的难题。
四、安全运营方面,创新性提出全局事件编排联动处置的安全运营体系,实现安全能力集中运营,实现可视化指挥调度
除了能力上的突破,方案还建立了全局视野,帮助用户在顶层设计层面实现安全运营。面对安全告警日志多、业务资产复杂、研判工作量大、处置速度慢等运营难题,通过安全告警自动聚类、业务资产动态匹配、安全事件智能研判、安全编排快速处置技术,实现覆盖“端、网、云、业、数”的一体化安全防护态势,满足全面掌控的安全运营要求,保障全程全网安全。
截至当前,方案相关安全能力已覆盖甘肃、陕西、山东等11省份,承载数字政府、电力等各类行业客户超350家,服务用户超过800余万人,安全能力调用累计2400余亿次,攻击拦截总量超8亿次,且在常态化安全监测与各类重大活动保障期间发挥重要作用。本方案为运营商网络安全风险的治理提出全新的安全防护思路,保障了业务系统的可用性和稳定性,提高了整体网络安全。未来,中国移动将继续拓展网信安全服务能力,以“云网融合场景下端到端网络安全防护体系”为核心锻造安全能力基座,将安全能力贯穿到“5G+算力+能力”新型信息服务体系全过程,构筑网络安全“铜墙铁壁”,全力护航数字经济发展。
