《CSA GCR：2024年十大數字技術趨勢與其安全挑戰報告（86頁）.pdf》由會員分享，可在線閱讀，更多相關《CSA GCR：2024年十大數字技術趨勢與其安全挑戰報告（86頁）.pdf（86頁珍藏版）》請在三個皮匠報告上搜索。

1、 2023 云安全聯盟大中華區版權所有1 2023 云安全聯盟大中華區版權所有22023 云安全聯盟大中華區保留所有權利。你可以在你的電腦上下載.儲存.展示.查看及打印，或者訪問云安全聯盟大中華區官網（https:/www.c-）。須遵守以下：（a）本文只可作個人.信息獲取.非商業用途；（b）本文內容不得篡改；（c）本文不得轉發；（d）該商標.版權或其他聲明不得刪除。在遵循 中華人民共和國著作權法相關條款情況下合理使用本文內容，使用時請注明引用于云安全聯盟大中華區。2023 云安全聯盟大中華區版權所有3 2023 云安全聯盟大中華區版權所有4致謝致謝2024 年十大數字技術與其安全挑戰由云安全

2、聯盟大中華區專家撰寫，感謝以下專家的貢獻：項目組組長：張淼主要貢獻者：郭春梅余曉光閆新成邢海韜劉廣坤初江高振宇宗良李卓嘉林藝芳賀志生任永攀王曦光何伊圣許冠行項目評審組：張淼郭鵬程楊天識姚凱研究協調員：羅智杰卜宋博閉俊林貢獻單位：華為技術有限公司中興通訊股份有限公司北京沃東天駿信息技術有限公司北京啟明星辰信息安全技術有限公司 2023 云安全聯盟大中華區版權所有5上海締安科技股份有限公司（以上排名不分先后）關于研究工作組的更多介紹，請在 CSA 大中華區官網（https:/c- CSA GCR 秘書處給與雅正!聯系郵箱researchc-；國際云安全聯盟 CSA 公眾號 2023 云安全聯盟大中

3、華區版權所有6序言序言隨著數字技術的迅猛發展，越來越多的組織和個人在數字化環境中開展業務和活動，享受著數字技術帶來的便利和創新。在這個數字化時代，各種技術如量子計算、6G 通訊技術、人工智能、數字孿生等技術帶給世界新的生產方式的同時也帶來了很多的安全挑戰。本報告旨在針對數字技術，詳細梳理數字技術發展產生的安全挑戰，并通過與相關的 CSA 研究對應，將這些安全挑戰一一列舉出來。本文包含十個與數字技術相關的安全挑戰，涵蓋了組織和個人等方面的安全應對策略。通過全面分析數字技術發展趨勢及隨之產生的安全挑戰，組織可以預測可能出現的新型攻擊方式和漏洞，從而及時采取必要的安全措施。同時可以更好地評估其現有安

4、全措施的有效性，并進行必要的改進，以提高整體的安全性。相信通過閱讀本報告，組織可以深入了解數字技術發展趨勢及相關的安全挑戰，組織可以更好地應對當前和未來的安全威脅，并采取相應的措施來保護數字資產。我們希望本報告對于提高數字技術安全意識、加強防御措施以及規避潛在威脅帶來積極的促進作用。李雨航 Yale LiCSA 大中華區主席兼研究院院長 2023 云安全聯盟大中華區版權所有7目 錄致謝致謝.4序言序言.61 數字技術的發展現狀數字技術的發展現狀.101.1 數字技術的概述.101.2 數字技術帶來的機會和安全挑戰.111.3 數字技術的迅猛進步和廣泛應用深刻影響社會、經濟和科技.122 202

5、4 年十大數字技術趨勢年十大數字技術趨勢.132.1 量子計算.132.1.1 量子計算的定義.132.1.2 量子計算的應用.142.1.3 量子計算的未來預測.152.2 6G 通信技術.162.2.1 6G 通信的定義.162.2.2 6G 通信當前應用.172.2.3 6G 通信未來預測.182.3 人工智能.182.3.1 人工智能的定義.182.3.2 人工智能的應用.202.3.3 人工智能的未來預測.212.4 云原生.222.4.1 云原生的定義.222.4.2 云原生的應用.242.4.3 云原生的未來趨勢.252.5 數字孿生.262.5.1 數字孿生的定義.262.5.

6、2 數字孿生的應用.262.5.3 數字孿生的趨勢.292.6 隱私保護.312.6.1 隱私保護技術的定義.312.6.2 隱私保護技術應用.312.6.3 隱私保護未來預測.32 2023 云安全聯盟大中華區版權所有82.7 Web4.0.342.7.1 WEB4.0 技術的定義.342.7.2 WEB4.0 技術應用.342.7.3 WEB4.0 的技術預測.352.8 衛星通訊.352.8.1 衛星通訊的定義.352.8.2 衛星通訊的應用.362.8.3 衛星通訊的趨勢.372.9 算力網絡.382.9.1 算力網絡的定義.382.9.2 算力網絡當前應用.382.9.3 算力網絡未

7、來預測.402.10 物聯網技術.412.10.1 物聯網技術的定義.412.10.2 物聯網技術當前應用.432.10.3 物聯網技術未來預測.433 2024 數字技術的安全挑戰數字技術的安全挑戰.453.1 量子計算的安全挑戰.453.2 6G 通信技術的安全挑戰.463.3 人工智能的安全挑戰.473.4 云原生的安全挑戰.493.5 數字孿生的安全挑戰.513.6 隱私保護的安全挑戰.523.7 Web4.0 的安全挑戰.533.8 衛星通訊的安全挑戰.553.9 算力網絡的安全挑戰.573.10 物聯網技術的安全挑戰.584 應對策略與案例研究應對策略與案例研究.594.1 量子計

8、算的安全應對策略及案例.594.2 6G 通信技術的安全應對策略及案例.624.3 人工智能的安全應對策略及案例.644.4 云原生的安全應對策略及案例.664.5 數字孿生的安全應對策略及案例.694.6 隱私保護的安全應對策略及案例.724.7 Web4.0 的安全應對策略及案例.74 2023 云安全聯盟大中華區版權所有94.8 衛星通訊的安全應對策略及案例.754.9 算力網絡的安全應對策略及案例.784.10 物聯網技術的安全應對策略及案例.815 總結總結.84 2023 云安全聯盟大中華區版權所有101數字技術的發展現狀數字技術的發展現狀1.1數字技術的概述數字技術的概述“數字技

9、術”并不是憑空創造而出，而是隨著互聯網的迭代與發展，在市場需求中應運而生出來的一門技術。它是指組織在處理或存儲數據和完成許多其他功能時所應用的電子工具、設備、系統和資源，目的在于提高組織與員工的生產力和效率。此外，數字技術包含傳統意義上的信息化技術、互聯網技術等較為耳熟能詳、廣為認知的概念與領域，也包含諸如大語言、數字孿生、虛擬仿真、量子計算等新興或尚處于實驗室，甚至理論階段的技術。目前，談到數字技術時候，涉及的重點范疇主要包括但不局限于：商業技術商業技術：幫助企業提升運營，如數字營銷、數據管理等。IT信息技術IT信息技術：涵蓋硬件、軟件等，使得數據收集、存儲和傳輸更加高效。通信技術通信技術：

10、如 5G、6G、Wi-Fi、藍牙等，支持數字化通信。IOT物聯網技術IOT物聯網技術：提升工業網絡智能化和效率。自適應人工智能/超級智能自適應人工智能/超級智能：如聊天機器人、自動駕駛汽車等，基于 AI的技術應用。教育技術教育技術：基于計算機的教學和在線資源，改變傳統教學模式。區塊鏈技術區塊鏈技術：安全的網絡加密系統，適用于多種業務場景。在過去的數十年中，企業越來越依賴各種各樣的數字技術實現降本增效，更新換代，從激烈的商業競爭中脫穎而出。從使用芯片和 PIN 閱讀器的街角小店，到推出 DAP 以輔助超級應用程序的復雜系統的大型企業，數字技術是諸多企業成 2023 云安全聯盟大中華區版權所有11

11、功的關鍵。它幫助企業簡化運營，提高生產力，改善客戶體驗。通過應用各類與企業商業模式、業務邏輯相吻合的數字技術，企業可以在其行業中獲得競爭優勢，并取得更大的成功。數字技術使公司能夠以越來越低的成本提供更好的產品或服務，從而保持領先地位。1.2數字技術帶來的機會和安全挑戰數字技術帶來的機會和安全挑戰隨著數字技術的迅猛發展，所面臨的安全挑戰日益增多且變得復雜。個人信息泄露、企業數據安全威脅、網絡攻擊以及數字詐騙的頻發，均是數字化環境中不容忽視的安全風險。數字化進程不僅代表著技術的創新，也意味著安全挑戰的不斷升級。國家的數字化戰略、企業的數字化轉型、個人的數字生活等，已深入滲透至社會的各個方面。伴隨而

12、來的安全問題不再僅限于傳統網絡安全的范疇，而是拓展至數據安全、智能設備安全及與數字身份相關的安全問題。數字化發展的快速與廣泛性，直接加劇了安全風險的嚴重性，使得數字安全成為亟待解決的重要問題。歷史上，技術變革與社會變遷緊密相關。從 Schumpeter 的創新理論到創造性破壞理論，均揭示了技術變革與社會經濟、軍事、文化和政治的深刻聯系。每次工業革命，從蒸汽機、內燃機、信息科技到當今的人工智能、清潔能源等，均引領了社會變遷的潮流。然而，這些變革在創造新機遇的同時，也帶來了金融泡沫、經濟衰退和社會危機等破壞性后果。特別是在數字時代，自 2002 年以來，全球數據信息的存儲方式從模擬轉向數字，信息傳

13、輸與存儲能力呈指數級增長。伴隨著這一發展，數字技術帶來的安全挑戰日益突出，例如 CIH 病毒、震網病毒等重大網絡安全事件，以及斯諾登事件暴露的全球監視網絡問題，均反映了網絡空間安全的重要性。近年來，受國際政治局勢影響，眾多國家加強網絡安全建設，出臺戰略規劃，推動零信任、量子技術等新興技術研發，同時完善網絡安全機構體系。例如，美 2023 云安全聯盟大中華區版權所有12國發布了首席信息官戰略、云計劃和零信任戰略，旨在通過信息技術和資源共享降低研發成本，搶占未來網絡空間作戰的制高點。此外，量子通信和量子計算等新興技術正逐漸成為未來安全通信的關鍵基礎設施。然而，這些技術的發展也對現有的密碼體系構成挑

14、戰。面對這些挑戰，中國可以借鑒西方國家的發展思路，加強產學研用的協調合作，在網絡安全新興技術領域加速技術升級，利用零信任、量子、5G、云計算等技術提升網絡安全防御能力。同時，應合理布局新興技術，關注技術交叉融合帶來的安全機遇，并推行零信任防護理念，實施以數據為中心的網絡安全策略。1.3數字技術的迅猛進步和廣泛應用深刻影響社會、經濟和科技數字技術的迅猛進步和廣泛應用深刻影響社會、經濟和科技數字技術涵蓋計算機硬件、軟件開發、互聯網和通信技術等領域。在硬件方面，計算機性能飛速提升，從超級計算機到智能設備都在改進。軟件開發方面，開源軟件、云計算和分布式系統提高了效率?；ヂ摼W和 5G 技術的普及加速信息

15、傳輸速度。數字技術已滲透醫療、金融、制造業、教育、交通、娛樂等領域。醫療領域數字技術使醫療記錄電子化、診斷更準確，促進了遠程醫療。金融領域數字支付和區塊鏈改變了交易和金融體系。這種迅猛發展不僅僅是技術領域，也深刻影響社會、經濟和科技生態系統。在社會層面，改變了社交、媒體消費和信息獲取方式；經濟上推動創新、提高生產力，催生新商業模式如共享經濟和電子商務；科技上推動人工智能、大數據分析、機器學習等技術出現。2023 云安全聯盟大中華區版權所有1322024 年十大數字技術趨勢年十大數字技術趨勢2.1量子計算量子計算2.1.1量子計算的定義量子計算的定義傳統計算機采用二進制的數字電子方式進行運算，僅

16、能夠表示 0 和 1 兩種狀態。量子計算是一種遵循量子力學規律調控量子信息單元進行計算的新型計算模式，它以量子比特為基本單元，利用量子疊加和量子糾纏的特性，能夠同時表示多個量子態的疊加。量子計算機的架構與傳統計算機完全不同，它主要包含兩個部分，一個是量子芯片支持系統，用于提供量子芯片所必需的運行環境；另一個是量子計算機控制系統，用于實現對量子芯片的控制，以完成運算過程并獲得運算結果。與此同時量子計算機在計算性能、適用性、信息攜帶量等方面有巨大突破，可以作為 CPU 的協處理器，對很多重大的數學難題進行指數級加速和破解常見的公鑰私鑰密碼系統。目前所說的量子計算機并非一個可獨立完成計算任務的設備，

17、而是一個可以對特定問題有指數級別加速的協處理器，本質上來說是一種異構運算，即在經典計算機執行計算任務的同時，將需要加速的程序在量子芯片上執行。圖 1 量子計算流程圖 2023 云安全聯盟大中華區版權所有142.1.2量子計算的應用量子計算的應用量子計算作為一種新興的計算領域，具有許多強大的潛在應用。未來的主要應用包括以下幾個方面：1.大規模數據處理：量子計算的快速計算能力將使其能夠處理海量的數據，有效解決大數據分析、模擬和優化等領域的問題。例如，在金融領域，量子計算可以用于優化投資組合、風險管理和交易策略的決策。2.優化問題求解：量子計算可以在優化問題上提供更快速和高效的解決方案。例如在物流和

18、運輸領域，量子計算可以優化路徑規劃、貨物分配和交通流量控制等問題，提高各種系統的運行效率。3.高性能模擬：量子計算不僅可以模擬分子和材料的行為，還可以模擬量子系統本身，這對于量子化學、材料科學、生物學和藥物研發等領域來說具有重要意義。通過利用量子計算的優勢，人們可以更好地理解分子結構、反應機制和材料性質，加速新藥的研發和新材料的發現。4.密碼學與安全通信：量子計算可以應用于密碼學領域，例如量子密碼學可以提供更高級別的安全性，抵御傳統加密算法所面臨的威脅。此外，量子通信也可以實現完全安全的通信，確保信息的完整性和隱私性。5.人工智能和機器學習：量子計算能夠提供更強大的計算能力，為人工智能和機器學

19、習算法提供更快速和高效的開展，加速模型訓練和推理過程。這將使得人工智能系統能夠更好地處理復雜的問題，提供更準確的預測和決策?？偟膩碚f，量子計算在大規模數據處理、優化問題求解、高性能模擬、密碼學與安全通信以及人工智能和機器學習等領域都具備廣泛的應用前景。隨著量子技術的不斷發展和突破，這些應用有望成為未來量子計算的主要領域。2023 云安全聯盟大中華區版權所有152.1.3量子計算的未來預測量子計算的未來預測量子計算領域屬于一個新興高速發展的領域，在最近幾十年不論是量子算法的研究還是量子芯片的研發均取得了巨大的進展。量子計算技術通過核磁共振、超導量子線路、半導體量子點、囚禁離子阱和冷原子等平臺展示

20、了量子比特的精確操控。但學術界也對量子計算的可行性仍存在很多質疑，特別是對退相干造成的量子信息丟失是否能夠有效克服。隨后，量子計算發展的重要里程碑是量子糾錯理論的建立。圖 2 IBM“50位量子計算機原型機 2023 云安全聯盟大中華區版權所有16圖 3 國產離子阱量子計算工程機外觀圖目前對量子計算的理解而言，量子體系模擬仍然是主要的應用領域。在量子體系模擬的基礎上，可能會衍生出服務于藥物開發、新材料、農業等領域的量子計算技術，但需要清楚認識到這些衍生應用是遙遠的可能性，而不是已經或即將實現的技術?？偟膩碚f，對于量子計算的發展，我們需要有清晰的大局觀：前途一定光明，但道路必定曲折。量子計算是一

21、項革命性的技術，能夠在非?；A的層面改變。2.26G 通信技術通信技術2.2.16G 通信的定義通信的定義6G 網絡與 5G 相比將會有巨大的革新，中國成立了 IMT-2030（6G）推進組，發布6G 總體愿景與潛在關鍵技術白皮書。美國成立了 NextGAlliance，2023 云安全聯盟大中華區版權所有17聚焦于研發、制造、標準化和商用整個周期。歐盟成立了 Hexa-X6G 項目，希望引領 6G 網絡發展。6G 的愿景是：數字孿生，智慧泛在。相比于 5G，6G 不僅要求更高的帶寬、更低的時延和更高的可靠性，同時 6G 網絡會具備更多 5G 所沒有的數據形式，如未來 6G 所傳輸的大量人體數

22、字信息等。6G 還對空天一體化提出了更高的要求，實現更廣泛地滲透到工業物聯網以及各種垂直行業。在 6G 時代，由于元宇宙、數字孿生、人工智能等技術的成熟，6G 將實現無所不在的連接和更深刻的體驗。在通信網絡中所傳輸的信息會更加敏感和實時，例如車輛位置信息、控制信息，人的生物特征識別信息、家庭電器控制信息等。設備聯網的規模、分布將更加廣泛，從外太空到深海，人、物都將可以通過 6G隨時隨地與互聯網相連。在這樣的情況下，惡意網絡活動可能會導致人們的財產、人身損失。因此，6G 在安全上要一開始就考慮一個完善的架構來應對未來可能出現的挑戰。2.2.26G 通信當前應用通信當前應用6G 是立體的提升，將實

23、現地面與太空、海洋的集成，實現“海陸空“一體化。6G 相對 5G 將有 10-100 倍提升，關鍵性能指標包括支持 1Gbit/s 的用戶體驗速率，1Tbit/s 的峰值速率，10100s 的時延，1Gbit/(sm 2)的區域通信流量，107 臺/千米 2 的連接密度以及至少 1000km/h 的移動性。6G 網絡在頻譜、編碼、天線等方面需要產生革命性的創新，潛在技術將包括太赫茲（THz）通信、可見光通信（VLC）、新一代信道編碼技術、超大規模天線技術、基于人工智能（AI）的無線通信技術、空天地海一體化通信等關鍵技術。6G 將實現數字孿生、智慧泛在，未來的應用場景包括全息交互、虛擬旅行、沉浸

24、式社交等。典型的 6G 新型應用場景，包括進一步增強的移動寬帶（FeMBB，furtherenhancedmobilebroadband）、超大規模機器類型通信（umMTC，ultra-massivemachine-typecommunications）、增強型超可靠和低時延的 2023 云安全聯盟大中華區版權所有18通信（ERLLC，extremelyreliableandlow-latencycommunications）、長距離和高移動性通信（LDHMC，long-distanceandhigh-mobilitycommunications）以及超低功耗通信ELPC，extremelyl

25、ow-powercommunications）。2.2.36G 通信未來預測通信未來預測6G 技術預計在 2030 年左右投入市場，這對整個產業會是一個新的機會和挑戰。從應用來看，5G 開啟了通信技術融入千行百業的序幕，5.5G 進一步把 5G的技術發揮到極致，未來幾年，5.5G 定義與部署以及 6G 的研究與定義將會同時進行，6G 將實現對 5.5G 超越，深層次的融入到所有人的生產、生活之中。6G 面臨的技術環境將會更加復雜，云計算、大數據、算力網絡、AI、區塊鏈、邊緣計算、數字孿生、元宇宙等都會帶來影響。對 6G 安全來講，量子通信、內生安全、AI 安全是都將是對 6G 產生直接影響的安

26、全技術。6G 將實現空天地海的一體化通信架構，在低軌衛星大規模部署的同時，高軌衛星、無人機與高空平臺，會成為 6G 的補充。AI 引入網元，并與邊緣計算、云計算融合起來構建智慧內生的通信網絡體系。算力網絡概念深入云網邊并統一編排，6G 時代網絡與算力融為一體，形成空天地一體的算力網。6G 時代，物聯網設備數量預計達到 800 億臺，大量聯網設備帶來新的安全挑戰。網絡通信依賴的重要算法，如橢圓曲線密碼系統（ECCs）等密碼算法，在未來量子計算技術的性能提升下，將不再安全，而必須用后量子密碼技術替代。2.3人工智能人工智能2.3.1人工智能的定義人工智能的定義人工智能（Artificial Int

27、elligence，簡稱 AI）是指通過計算機等技術手段模擬、延伸和拓展人類的智能，使計算機具備像人類一樣的思維模式、感知、2023 云安全聯盟大中華區版權所有19推理、學習、判斷和決策能力。人工智能之父馬文明斯基(Marvin Minsky)將其定義為：“人工智能是關于讓機器勝任需要人類智慧才能完成的任務的科學?！?。人工智能通常分為弱人工智能和強人工智能。AI 的研究經歷了以下的歷程：早期探索（1950 年代-1960 年代）：在這個階段，研究人員開始嘗試創建可以模仿人類智能的計算機程序。1956 年，達特茅斯會議被認為是人工智能領域的起點。知識推理與專家系統（1970 年代-1980 年代

28、）：人們嘗試使用可編程規則和知識庫來實現人工智能。專家系統是其中的重要成果，它通過存儲和應用領域專家的知識，來模擬專家的決策過程，解決特定問題。即“符號主義”的技術路線。神經網絡（1980 年代）：神經網絡模擬了人腦神經元之間的連接和傳遞信息的方式，使得計算機可以通過大量的數據進行訓練和學習?；谏窠浘W絡的機器學習成為 AI 的重要組成部分?！奥摻Y主義”的技術路線開始成為主流。過度推廣與失落（1990 年代）：在 20 世紀 90 年代初，人們對于 AI 的期望過高，并出現了所謂的“AI 寒冬”，許多項目失敗或被擱置。深度學習與多層神經網絡（2010 年代至今）：深度學習是一種基于神經網絡的機

29、器學習方法，它通過多層次的神經網絡結構來模擬人腦的工作原理。深度學習在圖像識別、語音識別、自然語言處理等領域取得了重大突破。深度學習成為 AI 研究的主流。2016 年 3 月，DeepMind 公司的 AlphaGo AI 系統擊敗了韓國頂級職業圍棋棋手李世石。2017 年 5 月 AlphaGo 又戰勝了世界圍棋冠軍柯潔，轟動了世界。AlphaGo 的成功引發了全球范圍內的第三次人工智能浪潮。主要國家紛紛將人工智能列為國家發展戰略的重要組成部分，包括中國、美國、加拿大、法國、德國、英國、阿聯酋、日本、韓國和新加坡等國家。大模型（2020 年代至今）：隨著計算機算力的大幅提高，人們開始思索，

30、2023 云安全聯盟大中華區版權所有20如果將神經元網絡模型的神經元數量和連接參數增加到人腦的水平，會出現什么樣的奇跡？于是，對 AI 大模型的研究開始加速。1)LLM(Large Language Model)是指基于語言模型的研究，旨在通過訓練大規模的神經網絡來學習語言的統計規律和語義表示。其中，BERT、GPT和XLNet等模型大幅提升了自然語言處理任務的性能，并在諸如問答系統、機器翻譯和文本生成等方面取得了突破。2)2020 年 5 月，美國 OpenAI 公司發布了 GPT-3 模型，一個有 96 層神經元、1750 億參數的生成式 LLM 模型。GPT（Generative Pre

31、-trained Transformer）使用變壓器（Transformer）架構來生成自然語言文本。這是一個強大的人工智能聊天機器人，可以根據用戶的提問生成內容。它具備廣博的知識，涵蓋了 IT、科學、法律、醫學、詩歌和繪畫等各個領域的知識，而且文筆流暢。甚至可以編寫計算機程序?？梢陨筛L、更準確、更有邏輯性的文本。2023年 2 月 ChatGPT 引爆全球。3)隨后發布的 GPT-4 模型有 120 層，每層約 150 億個參數，總共約 1.8 萬億個參數，是 GPT-3 的 10 倍多。11 月 7 日，OpenAI 發表了 GPT-4 Turbo 模型，功能更強大。成為真正的多模態生

32、成式 AI 模型?？梢暂斎牒洼敵鰣D像、音頻、視頻、文本。更大規模的 GPT-5 也正在訓練中。ChatGTP 的成功在全球范圍里引發了百模大戰。大模型的研究也成為當今人工智能發展的主流趨勢，如 BERT、Gemini 等多模態 LLM 展現了巨大的潛力，為自然語言處理領域帶來了革命性的變革。2.3.2人工智能的應用人工智能的應用當前，AI 技術已經滲透到各行各業，AI 正在改變我們的世界。如：數據經濟、在醫療領域、在金融領域、教育領域、自動駕駛的前沿探索、物聯網、云計算等領域；還有：科研領域、軍事國防領域、司法領域、工業、能源、電力、交通、IT、網絡安全等各個領域都在越來越多地擁抱 AI 技術

33、。2023 云安全聯盟大中華區版權所有21總的來說，人工智能技術在各個領域實現了快速和廣泛的應用和發展，同時這也需要人們關注其帶來的倫理和法律問題，以確保其合法和公正的應用。2.3.3人工智能的未來預測人工智能的未來預測盡管人工智能在多個領域得到了廣泛應用，包括以 ChatGPT 為代表的生成式AI 也取得了巨大的成功，但它們仍舊屬于弱 AI，因為只模擬了人的右半腦的思維模式。經常被圖靈獎得主和學者們指出的問題和不足包括：不能處理因果關系、缺乏可解釋性、常常會產生“幻覺”，一本正經地胡說八道、“文學博士的語文，小學生的算術”、無法處理動力學系統；不能輸出精準結果，只能是概率的等等。強人工智能成

34、為 AI 發展的下一個里程碑。圖靈獎得主、院士、研究者們從計算機科學角度提出強人工智能必須具備的特質：新的 AI 理論體系、動力學系統模擬(Dynamice System)、因果關系(Cause-effect relations)和推理、可解釋性(Explainable)、人類左右腦（Left-Right Brain）思維方式，新機器學習算法(New Machine Learning Algorithms)等。圖 4 人腦的思維模式左右腦 AI 的研究，從理論到實踐，已經實現了質的突破。原中科院的 Dr.Gao在日本早稻田大學博士論文中提出了左右腦型人工智能(Left-Right Brain

35、AI)的原型理論，可以讓計算機像人腦一樣：可以同時使用左半腦和右半腦、同時處理邏輯的和直覺的兩類不同性質的信息；并建立了腦胼胝體模型，首次解決了左右腦信息交互的難題。又實現了左右腦 AI 的機器學習算法。這種左右腦 AI 還具 2023 云安全聯盟大中華區版權所有22有處理因果關系、動力學系統、可解釋性等強人工智能所必需的特質。這種左右腦 AI 研究已經落地。1998 年曾作為日本政府項目，與日本早稻田大學和豐田汽車公司合作，帶領團隊為日本豐田汽車公司構建了基于左右腦 AI的 G-MOS 動態模型，在世界上首次使用“左右腦 AI 模型+實際數據”證明了計算機可以像人腦那樣工作：左腦(邏輯信息)

36、+右腦(直感信息)+機器學習-意識決定。該左右腦 AI 模型可以高精度預測生產線的故障率，平均提高了汽車自動生產線的信賴性(46%UP)，同時又大幅降低了維修保養成本(31%Down)，提高了工廠生產力。更證明了左右腦 AI 的可用性、實用性和通用性。獲日本 99PM 行業大獎。與現在的基于神經元網絡+機器學習、只擅長直覺信息處理的單腦型人工智能（弱人工智能）相比，這種左右腦 AI 更接近人類的思維方式。人類向“強人工智能”的時代又邁出了里程碑式的一步。2.4云原生云原生2.4.1云原生的定義云原生的定義在經歷了云服務技術興起、容器和微服務普及、容器編排 kubernetes 誕生之后，在軟件

37、工程領域需要一種能描述新的應用架構定義，幫助人們更快更好地構建和管理業務應用。云原生概念應運而生，然后快速發展成熟。從最早模糊的微服務云原生架構、到 CNCF 成立對云原生首次定義：應用容器化、面向微服務架構、應用支持容器編排和調度、再到 CNCF 從理念的角度重定義云原生，迄今為止還在不斷發展，理念邊界不斷覆蓋到軟件工程、IT 基礎設施、云平臺等各個領域。2015 年 Pivotal 公司的 MattStine 在遷移到云原生應用架構一書中，探討了云原生應用架構的特征，將這些特征歸納為 12 個方面：代碼、依賴、配置、后端服務、編譯發布運行、進程、端口綁定、并發、易處置、開發/生產環境一致、

38、日志、管理進程，這些特點較多，而且每個特點的定義都比較復雜，并 2023 云安全聯盟大中華區版權所有23沒有得到廣泛傳播，但這可以認為是云原生定義的一個早期探索。2015年Google主導成立了CNCF（TheCloudNativeComputingFoundation）云原生基金協會。2016 年CNCF 正式對云原生進行了定義，包含三個方面：應用容器化、面向微服務架構、支持容器的編排和調度。這時的定義主要包含了兩大技術容器編排和微服務，但是并不足以描述云原生的本質特征。2018 年云原生概念不斷越來越大，早期的定義已經變成了約束。CNCF 進行了重新定義：云原生技術有利于各組織在公有云、私

39、有云和混合云等新型動態環境中，構建和運行可彈性擴展的應用。新的定義不再局限于特定的技術，而是從底層核心理念出發，對云原生進行思考和定義。此后云原生一直在不斷快速發展，已經不局限于某一項或多項技術，更多的是從應用研發、運行、維護效率的角度出發，通過各種方法對應用全生命周期進行提升。圖 5 云原生技術云原生代表技術除了 CNCF 的定義：容器、服務網格、微服務、不可變基礎設施和聲明式 API 外。從普遍認知來看，還包括 DevOps、kubernetes 容器編排、云基礎設施。這些技術都是在軟件工程領域經過長期積累形成的，為云原生應用 2023 云安全聯盟大中華區版權所有24獨特的敏捷性、可擴展性

40、優勢。能夠極大地提高研發和運維效率、運行資源利用率、業務交付速度和質量。2.4.2云原生的應用云原生的應用云原生能夠幫助企業在開發和上線效率提升、業務敏捷性、降低 IT 基礎設施成本、基礎設施標準化和可移植性等方面帶來顯著的價值。這些優勢能夠極大地增強企業在數字技術時代的競爭力。云原生技術的最典型應用就是通過容器構建應用，kubernetes 進行編排。通過容器構建應用能夠極大地提高應用的部署效率，實現一次編譯，處處運行。單一容器難以構建一個完整的應用，kubernetes 容器編排技術實現了多容器自動化編排，只要完成編排描述文件，就能夠在任意 kubernetes 集群自動化部署，從此業務應

41、用才真正實現了可移植。容器技術的另一個優勢就是資源隔離，能夠大幅提高計算資源的利用率，降低 IT 基礎設施成本。圖 6 云原生 DevOps 全流程DevOps 理念出現在云原生技術之前，但一直難以完全實現，更多關注在設計、編碼、測試、編譯方面，直到云原生出現，彌補了發布、部署、運維、監控自動化流程，DevOps 才真正實現了全流程自動化，整個流程才真正運行起來。研發人員從代碼提交開始，就能自動化構建業務進程，打包成容器，通過kubernetes 進行編排部署，全流程都無須干預，真正實現了開發上線一鍵執行，2023 云安全聯盟大中華區版權所有25能夠極大提高研發敏捷性。微服務和服務網格為企業在

42、業務靈活性、擴展性上提供了極大幫助。通過抽象服務公共邏輯，形成微服務網關和服務網格，能夠讓企業研發人員更多地關注自身業務本身，無須關注微服務之間的調用、隔離、部署等。而且微服務和服務網格具有更好的可觀測性，業務運行狀態都能夠直觀展示。2.4.3云原生的未來趨勢云原生的未來趨勢經歷了爆炸增長期，云原生核心技術功能逐漸穩定，已經逐漸形成事實標準。向下屏蔽 IT 基礎設施差異，向上抽象業務公共邏輯，標準化云原生能夠有效地提高業務的可移植性，解除廠商技術綁定，激活 IT 資源流通性，快速在不同的IT 基礎設施之間選擇最適合的業務運行環境。因此云原生的未來趨勢的核心方向就是通過改變應用構建、部署、運行方

43、式，解耦應用運行環境綁定，從而在整個應用生命周期提高生產效率，降低資源消耗。具體有如下幾點：多云和混合多云普及：在云原生之前，業務應用和底層計算、存儲、網絡都有很強的綁定關系，雖然企業基于容災、可靠性、隱私性需求會在多個地域進行應用規劃部署，但是往往由于遷移困難，并不能很好地利用云的靈活性。未來企業應用會越來越多地真正在多云部署、動態調整、靈活擴縮容。微服務和服務網格興起：隨著云原生的發展，微服務和服務網格越來越標準化，運維成本越來越低，隨時都能快速部署、調用各種功能完善的微服務，整個數字技術世界正在不斷向著一體化演進。持續交付部署效率進一步提升：云原生 kubernetes 打通了部署和運維

44、自動化流程，自動化 CI/CD 正變得越來越流行，更快的應用交付速度、更高的軟件質量，不斷形成正反饋，加速企業數字技術的發展。無服務計算應用廣泛：為了進一步提高應用交付速度，研發人員只需要研發代碼，其他都能夠自動運行管理的無服務計算越來越受歡迎。這種模式 2023 云安全聯盟大中華區版權所有26可以進一步提高研發效率和資源利用率，而且隨著技術發展啟動速度、首次響應速度也得到了大幅優化，在越來越多的場景得到應用?？偟膩碚f，云原生應用正在改變我們創建、部署和運行應用程序的方式。我們可以預期云原生將持續推動數字技術的創新和進步。2.5數字孿生數字孿生2.5.1數字孿生的定義數字孿生的定義關于數字孿生

45、，很多組織都給出了自己的定義。Gartner 對數字孿生的解釋為：數字孿生是現實世界實體或系統的數字表示形式。數字孿生的實現是一個封裝的軟件對象或模型，它反映了獨特的物理對象、流程、組織、人員或其他抽象。來自多個數字孿生的數據可以聚合為跨多個現實世界實體（如：發電廠或城市）及其相關流程的復合視圖；麥肯錫對數字孿生的解釋為：數字孿生是物理對象、人或過程的數字表示形式，在其環境的數字版本中進行了上下文化。數字孿生可以幫助組織模擬真實情況及其結果，最終使其做出更好的決策；IBM 認為：“數字孿生是一種旨在精確反映物理對象的虛擬模型”。在此，我們將數字孿生定義為：數字孿生是對現實世界進行抽象并完成數字

46、表示與交互，它能夠精確、真實的反映現實世界的變化過程與結果。2.5.2數字孿生的應用數字孿生的應用普遍被接受的數字孿生概念起源于美國宇航局阿波羅計劃，在阿波羅計劃中美國宇航局構建了多個相同的航天器，其中一個發射到太空，其余的則留在地球上用于反映太空中航天器的工作狀態和操作試驗。2011 年，NASA 首次使用了DigitalTwin(數字孿生)一詞，并將其描述成一種反映現實世界狀態的綜合載體。2016 年，Gartner 將數字孿生放進當年的十大戰略科技發展趨勢，這一技術開始受到全球范圍的廣泛關注。2023 云安全聯盟大中華區版權所有27圖 7 數字孿生生態系統數字孿生技術給研究對象（例如：航

47、天器）裝配與期望受控功能相關的傳感器，生成與現實世界各個方面狀態相關的數據（例如：輸出功率、飛行姿態、環境溫度等等），并將這些數據轉發至處理系統并應用于數字副本，虛擬模型基于相關數據進行模擬執行，研究與功能和性能相關的問題并生成可能的改進方案。數字孿生圍采用雙向信息流設計，即傳感器可以向處理系統提供相關數據，處理系統也可以將其得出的研究成果與源對象進行共享，例如下表 1：計劃構建運行維護文檔管理PLMPLM運行手冊服務記錄模型物理屬性預測優化診斷模擬設計模擬虛擬調試3D 表示設計圖生產手冊服務手冊 2023 云安全聯盟大中華區版權所有28數據模型工程數據產品數據運行數據服務數據可視化顯示運行狀

48、態顯示健康狀態模型同步實時行動模型反演連接分析運行 KPIs資產健康 KPIs表 1 數字孿生示例數字孿生包括組件孿生、資產孿生、系統孿生和流程孿生 4 種主要類型：組件孿生：組件孿生是數字孿生的基本單元，是系統或產品單個組成部分（例如：齒輪）的數字表示。資產孿生：兩個或多個組件一起組成資產，資產孿生用于研究組件之間的協同。系統孿生：也稱為單元孿生，系統孿生則將單獨的產品建模為更大系統，研究不同資產匯聚在一起工作時的交互。通過系統孿生，可以研究資產相互交互的關系，從而提高生產力和效率。流程孿生：流程孿生是協同工作的系統的數字表示形式（例如：系統孿生對生產線進行建模，流程孿生則對整個工廠進行建模

49、，包括工廠車間操作機器的員工）。流程孿生可幫助確定最終影響整體效率的精確時間控制方案。利用數字孿生能夠更高效地研究和設計產品，真實反映和監控生產系統，在整個生產和運營流程中獲得和保持高效率，以及對產品進行生命周期管理。數字孿生具有的種種優點，獲得了眾多企業和組織的關注。然而，并不是所有對象都能達到足夠的復雜程度，需要數字孿生技術中所必需的密集、頻繁的傳感器數據流?？紤]到投資回報（ROI），當前應用數字孿生的背景往往基于實體規模較大，或者涉及生命或人身安全的項目（例如：航天工業、核工業、汽車制造、飛機制 2023 云安全聯盟大中華區版權所有29造、建筑工程、發電廠等行業）。2.5.3數字孿生的趨

50、勢數字孿生的趨勢數字孿生市場正在經歷迅猛發展期，根據統計，2021 和 2022 年的北美數字孿生市場分別達到了 22.5 億美元和 29.4 億美元，一些行業分析師推測，至少在2026 年之前，這一數字還會繼續大幅攀升，預計將會達到 482 億美元。這些數據驗證了數字孿生技術已經在諸多行業中得到應用，并且其需求將在未來的一段時間內持續增加。關注生命安全、人身安全，以及 ESG（環境、社會和治理）驅動的現代運營環境正在發生根本性變化，數字化是現代運營模式轉變的技術驅動力，正在影響資產管理、生產力效率以及流程等關鍵要素，而數字孿生則是數字化轉型的重要組成部分。因此，化學工業、智慧城市、0 碳園區

51、、應急指揮、自動駕駛醫療服務等行業將會更廣泛的采用數字孿生技術，以實現降本增效和社會責任的雙重目標。2023 云安全聯盟大中華區版權所有30圖 8 數字孿生行業應用以人工智能為代表的新技術越來越多的不斷投入到數字孿生系統中，使得數字孿生技術的未來應用幾乎具有無限可能性，這些技術的運用還包括：云計算為數字孿生提供了基礎設施所需的環境，例如：彈性的高性能計算；虛擬現實與增強現實為數字孿生的可視化和互操作提供了堅實的基礎；數據互操作給數字孿生帶來了更加良好的生態環境；5G&6G 技術為數字孿生的數據通信要求低延遲、高速率提供了可能性；2023 云安全聯盟大中華區版權所有31 機器學習與人工智能為處理

52、系統提供了建?；A，等等。2.6隱私保護隱私保護2.6.1隱私保護技術的定義隱私保護技術的定義隱私是指個人或組織在數字化環境中保護個人信息和個人生活不受不必要干擾和侵犯的權利。隱私保護是保護個人信息和個人生活的機制和措施。在我國，隱私的定義主要由中華人民共和國個人信息保護法（個人信息保護法）進行規定。該法于 2021 年 11 月 1 日正式生效，明確了個人信息的定義和隱私權的保護范圍，規定了個人信息的收集、使用、存儲和傳輸等環節的義務和責任。個人信息保護法中對個人信息的定義如下：個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，不包括匿名化處理后的信息。隱私保護技術

53、是降低隱私風險，保證業務合法合規的重要手段，針對不同的隱私風險，可以采用不同去標識化技術對隱私風險進行消減。參考 GB/T37964-2019 去標識化指南，去標識化是通過對個人信息的技術處理，使其在不借助額外信息的情況下，無法識別個人信息主體的過程。去標識化技術是降低數據集中信息和個人信息主體管理程度的技術。常見的去標識化技術包括掩碼、枚舉、差分隱私、隱私計算、同態加密、多方計算等。2.6.2隱私保護技術應用隱私保護技術應用由于多行業均存在數據安全合規協作的需求,隱私保護技術的落地場景也分散于各行各業。政務、金融、能源、運營商、互聯網、醫療、安防等都有具體需求和落地方向。以金融為例：1)普惠

54、金融小微企業的信用數據來源的分散化、碎片化使銀行獲取數據的成本高、難度大，加上整個社會信用信息體系尚未完全打通，信息獲取的渠道不通暢，彼此之 2023 云安全聯盟大中華區版權所有32間仍然存在著組織壁壘、數據孤島的問題?；陔[私保護技術與政務數據融合，橫向打通的數據包括稅務、交通出行數據、水電燃氣數據、公安數據、征信數據等，賦能普惠小微金融。2)智能風控一直以來，征信與風控是金融業管理風險的重要手段。然而，傳統信貸風控的模式和手段正面臨越來越多的難題，比如數據采集范圍局限、接入門檻高、客戶或關聯方上傳數據積極性低、更新不及時等等，已經成為金融發展的障礙。借助隱私保護技術可以在保護用戶信息不泄露

55、的前提下將來自更多維度數據納入聯合風控模型中，從而構建更精準大數據風控模型。3)智能反詐近年來，在互聯網、大數據及人工智能等新興技術的驅動下，商業銀行積極開拓創新產品及服務，業務活動日趨復雜。與此同時，不法分子依托新興技術手段，通過銀行渠道進行詐騙活動，尤其是信用卡欺詐行為逐漸呈現出組織化、移動化、隱蔽化、場景化等特征，并已形成灰黑產業鏈，對居民資金安全以及銀行業務安全造成嚴重威脅?；陔[私保護技術，提供反詐風險名單共享方案，進一步提高金融機構反風險能力，保障機構及客戶資產安全。2.6.3隱私保護未來預測隱私保護未來預測1)控密雙態計算近年來數據的流動與使用也滋生出各種亂象，數據竊取、數據買賣

56、、數據濫用等情況頻發，數據安全與隱私泄露成為社會各界關注的話題。與此同時各國 隱私保護法 網絡安全法等法律條例陸續頒布與實施?？孛茈p態計算（Control&Crypto Computing）是 CSA 提出的一種解決方案。它實現“動靜用轉”和“云網邊端”全面覆蓋。確保環境、模型、算法、算力和用戶身份的安全可信，進而保障數據在使用和流轉中的安全可信。具體定義如下：2023 云安全聯盟大中華區版權所有332)控態路徑存控、傳控、用控、轉控，保障數據的完整性、可用性和可信 IAT，不僅安全，而且可信、可控。目前控態類技術路徑，早期已有大規模應用的架構模型和產品原型，如：NIST 的零信任參考架構、N

57、IST 大數據參考架構、IDSA（國際數據空間協會）的數據安全空間。密態路徑：密存、密傳、密用、密轉，保障數據的私密性。目前密態類技術路徑，大多數是基于隱私計算的，目前主要的密態技術：多方安全技術計算、同態加密、差分隱私。3)數據本地化出于國家主權、數據安全、隱私保護等多種因素的考慮，越來越多的國家和地區采取數據本地化措施，限制數據跨境流動。截至 2023 年，100 多個國家實施了數據本地化措施，其中一半以上是在過去 5 年中出現的。更為重要的是，這些措施的限制性越來越強，三分之二的措施涉及禁止數據流動的存儲要求。安全和風險管理領導者面對著尺度不一的監管環境，在不同地區需要采取不同的本地化策

58、略，這使得企業機構為應對跨國業務戰略風險而采取一種適合所有服務模式的新型服務化設計和獲取方法。由此，數據本地化規劃將成為科技企業設計和獲取方面的首要任務。4)以用戶為中心的隱私消費者對主體權利的需求增加，以及對透明度的期望提高，將推動對集中式隱私用戶體驗的需求。有遠見的組織了解將隱私以用戶為中心的所有方面（通知、cookie、同意管理和數據主體權利請求）整合到一個自助門戶的好處。2023 云安全聯盟大中華區版權所有342.7Web4.02.7.1WEB4.0 技術的定義技術的定義Web（World Wide Web）是全球廣域網，也稱為萬維網，它是一種基于超文本和 HTTP 的、全球性的、動態

59、交互的、跨平臺的、分布式圖形信息網絡。Web4.0是第四代萬維網。利用先進的人工智能、環境智能、物聯網、可信區塊鏈交易、虛擬現實、和增強現實等功能，虛擬和真實的物體和環境將完全集成并相互通信，從而實現真正直觀、身臨其境的體驗，無縫融合物理和現實數字世界?？v觀整個 Web 的發展，可以發現，一切都是為了交互和易用而做出的改變。Web1.0 的概念在 1991 年被創建。它是一個可以使用超鏈接的在線文檔系統，這使得用戶可以更快速、輕松地共享信息，同時用戶也可以創建網站、提供自己的內容。在 20 世紀末與 21 世紀初，網站與內容的數量急劇增加，并持續了將近20 年。Web 早期專注于提供靜態內容。

60、該內容通常采用文本與圖像的形式。Web2.0 的概念在 2004 年被提出，這個術語用于描述從靜態 html 頁面到更加動態的 web 的轉變，同時用戶可以在其中與 web 應用程序以及其他用戶進行交互。Web2.0 的主要功能之一就是它允許用戶在線創建和共享內容。包括博客、社交媒體等。同時用戶的終端也從 pc 逐漸轉移到移動設備。Web2.0 使互聯網成為一個更具互動性和協作性的場所，并催生了在線開展業務和營銷的新方式?？梢园l現 Web2.0 提供了更豐富的用戶交互手段，并降低了用戶使用互聯網的門檻。2.7.2WEB4.0 技術應用技術應用當所有人將自主生產的數據、內容和記錄存放在網絡中后，

61、各大互聯網公司逐漸積累了大量的個人信息和財富，這種集中化的情況造成了用戶與平臺之間權利的不平衡，同時也使企業與個人面臨網絡安全、欺詐與數據分享。此時，web3.0的概念誕生，它的出現改變了原有的基礎架構，將網絡的主權轉給用戶。通過引入區塊鏈、云計算等技術，在密碼學的保護下，讓用戶能夠安全地擁有自己的數 2023 云安全聯盟大中華區版權所有35字身份與數字資產。Web4.0 的應用程序被設計得更加用戶友好，并允許用戶輕松共享信息與想法。Web4.0 代表了從傳統 Web 開發模型向更具協作性和以用戶為中心的方法的轉變。2.7.3WEB4.0 的技術預測的技術預測Web4.0 建立在之前的 3 個

62、 Web 的版本的基礎上，引入了新的技術，目的是讓互聯網更加的用戶友好、高效與安全。Web4.0 可能引入的新技術有腦機接口、元宇宙、人工智能、物聯網等。其中腦機接口允許人類使用他們的思想與計算機進行交互并廣泛應用于通信與娛樂。人工智能是計算機科學的一個分支，致力于創造能夠獨立思考與工作的智能機器。物聯網是一個由物理設備、車輛、家用電器和其他物品組成的網絡、這些物品嵌入了電子設備、軟件、傳感器和鏈接工具，使這些對象能夠鏈接和交換數據。通過這些新的技術，可以讓網絡更容易被用戶使用與活動，簡化網頁，使其更容易被導航和理解，并添加允許用戶相互交互以及與頁面內容交互的功能并使用戶能夠以更有效的方式相互

63、聯系并共享信息。當下正處于重大技術轉型的開端，虛擬世界是 Web4.0 的重要推動者，可以顯著改變人們的日常生活，并為許多商業和工業生態系統帶來廣泛的機會，應確保企業、公共機構和個人抓住機遇，做好準備，同時應對隨之到來的挑戰。2.8衛星通訊衛星通訊2.8.1衛星通訊的定義衛星通訊的定義衛星通訊是指利用人造衛星作為中繼器，將信息從一個地方傳輸到另一個地方的通信方式。利用信息與無線電波信號互轉技術，借助發射和接收設備提供空中衛星與地面接收設備之間的信號傳遞，最終可實現遠距離的信息傳送。衛星通訊可以覆蓋廣闊的地理范圍，包括陸地、海洋和空中，因此在軍事、航空航天、電信、廣播、氣象等領域都有廣泛的應用。

64、2023 云安全聯盟大中華區版權所有36衛星通訊具有以下特點：序號特點內容1廣覆蓋衛星通訊可以實現全球范圍的通信連接，覆蓋陸地、海洋和空中，通信不受地理位置限制。2高速率衛星通訊可以具有高速信息傳輸特性，從而滿足大容量數據傳輸的業務需求。3穩定性衛星通訊系統可以提供穩定的通信連接，不受地面基礎設施的限制和天氣條件的影響。4靈活性衛星通訊可以根據需求進行靈活的配置和調整，滿足不同應用場景的需求。表 2 衛星通訊特點2.8.2衛星通訊的應用衛星通訊的應用近年來，衛星網絡與移動通信網絡及傳統互聯網融合技術逐漸成熟，數量龐大的低軌衛星組成具有全球覆蓋、大容量寬帶接入、低通信時延的互聯網基礎設施，為全球

65、用戶提供無縫的高速互聯網接入。衛星通訊網絡包含以下典型應用場景：全地形覆蓋：地面基站無法覆蓋到的區域，如海洋、湖泊、島嶼、山區等；移動平臺，如飛機、遠洋船舶、高鐵。應急通訊：地震、海嘯等災害。廣播業務：低速的廣播服務，如公共安全、應急響應等消息等；廣播，點播多媒體業務。IOT 服務：遠洋物資跟蹤、偏遠設備監控、大面積物聯設備信息采集。2023 云安全聯盟大中華區版權所有37 信令分流：通過衛星網絡傳遞控制面的信息。2.8.3衛星通訊的趨勢衛星通訊的趨勢衛星通訊的未來趨勢包括以下幾個方面：全球覆蓋能力未來的衛星通訊系統將更加注重全球覆蓋能力，廣泛應用于各個領域，包括航空航天、物聯網、農業、交通等

66、，滿足全球范圍內的多樣化的通信需求和應用場景，為不同行業提供定制化的通信解決方案。高速寬帶通信隨著衛星技術的不斷發展，未來衛星通訊將提供更高速的寬帶通信服務，滿足用戶對高速互聯網的需求。異構衛星協同通信未來的衛星通訊系統將采用多衛星協同通信的方式，通過衛星之間的協同工作，提供更穩定和可靠的通信服務。低軌衛星通訊網絡低軌衛星通訊網絡（LEO）將成為未來的發展趨勢。LEO 衛星通訊網絡具有較低的延遲和更高的帶寬，可以提供更快速的通信服務。高度自動化和智能化未來的衛星通訊系統將更加自動化和智能化，通過人工智能和自動化技術，實現衛星的自主運行和管理，提高通信系統的效率和可靠性?？傮w來說，未來的衛星通訊

67、將更加高速、全球化、智能化和多樣化，為人們提供更便捷和可靠的通信服務。2023 云安全聯盟大中華區版權所有382.9算力網絡算力網絡2.9.1算力網絡的定義算力網絡的定義算力，就是設備的計算能力，一般分為通用算力、超算算力和智算算力三種類型。隨著邊緣計算業務的蓬勃發展，需要分布式多元化的算力資源，雖然這些資源可能歸屬于不同的所有方，但可以通過網絡有效地將各方資源關聯起來，形成一個整體提供給用戶。算力網絡就是一種根據業務需求，在云、邊、端之間按需分配和靈活調度計算資源、存儲資源以及網絡資源的新型信息基礎設施。在算力網絡中，用戶無需關心網絡中的計算資源的位置和部署狀態，而只需關注自身獲得的服務即可

68、，并通過網絡和計算協同調度保證用戶的一致體驗。算力網絡的核心思想是通過新型網絡技術將地理分布的算力中心節點連接起來，動態實時感知算力資源狀態，進而統籌分配和調度計算任務，傳輸數據，構成全局范圍內感知、分配、調度算力的網絡，在此基礎上匯聚和共享算力、數據、應用資源。2.9.2算力網絡當前應用算力網絡當前應用算力網絡的應用場景非常廣泛，其中通用算力一般應用于消費互聯網、產業互聯網以及政府互聯網等領域的常規計算場景，超算算力一般應用于科學計算領域和工程計算領域，而智算算力主要用于人工智能計算的相關領域，以下介紹一些主要的應用場景：零：國家級戰略工程“東數西算”“東數西算”是國家于 2021 年推出一

69、項重要的國家級戰略，通過加快構建算力、算法、數據、應用資源協同的全國一體化大數據中心體系形成全范圍的新型算力網絡體系。在京津冀、長三角、粵港澳大灣區、成渝地區雙城經濟圈、貴州、內蒙古、甘肅、寧夏等地區布局全國一體化算力網絡國家樞紐節點，建設數據中心集群，結合應用、產業等發展需求優化數據中心建設布局。將東部的算力 2023 云安全聯盟大中華區版權所有39需求有序引導至西部地區，優化國家數據中心建設布局，促進東西部間的協同聯動，使西部的優勢算力資源更好的得以利用，支撐東部地區的一些場景需求，如東數西訓（AI 訓練）、東數西存（冷數據和溫數據）、東數西渲（視頻、VR/AR）等。一、個人生活場景虛擬場

70、景：VR 虛擬場景觀看點播或全景直播，通過算力網絡提供差異化服務保障，何時何地都能享受社交、娛樂沉浸式服務體驗，算力網絡降低云游戲運營門檻，提升用戶體驗，算力網絡促進應用在云端和邊端部署，降低終端計算、存儲等資源壓力，讓應用體驗突破終端性能的限制，實現高質量服務升級。二、智能交通場景交通數據分析：攝像頭、雷達等傳感設備，獲取交通多維數據，并對海量數據分析學習，推理調度決策，調節交通信號指導車輛自動行駛，車路感知信息：全場景車路信息感知處理，需協同車內、車間、車路等多維度信息，基于算網協同調度能力，將不同時延、算力需求等應用分發到云、邊、端算力節點，形成精準實時的駕駛策略。三、智慧醫療場景全息醫

71、療影像：傳統核磁共振等二維醫學影像存在病灶模糊、病灶與健康組織重疊，及周圍器官結構情況不能等問題，三維可視化技術將三維立體病理影響與 VR 技術結合，配置觸覺交互等技術，醫護人員可構建空間感的全息醫療。通過算力網絡可實時構建渲染的全息影像，網絡質量全程保障，滿足醫療場景術前、術中和術后以及醫療教學多場景的影響分析需求。四、高性能計算場景尖端科研項目：如引力波驗證、粒子加速器、蛋白質內部結構研究等尖端科研，需要大量 CPU、GPU、內存和網絡資源。2023 云安全聯盟大中華區版權所有40高?？蒲校含F有高?？蒲袡C構在科學數據處理時大多選擇公有云算力或自建計算集群，成本高，算力網絡的經濟模式可將算力

72、消耗的任務分布調度到社會存量算力上運行，降低科研單位算力成本。2.9.3算力網絡未來預測算力網絡未來預測近年來隨著全球范圍內芯片、服務器、超級計算機等行業的發展,全球算力網絡市場快速增長,2021 年我國算力產業市場規模約 535.18 億元，同比增長55.28%,2022 年市場規模約為 628.11 億元。隨著人工智能的快速發展，算力需求將大幅增長，預計 2023 年市場規模將進一步增長至 753.85 億元。算力網絡技術發展趨勢，預測如下：算力呈現出內核多樣化、分布泛在化的趨勢。算力內核從通用走向多用，并通過定制化激發性能極致體驗；算力不僅從單點向集群演進，更形成泛在化的分布式能力，并進

73、一步向廣域協同發展；算力基礎設施從云向算泛在演進，其位置的分布從中心向邊緣和端側泛在延伸，具備云算力超集中、邊端算力超分布的特征；算力服務形態從算力資源向算力任務轉變，從簡單的云邊協同向云網邊一體化轉變。算力與網絡進一步深度結合的趨勢。通過網絡連接泛在算力，突破單點算力的性能極限；通過對算網資源的全局智能調度和優化，有效促進算力的流動，滿足業務對算力按需使用的需求。同時，伴隨著行業應用對網絡端到端質量方面的極致要求，網絡從盡力而為向端到端確定性保障演進。算力網絡中多要素融合、互相促進。算網大腦通過算網數據感知獲取全域實時動態數據，結合算網智能化、多要素融合編排實現要素能力的一體供給和智能匹配，

74、橫向全面融合網、云、數、智、安、邊、端、鏈多種能力要素，縱向深度貫穿應用、平臺到底層資源，進而為新型信息基礎設施對外提供一體化服務提供能力支撐。2023 云安全聯盟大中華區版權所有412.10物聯網技術物聯網技術2.10.1物聯網技術的定義物聯網技術的定義物聯網(IoT)設備通過互聯網或其他通信網絡與其他設備和系統連接并交換數據，無需人工輸入即可通過網絡收集和傳輸數據，以實現對設備的智能化識別、定位、跟蹤、監控和管理。它是信息聯網、移動聯網基礎上的一種新型連接模式，是一個多維度的生態化、智能化的網絡體系。物聯網技術基于計算機互聯網和傳輸控制協議的基礎，利用 RFID、無線數據通信、傳感器等技術

75、，構造一個覆蓋世界上萬事萬物的“萬物相連的互聯網（IoT）”。物聯網技術不是對現有技術的顛覆性革命，而是融合現有技術實現的綜合運用。物聯網核心技術包括傳感器技術、射頻識別技術、網絡和通信技術、云計算、數據處理與挖掘等。物聯網技術架構分為三層：感知層、網絡層、應用層。其中，感知層由各種傳感器組成，將物體的數據，通過傳感器收集后，由網絡層傳輸發送；網絡層包含互聯網、云端、運營商網絡、各種短距離局域網（如藍牙網狀網絡、Wi-Fi、ZigBee 等）；應用層是物聯網與用戶的交互接口，通過 UI 界面的形式展現。每層的關鍵技術為：感知層：感知層的關鍵技術主要為傳感器技術和短距離傳輸網絡技術。其主要完成信

76、息的采集、轉換和收集等。網絡層：網絡層的關鍵技術既包含了現有的通信技術（如：移動通信技術、有線寬帶技術、Wi-Fi 通信技術等），也包含了終端技術，為行業終端提供通信能力的通信模塊（如：藍牙，ZigBee 等）。其主要完成信息傳遞和處理等。應用層：應用層的關鍵技術主要是基于軟件的各種數據處理技術（如：數據存儲、并行計算、數據挖掘、平臺服務、信息呈現等）。其主要完成數據的管理和處理，并將此數據與各行業應用的融合，實現應用創新。2023 云安全聯盟大中華區版權所有42隨著計算技術、人工智能、大數據等的不斷發展、完善與融合，進一步促進了物聯網技術的創新技術發展。以下技術可用于物聯網系統：邊緣計算：邊

77、緣計算是指讓智能設備向 IoT 平臺發送或從中接收數據以及執行其他操作的技術。它提高了 IoT 網絡邊緣的計算能力，減少了通信延遲并縮短了響應時間。云計算：云技術用于遠程數據存儲和 IoT 設備管理，可以讓網絡中的多個設備訪問數據。機器學習：機器學習用于處理數據并根據相關數據做出實時決策的軟件和算法。機器學習算法可以部署在云中或邊緣。人工智能：人工智能驅動了物聯網的創新，創造了智能機器，可以在很少或沒有人為干預的情況下實現智能行為和決策。目前，已有組織為物聯網技術的發展描繪出一條路線，其依據時間軸可分為四 個 階 段：供 應 鏈 輔 助、垂 直 市 場 應 用、無 所 不 在 的 尋 址（Ub

78、iquitouspositioning）以 及 讓 每 個 智 能 設 備 都 以 URL 來 標 示（ThePhysicalWeb），如下圖所示：2023 云安全聯盟大中華區版權所有43圖 9 物聯網技術線路圖2.10.2物聯網技術當前應用物聯網技術當前應用隨著物聯網技術的快速發展，其廣泛應用于智能家居、公共服務、農業、物流、服務、工業、醫療等領域，帶動了物聯網行業整體呈現爆發式增長態勢。工業應用工業應用：物聯網在工業的應用稱為工業物聯網。以物聯網、大數據、人工智能、云計算等信息技術為支持，讓工業運作各個環節實現系統感知、分析和處理等功能，提高制造效率，改善產品質量，降低產品成本和資源消耗等

79、。工業物聯網涵蓋了整個工業應用，包括了機器人、醫療設備和軟件定義生產流程等，物聯網技術是工業 4.0 中不可或缺的重要部分。目前主要應用包括智能制造、智能運輸、智能物流等。消費者應用消費者應用：基于物聯網技術的消費者應用主要體現在家庭物聯網（例如：智能家電、家庭監控、智能手機等）以及移動物聯網（例如：可穿戴設備、家庭自動化、聯網的健康監控設備、遠程監控設備等）。農業應用農業應用：通過物聯網技術，賦予農業以數字化、智能化改造。通過融合物聯網、人工智能、大數據等現代信息技術，分析與運用從溫度、降水、濕度、風速、病蟲害和土壤成分等收集的數據，利用決策支持系統，實現了對農業生產全過程的精確管理與智能控

80、制，可以實現農業可視化診斷、遠程監控和災害預警等功能。除了上述介紹的應用領域外，物聯網技術廣泛應用于智慧城市、智能駕駛、醫療和保健、智能交通、零售業物聯網等領域，科技與人類生活的完美融合，幫助人們更好地實現數字化、智能化、可持續化的生活和工作。2.10.3物聯網技術未來預測物聯網技術未來預測物聯網(IoT)結合新一代通信技術、云計算、大數據、人工智能、邊緣計算等新興技術，可以提高運營效率、降低成本、改進決策并增強用戶體驗，成為各 2023 云安全聯盟大中華區版權所有44個行業數字化轉型的關鍵推動因素。對物聯網技術的未來發展趨勢，預測如下：1、人工智能和物聯網技術(AIoT)人工智能廣泛應用于機

81、器學習、深度學習、自然語言處理和計算機視覺等領域，將對 AI、物聯網、大數據技術、chatGPT 等創新技術的進一步融合，將為物聯網帶來新的創新活力。AIoT 結合了人工智能和物聯網的技術和效率，使其適合解決分布式智能系統的特定問題。AIoT 解決方案將進一步促進從制造業到零售業、醫療保健、銀行業等行業的產業升級。2、更豐富的連接技術隨著 5G、6G、WiFi6、LPWAN 和衛星等連接技術的發展與改進，物聯網連接技術的各個方面也會隨之改進，包括傳感器、邊緣計算、可穿戴設備、車聯網等。進一步推動匹配物聯網連接技術類型的基礎設施的建設，更有效地支持物聯網網絡所需的連接技術和數據傳輸。3、隱私和安

82、全鑒于物聯網的規模和復雜性呈爆炸性成長，物聯網設備很容易受到網絡攻擊、數據泄露、隱私泄露、非法入侵等。業界對此非常重視，目前已有多種解決方案為消費者提供更好的安全保障。未來，將有更多的端到端安全解決方案的使用。加快對物聯網認證、邊緣計算、終端安全、數據傳輸等防護技術、零信任等新技術的研究和探索，并將其應用于物聯網安全防護中，滿足物聯網技術未來發展的隱私與安全保護需求。4、低延遲和更安全的邊緣計算邊緣節點主要負責現場/終端數據的采集，按照規則或模型對數據進行初步處理與分析，最終將結果予以上報，極大降低上行鏈路的帶寬要求。云平臺提供海量數據的存儲、分析與價值挖掘。邊緣計算將計算資源分配到邊緣，而其

83、他資源則集中在云端。邊緣計算技術實現了云邊資源的有效結合，這種特殊的計算布 2023 云安全聯盟大中華區版權所有45局可以減少數據傳輸的成本和延遲，同時也提高了數據的安全性和隱私保護。隨著物聯網的發展，邊緣計算將會進一步普及和應用，涉及更多的行業和領域，并為人們帶來更多的便利和效益。除了上述介紹的發展趨勢外，物聯網認證技術、云計算、可穿戴技術、數據的挖掘與整合、區塊鏈等技術將進一步促進物聯網技術的可持續發展。32024 數字技術的安全挑戰數字技術的安全挑戰3.1量子計算的安全挑戰量子計算的安全挑戰在現代密碼學體系的支持下，全球建立了相對完善的密碼保護體系。然而，密碼破解技術一直在不斷挑戰和促進

84、密碼學的發展。尤其是以量子計算為代表的計算能力的快速發展，對基于大數分解和離散對數等數學難題的公鑰密碼系統提出了前所未有的挑戰。與此同時，基于量子物理的量子密碼技術（如基于量子通信的量子密鑰分發）和基于新型數學難題的抗量子計算公鑰密碼算法正在承擔抵御量子計算挑戰的重任，部分企業（如 IBM）和研究機構（如中科院）已經開發出量子計算機的原型機，國家、機構甚至個人的核心數據保密需求將會面臨目前已經被截獲和儲存等待未來破解的安全風險。因此，實踐量子安全保護已經具備現實意義。在現代密碼技術中，量子密碼的應用相對較少，主要集中在量子密鑰分發和量子比特承諾等領域。其中，量子密鑰分發是最受關注的應用之一，可

85、以實現安全的信息傳輸?，F在，我們將簡要介紹傳統密碼系統，重點是安全的信息傳輸。傳統密碼系統由密鑰和密碼算法兩部分組成。密碼算法通常是公開的，密碼系統的安全性主要取決于密鑰的保密性。在傳統的加密過程中，加密者 Alice擁有加密密鑰 k1，解密者 Bob 擁有解密密鑰 k2，攻擊者 Eve 則是在傳輸信道上的存在。當 Alice 想要將數據 m 發送給 Bob 時，她使用加密密鑰 k1 對數據 m 進行加密，得到密文 c，并將其發送給 Bob。Bob 使用解密密鑰 k2 對密文 c 進行解密，從而獲得原始數據 m。2023 云安全聯盟大中華區版權所有46根據密鑰的使用方式，加密系統可分為對稱加密

86、系統和公鑰加密系統。在對稱加密系統中，加密和解密使用相同的密鑰，即 k1=k2，這個密鑰是保密的。對稱加密系統包括流密碼和分組密碼，其中分組密碼是最常見的。我們所熟知的DES、AES 和我國的 SM1、SM4 都屬于分組密碼算法。這些算法通常是基于密碼學家的設計原則和分析方法，而不是基于數學和計算復雜性理論中困難問題的。量子計算機的快速發展有可能對現代公鑰密碼學形成挑戰。由于量子計算機能指數或多項式量級地加快某些復雜計算問題的求解速度，因此現代公鑰密碼學很有可能被量子計算技術徹底顛覆。以 Shor 量子算法為例，其可以在多項式時間內解決大整數分解和離散對數求解等復雜數學問題，因此可以快速破解廣

87、泛使用的 RSA、ECC、ElGamal 等公鑰密碼。例如，分解一個 400 位的大整數，經典計算機需要約 51022 次操作，而量子計算機僅需要約 6107 次操作，后者所需操作數僅為前者的八十萬億分之一。3.26G 通信技術的安全挑戰通信技術的安全挑戰未來的 6G 通信網絡架構將實現重大轉變，由集中規劃式向分自治式轉變，存在海量的動態聯結；由疊加復雜式向一體智簡式轉變，智能化簡化，協議一體化簡化；由外掛式設計向內生式設計轉變，初始設計即考慮智慧內生安全內生，數字孿生；由多域異構向統一融合轉變，一套架構多種場景，一套協議多種組網。在這種情況下，6G 通信技術的安全挑戰將變得更加復雜，主要的挑

88、戰包括：空天地?？缬虬踩魬?G 對于衛星通信、人工智能、大數據等技術的創新融合，以及不同應用場景下軟件定義切片的靈活泛在應用，將會在 5G 基礎上進一步實現信息的隨時隨地可取，并推動整個社會各個行業走向數字化，這同時使得傳統的安全邊界變得更加模糊，整個網絡面臨更多的挑戰。隨著網絡架構革新與區塊鏈、AI、數字孿生、量子計算等新技術的應用，6G 網絡將展現更高性能的通信指標，也將衍生出全新的通信安全挑戰。因此，6G 網絡的接入異構一體化、設備接入小型化以及不同應用場景的切片化、通信服務邊緣化，都將對 6G 通信安全問題變得更加 2023 云安全聯盟大中華區版權所有47有挑戰。內生安全挑戰6G 時

89、代，安全從“補丁式 Add-on”的傳統安全模式轉變為網絡主動免疫、安全彈性自制的內生安全模式。內生安全應具備“自適應”、“自主”、“自成長”的特點，在網絡的不同場景業務下，能夠根據業務特性，立足于自己的安全需求，針對不同的攻擊類型，建立自主的防御架構，構筑持續成長的安全能力。這就要求網絡要與 AI 結合，在遭受攻擊時動態調整安全策略、業務運行態勢、暴露面，減少攻擊傷害、保障業務順暢運行、定位和解決安全問題。物理層安全挑戰可見光通信 VLC 作為 6G 通信系統中光無線通信的主要部分，將會在未來有大范圍的應用。VLC 本身具有一些固定的安全性能，如可見光的物理性質決定了它的傳播范圍局限在一個沒

90、有遮擋物的區域內，這樣在室內通過可見光進行的數據傳輸在理論上無法被室外或者遮擋物之后的人攔截和竊聽。然而，與通信雙方在同一空間下的實體，就很容易發現并竊取到信息，因此，VLC 技術需要足夠可靠的物理層安全技術來對其通信的機密性進行保障。3.3人工智能的安全挑戰人工智能的安全挑戰隨著 AI、大數據、云計算等技術的快速發展和應用，AI 安全作為一種新生事物正在悄然滋生著，正在成為當前許多領域愈發關注的重要問題。這些挑戰可以總結為以下幾個方面：1、AI 帶給社會的沖擊和負面影響。1)數據隱私和泄露以及知識產權糾紛：生成式 AI 系統依賴大量數據進行訓練和學習，主要來源是從互聯網上獲取，其中可能包含用

91、戶的敏感信息。此外，還存在知識產權的糾紛，如文章、圖片的知識產權歸屬問題。2)偏見和不公平性：AI 系統的訓練數據可能存在偏見，導致系統在做出決 2023 云安全聯盟大中華區版權所有48策或提供服務時對某些群體不公平。例如，招聘算法可能會對某些特定人群進行歧視性篩選，造成不公平的結果。3)敲詐勒索事件會上升：生成式 AI 容易生成虛假圖片、虛假視頻、虛假電話；真假難辨。導致今后社會上敲詐勒索事件將會多發。學術不端的事件也會上升。2、對生成式 AI 的網絡攻擊1)作為提供互聯網服務的生成式 AI 網站，其互聯網基礎設施的安全問題不容忽視。AI 網站可能遭到 DDoS 攻擊、勒索攻擊、APT 攻擊

92、、SQL 注入等。2)提示注入攻擊：黑客可以通過發送惡意提示信息，引誘生成式 AI 輸出敏感信息和非法信息。如：奶奶攻擊。3)對 AI 數據的投毒攻擊：主要是在訓練數據中加入精心構造的異常數據，破壞原有的訓練數據的概率分布，導致模型在某些條件會產生分類或聚類錯誤。3、AI 使能的網絡攻擊技術AI 使能的攻擊技術已經快速發展。在網絡釣魚方面，利用 AI 制作網絡釣魚電子郵件，已經向用戶展現出其強大的能力。惡意攻擊者可以利用它來生成令人信服的網絡釣魚和魚叉式網絡釣魚電子郵件，并且這些惡意電子郵件可以輕易地通過電子郵件提供商的垃圾郵件過濾器。在 AI 自動生成攻擊代碼方面，黑客專用的大模型網站 Fr

93、audGPT 可自動生成多種網絡攻擊代碼，低門檻無編程快速。已被證明能夠自動生成針對攻擊目標的網絡端點和 IT 環境量身定制的惡意腳本和代碼，逃避端點檢測和響應系統。并開發可以繞過靜態簽名檢測的惡意軟件變體。FraudGPT 上線一周里竟有逾 3000買家下單！FraudGPT 的“成功”，標志著生成式 AI 武器化和黑客攻擊技術大眾化的危 2023 云安全聯盟大中華區版權所有49險時代已經到來。意味著初級黑客個人就可以借助生成式 AI 每日生成多個高級網絡攻擊武器，包括 AI+勒索、AI+APT 攻擊等?；ヂ摼W上黑客機器人開始泛濫。AI 網絡攻擊武器已經列裝多國網軍。以生成式人工智能為代表的

94、 AI 技術的進步使得網絡空間防御變得異常困難。幾乎所有的基于攻擊特征值的傳統安全產品將會被千變萬化的 AI 賦能的網絡攻擊技術輕松地、低成本地擊穿。攻擊者會使用 AI 技術去識別和發現防守方的 IT系統、OT 系統、云平臺的各種漏洞（已知漏洞、未知漏洞、秘密漏洞），并實施精準攻擊。為解決人工智能發展帶來的新的安全挑戰，需要在技術、政策和法律等多個方面采取措施，才能確保人工智能技術的安全和可持續發展。3.4云原生的安全挑戰云原生的安全挑戰隨著云原生的快速發展，核心能力逐漸穩定，安全問題日趨緊急。在云原生安全領域不但有新技術帶來的新風險，傳統 IT 基礎設施下的安全威脅也依然存在。早期的云原生安

95、全 1.x 方案已經無法滿足復雜多樣的安全防護需求。圖 10 云原生威脅 云原生技術帶來的新安全風險云原生技術發展的同時帶來了一系列全新的安全挑戰與沖擊。據 RedHat 2023 云安全聯盟大中華區版權所有50的發布的 Kubernetes 安全狀況報告記錄的安全事件中，53%是由于配置錯誤造成的，38%是由于利用漏洞造成的。主要不安全的配置有：K8S 組件的問題主要是指各組件的不安全配置、APIServer 未授權訪問、etcd 未授權訪問、kubelet未授權訪問、kube-proxy 不安全配置。統計數據顯示高達 47%生產環境容器鏡像會來源于公用倉庫。DockerHub 上的公開可用

96、鏡像進行的一項研究：51%的鏡像存在嚴重漏洞，400 萬個最新鏡像中約有 6,500 個可能被視為惡意。由于無意中的不良編碼行為，secrets 可能會嵌入 image 中，通過將 SSH 密鑰或 API 密鑰嵌入到容器中，攻擊者可以在部署容器后獲得訪問權限。鏡像沒有使用特定用戶進行配置來運行，導致權限失控。容器運行過程 IP 快速變化，通過傳統基于 IP 的邊界防護難以實施。容器之間網絡互相連通，入侵到某一個容器后，很容易進行橫向滲透攻擊。微服務導致內部調用快速增長，服務之前認證鑒權復雜，請求難以跟蹤，很容易就造成權限失控、數據泄露。傳統 IT 基礎設施的威脅依然存在云原生不能脫離底層 IT

97、 基礎設施：計算、存儲、網絡而存在，因此這些 IT基礎設施面臨的問題在云原生場景下依然存在。DDoS 攻擊防護、cc 攻擊防護、Web 攻擊、漏洞、木馬、病毒、數據泄露等等安全風險，并沒有因為云原生的發展而降低。同時，云原生安全 1.x 無法滿足快速發展的業務需求。在云原生安全早期，人們的慣性思維就是利用傳統的安全防護手段去進行云原生安全防護。經過這么多年的攻防對抗，傳統產品在各自的領域都已經身經百戰，解決對應的安全問題也都不在話下，這些安全產品通過簡單地改造，就可以與云原生架構配合運行。這個階段云原生安全尚未構建一個完整的架構，各安全產品就像搭積木一樣跟云原生架構進行配合。隨著產品構建，工程

98、師們很快就發現，安全并沒有因為云原生的到來發生什么改變，這種搭積木式的云原生安全方案，從遠處看各方面的安全都能有，但是從近處看就能看到安全產品之間基本沒有聯系，使用起來并沒有 2023 云安全聯盟大中華區版權所有51什么改變，安全和云原生是兩個獨立的領域，這樣的架構無法支撐云原生的快速發展，也沒有辦法滿足云原生安全的自動化、智能化發展趨勢。3.5數字孿生的安全挑戰數字孿生的安全挑戰數字孿生是現實世界的數字映像，其價值使它可能成為網絡攻擊的對象。為了實現數字孿生應用，在不同場景下集成了不同的數字技術，包括：數字標識、網絡連接、高性能計算、智能控制、3D 建模、仿真、虛擬現實與增強現實、人工智能等

99、技術，以及不斷涌現的新技術，諸多技術的運用給數字孿生帶來了網絡安全復雜性的挑戰。圖 11 Grieves 全生命周期管理課程上圖來自美國密歇根大學 Grieves 教授的產品全生命周期管理課程，雖然當時“Digital Twin”一詞還沒有被正式提出，Grieves 將這一設想稱為“Conceptual Ideal for PLM（Product Lifecycle Management），但在該模型中虛擬空間構建的數字模型與物理實體交互映射，忠實地描述物理實體全生命周期的運行軌跡。該圖明確的顯示了數字孿生具備 IoT、傳統網絡安全的特質，同時數據（Data、Information Proce

100、ss）是數字孿生技術的核心承載，因此其數據自身和生命周期安全需要特別的重視。傳統網絡安全：數字孿生處理系統建立在傳統網絡與基礎設施之上，因此需要應用網絡安全與信息安全的對數字孿生可能發生的安全問題進行防范、檢測和 2023 云安全聯盟大中華區版權所有52響應，包括基于資產、漏洞與威脅對網絡安全風險建模等方法；IoT 屬性相關安全：數字孿生的現實世界（物理）對應物是物聯網（Internetofthings）,典型的物聯網安全在數字孿生的世界里同樣適用，例如：PLC 安全；數據生命周期管理：數字孿生的基礎是基于現實世界對應物所采集的數據，因此數字孿生天然就是數據安全管理，因此數據全生命周期安全管理

101、和數據治理也是數字孿生所必須完成的工作；數據污染防范：數字孿生處理系統往往基于機器學習與人工智能的技術應用，而機器學習和人工智能的應用需要優質的數據集，包括訓練數據集、驗證數據集，因此，防范數據污染工作是數字孿生需要解決的重要安全問題之一。3.6隱私保護的安全挑戰隱私保護的安全挑戰個人信息安全是當今數字時代面臨的重要挑戰之一。隨著大數據和云計算的興起，個人和機構的數據正在以前所未有的規模被收集、存儲和分析。然而，隨之而來的是日益增長的個人信息安全風險。2023 云安全聯盟大中華區版權所有53圖 12 消費者進行網上購物面臨的威脅建模示意圖 大數據帶來的數據融合，增加精準個人識別、數據濫用、隱私

102、泄露的風險。在多數情況下，個人信息泄漏事件被公眾知曉是滯后的。以消費者網上購物為例，電子商城或快遞公司的個人數據被黑客攻擊獲取到后，就可以開始地下交易。個人信息對于攻擊者而言就是金礦。個人信息富含個人信息、購物信息、社會關系、訪問憑據、健康和資產等信息，既可以在地下交易，也可以為下一次攻擊提供豐富的情報。在很多勒索攻擊事件中，受害者數據并沒有被加密，攻擊者通過所竊取的數據進行精準個人識別并勒索。員工依然是安全防護的薄弱點。除了員工惡意地實施數據泄漏之外，還有相當比例的數據泄漏與員工的疏忽和安全意識不足有關。一方面，人為錯誤直接暴露信息，另一方面，無法準確地辨識威脅使得社會工程和各種釣魚攻擊能夠

103、得逞。泄漏的信息又增強了下一次攻擊的欺騙性，這是一個惡性循環。個人數據安全合規。在數字化時代，個人數據已經成為組織的寶貴資產，但同時也帶來了許多隱私和安全問題。為了確保個人數據的安全和保護，政府和監管機構制定了許多隱私法規（如歐盟 GDPR、中國的個保法）和標準（如 ISO 27701）。這些法規和標準要求組織遵守一系列數據處理和安全保護措施，以確保個人數據的合規性和安全性。如果組織未能遵守適用的法規和標準，可能會面臨巨額罰款和聲譽損失。不合規的數據處理實踐也可能導致個人數據的泄露、濫用和不當使用，對受影響的個人的權利和利益產生負面影響。此外，由于各國法律標準和監管機構的不一致，跨國數據流動帶

104、來的合規問題成了一個復雜的挑戰。3.7Web4.0 的安全挑戰的安全挑戰Web4.0 比以往的技術迭代更具有革命性，與其他所有的新技術一樣，必然存在一些需要克服的安全風險。隨著越來越多的個人數據被存儲在線上，身份盜竊和其他網絡犯罪的風險也越來越大。保護用戶的個人信息和隱私權，防止數據 2023 云安全聯盟大中華區版權所有54泄露和濫用，將是一個持續的挑戰。在 Web2.0 時代，大量數據被集中存放在平臺的遠程服務器中，數據泄露將造成嚴重的后果。在 Web3.0 中，身份認證依賴與密碼學技術，對私鑰的保密要求很高，同時部分的數據存儲在公鏈上，這些數據雖然經過加密，但隨著硬件算力的提升與密碼學的發

105、展，這些數據的安全性會遭到嚴重威脅。而 web4.0 中引入的物聯網和腦機接口技術，如果發生數據泄漏，將對實體資產和身體健康造成破壞。隨著人工智能在 Web4.0 中的廣泛應用，惡意用戶可能會利用 AI 進行自動化的攻擊，例如自動生成釣魚網站或冒充身份。在軟件及硬件層面，包括應用、模型、平臺和芯片。編碼都可能存在漏洞或后門來實施高級攻擊。在模型層面上，攻擊者同樣可能在模型中植入后門并執行攻擊。在數據層面，攻擊者同樣能夠在訓練階段摻入惡意數據，影響模型的推理能力，也可以在判斷階段對要進行判斷的樣本加入少量人類難以察覺的噪聲，來可以改變檢測結果。物聯網設備的爆炸式增長為網絡安全帶來了新的挑戰。許多

106、 IoT 設備存在弱點，攻擊者可以利用這些弱點入侵網絡，從而威脅到用戶的隱私與安全。物聯網設備同時存在著物理安全與生命周期安全，IoT 設備可能被物理攻擊，包括設備被竊取、拆解等。同時在設備壽命結束之后，數據可能被泄漏。從 Web2.0 時代開始，云計算就變得越發主流，到了 Web4.0，云計算的安全變得更加重要。去中心化的結點基本都運行在云服務器上，云服務器上存儲著賬本和身份認證等重要信息，如果不對這些敏感信息進行適當的加密與訪問控制，會導致嚴重的安全威脅。Web4 中新普及的 AR 和 VR 技術可能會導致新的安全風險，包括用戶在虛擬環境中受到追蹤或被侵犯隱私。AR 和 VR 在提供沉浸式

107、和增強現實體驗時會收集大量用戶的隱私信息，如位置數據、生物特征等，在未經過充分保證的情況下，這些信息可能會被濫用或泄露，造成隱私問題。虛擬環境 2023 云安全聯盟大中華區版權所有55的交互與信息提供有別于之前的 Web 服務，惡意用戶可能會在虛擬環境中進行欺詐、騷擾或虛假信息的傳播?？偠灾?，web4.0 相較于之前 web 服務，融合了更多的新技術，每個新技術在帶來更友好的交互方式的同時也帶來了新的風險，多種新技術的組合也可能會產生難以預料的新問題，只有清楚每種新技術的缺陷，才能應對新出現的挑戰。3.8衛星通訊的安全挑戰衛星通訊的安全挑戰衛星通訊在提供便利性和廣覆蓋的同時，由于其架構復雜、

108、拓撲時變、網絡開放等特性，面臨的安全挑戰將會更加嚴峻。早在 2016 年，歐洲航天局的一顆衛星被黑客攻擊，黑客通過入侵衛星控制系統，篡改了衛星的指令，導致衛星無法正常運行。這個事件引起了對衛星通訊安全的廣泛關注，并促使相關機構加強了衛星通訊系統的安全性。大量案例表明衛星通訊系統面臨著來自黑客和間諜等惡意攻擊者的各種安全威脅和攻擊，對其承載通信業務和個人信息造成嚴重危害。圖 13 衛星通訊面臨的安全威脅示意圖具體地，衛星通訊存在以下安全挑戰：2023 云安全聯盟大中華區版權所有56 身份可信。衛星通訊中的身份驗證是一個重要的安全問題。如果未能正確驗證通信的發送者和接收者身份，可能會導致未經授權的

109、訪問和信息泄露。對于終端，由于空天地通信覆蓋的終端類型更加豐富，海量的終端全球隨時隨地接入，終端的真實性問題不可小覷。對于衛星設備，由于衛星節點不斷加入，衛星設備的可信性理應更加重視。衛星節點部署位置呈現周期性變化，使得衛星通訊網絡的拓撲始終高度動態變化，任何潛在的脆弱性、漏洞、錯誤配置等安全問題都可能幫助攻擊者假冒、劫持合法網絡節點，竊取、篡改、偽造數據，對網絡內部或者接入終端造成威脅。數據安全?；谝苿油ㄐ诺男l星通訊網絡需要移動通信網絡和衛星網絡的異構互聯互通。業務數據需進行遠距離跨域傳輸，數據傳輸過程中黑客可以通過截獲衛星信號或攻擊地面站點來獲取敏感信息。數據傳輸的安全防護難度加大，增加

110、了數據竊取、劫持、篡改或破壞等攻擊威脅的可能性。需要重點考慮對網絡進行分段保護或是端到端保護。網絡通信安全可靠?，F有移動網絡的攻擊，在基于移動通信的衛星通訊網絡中仍然存在，再加上衛星網絡環境的開放性、較低的處理能力等，基于移動通信的衛星通訊網絡可能更易遭受中間人攻擊、DDoS 攻擊等安全威脅，增加了數據竊聽、篡改等安全威脅的可能性，給業務的可用性、可靠性帶來了嚴峻的挑戰。網絡隔離。無線網絡切片為不同行業應用在共享的網絡基礎設施上，提供差異化的網絡服務，推動了應用服務的發展，而現有的網絡中并未考慮切片機制，衛星網絡融合無線網絡后，也需考慮切片的安全機制，尤其是切片隔離機制。物理安全。衛星通訊設備

111、和基礎設施需要保護免受破壞或盜竊等物理攻擊，包括保護地面站點、衛星發射設備和衛星本身。2023 云安全聯盟大中華區版權所有573.9算力網絡的安全挑戰算力網絡的安全挑戰算力網絡通常將算力資源徹底融入通信網絡，以一個更整體的形式提供給滿足用戶需求的資源服務。由于算力的泛在化引入了更多的安全風險點，更加開放的網絡架構和更大范圍的數據流動導致不確定性安全威脅增加，相較于傳統網絡，算網安全風險的變化主要體現在以下幾個方面：算力終端的多維度攻擊挑戰。算網終端的泛在接入導致的網絡攻擊暴露面增加，巨量的泛在終端存在被惡意軟件感染的風險。算力網絡將邊緣計算、云資源池、個人終端、物聯網終端等不同類型的計算資源整

112、合后提供算力服務。這些算力節點分布式存在于算網中，其中可能存在一些不可信節點，它們可能故意提供錯誤的計算結果，從而破壞整個網絡計算的準確性。算網網絡中的重要計算資源，可能成為黑客發動的大規模服務拒絕攻擊（DDoS）的目標。一旦網絡服務被拒絕，將導致計算任務無法正常進行，從而引起算網局部乃至整體能力的癱瘓。算網網絡架構變化引入的風險。算力網絡架構上分為多層，一般包括資源層、編排控制層以及運營層。在各層之間存在大量的調用接口以及每層引入的新網元實體或能力均會帶來大量的風險因素，如新增算網大腦單元風險、承載感知、決策和控制能力的網絡功能單元、SRv6 技術及其承載單元的安全風險等。算力使用及交易流程

113、引入的風險。數據泄露風險，算力網絡存儲大量數據，既有個人信息，也包括商業秘密數據等。如果未能采取有效的安全措施，黑客可能利用漏洞獲取這些數據，并進行非法利用。因算力交易新商業引入的端到端數據安全風險和管理復雜度雙提升，如數據暴露面增加、存證溯源復雜度和要求提升等帶來的算力交易風險。2023 云安全聯盟大中華區版權所有583.10物聯網技術的安全挑戰物聯網技術的安全挑戰隨著物聯網技術的不斷發展，其將不斷賦能各行各業，成為產業升級、應用場景創新發展、產業鏈持續完善的重要動力。物聯網技術涉及通信網絡、云計算、人工智能、移動 APP、WEB 等技術，不僅沿襲了傳統互聯網的安全風險，而且還包括傳感器安全

114、風險、感知終端安全風險、云端安全風險等。通過對安全風險進行分析，物聯網的安全風險建模如下圖 14 所示：圖 14 物聯網的安全風險建模示意圖隨著新技術、法規、用例和威脅的出現，物聯網技術仍面臨著一系列的安全挑戰，主要體現在以下幾個方面：AIoT 技術的安全挑戰。AIoT 系統的安全問題包括內外部安全問題。內部安全問題主要是 AI 資產的安全。AI 需要實時檢測、評估和響應各種輸入，因此 AI 內部存儲設備和接口不適合加密，否則同樣的操作需要耗費更多的資源和時間。通常將其存儲在外部非易失性存儲器中，這將使其面臨著日益增加的攻擊風險，因此內部存儲設備和接口設計都需要采取適當的安 2023 云安全聯

115、盟大中華區版權所有59全防護措施。AIoT 安全的外部挑戰也日益增加，各國政府都被勒索軟件和其他惡意事件攻擊日益頻繁。此外，AIoT 系統需要多種類型的計算，主要包括智能終端、網絡設備、云服務、業務服務等部分。其中智能終端是最基礎也是最關鍵的一環，而智能終端所依賴的 AI 芯片、操作系統、AI 算法等仍依賴國外技術，甚至使用國外密碼算法。AIoT 核心部件“卡脖子”的核心技術掌握在別人手里，供應鏈未能實現自主可控，無法滿足我國現有安全合規要求。數據安全傳輸。在信息技術背景下考慮數據傳輸的安全性并不是新問題，但物聯網實現的諸多屬性提出了新的獨特安全性挑戰。由于物聯網的網絡異構特性,攻擊者能夠在數

116、據傳輸過程中找到合適攻擊點的概率大大增加。在數據傳輸過程中可能發生的安全挑戰主要包括：仿冒、篡改、信息泄露、拒絕服務等。應用安全。隨著物聯網技術的快速發展，現已廣泛應用于不同的領域，部署的云端服務、應用程序、應用系統和相關軟件的漏洞都可能導致系統受攻擊和破壞。不安全的應用程序風險如缺乏數據訪問權限設置及授權、身份認證、系統或用戶的密碼缺乏復雜程度或使用弱加密算法、缺乏輸入和輸出認證等。不同的應用會有不同的用戶使用權限，因此需要采用身份驗證技術和訪問控制方法以防止非法用戶的訪問和保障企業數據安全。軟件漏洞和配置錯誤是物聯網技術的常見威脅，這些威脅通常易被攻擊者使用的攻擊工具入侵。軟件開發人員采用

117、非標準代碼來編寫軟件,這可能會導致緩沖區溢出漏洞等問題。使用不安全的接口、不安全的默認配置、過時的組件、弱密碼等技術，也會使安全漏洞頻發。4 應對策略與案例研究應對策略與案例研究4.1量子計算的安全應對策略及案例量子計算的安全應對策略及案例量子算法的出現對傳統密碼系統產生了一定的沖擊。相對于經典算法，量子 2023 云安全聯盟大中華區版權所有60算法在某些問題上具有顯著的加速性，即可以在多項式時間內解決傳統計算機需要指數時間解決的問題，比如大整數分解。然而，并非所有數學問題對量子算法都具有優勢，對于某些問題，如 NP 完全問題、基于格、基于編碼和基于多變元方程的數學問題，量子算法并沒有明顯的優

118、勢。盡管如此，量子計算的發展催生了后量子密碼學的研究，旨在設計對抗量子計 算 機 的 經 典 密 碼 算 法。其 中 一 個 基 本 問 題 是LearningParitywithNoise(LPN)問題，要求在已知系數和結果的情況下解決未知數。該問題被證明是 NP 完全問題，迄今為止，無法找到解決該問題的有效算法。在該領域，我國學者在后量子對稱密碼算法和密碼分析上取得了領先成果。LPN 問題的推廣是 LearningwithErrors(LWE)問題，其要求解決在更大的素數域上的方程組。雖然 LWE 在效率上有所降低，但它具有更廣泛的密碼應用，如公鑰加密、抗碰撞哈希函數和全同態加密等。圖 1

119、5 PQC:Post-Quantum Cryptography,QKD:量子密鑰分發量子算法對于傳統密碼系統的沖擊是雙重的，一方面它可以高效地解決某些問題，另一方面它也催生了后量子密碼學研究，以應對量子計算機的威脅。美國國家標準技術研究所(NIST)、歐洲電信標準化協會(ETSI)、美國電氣和電子 2023 云安全聯盟大中華區版權所有61工程師協會(IEEE)以及大型科技企業（如谷歌、微軟）等對后量子密碼的技術應用和標準制定投入了大力的工作。圖 16 Quantum computing exposure,TLSProtocol從 Chrome116 版本開始，谷歌 Chrome 瀏覽器將支持混

120、合后量子密鑰協議X25519Kyber768。這種混合機制將 X25519 橢圓曲線算法與 Kyber-768 抗量子密鑰封裝方法結合起來，用于會話密鑰的創建。X25519 在 TLS 中廣泛用于密鑰協商，而 Kyber-768 是美國國家標準技術研究院（NIST）公布的首批后量子密碼標準算法之一。OBrien 指出，谷歌團隊正在努力準備網絡遷移到抗量子密碼學，并更新技術標準，測試和部署新的抗量子算法，與生態系統合作，以確保成功應對這一重大轉變。谷歌瀏覽器使用的 TLS（傳輸層安全協議）是一種加密協議，可為通過Internet 在應用程序之間發送的數據提供端到端的安全性，它通過加密稱為記錄的應

121、用程序數據塊來實現這一點。這些記錄使用所謂的對稱密碼進行加密，通常是像高級加密標準（AES）或像 AES-GCM 這樣的流密碼，它生成一個數據流，可以簡單地與明文進行 XOR 操作以創建密文。記錄的最后部分是一個哈希消息認證碼（HMAC），這是校驗和。接 2023 云安全聯盟大中華區版權所有62收者可以使用 HMAC 來確定記錄沒有被篡改。但是，在客戶端和服務器開始在傳輸過程中來回發送這些記錄之前，它們需要就用于加密所有記錄的快速加密密鑰達成一致。應用最廣泛的公鑰密碼系統是基于橢圓曲線離散對數分解的 ECC 和基于大叔的質因數分解的 RSA 加密。然而，ECC 和 RSA 都容易受到量子計算機

122、的攻擊。一旦密鑰被破解，傳輸的數據就會被盜取，這意味著在 Chrome 中，越早更新 TLS 以使用抗量子會話密鑰，就能越早保護用戶網絡流量免受未來量子密碼分析的影響。谷歌 Chrome 的使用混合橢圓曲線算法和抗量子密鑰封裝方法這一策略標志著整個網絡安全領域對于量子計算潛在威脅的認知升級。在量子計算日益成熟的今天，傳統的加密方法可能會面臨前所未有的挑戰。而谷歌此次的決策，實際上是對未來可能的量子攻擊的一種預防性策略。4.26G 通信技術的安全應對策略及案例通信技術的安全應對策略及案例6G 安全應對策略可以分為三類：一是技術賦能 6G 安全，包括區塊鏈、軟件定義安全和人工智能安全等技術；二是可

123、信內生安全技術，包括無線物理層安全、擬態防御擬態構造等技術；三是傳統安全技術增強，包括量子安全、隱私保護等技術。從保障目標來看，三類技術將圍繞安全、彈性和可信的目標，支撐整體6G 安全體系設計。重點介紹其中幾種應對策略和案例。無線物理層安全技術無線物理層安全技術利用無線信道的各點異性、隨機時變性和第三方測不準特性等天然的內生安全屬性，面向電磁傳播機理的內源性缺陷設計安全功能，提供可融合但不依賴于傳統密碼的安全方案，在物理層實現對抗無線廣義不確定擾動的無線通信廣義魯棒控制。（1）輕量級接入認證物理層認證技術，是利用無線網絡物理層的私有信道特征提供低復雜度、高安全性的安全方案，分為基于設備指紋的認

124、證和基于信道指紋的認證兩種。前者 2023 云安全聯盟大中華區版權所有63利用硬件設備的電特性差異提取設備獨有的特征，將這種唯一標識作為設備的認證指紋；后者不需要額外的信號提取設備，從無線信道特征入手，利用不同位置設備的信道特征之間存在的不相干性進行認證。（2）輕量級加解密物理層密鑰生成技術，通過利用信道的互易性、時變性、唯一性等特征，基站與用戶對信道進行探測，得到共同隨機性以生成對稱密鑰，進行輕量級的加解密處理。物理層密鑰生成可以做到一次一密，實現信息論安全的密碼安全保護。（3）6G 案例應用6G 網絡為多種網絡環境下的海量設備提供了統一的接入服務，包括移動通信網、衛星互聯網、車聯網、智慧城

125、市、物聯網等。這些異構設備的接入認證需求各不相同，例如車聯網傳感設備需要低時延和輕量級的認證，而衛星互聯網終端則需要隨時接入和頻繁切換的認證。未來，6G 網絡可能會采用可見光通信技術、超大規模天線技術、AI 無線通信技術等前沿技術，這些新技術對 6G 無線安全技術提出了更高的要求。核心網擬態防御構造技術擬態防御以動態異構冗余（DynamicHeterogeneousRedundancy，DHR）構造為核心，基于“結構決定安全”的方法論，具有安全性可量化設計/可驗證度量的實踐規范，能夠用一體化架構解決 6G 網絡安全與功能安全交織難題等，有效防御“挖漏洞、設后門、植病毒、藏木馬”等基于軟硬件內部

126、漏洞后門的經典網絡攻擊，有力抑制或管控確定或不確定風險、已知或未知的安全威脅，是實現網絡彈性的理想解決方案。（1）內生安全原生云平臺內生安全云原生平臺架構上可分為基礎設施層、云平臺層和應用層，通過對微服務擬態化共性需求進行提煉，形成內生安全微服務框架。內生安全微服務框 2023 云安全聯盟大中華區版權所有64架能自動化地為微服務應用提供擬態基礎能力，包括擬態架構編排、異構執行體的選擇、定時執行體輪換機制、受攻擊執行體輪換機制等。（2）擬態構造微服務核心網內生安全技術利用 6G 網絡池化資源的動態性、異構性、冗余性等天然內生安全屬性，針對微服務通信故障或微服務功能設計實現上的漏洞后門帶來的未知安

127、全威脅，遵循隘口設防/要地防護的防御原則，對網絡關口和關鍵微服務等進行內生安全 DHR 構造，利用不可信、低可靠的構件來構造安全、可靠的系統，同時應對不確定安全威脅和不確定隨機故障，一體化解決安全可信性、功能可靠性、服務可用性。（3）6G 案例應用面向人機物三元融合的世界，還需特別重視 6G 網絡的廣義功能安全（Safety&Security），以便能有效應對“高強度網絡戰”對數字基礎設施的“致癱致亂”攻擊。另一方面，在云化網絡部署中，為了保證業務的高可靠性，網元微服務將會進行冗余部署，這些特點為微服務擬態化構造提供了極大便利，因此不會帶來過多的成本代價。4.3人工智能的安全應對策略及案例人工

128、智能的安全應對策略及案例要應對人工智能帶來的安全挑戰，需要綜合多種措施。已得到各國政府的高度重視：中國已經發布了人工智能安全白皮書（2018 年）、新一代人工智能倫理規范（2021 年）、生成式人工智能服務管理暫行辦法(2023 年)、全球人工智能治理倡議(2023 年 10 月 18 日)等相關指導規范；美國、歐盟和世界衛生組織等也發布了人工智能應用監管指南（2020 年）、世界衛生組織衛生健康領域人工智能倫理與治理指南（2021 年）等，以規范 AI 的開發利用行為。這里重點討論 AI 網絡攻擊的防御策略。因為 AI 網絡攻擊將嚴重威脅國家安全、公共安全和經濟繁榮，并污染互聯網環境。202

129、3 云安全聯盟大中華區版權所有65當今的網絡安全行業嚴重依賴傳統方法（主要是人工驅動+基于攻擊特征值的防火墻、WAF、IDS/IPS、UTM 等傳統安全產品的方法）。隨著基于大語言模型的生成式 AI 變革浪潮襲來，首當其沖的是網絡安全行業正面臨一次技術和方法的顛覆性革命。人工智能攻擊的防御是急需研究的課題。這是全新的挑戰。1)使用水印技術識別 AI 生成的結果人工智能生成的虛假信息可以非常熟練地模仿我們的臉、我們的聲音、我們的手勢，但完全是虛假的?？梢砸?AI 生成的圖像都帶有水印或標簽，以便計算機能夠檢測這個系統是否是由生成式 AI 系統生成的?？梢砸钥梢娀虿豢梢姷姆绞绞褂秒[寫術加水印技術

130、，這可以通過圖像、視頻和音頻的生成過程來實現。2)使用人工智能識別 AI 攻擊利用基于神經元網絡 AI 的方法去識別、防御 AI 攻擊。這是很容易想到的技術路線。目前的研究情況是：在威脅檢測方面，人們嘗試基于機器學習的惡意代碼檢測，到后來嘗試過用深度學習解決安全問題，到今天嘗試用 AI 的大模型、用多模態這些技術來做檢測。但在實戰中都沒有取得理想的結果。因為存在兩大問題：1高質量的訓練數據集是關鍵。遺憾的是：我們無法實時得到千變萬化的AI 攻擊的特征值，我們只能使用過去的特征值。從原理上 AI 不可能從過去的已知攻擊的舊數據里學習出明天后天才出現的新未知攻擊（包括 AI 攻擊）的特征值。2機器

131、學習的滯后性問題：訓練大模型時需要事先準備大量的標記數據，然后學習本身也要大量的時間和成本。這種學習速度很難應對今天互聯網上每天產生的 38 萬到 72 萬“前所未有的惡意軟件”，以及爆發的千變萬化的 AI 攻擊。如果這兩個問題得不到突破的話，這條技術路線目前還看不到希望。距離到實戰還有很長的路要走。目前，AI 檢測機器人只對舊的已知攻擊的檢出有一定幫助。2023 云安全聯盟大中華區版權所有663）生物自防御技術的應用從防御方的角度看，千變萬化的 AI 網絡攻擊呈現出不可識別、不可攔截、不可預測、不可模擬的特性，與其它的未知攻擊一樣。不可能事先得到攻擊特征值。更何況 AI 網絡攻擊已經進化到攻

132、擊特征值是動態可變的：每 24 小時自動生成新攻擊代碼。因此對 AI 網絡攻擊的防御必須擺脫對攻擊特征值的依賴，必須另辟蹊徑?；ヂ摼W未知攻擊的防御是迫切需要解決的世界性難題。是數字經濟發展的攔路虎。研究表明：“隔離+生物自防御”機制是未知攻擊的克星。在自然空間里這一機制曾幫助我國在沒有特效藥的情況下戰勝了前所未有的 SARS、新冠病毒的未知攻擊。人體里有一套“生物自防御”機制或系統，至少包括：數字皮膚、免疫、自我痊愈、神經監測和排毒五道主防線。但是在網絡空間的計算機里、網絡里、云平臺里因為缺乏這種“生物自防御”機制，所以病毒和攻擊者一侵入就出事了或者喪命了。就像白血病患者一樣脆弱不堪.生物自防

133、御技術是研究如何把這套“隔離+生物自防御”機制復制到計算機和計算機系統里，增加抗未知攻擊的能力的前沿交叉學科。4.4云原生的安全應對策略及案例云原生的安全應對策略及案例隨著在云原生安全方向上的深入研究，人們發現安全+云原生并不是簡單組合就能變成云原生安全。要想做好云原生安全，就必須按照云原生的理念去思考安全問題怎么解決，云原生安全應該是一個整體，而不是各個割裂的安全產品。圖 17 云原生和安全不是簡單的組合云原生的一個底層核心理念就是拆解、組合和標準化，這其實也是軟件開發領域一個軟件工程師長期追求的目標，即將業務邏輯和通用邏輯不斷拆分，通用 2023 云安全聯盟大中華區版權所有67邏輯逐漸獨立

134、標準化，開發人員只需要關注自身業務邏輯。kubernetes 從業務應用的角度將通用邏輯拆解，解決部署和運維自動化的問題。不可變基礎設施作為云原生技術要素，是最容易被忽略的，但是這個理念卻是云原生能夠持續發展的核心，極大地降低了云原生的復雜度，將標準化發揮到極致?；谶@個理念，不再需要關注業務運行過程的復雜變化，業務靈活性、可移植性都有大幅提升?；谶@些云原生理念和面臨的安全問題，云原生安全的發展方向應該朝著安全原生化、安全一體化發展。安全原生化安全原生化就是要從云原生的角度思考和實施安全，讓安全融入云原生應用生命周期的每一個階段：代碼、測試、構建、運行、維護，每個階段都能夠有合適的安全防護措

135、施，這些措施與云原生能夠緊密結合，用戶在接受這些安全防護措施保護的時候，能夠無感。代碼階段能夠自動進行白盒掃碼、編排文件掃描、敏感信息掃描，測試階段能夠自動進行安全測試、模糊測試，構建階段能夠自動進行編排文件掃描、鏡像掃描、提供安全基礎鏡像，運行階段安全隔離、安全防護能夠自動與應用進行結合，維護階段安全事件能夠自動化處置和響應。這樣云原生應用就能夠實現上線即安全，運行即安全。安全一體化安全一體化包含了兩部分：安全能力原子化和安全方案一體化。傳統安全產品經歷了多年發展，每個產品都包含了眾多安全能力，在云原生架構下，這些安全能力需要重新進行思考，在合適的位置使用。安全能力不應受到慣性的影響，需要將

136、安全產品切分到原子化的安全能力，再尋找到合適的位置，重組成新的云原生安全。例如安全領域最基礎的安全隔離，傳統的邊界隔離不能滿足云原生應用的靈活性需求，就要將安全隔離能力分解，既要有傳統大邊界安全隔離也要有能動態調整的安全微隔離，通過兩種方式來實現完整的云原生安全隔離。安全方案一體化就是在安全能力原子化的基礎上，將各安全原子能力按照云原生架構進行組合，形成統一的安全產品方案，不再是一堆安全產品堆砌和組合。2023 云安全聯盟大中華區版權所有68以上云原生安全應對策略和方向，還可以細化為更加具體的執行策略和評估方式。自動化安全傳統安全受限于應用架構的影響，很多場景都無法做到完全自動化，雖然近年來也

137、提出了 SOAR 自動編排響應，但具體完全實現自動化還有很長的路要走。云原生得益于架構優勢，整個生命周期都能夠實現完全自動化，這也讓自動化安全成為可能，因此自動化可以做云原生安全方案是否良好的一個評估標準。安全能力全面覆蓋云原生貫穿整個應用生命周期，因此云原生安全應覆蓋應用的整個生命周期。另一方面應用的運行路徑也會被云原生架構管理，天然具備架構感知識別能力，因此安全也要覆蓋到應用運行路徑的整個鏈路，確保每個角落都能具備合適的安全能力。安全智能對人友好傳統安全基于策略和告警模式，告警繁多，需要專職的人員進行告警處理，大量無效告警不僅浪費人員精力，還容易造成心理懈怠。云原生場景下，這些告警應能夠進

138、行智能化地分析，基于資源關聯和告警路徑，實現告警自動化處理，減少人員重復工作，自動進行響應和處理，及時有效地阻斷攻擊。零信任思想零信任的一個核心要素是身份，傳統架構下身份無法實現自動化，要管理身份就需要人為介入，賦予對象合適的身份，或者對接各種 CMDB，在現實場景會遇到諸多問題，就導致在傳統架構下零信任實施困難。在云原生架構下，所有的資源都能夠通過自動化管理，因此天然就具備身份。以 kubernetes 網絡安全策略為例，就能夠在不關注具體 IP 地址的情況下，自動基于命名空間、名稱、標簽等多種手段實現網絡隔離，這就為零信任的實施帶來了極大便利。2023 云安全聯盟大中華區版權所有69構建云

139、原生安全體系時，需要注重包括安全左移在內的全生命周期原生安全。這流程意味著在軟件開發和部署過程中將安全性考慮納入早期階段，并嵌入全生命周期流程，保障鏡像構建、存儲、分發以及運行時的安全?？傊?，云原生安全應從各個維度進行防護，不僅包括傳統的南北向 DDos 防護、WAF、IPS 能力，還應包括東西向的零信任微隔離，防御攻擊橫向滲透。圖 18 云原生安全防護方案云原生安全發展到現在，越來越多的企業也在推出自己的云原生安全解決方案，在這個市場上，不僅有傳統安全廠商、云廠商，還有眾多創業型的云原生安全公司?？梢钥吹讲还苁鞘袌鲆幠?，還是未來發展都有很大提升空間。傳統安全廠商有安全能力積累的優勢、云廠商有

140、基礎設施和安全能力組合的架構優勢，新興創業型云原生安全公司沒有歷史包袱，相信這些企業能夠為云原生行業帶來新的安全范式。4.5數字孿生的安全應對策略及案例數字孿生的安全應對策略及案例針對數字孿生的各種威脅和脆弱性，需要采取適當的策略控制數字孿生受到攻擊時的損害。除了應對傳統網絡攻擊和新興技術攻擊所需要制定的應對策略外，還應當考慮到數字孿生的特性，例如：數字孿生允許現實世界到處理系統的循環狀態更新，因此數字孿生的精確表示，即保真度，對于數字孿生安全至關重要。然而，數字孿生模型越能夠準確地反映其現實世界對應目標物，攻擊者就越容易 2023 云安全聯盟大中華區版權所有70理解系統行為。針對數字孿生系統

141、的攻擊視圖如下表：攻擊者工件目標產品生命周期操縱數字孿生的良性行為，將 CPS 引導到不安全的狀態利用數字線索，因為它在整個產品生命周期中被用于鏈接數據復制模式通過將數字孿生的虛擬行為復制到物理設備的相應程序狀態來運行直接循環狀態更新仿真模式通過重新運行測試仿真來學習系統行為在安全測試期間操作仿真參數或系統規格數據設計階段利用數字孿生的基于規范或基于機器學習的流程知識停用階段由于數字孿生處置不當而導致的系統知識重用使用數據安全漏洞（如未經授權的訪問）來訪問存檔的數字孿生數據橫向移動獲得對高價值資產（如設計工件）的控制以隨機間隔操作傳感器讀數或模擬參數，同時確保新值不會與實際過程值明顯偏差表 3

142、 數字孿生系統的攻擊者透視表因此，針對數字孿生安全，我們還需要特別關注：首先，需要制定數字孿生的安全策略，決定熟悉孿生系統在遭受攻擊時是完全斷開服務網絡，還是降級服務進入安全狀態。這需要組織制定應急計劃，通過快速補救措施和小規模修復，減少事件發生的可能性及其恢復時間。2023 云安全聯盟大中華區版權所有71其次，數字孿生的生命周期跨越不同的階段，在不同生命周期階段執行各種任務涉及多個利益相關者。因此，需要制定相關的數字孿生系統訪問權限的企業策略和規則，并對數據全生命周期執行加密。第三，基于技術、拓撲和控制件生成虛擬環境中的參數可以幫助模擬現實世界對應目標的正確行為。為了避免 GIGO（垃圾輸入

143、垃圾輸出）問題，確保生成數據的來源的可信度，可以使用基于底層系統網絡/邏輯層設計規范的工程知識，即工程知識可以作為隱式安全規則的基礎（例如：根據設備良性行為定義安全狀態、根據閾值交叉驗證設備數據、檢測未知設備或未識別的連接）。圖 19 數字孿生語義建模與網絡靶場第四，采用威脅情報驅動的解決方案收集有關攻擊者行為的信息。威脅狩獵可以使用此類情報（例如：IoC，即失陷指標）來識別攻擊事實。在恢復的過程中，關閉受影響的設備或服務可以限制網絡攻擊造成的進一步損害。2023 云安全聯盟大中華區版權所有72最后，實施基于可信數據流解決方案對數字孿生進行審計活動，跟蹤設置參數和狀態數據，以及訪問這些數據的實

144、體，以檢測和定位系統中的故障節點。案例研究IEEE 在第 46 屆計算機、軟件和應用年會發布了名為利用數字孿生安全模擬系統網絡威脅情報 的報告。這一報告把數字孿生和網絡威脅情報進行了深入融合，利用數字孿生對工業控制系統(ICS)的攻擊場景進行仿真，獲得有價值的威脅信息，它的意義在于嘗試把上述數字孿生的安全策略與數字孿生本身有機的結合到了一起。報告概述了從數字孿生安全模擬開始的結構化威脅情報報告的系統步驟:首先展示了行動過程并定義了框架部署的正式需求；然后，使用一個原型數字孿生應用程序進行攻擊模擬，以評估所定義的框架；使用 STIX2.1 標準，通過實用工具來指導流程步驟幫助生成 CTI（網絡威

145、脅情報）。實驗結果表明，該數字孿生系統可以系統地構建 STIX2.1CTI 報告，并有可能根據現存的用例進行定制；將數字孿生安全模擬添加到 CTI 源列表中可幫助組織改善其安全狀況。4.6隱私保護的安全應對策略及案例隱私保護的安全應對策略及案例當今大數據時代，個人信息的泄露已成為一種十分普遍的現象，尤其是在信息技術日新月異的今天，黑客攻擊、網絡釣魚等安全威脅層出不窮。因此，如何進行個人信息保護，保障存儲個人信息的系統安全已成為一個緊迫的問題。安全方法論也正逐步從”針對威脅的安全防御”向“面向業務的安全治理”等演進。企業安全能力框架(IPDRR)是美國國家標準與技術研究所的網絡安全框架（簡稱NI

146、STCSF)。它包括風險識別（Identify）、安全防御（Protect）、安全檢測（Detect）、安全響應（Response）和安全恢復（Recovery）五大能力，從以防護為核心的模型，轉向以檢測和業務連續性管理的模型，變被動為主動，最終達成自適應的安全能力。2023 云安全聯盟大中華區版權所有73圖 20 網絡安全框架 CSF具體來說 IPDRR 主要包含了五個部分：識別（Identify）識別網絡資產及風險，是指對系統、資產、數據和網絡所面臨的安全風險的認識及確認保護（Protect）保護網絡，是指制定和實施合適的安全措施，確保能夠提供關鍵基礎設施服務。檢測（Detect）發現攻擊

147、。在攻擊產生時即時監測，同時監控業務和保護措施是否正常運行，制定和實施恰當的行動以發現網絡安全事件響應（Respond）：響應和處理事件，指對已經發現的網絡安全事件采取合適的行動。具體程序依據事件的影響程度來進行抉擇，主要包括：事件調查、評估損害、收集證據、報告事件和恢復系統恢復（Recover）：恢復系統和修復漏洞。將系統恢復至正常狀態，同時找到事件的根本原因，并進行預防和修復。2023 云安全聯盟大中華區版權所有74圖 21 IPDRR 示例以電子商城 X 企業為例，X 企業可以通過在內部落地 IPDRR。首先要識別企業的網絡安全資產如重要信息系統、服務器等，確保漏洞，基線配置滿足合規要求

148、。然后需要做好基本的安全防護，比如在域間設置防火墻、主機裝 EDR、開啟基于零信任的認證訪問控制器、部署入侵檢測設備等。其次，還要部署安全控制器將這些基礎防護設備的告警接入做到安全告警的檢測分析做到運營態安全。比如發現漏洞要進行補洞加固等、發現攻擊封堵 IP 等。最后是恢復，對已經造成的攻擊破壞進行恢復至正常運行狀態，安全控制器對于被失陷的主機進行隔離殺毒或重裝系統等。4.7Web4.0 的安全應對策略及案例的安全應對策略及案例使用虛擬現實或增強現實技術是提升交互感的最直接的方式。使用虛擬現實技術用于模擬場景可以進行相關行業的培訓。在醫療方面，在傳統的外科手術培訓中，由于解剖的材料稀缺，通常由

149、多個人甚至幾十人共用一個解剖材料進行訓練練習，導致教學質量大受影響。而在虛擬世界中，可以提供仿真的 3D 模型，其便攜性、易用性以及隨時可操作練習為傳統的外科手術培訓提供了新的可能。2023 云安全聯盟大中華區版權所有75同時，使用物聯網與高速網絡可以讓外科醫生能夠遠程操控醫療器械進行手術。而在輕度的精神疾病中，對于傳統的治療方案，都是醫生與病人進行言語交流，引導患者疏導心理壓力。但多數的精神疾病患者都是獨處且抗拒與他人接觸，通過虛擬現實技術可以幫助患者在虛擬世界的互動改善心理狀況，可以塑造各種情景，讓患者更快地進入情境，醫生更快地掌握病情，更好更快地對癥治療。在以上所講的三種在醫療的使用場景

150、中，最重要的便是對生物特征與個人信息的保護。市面現有的可穿戴設備大多為安卓系統，還有還未上市的使用蘋果自有系統的可穿戴設備，攻擊者可以通過攻擊操作系統的方式竊取相關信息，或傳遞虛假內容。為了反制這種攻擊，可以重新研發專為該種設備運行的操作系統，并進行嚴格安全測試。4.8衛星通訊的安全應對策略及案例衛星通訊的安全應對策略及案例由于衛星鏈路的開放性、移動性和低功耗等特征，與移動網絡的攻防態勢存在著較大的差異，但也存在著諸多相通的技術，可以使用和借鑒。對基于移動通信的衛星通訊網絡安全性進行分層考慮，重點對認證、可用性、數據通信安全、切片隔離幾個安全屬性進行分析和考量，以防范身份假冒、中間人攻擊、DD

151、oS攻擊、數據泄露等安全威脅。2023 云安全聯盟大中華區版權所有76圖 22 衛星通訊安全機制（1）設備間認證設備間認證提供了終端接入認證、網絡節點間認證和衛星節點可信啟動等多層次、全方位的身份可信保障機制?；诮y一認證架構對終端和服務網絡實現雙向認證，保護用戶和網絡之間的相互可信。同時采用二次認證或切片認證機制，防止未授權用戶訪問業務或者切片。借助 IKE 協議，在通信對端節點之間進行身份信息交互，驗證對端節點身份的合法性，實現網絡功能節點間的互信認證。此外，為保障衛星節點的可信可靠，可結合可信計算技術，每個衛星節點從系統啟動開始防護，對可信啟動鏈條中的每個實體逐級進行完整性驗證，與其他可

152、信節點共同形成一個可信的網絡。同時利用可信根保存驗證結果，避免外部軟件對驗證數據的惡意篡改。（2）數據通信安全考慮到衛星通訊網絡的復雜性，可以對網絡進行分段防護，包括空口安全、星間鏈路安全、回傳網絡安全和應用層安全，保障控制面和數據面完整性和機密性。為保證空口通信安全，用戶終端與基站之間的 RRC 和 NAS 信令需要進行完整 2023 云安全聯盟大中華區版權所有77性保護，信令機密性、數據機密性和完整性根據網絡需要選擇性開啟，可有效阻止偽基站引發的數據劫持攻擊。對于承載網絡，星間鏈路的機密性和完整性保護可參考現有安全機制，如 SCPS-SP、IPSec 等安全協議。衛星網絡與無線核心網之間的

153、回傳網可以考慮 LAN-to-LANIPSec 技術。此外，還需考慮應用層通信安全。終端與服務方之間往往采用 TLS 和 IPSec 協議，以便從端到端保護應用層數據的機密性和完整性。（3）可用性與可靠性考慮采用輕量級的攻擊檢測技術（如 SOM 自組織圖、SVM-SOM 等），或者結合 LSTM 深度學習模型、SVM 等在空間網絡中進行 DDoS 檢測。通過加強終端接入認證與驗證、基于終端的業務身份向終端授權業務訪問、由衛星節點對數據業務提供會話輕量化驗證等機制，及時識別異常流量，實現近源端的業務合法性主動防御?？刂泼娴?DDoS 攻擊可以采用禁止 ICMP 報文、禁止廣播報文、增加 ACL過

154、濾、增加黑白名單、單包授權等機制實施防護。移動網絡 NR 競爭接入通常采用限速方式，避免競爭接入產生的信令風暴。同時還可以對用戶接入的響應消息進行加擾，使得攻擊者無法正確解碼，避免用戶終端隨機接入攻擊的發生。在頻段壓制方面，對無線信道進行動態信道分配、增加頻段保護帶、提高濾波精度、移頻等技術，可以一定程度上應對頻段壓制。（4）切片隔離網絡切片端到端安全隔離機制包括 RAN 切片安全隔離、承載切片安全隔離以及核心網切片的安全隔離。根據不同應用場景需求，利用資源池預留和分配實現衛星接入網子切片的定制化，實現無線資源的隔離。承載網隔離機制通過將一個物理端口劃分為多個邏輯端口實現切片，支持任意子速率分

155、片和隔離，業務約束在某切片中承載。對于核心網，可以采用物理隔離的方案，為安全性要求較高的切片分配相對獨立的物理資源，也可以采用邏輯隔離方案，借助成熟的虛擬化技 2023 云安全聯盟大中華區版權所有78術，在網絡層通過劃分 VLAN/VXLAN 子網進行隔離，在管理層通過分權分域實現切片管理和編排的隔離。4.9算力網絡的安全應對策略及案例算力網絡的安全應對策略及案例與傳統網絡安全一樣，為保護算力網絡端到端的安全，需要采用以下增強安全機制：數據加密和身份驗證：算力網絡中的數據加密是保護敏感信息的重要措施。通過使用加密算法，可以將數據轉化為無法被解讀的密文，以防止黑客竊取。同時，要對訪問算力網絡的用

156、戶進行身份驗證，確保只有授權用戶才能訪問和處理數據。安全漏洞和漏洞修復：算力網絡中存在的安全漏洞可能會被黑客利用來進行攻擊。因此，及時發現和修復這些漏洞是非常重要的。網絡管理員應定期進行系統和應用程序的安全掃描，并及時更新補丁，以保持網絡的安全性。強化訪問控制和權限管理：為了防止未經授權的訪問和潛在的數據泄露，算力網絡應實施嚴格的訪問控制和權限管理機制。只有經過授權的用戶才能訪問特定的數據和功能，并且需要嚴格的身份驗證和授權流程。實施網絡監測和入侵檢測系統：算力網絡應配備網絡監測和入侵檢測系統，可以實時監控網絡流量和檢測潛在的入侵行為。這些系統可以及時發現異?；顒?，并采取措施阻止入侵，保護網絡

157、的安全性。建立災備和恢復機制：算力網絡的安全性還需要考慮到災備和恢復機制。在發生安全事件或故障時，需要有備份數據和災備計劃，以確保數據的可靠性和業務的連續性。2023 云安全聯盟大中華區版權所有79在算力網絡體系中，通過將網絡、算力、安全能力融合協同，以安全內生和彈性資源供給的方式構建安全體系，對算網中的威脅進行實時定位、智能研判、協同聯動，打造全程可信的確定性安全算力網絡。一方面，基于算力網絡安全需求識別，將終端、服務、網元身份和位置進行數字化統一表達，充分考慮算力業務特點及其安全防護需求，在算網設計頂層進行具有內生安全特性的 NISC（NetworkwithIntrinsicSecurit

158、yCommunication）可信通信技術體系構建。面向算網系統的 NISC 可信通信技術應考慮身份可信接入和服務合法訪問的應對策略，為未來算力網絡提供實時、高效、可信的攻擊主動防御能力。身份可信接入傳統 IP 網絡缺乏基本的安全性設計，仿冒源地址引發的算力攻擊層出不窮，而現有的可信通信技術驗證開銷大、保護機制考慮不夠周全，難以滿足擁有多樣化應用、海量終端的泛在網絡安全需求，因而需要考慮如何系統性構建高效的真實源驗證安全機制。通過可信身份的縱向信任傳遞框架、關鍵信息的輕量化驗證方案的設計，算力業務源 IP 的真實性控制機制提供基于用戶可信身份的認證增強、用戶資源的可信分配授權、面向用戶身份的接

159、入網驗證技術，避免地址假冒引發的網絡攻擊、信息非法獲取等異常操作，實現用戶接入算力網絡時的輕量化實時驗證、精細化管控和網絡安全可信傳輸。服務合法訪問充分保證訪問算力業務的源地址可信的同時，目標業務可合法訪問也應得以關注。端到端通信業務如何確保業務獲取目的端訪問授權、如何高效識別數據報文的合法與否均值得深入研究。面向算力業務的網絡層防御通過全方位構建目標域鑒權授權和業務隨路精細化控制機制，及時阻止無合法訪問權限的真實地址用戶非法訪問業務行為。利用驗證信息的統一化生成、一致性表達、動態更新管理以及輕量化抗重放機制，為算力業務訪問提供高效的合法性驗證依據，增強網絡主動抵御攻擊的能力。在網絡層面實現近

160、源、中間傳輸節點以及近目的的多點攻 2023 云安全聯盟大中華區版權所有80擊防范，完善整套面向未來算網系統的攻擊主動防范和溯源靈活阻斷技術方案，達成流量實時高效檢測控制的安全防護系統。另一方面，也需要構建端、邊、云、網整體安全體系，圍繞數據全生命周期進行安全保障，確保算力資源安全接入、調度與交易，各類組件正確配置，組件之間的接口正確安全調用。圖 23 算力網絡安全防護框架 2023 云安全聯盟大中華區版權所有81為了更好的支撐算力網絡中的各類應用場景，如智慧城市、智慧制造、車聯網、工業互聯網等方向的整體防護需求，算力網絡安全防護框架在設計上建議分為三層架構，安全組件層、安全平臺層、安全運營層

161、。安全組件層為整體防護體系提供必要的安全組件能力支撐，覆蓋云、網、邊、端、屬、用和密碼共計七類主要能力，是整個體系的基石。安全平臺層通過對安全數據湖收集到的海量數據進行綜合智能分析評判，與基礎安全知識庫一起形成各行業的專有模型庫，在這層的分析引起可以包括 AI 引擎、UEBA 引擎、分布式關聯分析引擎知識圖譜引擎、統計分析引擎等。安全運營層通過綜合運營流程、工具平臺及人力專家快速實現自動化的安全運營服務，包括但不限于以下一些能力：安全態勢、溯源分析、自動化響應、威脅情報、攻擊面管理、資產測繪以及異常應急處置等。4.10物聯網技術的安全應對策略及案例物聯網技術的安全應對策略及案例隨著物聯網技術的

162、快速發展，其在各個領域的應用越來越廣泛，但同時也帶來了更多的安全挑戰。智能家居中的攝像頭、智能門鎖等設備很容易被黑客攻擊，導致隱私泄露等問題。因此，在智能家居中需要加強設備的安全認證和授權管理，確保只有經過授權的設備才能訪問和使用網絡資源。同時，還需要加強數據的安全保護，對數據進行加密和完整性保護，確保數據傳輸的保密性和完整性，及時發現和處置安全事件。智能家居的物聯網安全是一個非常重要的問題，因為它涉及家庭數據和個人隱私的保護。另外智能交通是物聯網技術保障交通系統正常運行和防止黑客入侵的重要領域。例如，智能交通中的交通信號燈、車輛監控等設備很容易被黑客攻擊，導致交通混亂等問題。2023 云安全

163、聯盟大中華區版權所有82圖 24 三大層面1.建立健全物聯網安全體系作為保障物聯網技術應用安全的重要舉措。這個體系應該包括物理層、數據鏈路層、網絡層和應用層等多個層次，以確保各層之間的安全性和協調性。其中，物理層的安全性需要關注設備的硬件和軟件配置，確保設備不被非法訪問和攻擊；數據鏈路層的安全性需要關注數據的加密和完整性保護，以確保數據傳輸的保密性和完整性，網絡層的安全性需要關注網絡協議的安全性，以確保網絡通信的安全；應用層的安全性需要關注應用系統的安全性，以確保應用程序不被非法入侵和攻擊。例如在智能車輛的防盜方面，就需要一個健全的安全管理系統，包括但不限于使用遠程定位及追蹤技術，通過全球衛星

164、導航系統（如 GPS）將車輛位置信息傳輸到用戶手機或指揮中心，幫助尋找被盜車輛，車輛身份認證技術可以防止非法復制車鑰匙啟動車輛。另外像在智能停車場方面可以利用物聯網感應設備、視頻監控系統等技術，實時監測停車場內車輛數量和停放狀態。同時，加密車牌識別技術可以確保與用戶賬號或支付信息的匹配，減少非法訪問風險。此外，建立安全的停車場網絡結構，采用防火墻和入侵檢測系統等技術來預防黑客攻擊。2.加強物聯網設備的認證和授權管理 2023 云安全聯盟大中華區版權所有83這是保障物聯網技術應用安全的必要手段。這個過程需要建立一套認證機制，對設備進行身份驗證和授權管理，以確保只有經過授權的設備才能訪問和使用網絡

165、資源。同時，還需要建立一套授權機制，對設備進行權限管理，以確保只有經過授權的設備才能訪問和使用網絡資源。例如在智能音箱的安全方面，語音助手就可能讓黑客遠程控制智能音箱，因此建議禁用語音助手。確保智能音箱使用強密碼，并要求用戶進行身份驗證，例如使用雙因素身份驗證，以避免未經授權的訪問。使用安全的通信協議，如 TLS（傳輸層安全性）來加密與其他設備和云服務器之間的通信。敏感數據也應在存儲和傳輸過程中進行加密。3.加強物聯網數據的安全保護對數據進行加密和完整性保護，以確保數據傳輸的保密性和完整性。同時，還需要建立一套數據備份機制，對數據進行備份和恢復，以確保數據不會丟失或損壞。例如智能路由器安全，需

166、要使用最新的固件更新，確保路由器是最新版本。另外，不要輕易將路由器密碼分享給其他人，避免使用簡單的密碼，例如“123456”或“password”?？梢钥紤]使用 WPA2、WPA3 或更加安全的加密協議來保護網絡連接和數據傳輸過程中的安全。同時也很有必要向設備用戶和開發人員提供相關的安全教育，提高他們對物聯網安全問題的認識和理解，包括如何保護物聯網設備、如何防止黑客攻擊等。4.加強物聯網的安全監控和管理對網絡進行實時監控和分析，及時發現和處置安全事件。同時，還需要建立一套安全管理機制，對安全事件進行分類和處理，以確保網絡安全不受威脅。例如交通信號燈控制系統可以采用加密技術，加強對終端的監控和管

167、理，確保信號燈指令的安全傳輸，防止黑客篡改信號燈狀態。智能交通監控系統使用視頻分析算法，檢測異常交通行為和事件，例如交通擁堵和事故。這些技術可以及 2023 云安全聯盟大中華區版權所有84時提供數據和信息給相關部門，以支持交通管理和決策。還有在智能票務系統方面可采用加密技術，確保支付信息的安全，以防止黑客攻擊目標乘客的個人數據。同時，在實現智能公共交通服務時，需要建立健全的用戶身份驗證機制和數據保護措施，以防止個人隱私泄露和非法使用。5.安全固件更新和漏洞修復關注設備供應商或安全研究機構發布的安全漏洞公告，了解固件中存在的漏洞以及相應的修復方案。及時發布并推動設備廠商提供安全補丁和固件升級，以

168、修復已知的漏洞，并持續關注新的安全威脅。例如攝像頭安全，確保攝像頭具有最新的固件更新，并且使用有效的加密協議（如 AES）來保護視頻流。此外，可以考慮采取額外的安全措施，如將攝像頭設置在云端存儲，而不是將視頻流直接傳輸到互聯網，訪問視頻流需要賬號密碼的身份驗證。還有智能門鎖的安全，需要使用最新的智能門鎖固件更新，并確保門鎖使用了有效的加密協議來保護數據傳輸。此外，可以考慮采取額外的安全措施，如雙重認證或生物識別技術（如指紋或面部識別）來增加門鎖的安全性。物聯網安全需要用戶和制造商共同努力來提高安全性。用戶應該保持警惕，及時更新設備固件和應用程序，并使用最新的安全補丁和加密協議來保護自己的網絡連

169、接。制造商也應該加強產品的安全性，并為用戶提供更強大的安全功能和更好的保護措施。還需要相關部門和企業加強協作，定期進行系統漏洞評估和更新，提高整體的安全性，并制定相應的法規和標準來規范物聯網安全的建設和運營。5總結總結隨著科技的快速發展，數字化已經成為現代社會的標志，各行各業都在逐步實現數字化轉型。行業數字化不僅改變了人們的生活方式，也深刻影響了企業的運營模式和行業的發展趨勢。2024 年十大數字技術趨勢與其安全挑戰報告 2023 云安全聯盟大中華區版權所有85深入研究了 2024 年引領變革的數字技術發展趨勢，其中包括量子計算、6G 通信技術、人工智能、云原生、數字孿生、隱私保護、Web4.

170、0、衛星通訊、算力網絡和物聯網技術。報告詳細分析了這十大數字技術的未來應用和 2024 年預測，同時識別了與之相關的安全挑戰，并提供了策略性的安全應對建議。本報告旨在幫助企業管理者深入了解數字技術的發展趨勢，以便制定具有前瞻性的戰略規劃和政策。研究結果將為決策者提供有關數字技術發展安全風險的關鍵信息，保障技術創新的安全性，引導投資和資源配置，并幫助企業更好地應對數字時代的挑戰。此外，項目還將為企業提供有關數字技術發展的深入見解，幫助他們了解最新的技術趨勢和發展動向，以優化企業運營和提高競爭力?？傊?，本項報告將為決策者提供寶貴的數字技術安全洞察和指導，幫助制定有效的數字發展戰略，推動企業數字技術的健康和可持續發展。同時確保技術與安全并行，這對于探索全球數字經濟繁榮的安全保障具有重要意義。2023 云安全聯盟大中華區版權所有86