在万物互联的数字化时代,网络安全先行。中国移动智慧家庭运营中心首席科学家、安全产品部总经理路晓明在接受移动Labs采访时表示,“网络无所不达、算力无所不在、智能无所不及”是未来数字世界发展的必然趋势。中国移动智慧家庭运营中心将继续在算力网络与安全技术的深度融合方面加强研究,坚持以“连接+算力+安全+应用”的整体架构,为家庭与泛家庭的数字化转型,提供快速、稳定与安全的核心能力底座。
01 新一轮科技革命纵深演进,筑牢网络安全防线刻不容缓
网络安全和信息化是一体之两翼、驱动之双轮,当前新一轮科技革命和产业变革正在向纵深演进,网络安全威胁时刻存在。国务院印发的《“十四五”数字经济发展规划》部署了八方面重点任务,其中包括“着力强化数字经济安全体系”,再次从国家顶层设计层面强化网络安全重要地位。
“在家庭领域,网络风险以多样化形式出现”,路晓明总结道。一方面,智能家居设备逐渐增多,弱密码、违规端口开放、固件漏洞等,都会招致安全隐患——据《中国移动智慧家庭白皮书(2021年版)》统计,21%以上的移动家庭平均已拥有超过10台智能终端设备数,而安防摄像头、智能门锁、路由器等常见智能家居设备,都会成为不法分子用来进行网络攻击或隐私窃取的一扇潜在之门。另一方面,青少年网络沉迷、银发群体网络诈骗成为高发事件——根据国务院新闻办公室今年4月发布的《新时代的中国青年》,中国6岁至18岁未成年人网民已达1.83亿,未成年人互联网普及率高达94.9%。如何解决青少年上网沉迷、规避黄赌毒、诈骗事件,守护一老一小弱势群体,已成为刻不容缓的关键任务。
路晓明接着说,“网络安全风险同样存在于以社区、商铺、小微企业为代表的泛家庭领域。”《中小微企业数字安全报告》指出超9成中小微企业面临恶意软件入侵、勒索病毒、系统漏洞、网络钓鱼等常见类型的网络攻击。借鉴马斯洛需求模型发现,小微企业的基础安全防护需求也尚未被满足。“数字化转型进程中的中小企业正成为国家网络安全的重灾区和网络安全屏障的重要短板,如何首先满足该类群体第一层级基本防护需求,是我们要迈出的第一步。”
在全国网络安全和信息化工作会议上,习近平总书记指出,“我们要树立正确的网络安全观,加强信息基础设施网络安全防护,加强网络安全信息统筹机制、手段、平台建设”。“我们中国移动作为全国三大运营商之一,会充分履行央企责任担当,从满足人民美好生活的需要为重要切入点,发挥运营商云网融合优势,以算力网络为基,布局智慧家庭和泛家庭领域安全产品及服务,重点推出家庭安全大脑、绿色上网、安全卫士等典型服务,持续助力覆盖家庭、社区、商铺、小微企业的安全一张网建设。”路晓明表示。
02 围绕端、网、云三侧,构建Andsec智慧家庭安全体系
智能家居即将迈入4.0时代,随着智家生态的发展壮大,智能家居产品的便捷性也不断提高。而作为多领域融合的切入点,智能家居的安全性问题也逐渐暴露。
路晓明举出了两方面数据——一是根据《2021年DDoS攻击态势年报》中数据表明,截至2021年11月,国内共有201万个物联网设备暴露在物联网上,其中摄像头、路由器、VoIP电话数量分别位列前三,同时2021年参与DDoS攻击的物联网设备环比增加17%;二是根据CNVD国家信息安全漏洞共享平台公开数据显示,2021年智能家居设备相关的安全漏洞已多达1387个,与上年相比增长12%,近五年增长达41.8%。
“虽然现有安全漏洞对整个智能家居生态的安全和发展暂未造成比较严重的威胁,但随着技术的进步,家庭安全事件也在逐渐增多,安全无疑是智能家居行业健康发展中的一个不容忽视的重要基础”,路晓明坦言。针对近年来突出的智能家居安全问题,路晓明团队坚持“以人民为中心”,以“传递千家万户安全感”为目标使命,围绕端侧安全监控、网侧安全防护、云侧集中运营的架构设计思路,快速开展Andsec智慧家庭安全体系的研究与建设工作。
在端侧,突破智能家居终端的性能局限,研发了一款低功耗、轻资源的嵌入式安全SDK,提供基于异常检测、漏洞扫描的终端威胁监测能力,依托“一机一密”的终端安全认证与数据安全加密能力,实时保护智能家居终端设备安全,规避设备被控所导致的规模性安全事件发生风险。在网络侧,打造智能安全网关,并陆续形成全流量安全检测、内容安全审核、应用安全防火墙、数据安全海关等多项安全能力,实现暴露面隐藏、上网行为管控、隐私数据保护、不良信息拦截等防护效果。在云侧,打造基于家庭安全大脑的集中化安全威胁态势感知体系,对家庭网络中存在的诈骗网站、恶意行为、网络攻击等安全风险进行全面的监测。通过端、网、云的安全能力联动,保障智慧家庭生态安全发展。
路晓明表示,除安全能力体系打造外,他还带领团队,联合中国网络安全审查技术与认证中心(CCRC),打造国内首个CCRC签约智能家居安全测评实验室,推出业界首个智能家居安全分级认证服务,目前已为16家生态伙伴60款设备开展测评认证,并颁发由CCRC签发的认证证书14个,从智能家居供应链层面,提前阻断安全风险的发生。与此同时,基于Andsec安全体系,他们的能力还在向社区、沿街商铺、小微企业等与智慧家庭安全需求存在一定共性的泛家庭领域延伸,通过轻量化的设备改造、云网关安全能力的研发升级,推出泛家庭安全信息化解决方案,为这些用户提供一个低成本、易使用、高安全的信息化服务底座,推动泛家庭信息化的高效发展,为数字社会提供安全赋能。
03 创新驱动,产品研发与技术攻关并举发力
在本次访谈中,路晓明围绕智慧家庭安全领域的产品创新和技术新动向进行了分享。
产品方面,基于Andsec智慧家庭安全体系,中国移动智慧家庭运营中心重点推出了家庭安全大脑、绿色上网、安全卫士三款安全产品。
自研家庭安全大脑,构建家庭网络安全中控台。基于大数据分析手段针对海量终端、网络信息建立对家庭生态的威胁感知与监测能力,赋能1.2亿智能家居设备,帮助1.7亿家庭日均分析风险1.4亿次,累计告警9800余万次,实现对诈骗行为、不良信息以及各类攻击事件的有效洞察,守护家庭网络安全于无形。
推出护苗宽带服务,打造一老一小上网安全屏障。为解决一老一小上网管控难、网络防诈难等问题,基于家庭安全大脑,通过在基础家庭网络中叠加绿色上网能力,推出护苗宽带服务,提供儿童上网时间个性化定制、陌生设备一键禁网、黄赌毒网站检测告警、上网报告统计推送等六大功能,绿色上网目前已积累风险情报超2亿条,实现诈骗网站识别率超98.3%,并于全国31省落地使用,致力于为家庭一老一小营造一片绿色、安全的网络空间。
联合信安中心创新推出安全卫士。通过融合运营商“网络+安全”优势,建立健全网络安全保障体系,定制化推出低成本、SaaS化的网站安全卫士服务,提供漏洞扫描、网站监测、网站防护等安全保障服务,一站式解决网站所有安全需求。通过对网站流量分析与检测,实现恶意流量拦截,避免恶意攻击、敏感信息泄露和篡改等事件,帮助街道、社区等小微企业低成本、托管式满足核心业务和数据安全保障需求。目前已在13省份为4000余个客户站点提供安全服务,拦截攻击总量超过3.9亿次。
技术方面,路晓明认为未来在加强智慧家庭安全领域的关键技术创新上有两个点值得关注:
一是AI技术在网络安全领域的广泛利用,无论是在攻击端还是在防御端,都对传统的网络安全攻防态势造成颠覆性的影响,也对家庭安全防护提出了新的要求。“目前我和我的团队正在研究基于AI的动态安全防护技术,可通过上下文语义、流量基线、异常请求响应等多种攻击要素,有效补充传统基于规则的流量监测与防护技术对0DAY等未知威胁的防护短板,已在家庭业务防护中初步发挥了较好的效果”,路晓明介绍说。另外AI作为关键技术也广泛应用在零信任、防御欺诈等多个新型安全产品上。但基于AI的攻击技术也层出不穷,通过对防守环境的智能化分析,已具备突破传统机器识别模型、逃逸安全沙箱等攻击能力,让攻击手段变的更加复杂与难以监测。“当前我们已在家庭安全大脑的分析中,找到了相关的攻击痕迹,正在进一步的分析和溯源中。”因此,基于AI的攻防对抗将成为未来网络空间战场的常态化作战方式。
二是随着IPv6的应用普及,家庭物联网的通信基础体系将实现质的飞跃,网络切片、应用加速、随流检测等新型技术将推动智慧家庭业务不断创新,驱动智慧家庭生态继续繁荣发展。值得注意的是,虽然IPv6协议在设计之初就已经考虑了很多安全防护手段,但仍然不能避免带来很多新的未知的安全风险,主要集中在设备地址开放暴露、海量设备检测困难、IPv4向IPv6的过渡漏洞等,因此路晓明及其团队下一步也会重点针对IPv6的规模应用做好相关安全能力的研究,降低新技术所带来的安全风险。
04 牵头首个国家标准,助力智能家居安全领域规范
今年4月,由中国移动智慧家庭运营中心牵头编写的智能家居安全领域首个国家标准《信息安全技术 智能家居通用安全规范》正式发布,并于11月1日正式启动实施。回顾国标的编制过程,路晓明表示,“整个标准的编制存在着多重挑战,不但要考虑现有生产产品的技术水平,还要对企业生产的状况、用户的需求和国家、企业综合效益予以充分的考虑。”为此,在编制过程要实施有效的控制方法对标准的先进性、有效性和适用性加以保证。
路晓明进一步解读,智能家居行业具有应用场景丰富、覆盖品类广泛的特点。该标准在系统性分析智能家居系统各个环节所面临的安全问题基础上,首次规范了智能家居终端、智能家居控制端、智能家居网关和智能家居应用服务平台4个核心组成部分,固件、操作系统、应用等10个方面的通用安全技术要求,于业内建立了一套适用多品种、差异化明显的家居产品的安全基线,并率先建立一整套测评方法。该标准的制定填补了智能家居安全领域国家层面标准规范的空白,为智能家居行业发展提供有效指导。
首次明确智能家居系统安全保护范围。基于智能家居系统运行机制和实际应用场景,抽象出了智能家居系统组成,明确了智能家居系统安全保护范围,首次建立智能家居终端、网关、控制端、应用服务平台等四个核心组成部分的通用安全技术要求,旨在为智能家居系统提供全面的安全防护。
全面规范智能家居产品安全基线。智慧家庭中的设备种类繁多、场景万千,亟需制定一套普适性强的安全标准来进行体系化管理。基于安全保护范围,对智能家居系统包含的每个实体的硬件、固件、操作系统、应用、通信、数据、平台等各方面的安全要求规范化,摸索出一套智能家居系统安全设计与实现的统一指导基线。
率先建立智能家居产品安全测试方法。智能家居系统需经过安全可控的测试环节,本标准基于安全技术要求,给出了智能家居系统具体的安全测试方法,可以有效评估智能家居系统安全性是否满足安全要求,为智能家居厂商提供专业的设备安全认证测评规范,引导智能家居厂商良性发展。
为智能家居企业安全风险管理建立科学基准。智能家居的发展,需要做到真正服务于用户,企业需具备主动学习和服务的能力,应将安全风险思维贯穿于智能家居产品设计与实现的全过程,智能家居企业可以基于本标准,根据内外部环境(如法律法规、客户需求、合作伙伴、内部人员和设施等)的变化,及时采取应对措施,包括进行各种形式的变革和创新,最大限度地降低智能家居系统安全风险。
05 加强家庭算网新型信息服务创新,培育价值增长新模式
谈到家庭业务发展,路晓明结合前期实践总结出,家庭业务整体呈现出场景需求多元化、网络需求多样化的趋势。具体表现为:第一,家庭业务已经从单一业务、单一场景向一体化综合解决方案演进,现有的“一套终端+平台”基础设施建设周期长、业务适配慢、终端成本高、智能化水平不足,难以满足用户精细化需求;第二,家庭网络正在从同质化基础家宽向场景化、个性化需求演进,传统宽带已经难以满足高清视频通话、外服电竞、智慧家庭等重点场景的高品质上网需求。
国家十四五规划提出,要建设高速泛在、天地一体、集成互联、安全高效的信息基础设施。集团公司强调,要深耕信息服务,系统打造以5G、算力网络、智慧中台为重点的新型信息基础设施,创新构建“连接+算力+安全+应用”新型信息服务体系。“我们面向家庭业务发展趋势,贯彻落实国家和集团的战略部署,立足算力网络发展起步阶段,开展基于应用场景的算力网络产品创新,以高质量服务供给支撑市场拓展。”
路晓明带领团队,从端、边、网、云四个维度攻关算力网络核心技术,构建基于多场景算力终端、家宽边缘云、全球安全加速网络和家庭算网云平台的家庭算网信息化底座,通过应用上移、算法下沉、内网延伸、管理统一,推动宽带从“连接”功能升级为“连接、算力、能力、应用”一体化服务。
在端侧,打造白盒网关等多场景算力终端,通过功能云化,降低设备配置要求,FLASH与DDR下降50%,节约硬件成本20%。
在边侧,一是构建云网关,实现时延敏感型业务和AI算法就近部署于边缘,为客户提供低时延、高可靠的算网服务,目前已在江苏、山东、浙江、广西4家省公司试点,完成环境部署及网络调测;二是在省网络出口集中部署场景化宽带加速能力,终端适配效率可以提升8倍以上,已在山东部署,并发连接数日峰值3万,日加速流量峰值2.2T。
在网侧,构建全球智能加速网络,面向重点业务提供差异化网络保障,网络稳定性提升50%。
在云侧,打造家庭算网云平台,可以实现边缘算力资源与网络统一配置,打通了家庭业务和算网设施之间的联动路径。
截至当前,家庭算网技术底座已承载云宽带、云安防、AI大屏等应用,累计服务用户345万。
06 深化算网与安全融合,助力家庭与泛家庭的数字化转型
在网络安全升级为数字安全的时代背景下,“网络无所不达、算力无所不在、智能无所不及”是未来数字世界发展的必然趋势。
引用中国工程院院士刘韵洁曾说过的一句话,“互联网进入下半场还有很多挑战需要克服,首先是对网络确定性要求高”。算力要发挥极致性能,呼唤网络技术变革与创新;同时,算力的升级发展也必将反哺下一代网络的飞速演进。未来的网络将能为全球任意两个设备实现确定性连接,即网络无所不达。“随着算网基础设施的不断完善与编排调度技术的不断优化,家庭业务将突破场所与设备的限制,实现‘算随人走、人移算迁’”——路晓明总结道。
网络的快速演进必将使把安全推上风口浪尖。路晓明认为,无论是网络安全,还是数字安全,最需要解决的仍然是身份认证与数据安全问题。随着元宇宙、IPv6、Web3.0等新技术的到来,网络将变得更加灵活与开放,现实世界与虚拟世界的界限更加的模糊,如何保障在虚拟世界中对人、设备以及其他载体的认证以及行为约束,是需要考虑的一个核心问题。另外,伴随着人所产生的数字资产,也成为虚拟世界最重要的保护对象,如何防止因数据泄露导致的网络诈骗、威胁勒索甚至政权干扰,都是需要重点考虑的问题。所以应将网络与安全作为一个有机整体去对待,把安全作为算网的一项基础属性进行研究,并能够伴随业务而灵活配置与调度,力求构建一张安全内生、自主可控的基础网络,为未来各类基于算网的创新型、颠覆型业务提供强无处不在、无所感知的安全保障。
面向未来,对于国家“十四五”规划中数字社会的设想,中国移动智慧家庭运营中心将继续在算力网络与安全技术的深度融合方面加强研究,坚持以“连接+算力+安全+应用”的整体架构,为家庭与泛家庭的数字化转型,提供快速、稳定与安全的核心能力底座。
路晓明
博士,副高级工程师,享受国务院特殊津贴专家,杭州“万人计划”科技创新领军人才,现任中移(杭州)信息技术有限公司首席科学家、安全产品部总经理,同时担任国际ISO/IEC信息网络安全技术专家、中国信息安全标准化委员会专家、中国通信企业协会网络安全技术专家等。深耕网络安全,牵头国家科研任务4项,撰写ISO国际标准1项、国家标准3项,授权国内外发明专利40余项,获省部级以上奖项9项。主导产品已服务1600万家庭、4000家行业用户,覆盖用户超10亿。