維護網絡安全有望不再“查漏堵門”
我國開辟網絡空間內生安全新領域
10月28日�����,我國獨創(chuàng)內生安全云平臺“蓮花哪吒”等四項最新成果在南京發(fā)布�����,標志著我國開辟的網絡空間內生安全新領域���,已從理論創(chuàng)新�、技術創(chuàng)新���、典型設備研制階段邁向了普適應用創(chuàng)新的新階段����。網絡空間內生安全技術自誕生以來,經受了國內專業(yè)機構十余次測試評估和開放眾測的近千萬次網絡攻擊���,始終保持“金身不破”����。為探究其中奧秘��,本報記者專訪了國家數字交換系統(tǒng)工程技術研究中心主任���、中國工程院院士鄔江興�。
網絡空間安全威脅源自內生安全問題
記者:沒有網絡安全就沒有國家安全�。網絡安全是新型基礎設施建設和數字經濟高質量發(fā)展的重要保證�,您對網絡安全威脅產生的本質和根源是如何看待的���?
鄔江興:網絡空間安全威脅源于內生安全問題���,這是信息領域自身理論體系與技術的不完備性而致�����,是與生俱來的“基因缺陷”���。例如����,大數據能夠根據算法和數據樣本發(fā)現未知規(guī)律,而蓄意污染數據樣本�����、惡意觸發(fā)算法缺陷卻能使人們“誤入歧途”�����;人工智能靠大數據�、大算力����、深度學習等算法獲得前行動力����,而結果的不可解釋性與不可推論性則存在“智能不可控”的隱憂����。如果蓄意利用這些同源產品漏洞后門時����,區(qū)塊鏈技術就不再值得信賴��。
網絡空間不是真空��,“有毒帶菌”是常態(tài)�,不同的是,有的是無意的����,有的是故意的,有的是蓄意強加的�。我們不可能也沒必要構建一個“無毒無菌”的網絡空間,實現“標本兼治”必須著眼提升網絡生命體的“自身免疫力”���,以創(chuàng)新的思路尋找一條在“有毒帶菌”條件下保障網絡安全的技術路徑��。
內生安全技術有望徹底改變當前網絡空間的游戲規(guī)則
記者:您提出網絡空間內生安全問題是安全威脅的本源,防范這一問題需要“獨辟蹊徑”��,需要創(chuàng)新的思路���、創(chuàng)新的技術體系,請具體談談如何構建一個更安全的網絡���?
鄔江興:解鈴還須系鈴人,既然網絡空間安全的本質是內生安全問題����,那么解決這一問題的辦法就是構建內生安全技術,在根本上提高網絡的自身免疫力����。
事實上,人們面對網絡空間安全威脅走出了兩條技術路徑����,一條是外掛式防御,比如防火墻����、入侵檢測���、身份驗證等技術,這個好比西醫(yī),就是打針吃藥���。但是這種防御必須基于先驗知識,要事先提取惡意代碼的樣本特征��,才能定向進行防御��。如果沒有先驗知識���,即使亡羊也不能補牢。第二條就是內生式防御��,比如我們現在提出的內生安全技術體系���,這個好比中醫(yī)�����,提高網絡生命體的非特異性免疫能力。由于內生安全的獨有構造和內在機制�,將傳統(tǒng)的網絡安全問題轉化為可靠性問題,不僅能感知未知的未知風險�,還能夠實現網絡設備的可定制、可度量的安全設計。
我們所說的內生安全�,就是具有內生或內源性安全功效的構造或算法及其體制機制�����。按字面意思����,內生就是靠自身構造因素而不是外部因素得到的內源性效應��;內生安全就是利用系統(tǒng)的架構���、算法、機制����、場景等內在因素獲得的安全功能或屬性。它是網絡擁有自身免疫力的一種重要方式����。內生安全最大的特征體現在兩點����,一是基于目標對象基礎構造或算法的內源性安全功能���,具有與脊椎生物非特異性和特異性免疫機制類似的“點面融合”式防御特點���,與目標對象本征或元功能具有構造層面的不可分割性�;二是安全功效不依賴攻擊者先驗知識和行為特征信息,對利用特定攻擊資源���、攻擊技術���、攻擊方法形成的已知或未知威脅,具有天然的抑制功效�。
內生安全技術有望徹底改變網絡空間當前的“查漏堵門��、殺毒滅馬�、亡羊補牢”游戲規(guī)則,從根本上顛覆現有的基于軟硬件代碼漏洞后門的網絡攻擊理論與方法��,促進具有“自身免疫力”的新一代信息技術和產品的升級換代�����,為從根本上解決網絡空間安全難題����,探索出了一條適應經濟技術全球化時代“自主可控、安全可信”的新路子��。
網絡安全不安全“極客”說了算
記者:網絡空間內生安全技術從理論上可以防范安全威脅���,對這一創(chuàng)新理論我們如何能夠進行驗證����,以證明該技術能夠具備有效應對安全威脅的能力?
鄔江興:網絡安全最大的問題是可驗證性����,不能自說自話。實際上��,網絡安全不安全�����,應該由攻擊者說了算���,由“白帽黑客”“網絡極客”說了算���。為了讓測試更加具有說服力,我們還專門引入了“白盒測試”的概念��,把門敞開�����、讓高手來打。
從2018年開始���,我們先后組織了三屆“擬態(tài)強網”國際精英挑戰(zhàn)賽��,對基于內生安全技術的網絡設備進行高強度眾測����。概括這幾屆比賽的特點��,就很能說明問題�。一是挑戰(zhàn)者最強,國內戰(zhàn)隊全部來自“強網杯”全國網絡安全挑戰(zhàn)賽前20強隊伍�����,他們從全國近3000支戰(zhàn)隊中脫穎而出�����;國際戰(zhàn)隊更具代表性���,均為國際各大賽事排名前10名隊伍,堪稱全明星陣容����。二是場景最逼真,所有“靶機”均為商用貨架級設備���,不是虛擬場景��,而是真實的網絡環(huán)境����。三是賽制最開放�,不但向參賽者公布被測設備的技術指標�,還詳細介紹防御體系的技術機理,更重要的是允許參賽者預置后門漏洞���。這就好比不但把保險箱的位置公開����,甚至把密碼也公開了��,充分展示了自信開放的態(tài)度�����。內生安全技術就這樣向難而生����,先后經歷10余次國內頂尖測試團隊開放式暴力測試�����,經歷了國際最強“白帽黑客”高強度滲透攻擊��,既使預置“后門”��,也能安全可靠�����。去年國家有關部門對該技術進行驗收時指出,內生安全理論與方法的提出�,為解決信息系統(tǒng)安全性可量化設計�����、可驗證度量世界難題找到了一條行之有效的破解之道�����,對促進網絡安全技術由外掛式向內生性轉變具有重大的引領意義���。
內生安全技術已經進入產業(yè)化階段
記者:網絡空間內生安全技術能夠有效抑制基于漏洞后門的網絡攻擊�����,讓我們身邊的網絡在“有毒帶菌”條件下正常運行,您能總結下這一技術體系的創(chuàng)新之處以及處于什么樣的發(fā)展階段嗎?
鄔江興:網絡空間內生安全技術是我國獨創(chuàng)的技術體系����,是網絡空間安全的新理論、新領域�����、新路徑���。這一技術體系目前已從理論技術創(chuàng)新����、典型產品創(chuàng)新進入普適應用創(chuàng)新以及產業(yè)化的新階段。
日前,我們在南京正式上線了由紫金山實驗室打造的全球首創(chuàng)的“蓮花哪吒”內生安全云����,這是在內生安全新理論指導下產生的最新成果���。這些系統(tǒng)上線就好比為內生安全提供了一個“DIY”功能��,讓多個“講方言��、說土話”的異構系統(tǒng)講“普通話”����,讓“非標件”變成“標準件”,讓用戶更靈活��、便捷地配置異構資源�,有效解決異構冗余系統(tǒng)綜合調度難、應用門檻偏高等難題��,推動內生安全技術走出實驗室���、走近千家萬戶。同時����,為了推動內生安全技術更好發(fā)展�����,我們還聯(lián)合國內180余家高校����、科研機構�、骨干企業(yè)成立了“網絡空間內生安全技術與產業(yè)聯(lián)盟”���,通過建立集產學研用多類型單位于一體的開放性行業(yè)組織,深度整合優(yōu)勢資源��,推動構建網絡內生安全產業(yè)集群和生態(tài)環(huán)境�����,助力網絡強國建設�����,為經濟社會高質量發(fā)展提供新動能�。(記者 蔡侗辰)
