9月16日—17日,由中国信息协会主办,信息化观察网、国润互联信息技术研究院、中国信息协会传媒中心承办的2020第二届中国电子政务安全大会在北京隆重召开。中国工程院院士邬江兴通过视频连线的方式,以《新基建安全痛点与拟态防御亮点》为题 ,做了主题报告。以下内容根据邬江兴院士演讲内容整理。
中国工程院院士邬江兴视频演讲
一、内生安全问题哲学思考
邬江兴院士首先对内生安全问题进行了哲学诠释和推断。
从一般意义上说,任何自然的功能或人造的功能,都存在伴生或者衍生的显式的副作用或者隐式的暗功能。副作用可能是良性的,也可能是不良的,但暗功能的性状及影响则完全事未知的,内生安全问题就是元功能或本征功能的内在性矛盾。“任何事物,总存在利与弊的两面性”,有弊的东西就会成为内生安全问题,利与弊如同一枚硬币的两面,只能趋利避害,不可能彻底低消除!就普遍性而言,不同事物有着不同的内生安全问题,但也存在共性问题之可能。
从哲学推断来看,内生安全问题属于内源性基因缺陷,任何体质机制都不可能完美无缺的。内生安全不可能源于任何外部因素,即任何附加管理都无法产生内生安全。人们可以运用内生安全问题规律发明相应的内生安全利用技术和方法,一个架构的内生安全问题只有利用其他架构内生安全技术才能规避之。构造缺陷只有运用互补性的构造技术才能回避和管控。
二、新基建的内生安全痛点
邬江兴院士指出新基建助推数字经济高速发展的同时,将面对更为严峻的网络空间安全挑战。
从大数据角度来看,它的内生安全问题是不可解释性。大数据的发现处于“只知其然不知所以然”的状态,一旦数据或算法被污染,结论可能是大相径庭的,盲目相信可能会带来灾难性后果。
从人工智能角度来看,它的现阶段内生安全问题是不可解释性与不具推理性。人工智能1.0阶段前行动力主要依赖三种力量,大数据、大算力、深度学习算法,但是,结果不具有可解释性和可推理性。
从区块链角度来看,区块链的算法实现离不开现有的COTS级软硬件系统,因此凡是区块链系统用到的COTS级软硬件之内生安全问题,同时也是区块链技术的内生安全问题。
从云服务/数据中心角度来看,漏洞后门、病毒木马等问题直接关系到新一代基础设施服务的可能性,新瓶装旧酒、穿新鞋走老路会严重威胁国家新基建安全底座。
从5G网络角度来看,5G设计之初的理念是假设系统处于一个开放、非信任的环境中,需要解决如何在非可信条件下搭建出一个可信赖的通信网络、童工更多安全服务问题,遗憾的是5G至今也未找到实现这一初心的途径或办法。未知漏洞后门、病毒木马威胁依然是基于SDN、NFV或云计算等技术的5G网络最大的内生安全问题,没有之一。
因此我们说,新基建面临着“鸡蛋敢不敢都放在一个篮子里”的问题。不能只防护“已知的未知”攻击更要能对付“未知的未知”威胁挑战,新基建需要安全性可量化设计、可验证度量的新一代信息基础设施。
三、新基建内生安全之共性问题
软硬件部件设计缺陷导致的安全漏洞不可避免。因为人类技术发展和认知水平的阶段性特征,导致漏洞问题不可能彻底避免,这个与是否拥有自主知识产权和国产化程度弱相关或无关。
信息产品生态圈中存在的软硬件后门无法杜绝。全球化时代,开放式产业生态环境开源技术模式和“你中有我、我中有你”的产业链,软硬件后门问题不可能完全杜绝,如果不能掌控整个生态圈或全产业链,即使拥有自主知识产权也不可能彻底根除问题。
现阶段人类科技能力尚不能彻查漏洞后门问题。就普遍性而言,穷尽或彻查目标系统软硬件代码问题,在可以预见的将来,仍然是难以克服的科学挑战,不能也不可能构建一个“无毒无菌”绝对安全的理想场景。
信息产品安全质量尚无有效的控制办法。一个信息系统或控制装置中可能有成千上万的软硬件部件或构件,只要存在一个高危漏洞或设计一个后门或无意导入一个陷门,就可能导致整个系统的服务不可信或功能丧失。
也就是说,新一代基础设施中只要存在漏洞后门等内生安全问题,攻击者一旦成功利用,外因就一定能通过内因构成已知或未知的安全威胁。没有创新的网络安全理论和新一代信息技术支撑,无论是新基建还是数字经济只能是沙滩建楼了!
(一)新基建的安全性不能确保之殇
新基建设施中漏洞后门危害如何评估、服务可信性如何保证、内生安全共性问题如何管控?即使是杀毒灭马、封门补漏、加密认证或者防火墙等附加型的网络安全防护设施自身的可信性能能否保证?世界上尚没有任何科研单位或企业可以面对这个问题!任何信息基础设施安全性无法量化设计、无法验证度量目前仍是世界难题,因为软硬件产品安全质量就无从控制,漏洞后门/病毒木马可从源头污染网络空间。
(二)网络空间内生安全共性问题之内涵
狭义内生安全问题指的是一个软硬件构造或算法除本征或元功能之外总存在属于内因的显式副作用或隐式暗功能,不明副作用或暗功能很可能成为内生安全问题。广义内生安全问题是除了狭义内生安全问题之外,包括凡是所有未向系统使用者明确声明过的软硬件设计功能,例如前门、后门、陷门等。广义不确定扰动指的是内因需通过外因起作用。广义内生安全问题是内因,基于人为或自然因素的广义不确定扰动是外因。两者结合才能构成安全威胁。
一般而言,孤立的内生安全问题本身不会直接造成安全威胁,但一旦受到广义不确定扰动就可能产生广义不确定安全威胁。内生安全威胁一定是外因和内因共同作用的结果!毫无疑问,不同领域、不同对象的内生安全问题可能不尽相同,但漏洞后门及相关问题则是数字经济时代共性的内生安全问题。
举例来看,数字经济时代最可怕的幽灵是未知的未知安全威胁,攻击者可以实施“单向透明、里应外合”协同攻击,防御者因为“没有先兆和行为特征”无法有效应对。如何应对或防御基于目标系统未知漏洞、未知后门等内生安全共性问题的未知攻击?迄今为止,缺乏可靠的理论和技术支撑。从现有安全防御的逻辑悖论来看,本质上都属于附加或外挂型传统防御范畴,有效性取决于先验知识完备性和攻击特征的精确感知及分析能力,“亡羊补牢”后天免疫+加密/认证“底线防御”,无法有效应对蓄意利用内生安全共性问题引发的实时或非实时性未知安全威胁。
同样,内生安全共性问题也造成了数字经济时代技术窘境,无论是被保护对象还是安全守护神自身,都无法回避“有无未知软硬构件漏洞?”、“存在预设的软硬构件后门/陷门甚至前门?”、“单一处理环境、共享资源机制有无侧信道问题?”这些共性安全问题。技术加密、认证等算法的安全性在数学意义上可能已足够强大,但其物理或逻辑实现载体的安全性也无法给出理论与工程意义上令人信服的证明。
信息产业与网络安全届正面临前所未有的挑战,没有任何商家敢保证“自主可控产品”不存在安全漏洞,没有任何安检机构敢为送检设备/装置作无漏洞安全担保。
四、内生安全理论与方法
在内生安全理论基石--相对正确公理基础上,邬江兴院士进行再发现,一是个体层面的不确定性(非概率)问题可以转化为群体层面差模表现形态的概率问题(感知个性化的未知问题);二是调整人数、类型、任务复杂度、完成时间、表决策略可以控制差模概率的大小(控制未知问题的影响程度)。
内生安全理论的技术实践我们称之为拟态防御,可以用“7112”来记忆。即:
● 围绕一个前提:在不依赖(但不排斥)先验知识条件下,管控暗功能引发的内生安全问题;
● 鉴借二种理论:可靠性理论与自动控制理论;
● 基于一个再发现:运用相对正确公理将不确定问题转换为有感差模/共模问题;
● 提出一种理论:编码信道纠错理论,功能安全与信息安全问题可以归一化处理;
● 发明一种构造:动态异构冗余构造DHR,可自然融合既有或未来各种安全技术;
● 导入一类机制:基于生物拟态现象的伪装机制(增强防御迷雾);
● 产生一个效应:测不准效应(从机理上使试错或盲攻击失去效能);
● 获得一类功能:可量化设计、可验证度量的内生安全与广义鲁棒控制功能。
这样的拟态构造的软硬件运行环境能够保证运行环境的设计缺陷不会成为应用层的安全问题,应用软件A的漏洞后门问题无法影响应用软件B的可信性,任何应用软件的差模漏洞在拟态构造环境中不可利用。
总之,拟态防御能够将“未知的未知安全威胁”转变为“已知的未知安全问题”,将无法量化控制的问题转换为基于可控概率的问题,将内生安全共性问题转变为经典可靠性理论与自动控制技术可以管控的事务,为网络空间防御提供了改变游戏规则的革命性技术。
五、内生安全技术实践与发展
拟态构造是目前全球最好的内生安全赋能技术,可满足从软硬器件到系统到网络,各层面内生安全功能部署之需要。拟态构造理论及基本方法,能够破解信息系统或控制装置内生安全共性问题不能管控的世界难题,使得“从源头管控基于信息技术的相关领域产品安全缺陷”成为可能,漏洞后门资源将失去战略性作用,“隐匿漏洞、设置后门”不再具有战略意义,能从根本上抵消美国人在网络空间基于漏洞后门甚至前门的战略优势。拟态构造为IT/ICT/ICS/CPS等技术与产业发展,赋予于可量化设计、可验证度量的内生安全功能,有望彻底扭转当前网络安全领域“有合规性管理,缺乏可支撑手段,即使自主可控也很难达成安全可信目的”之困局。
邬江兴院士表示,我们应乘国家数字经济发展之大潮,结构性力量发展之初,“双循环”战略启动之际,新一代信息技术与产业洗牌之时,大力开发新基建所需的、具有拟态防御等功能的新一代信息技术设施与装备,乘势在该领域打造全球范围有影响力的创新技术与产业高地。没有颠覆性的理论与技术创新,新基建就不可能拥有值得信赖的安全底座,数字社会需要可信的网络服务、信息服务和安全技术。