信息化觀察網(wǎng)

由中國信息協(xié)會主辦，信息化觀察網(wǎng)、中國信息化網(wǎng)、國潤互聯(lián)信息技術(shù)研究院共同承辦的“2020第五屆中國網(wǎng)絡(luò)信息安全云上峰會”于7月10日通過線上的方式正式召開。中國工程院院士鄔江興受邀出席峰會，并帶來了題為《網(wǎng)絡(luò)空間內(nèi)生安全共性問題及擬態(tài)防御》的主旨報告。以下內(nèi)容根據(jù)鄔江興院士演講整理，未經(jīng)演講者審閱。

一、內(nèi)生安全問題哲學(xué)思考

從一般意義上說，任何自然的功能或人造的功能，都存在伴生或者衍生的顯式的副作用或者隱式的暗功能。副作用可能是良性的，也可能是不良的，但暗功能的性狀及影響則完全事未知的，內(nèi)生安全問題就是元功能或本征功能的內(nèi)在性矛盾。

以大數(shù)據(jù)為例，它的內(nèi)生安全問題是不可解釋性。大數(shù)據(jù)的發(fā)現(xiàn)處于“只知其然不知所以然”的狀態(tài)，一旦數(shù)據(jù)或算法被污染，結(jié)論可能是大相徑庭的，盲目相信可能會帶來災(zāi)難性后果。

以人工智能為例，它的現(xiàn)階段內(nèi)生安全問題是不可解釋性與不具推理性。人工智能1.0階段前行動力主要依賴三種力量，大數(shù)據(jù)、大算力、深度學(xué)習(xí)算法，但是，結(jié)果不具有可解釋性和可推理性。

以區(qū)塊鏈為例，區(qū)塊鏈的算法實現(xiàn)離不開現(xiàn)有的COTS級軟硬件系統(tǒng)，因此凡是區(qū)塊鏈系統(tǒng)用到的COTS級軟硬件之內(nèi)生安全問題，同時也是區(qū)塊鏈技術(shù)的內(nèi)生安全問題。

以信息通信網(wǎng)絡(luò)為例，基于共享資源體制的網(wǎng)絡(luò)通信技術(shù)不可避免的存在協(xié)議安全、傳輸安全、信息安全、擁塞控制等內(nèi)生安全問題，絕大多數(shù)網(wǎng)絡(luò)攻擊都要借助或利用這些內(nèi)生安全問題才能實施。

以云服務(wù)平臺為例，在云服務(wù)系統(tǒng)中，應(yīng)用軟件、服務(wù)器軟硬件資源、運行環(huán)境中存在漏洞后門，攻擊者劫持用戶服務(wù)；文件存儲系統(tǒng)中存在的漏洞后門，攻擊者竊取或破壞敏感數(shù)據(jù)信息；虛擬層存在漏洞后門，攻擊者攻擊提權(quán)后，攻擊其它虛擬機，實現(xiàn)威脅能力擴張。

云平臺的內(nèi)生安全問題直接關(guān)系到信息基礎(chǔ)設(shè)施服務(wù)的可信性，嚴(yán)重威脅國家“新基建”戰(zhàn)略的“安全底座”。

以數(shù)據(jù)中心為例，智能化時代需要安全性可量化設(shè)計與驗證的信息基礎(chǔ)設(shè)施。

以5G網(wǎng)絡(luò)架構(gòu)為例，5G的云化網(wǎng)絡(luò)架構(gòu)更加開放，服務(wù)的集約化提供程度更高，2C&2B&2M使接入環(huán)境更加復(fù)雜，國家化的產(chǎn)業(yè)鏈形成的軟硬構(gòu)件安全質(zhì)量幾乎無法掌控，將面臨全所未有的內(nèi)生安全問題和大量未知安全威脅與挑戰(zhàn)。

二、內(nèi)生安全之共性問題

網(wǎng)絡(luò)空間內(nèi)生安全之共性問題體現(xiàn)在：

? 軟硬件部件設(shè)計缺陷導(dǎo)致的安全漏洞不可避免。因為人類技術(shù)發(fā)展和認(rèn)知水平的階段性特征，導(dǎo)致漏洞問題不可能徹底避免，這個與是否擁有自主知識產(chǎn)權(quán)和國產(chǎn)化程度弱相關(guān)或無關(guān)。

? 信息產(chǎn)品生態(tài)圈中存在的軟硬件后門無法杜絕。全球化時代，開放式產(chǎn)業(yè)生態(tài)環(huán)境開源技術(shù)模式和“你中有我、我中有你”的產(chǎn)業(yè)鏈，軟硬件后門問題不可能完全杜絕，如果不能掌控整個生態(tài)圈或全產(chǎn)業(yè)鏈，即使擁有自主知識產(chǎn)權(quán)也不可能徹底根除問題。

? 現(xiàn)階段人類科技能力尚不能徹查漏洞后門問題。就普遍性而言，窮盡或徹查目標(biāo)系統(tǒng)軟硬件代碼問題，在可以預(yù)見的將來，仍然是難以克服的科學(xué)挑戰(zhàn)，不能也不可能構(gòu)建一個“無毒無菌”絕對安全的理想場景。

? 信息產(chǎn)品安全質(zhì)量尚無有效的控制辦法。一個信息系統(tǒng)或控制裝置中可能有成千上萬的軟硬件部件或構(gòu)件，只要存在一個高危漏洞或設(shè)計一個后門或無意導(dǎo)入一個陷門，就可能導(dǎo)致整個系統(tǒng)的服務(wù)不可信或功能喪失。

因為網(wǎng)絡(luò)空間廣泛存在內(nèi)生安全問題及其共性因素，攻擊者只要能建立起可靠的供給鏈，外因就能通過內(nèi)因構(gòu)成已知或者未知的安全威脅。

信息系統(tǒng)或控制裝置安全性不能確保之殤

信息系統(tǒng)或軟硬件設(shè)施、工業(yè)控制平臺或網(wǎng)絡(luò)、IOT系統(tǒng)漏洞后門危害如何評估、服務(wù)可信性如何保證、內(nèi)生安全共性問題如何管控？這些問題暫時還沒有答案。即使是殺毒滅馬、封門補漏、加密認(rèn)證或防火墻等附加型安全防護設(shè)施自身的可信性能能否保證？世界上尚沒有任何科研單位或企業(yè)可以面對這個問題！一般而言，信息系統(tǒng)或控制裝置除傳統(tǒng)安全外的安全性，迄今為止，無法給出可量化的設(shè)計指標(biāo)與可驗證度量的測評方法。也就是說，“安全性無法量化”是世界難題，因而軟硬件產(chǎn)品安全質(zhì)量就無從控制，漏洞后門/病毒木馬可從源頭污染Cyberspace。

網(wǎng)絡(luò)空間內(nèi)生安全問題的內(nèi)涵

狹義內(nèi)生安全問題指的是一個軟硬件構(gòu)造或算法除本征或元功能之外總存在屬于內(nèi)因的顯式副作用或隱式暗功能，不明副作用或暗功能很可能成為內(nèi)生安全問題。廣義內(nèi)生安全問題是除了狹義內(nèi)生安全問題之外，包括凡是所有未向系統(tǒng)使用者明確聲明過的軟硬件設(shè)計功能，；例如前門、后門、陷門等。廣義不確定擾動指的是內(nèi)因需通過外因起作用。廣義內(nèi)生安全問題是內(nèi)因，基于人為或自然因素的廣義不確定擾動是外因。兩者結(jié)合才能構(gòu)成安全威脅。凡是廣義不確定擾動引發(fā)的目標(biāo)系統(tǒng)或關(guān)聯(lián)設(shè)備內(nèi)生安全問題可能產(chǎn)生的危害，稱為“廣義不確定安全威脅”。內(nèi)生安全問題是自在性矛盾，內(nèi)生安全共性問題泛在化存在。如何應(yīng)對或防御基于目標(biāo)系統(tǒng)未知漏洞、未知后門等內(nèi)生安全問題及共性因素的未知攻擊？迄今為止，缺乏可靠的理論和技術(shù)支撐。

現(xiàn)有安全防御技術(shù)是基于威脅特征感知的精確防御，建立在“已知風(fēng)險”或“已知的未知風(fēng)險”前提上，有效條件是需要提前獲得攻擊來源、攻擊特征、滲透途徑、攻擊行為、攻擊機制、目標(biāo)環(huán)境等先驗知識的支持?，F(xiàn)有安全防御技術(shù)本質(zhì)上屬于附加或外掛型防御范疇，附加防御的有效性取決于先驗知識完備性和精確的實時感知能力，“亡羊補牢”后天免疫+加密/認(rèn)證“底線防御”無法應(yīng)對蓄意利用“內(nèi)生安全問題或共性暗功能”引發(fā)的unknow2安全威脅。unknow2安全威脅造成的技術(shù)窘境，無論是被保護對象還是“安全守護神”自身都無法回避這些問題，即使加密、認(rèn)證等算法的安全性在數(shù)學(xué)意義上可能已足夠強大，但其物理或邏輯實現(xiàn)載體的安全性也無法給出理論與工程意義上令人信服的證明。

現(xiàn)有安全防御體系存在理論和工程上無法確保網(wǎng)絡(luò)空間生態(tài)環(huán)境“無漏洞無后門”的基因缺陷，基因缺陷導(dǎo)致的體系困境戰(zhàn)略上屬于被動或消極防御，“堵不勝堵，防不勝防”成為內(nèi)生安全共性問題之必然缺陷。當(dāng)前信息產(chǎn)業(yè)與網(wǎng)絡(luò)安全界正面臨前所未有的挑戰(zhàn)，沒有任何商家敢保證“自主可控產(chǎn)品”不存在安全漏洞，沒有任何安檢機構(gòu)敢為送檢設(shè)備/裝置作無漏洞安全擔(dān)保。

三、內(nèi)生安全體系與技術(shù)特征

內(nèi)生安全體質(zhì)應(yīng)該具備的特征：

1、開放的組織架構(gòu)，不排除架構(gòu)、模塊和構(gòu)件中包含任何的內(nèi)生安全問題；

2、具有一體化的構(gòu)造，能同時提供高可靠、高可信、高可用的使用功能；

3、體制上應(yīng)當(dāng)能夠協(xié)同使用多樣性、隨機性和動態(tài)性之防御要素；

4、應(yīng)當(dāng)同時具有異構(gòu)、冗余、動態(tài)、裁決和反饋控制只構(gòu)造要素，既能提供面防御功能也能提供點防御功能；

5、應(yīng)當(dāng)具有自學(xué)習(xí)、自優(yōu)化、主動應(yīng)對的自我進化能力；

6、能夠自然的接納任何的安全防護技術(shù)并可獲得指數(shù)量級的防御增益。

也就是說，內(nèi)生安全應(yīng)當(dāng)是目標(biāo)對象技術(shù)構(gòu)造決定的安全，應(yīng)該能從體制上同時保障功能的可靠性與可信性并具有普適意義。

內(nèi)生安全機制應(yīng)該具備的特征：

1、內(nèi)生安全機制應(yīng)當(dāng)能應(yīng)對人—機、機—機、機—人攻防博弈；

2、內(nèi)生安全機制應(yīng)當(dāng)可以條件管控或抑制已知或未知的威脅；

3、內(nèi)生安全機制的有效性應(yīng)當(dāng)不依賴（但不排斥）任何先驗知識或附加、內(nèi)置、內(nèi)共生的其他安全措施或技術(shù)手段；

4、能自然的為目標(biāo)對象提供高可靠、高可信、高可用三位一體使用性能；

5、內(nèi)生安全機制產(chǎn)生的廣義安全性應(yīng)當(dāng)具有可量化設(shè)計、可驗證度量的穩(wěn)定魯棒性和品質(zhì)魯棒性；

6、內(nèi)生安全機制產(chǎn)生的使用效能與運維管理者技術(shù)能力及過往經(jīng)驗弱相關(guān)。

內(nèi)生安全技術(shù)應(yīng)該具備的特征：

1、 內(nèi)生安全屬于目標(biāo)對象內(nèi)源性的安全功能，具有與脊椎生物非特異性和特異性免疫機制類似的“點面融合”式防御功能，與目標(biāo)對象本征（元）功能產(chǎn)生于同一技術(shù)構(gòu)造，具有不可分割性；

2、內(nèi)生安全功能不依賴攻擊者任何先驗知識或行為特征，對獨立的攻擊資源、攻擊技術(shù)或方法形成的“任何差模攻擊效應(yīng)”具有天然的抑制功效，對基于o-Day/nDay性質(zhì)漏洞后門/病毒木馬等網(wǎng)絡(luò)攻擊可以完全無視；

3、內(nèi)生安全功能應(yīng)當(dāng)具有時空非一致性的“測不準(zhǔn)效應(yīng)”以及“基于策略裁決的異構(gòu)冗余場景反饋迭代調(diào)度機制”

4、理論上，“差模逃逸”不可能發(fā)生，“共模逃逸”也是極小概率時間，“即使成功也可能只此一次”，在內(nèi)生安全環(huán)境內(nèi)的攻擊行為或成果都不具有穩(wěn)定穩(wěn)定魯棒性和品質(zhì)魯棒性。

所以說，內(nèi)生安全功能應(yīng)當(dāng)成為網(wǎng)絡(luò)信息基礎(chǔ)設(shè)施乃至任何信息系統(tǒng)或控制裝置的基本功能。

四、內(nèi)生安全理論與方法

擬態(tài)防御作為內(nèi)生安全理論的技術(shù)實踐，能夠在不依賴先驗知識條件下，管控暗功能引發(fā)的內(nèi)生安全問題。通過借鑒可靠性理論與自動控制理論，發(fā)現(xiàn)了基于相對正確公理能將unknow2問題轉(zhuǎn)換為有感差模/共模問題的規(guī)律，提出了編碼信道糾錯理論，功能安全與信息安全問題可以歸一化處理。通過發(fā)明一種動態(tài)異構(gòu)冗余構(gòu)造，導(dǎo)入擬態(tài)偽裝機制，產(chǎn)生測不準(zhǔn)效應(yīng)，獲得可量化設(shè)計、可驗證度量的內(nèi)生安全與廣義魯棒控制功能。擬態(tài)構(gòu)造的軟硬件系統(tǒng)能夠保證，我的設(shè)計缺陷不會成為你的安全問題，總結(jié)下就是發(fā)明了一種動態(tài)異構(gòu)冗余構(gòu)造DHR，獲得測不準(zhǔn)構(gòu)造效應(yīng)，形成擬態(tài)防迷霧。

理論與實踐證明，DHR能夠100%的抑制構(gòu)造內(nèi)以差模形態(tài)呈現(xiàn)的廣義不確定擾動，能夠?qū)?gòu)造內(nèi)共模形態(tài)的廣義不確定擾動逃逸概率控制在設(shè)定閾值內(nèi)，任何成功的試錯攻擊或盲攻擊都會使構(gòu)造環(huán)境發(fā)生攻擊者無感切換。

擬態(tài)防御將“未知的未知安全威脅”轉(zhuǎn)變?yōu)?ldquo;已知的未知安全問題”，將無法量化控制的問題轉(zhuǎn)換為基于可控概率的問題，將內(nèi)生安全共性問題轉(zhuǎn)變?yōu)榻?jīng)典可靠性理論與自動控制技術(shù)可以管控的事務(wù)，為網(wǎng)絡(luò)空間防御提供了改變游戲規(guī)則的革命性技術(shù)。

五、內(nèi)生安全技術(shù)實踐與發(fā)展

擬態(tài)構(gòu)造是一種前景可期待的內(nèi)生安全賦能技術(shù)，DHR構(gòu)造理論及基本方法能夠破解信息系統(tǒng)或控制裝置內(nèi)生安全共性問題不能管控的世界難題，使得“從源頭管控基于信息技術(shù)的相關(guān)領(lǐng)域產(chǎn)品安全缺陷”成為可能，漏洞后門資源將失去戰(zhàn)略性作用，“隱匿漏洞、設(shè)置后門”不再具有戰(zhàn)略意義，能從根本上抵消美國人在網(wǎng)絡(luò)空間基于漏洞后門甚至前門的戰(zhàn)略優(yōu)勢。擬態(tài)構(gòu)造能夠為IT/ICT/ICS/CPS等技術(shù)與產(chǎn)業(yè)發(fā)展賦予可量化設(shè)計、可驗證度量的內(nèi)生安全功能，有望徹底扭轉(zhuǎn)當(dāng)前網(wǎng)絡(luò)安全領(lǐng)域“有合規(guī)性管理，缺乏可支撐手段”，“即使自主可控也很難達成安全可信目的”之困局。但擬態(tài)構(gòu)造也存在機理缺陷，即對能夠跨擬態(tài)場景的協(xié)同一致攻擊存在較高的逃逸概率。