10月28日,我國獨創內生安全雲平臺「蓮花哪吒」等四項最新成果在南京發布,標誌著我國開闢的網絡空間內生安全新領域,已從理論創新、技術創新、典型設備研製階段邁向了普適應用創新的新階段。網絡空間內生安全技術自誕生以來,經受了國內專業機構十餘次測試評估和開放眾測的近千萬次網絡攻擊,始終保持「金身不破」。為探究其中奧秘,本報記者專訪了國家數字交換系統工程技術研究中心主任、中國工程院院士鄔江興。
網絡空間安全威脅源自內生安全問題
記者:沒有網絡安全就沒有國家安全。網絡安全是新型基礎設施建設和數字經濟高質量發展的重要保證,您對網絡安全威脅產生的本質和根源是如何看待的?
鄔江興:網絡空間安全威脅源於內生安全問題,這是信息領域自身理論體系與技術的不完備性而致,是與生俱來的「基因缺陷」。例如,大數據能夠根據算法和數據樣本發現未知規律,而蓄意汙染數據樣本、惡意觸發算法缺陷卻能使人們「誤入歧途」;人工智慧靠大數據、大算力、深度學習等算法獲得前行動力,而結果的不可解釋性與不可推論性則存在「智能不可控」的隱憂。如果蓄意利用這些同源產品漏洞後門時,區塊鏈技術就不再值得信賴。
網絡空間不是真空,「有毒帶菌」是常態,不同的是,有的是無意的,有的是故意的,有的是蓄意強加的。我們不可能也沒必要構建一個「無毒無菌」的網絡空間,實現「標本兼治」必須著眼提升網絡生命體的「自身免疫力」,以創新的思路尋找一條在「有毒帶菌」條件下保障網絡安全的技術路徑。
內生安全技術有望徹底改變當前網絡空間的遊戲規則
記者:您提出網絡空間內生安全問題是安全威脅的本源,防範這一問題需要「獨闢蹊徑」,需要創新的思路、創新的技術體系,請具體談談如何構建一個更安全的網絡?
鄔江興:解鈴還須繫鈴人,既然網絡空間安全的本質是內生安全問題,那麼解決這一問題的辦法就是構建內生安全技術,在根本上提高網絡的自身免疫力。
事實上,人們面對網絡空間安全威脅走出了兩條技術路徑,一條是外掛式防禦,比如防火牆、入侵檢測、身份驗證等技術,這個好比西醫,就是打針吃藥。但是這種防禦必須基於先驗知識,要事先提取惡意代碼的樣本特徵,才能定向進行防禦。如果沒有先驗知識,即使亡羊也不能補牢。第二條就是內生式防禦,比如我們現在提出的內生安全技術體系,這個好比中醫,提高網絡生命體的非特異性免疫能力。由於內生安全的獨有構造和內在機制,將傳統的網絡安全問題轉化為可靠性問題,不僅能感知未知的未知風險,還能夠實現網絡設備的可定製、可度量的安全設計。
我們所說的內生安全,就是具有內生或內源性安全功效的構造或算法及其體制機制。按字面意思,內生就是靠自身構造因素而不是外部因素得到的內源性效應;內生安全就是利用系統的架構、算法、機制、場景等內在因素獲得的安全功能或屬性。它是網絡擁有自身免疫力的一種重要方式。內生安全最大的特徵體現在兩點,一是基於目標對象基礎構造或算法的內源性安全功能,具有與脊椎生物非特異性和特異性免疫機制類似的「點面融合」式防禦特點,與目標對象本徵或元功能具有構造層面的不可分割性;二是安全功效不依賴攻擊者先驗知識和行為特徵信息,對利用特定攻擊資源、攻擊技術、攻擊方法形成的已知或未知威脅,具有天然的抑制功效。
內生安全技術有望徹底改變網絡空間當前的「查漏堵門、殺毒滅馬、亡羊補牢」遊戲規則,從根本上顛覆現有的基於軟硬體代碼漏洞後門的網絡攻擊理論與方法,促進具有「自身免疫力」的新一代信息技術和產品的升級換代,為從根本上解決網絡空間安全難題,探索出了一條適應經濟技術全球化時代「自主可控、安全可信」的新路子。
網絡安全不安全「極客」說了算
記者:網絡空間內生安全技術從理論上可以防範安全威脅,對這一創新理論我們如何能夠進行驗證,以證明該技術能夠具備有效應對安全威脅的能力?
鄔江興:網絡安全最大的問題是可驗證性,不能自說自話。實際上,網絡安全不安全,應該由攻擊者說了算,由「白帽黑客」「網絡極客」說了算。為了讓測試更加具有說服力,我們還專門引入了「白盒測試」的概念,把門敞開、讓高手來打。
從2018年開始,我們先後組織了三屆「擬態強網」國際精英挑戰賽,對基於內生安全技術的網絡設備進行高強度眾測。概括這幾屆比賽的特點,就很能說明問題。一是挑戰者最強,國內戰隊全部來自「強網杯」全國網絡安全挑戰賽前20強隊伍,他們從全國近3000支戰隊中脫穎而出;國際戰隊更具代表性,均為國際各大賽事排名前10名隊伍,堪稱全明星陣容。二是場景最逼真,所有「靶機」均為商用貨架級設備,不是虛擬場景,而是真實的網絡環境。三是賽制最開放,不但向參賽者公布被測設備的技術指標,還詳細介紹防禦體系的技術機理,更重要的是允許參賽者預置後門漏洞。這就好比不但把保險箱的位置公開,甚至把密碼也公開了,充分展示了自信開放的態度。內生安全技術就這樣向難而生,先後經歷10餘次國內頂尖測試團隊開放式暴力測試,經歷了國際最強「白帽黑客」高強度滲透攻擊,既使預置「後門」,也能安全可靠。去年國家有關部門對該技術進行驗收時指出,內生安全理論與方法的提出,為解決信息系統安全性可量化設計、可驗證度量世界難題找到了一條行之有效的破解之道,對促進網絡安全技術由外掛式向內生性轉變具有重大的引領意義。
內生安全技術已經進入產業化階段
記者:網絡空間內生安全技術能夠有效抑制基於漏洞後門的網絡攻擊,讓我們身邊的網絡在「有毒帶菌」條件下正常運行,您能總結下這一技術體系的創新之處以及處於什麼樣的發展階段嗎?
鄔江興:網絡空間內生安全技術是我國獨創的技術體系,是網絡空間安全的新理論、新領域、新路徑。這一技術體系目前已從理論技術創新、典型產品創新進入普適應用創新以及產業化的新階段。
日前,我們在南京正式上線了由紫金山實驗室打造的全球首創的「蓮花哪吒」內生安全雲,這是在內生安全新理論指導下產生的最新成果。這些系統上線就好比為內生安全提供了一個「DIY」功能,讓多個「講方言、說土話」的異構系統講「普通話」,讓「非標件」變成「標準件」,讓用戶更靈活、便捷地配置異構資源,有效解決異構冗餘系統綜合調度難、應用門檻偏高等難題,推動內生安全技術走出實驗室、走近千家萬戶。同時,為了推動內生安全技術更好發展,我們還聯合國內180餘家高校、科研機構、骨幹企業成立了「網絡空間內生安全技術與產業聯盟」,通過建立集產學研用多類型單位於一體的開放性行業組織,深度整合優勢資源,推動構建網絡內生安全產業集群和生態環境,助力網絡強國建設,為經濟社會高質量發展提供新動能。
(本報記者 蔡侗辰)