10月28日,我国独创内生安全云平台“莲花哪吒”等四项最新成果在南京发布,标志着我国开辟的网络空间内生安全新领域,已从理论创新、技术创新、典型设备研制阶段迈向了普适应用创新的新阶段。网络空间内生安全技术自诞生以来,经受了国内专业机构十余次测试评估和开放众测的近千万次网络攻击,始终保持“金身不破”。为探究其中奥秘,记者专访了国家数字交换系统工程技术研究中心主任、中国工程院院士邬江兴。
网络空间安全威胁源自内生安全问题
记者:没有网络安全就没有国家安全。网络安全是新型基础设施建设和数字经济高质量发展的重要保证,您对网络安全威胁产生的本质和根源是如何看待的?
邬江兴:网络空间安全威胁源于内生安全问题,这是信息领域自身理论体系与技术的不完备性而致,是与生俱来的“基因缺陷”。例如,大数据能够根据算法和数据样本发现未知规律,而蓄意污染数据样本、恶意触发算法缺陷却能使人们“误入歧途”;人工智能靠大数据、大算力、深度学习等算法获得前行动力,而结果的不可解释性与不可推论性则存在“智能不可控”的隐忧。如果蓄意利用这些同源产品漏洞后门时,区块链技术就不再值得信赖。
网络空间不是真空,“有毒带菌”是常态,不同的是,有的是无意的,有的是故意的,有的是蓄意强加的。我们不可能也没必要构建一个“无毒无菌”的网络空间,实现“标本兼治”必须着眼提升网络生命体的“自身免疫力”,以创新的思路寻找一条在“有毒带菌”条件下保障网络安全的技术路径。
内生安全技术有望彻底改变当前网络空间的游戏规则
记者:您提出网络空间内生安全问题是安全威胁的本源,防范这一问题需要“独辟蹊径”,需要创新的思路、创新的技术体系,请具体谈谈如何构建一个更安全的网络?
邬江兴:解铃还须系铃人,既然网络空间安全的本质是内生安全问题,那么解决这一问题的办法就是构建内生安全技术,在根本上提高网络的自身免疫力。
事实上,人们面对网络空间安全威胁走出了两条技术路径,一条是外挂式防御,比如防火墙、入侵检测、身份验证等技术,这个好比西医,就是打针吃药。但是这种防御必须基于先验知识,要事先提取恶意代码的样本特征,才能定向进行防御。如果没有先验知识,即使亡羊也不能补牢。第二条就是内生式防御,比如我们现在提出的内生安全技术体系,这个好比中医,提高网络生命体的非特异性免疫能力。由于内生安全的独有构造和内在机制,将传统的网络安全问题转化为可靠性问题,不仅能感知未知的风险,还能够实现网络设备的可定制、可度量的安全设计。
我们所说的内生安全,就是具有内生或内源性安全功效的构造或算法及其体制机制。按字面意思,内生就是靠自身构造因素而不是外部因素得到的内源性效应;内生安全就是利用系统的架构、算法、机制、场景等内在因素获得的安全功能或属性。它是网络拥有自身免疫力的一种重要方式。内生安全最大的特征体现在两点,一是基于目标对象基础构造或算法的内源性安全功能,具有与脊椎生物非特异性和特异性免疫机制类似的“点面融合”式防御特点,与目标对象本征或元功能具有构造层面的不可分割性;二是安全功效不依赖攻击者先验知识和行为特征信息,对利用特定攻击资源、攻击技术、攻击方法形成的已知或未知威胁,具有天然的抑制功效。
内生安全技术有望彻底改变网络空间当前的“查漏堵门、杀毒灭马、亡羊补牢”游戏规则,从根本上颠覆现有的基于软硬件代码漏洞后门的网络攻击理论与方法,促进具有“自身免疫力”的新一代信息技术和产品的升级换代,为从根本上解决网络空间安全难题,探索出了一条适应经济技术全球化时代“自主可控、安全可信”的新路子。
网络安全不安全“极客”说了算
记者:网络空间内生安全技术从理论上可以防范安全威胁,对这一创新理论我们如何能够进行验证,以证明该技术能够具备有效应对安全威胁的能力?
邬江兴:网络安全最大的问题是可验证性,不能自说自话。实际上,网络安全不安全,应该由攻击者说了算,由“白帽黑客”“网络极客”说了算。为了让测试更加具有说服力,我们还专门引入了“白盒测试”的概念,把门敞开、让高手来打。
从2018年开始,我们先后组织了三届“拟态强网”国际精英挑战赛,对基于内生安全技术的网络设备进行高强度众测。概括这几届比赛的特点,就很能说明问题。一是挑战者最强,国内战队全部来自“强网杯”全国网络安全挑战赛前20强队伍,他们从全国近3000支战队中脱颖而出;国际战队更具代表性,均为国际各大赛事排名前10名队伍,堪称全明星阵容。二是场景最逼真,所有“靶机”均为商用货架级设备,不是虚拟场景,而是真实的网络环境。三是赛制最开放,不但向参赛者公布被测设备的技术指标,还详细介绍防御体系的技术机理,更重要的是允许参赛者预置后门漏洞。这就好比不但把保险箱的位置公开,甚至把密码也公开了,充分展示了自信开放的态度。内生安全技术就这样向难而生,先后经历10余次国内顶尖测试团队开放式暴力测试,经历了国际最强“白帽黑客”高强度渗透攻击,即便预置“后门”,也能安全可靠。去年国家有关部门对该技术进行验收时指出,内生安全理论与方法的提出,为解决信息系统安全性可量化设计、可验证度量世界难题找到了一条行之有效的破解之道,对促进网络安全技术由外挂式向内生性转变具有重大的引领意义。
内生安全技术已经进入产业化阶段
记者:网络空间内生安全技术能够有效抑制基于漏洞后门的网络攻击,让我们身边的网络在“有毒带菌”条件下正常运行,您能总结下这一技术体系的创新之处以及处于什么样的发展阶段吗?
邬江兴:网络空间内生安全技术是我国独创的技术体系,是网络空间安全的新理论、新领域、新路径。这一技术体系目前已从理论技术创新、典型产品创新进入普适应用创新以及产业化的新阶段。
日前,我们在南京正式上线了由紫金山实验室打造的全球首创的“莲花哪吒”内生安全云,这是在内生安全新理论指导下产生的最新成果。这些系统上线就好比为内生安全提供了一个“DIY”功能,让多个“讲方言、说土话”的异构系统讲“普通话”,让“非标件”变成“标准件”,让用户更灵活、便捷地配置异构资源,有效解决异构冗余系统综合调度难、应用门槛偏高等难题,推动内生安全技术走出实验室、走近千家万户。同时,为了推动内生安全技术更好发展,我们还联合国内180余家高校、科研机构、骨干企业成立了“网络空间内生安全技术与产业联盟”,通过建立集产学研用多类型单位于一体的开放性行业组织,深度整合优势资源,推动构建网络内生安全产业集群和生态环境,助力网络强国建设,为经济社会高质量发展提供新动能。