信息化觀察網(wǎng)

由中國(guó)信息協(xié)會(huì)主辦，信息化觀察網(wǎng)、中國(guó)信息化網(wǎng)、國(guó)潤(rùn)互聯(lián)信息技術(shù)研究院共同承辦的“2020第五屆中國(guó)網(wǎng)絡(luò)信息安全云上峰會(huì)”于7月10日通過(guò)線上的方式正式召開(kāi)。中國(guó)工程院院士鄔江興受邀出席峰會(huì)，并帶來(lái)了題為《網(wǎng)絡(luò)空間內(nèi)生安全共性問(wèn)題及擬態(tài)防御》的主旨報(bào)告。以下內(nèi)容根據(jù)鄔江興院士演講整理，未經(jīng)演講者審閱。

一、內(nèi)生安全問(wèn)題哲學(xué)思考

從一般意義上說(shuō)，任何自然的功能或人造的功能，都存在伴生或者衍生的顯式的副作用或者隱式的暗功能。副作用可能是良性的，也可能是不良的，但暗功能的性狀及影響則完全事未知的，內(nèi)生安全問(wèn)題就是元功能或本征功能的內(nèi)在性矛盾。

以大數(shù)據(jù)為例，它的內(nèi)生安全問(wèn)題是不可解釋性。大數(shù)據(jù)的發(fā)現(xiàn)處于“只知其然不知所以然”的狀態(tài)，一旦數(shù)據(jù)或算法被污染，結(jié)論可能是大相徑庭的，盲目相信可能會(huì)帶來(lái)災(zāi)難性后果。

以人工智能為例，它的現(xiàn)階段內(nèi)生安全問(wèn)題是不可解釋性與不具推理性。人工智能1.0階段前行動(dòng)力主要依賴三種力量，大數(shù)據(jù)、大算力、深度學(xué)習(xí)算法，但是，結(jié)果不具有可解釋性和可推理性。

以區(qū)塊鏈為例，區(qū)塊鏈的算法實(shí)現(xiàn)離不開(kāi)現(xiàn)有的COTS級(jí)軟硬件系統(tǒng)，因此凡是區(qū)塊鏈系統(tǒng)用到的COTS級(jí)軟硬件之內(nèi)生安全問(wèn)題，同時(shí)也是區(qū)塊鏈技術(shù)的內(nèi)生安全問(wèn)題。

以信息通信網(wǎng)絡(luò)為例，基于共享資源體制的網(wǎng)絡(luò)通信技術(shù)不可避免的存在協(xié)議安全、傳輸安全、信息安全、擁塞控制等內(nèi)生安全問(wèn)題，絕大多數(shù)網(wǎng)絡(luò)攻擊都要借助或利用這些內(nèi)生安全問(wèn)題才能實(shí)施。

以云服務(wù)平臺(tái)為例，在云服務(wù)系統(tǒng)中，應(yīng)用軟件、服務(wù)器軟硬件資源、運(yùn)行環(huán)境中存在漏洞后門，攻擊者劫持用戶服務(wù)；文件存儲(chǔ)系統(tǒng)中存在的漏洞后門，攻擊者竊取或破壞敏感數(shù)據(jù)信息；虛擬層存在漏洞后門，攻擊者攻擊提權(quán)后，攻擊其它虛擬機(jī)，實(shí)現(xiàn)威脅能力擴(kuò)張。

云平臺(tái)的內(nèi)生安全問(wèn)題直接關(guān)系到信息基礎(chǔ)設(shè)施服務(wù)的可信性，嚴(yán)重威脅國(guó)家“新基建”戰(zhàn)略的“安全底座”。

以數(shù)據(jù)中心為例，智能化時(shí)代需要安全性可量化設(shè)計(jì)與驗(yàn)證的信息基礎(chǔ)設(shè)施。

以5G網(wǎng)絡(luò)架構(gòu)為例，5G的云化網(wǎng)絡(luò)架構(gòu)更加開(kāi)放，服務(wù)的集約化提供程度更高，2C&2B&2M使接入環(huán)境更加復(fù)雜，國(guó)家化的產(chǎn)業(yè)鏈形成的軟硬構(gòu)件安全質(zhì)量幾乎無(wú)法掌控，將面臨全所未有的內(nèi)生安全問(wèn)題和大量未知安全威脅與挑戰(zhàn)。

二、內(nèi)生安全之共性問(wèn)題

網(wǎng)絡(luò)空間內(nèi)生安全之共性問(wèn)題體現(xiàn)在：

? 軟硬件部件設(shè)計(jì)缺陷導(dǎo)致的安全漏洞不可避免。因?yàn)槿祟惣夹g(shù)發(fā)展和認(rèn)知水平的階段性特征，導(dǎo)致漏洞問(wèn)題不可能徹底避免，這個(gè)與是否擁有自主知識(shí)產(chǎn)權(quán)和國(guó)產(chǎn)化程度弱相關(guān)或無(wú)關(guān)。

? 信息產(chǎn)品生態(tài)圈中存在的軟硬件后門無(wú)法杜絕。全球化時(shí)代，開(kāi)放式產(chǎn)業(yè)生態(tài)環(huán)境開(kāi)源技術(shù)模式和“你中有我、我中有你”的產(chǎn)業(yè)鏈，軟硬件后門問(wèn)題不可能完全杜絕，如果不能掌控整個(gè)生態(tài)圈或全產(chǎn)業(yè)鏈，即使擁有自主知識(shí)產(chǎn)權(quán)也不可能徹底根除問(wèn)題。

? 現(xiàn)階段人類科技能力尚不能徹查漏洞后門問(wèn)題。就普遍性而言，窮盡或徹查目標(biāo)系統(tǒng)軟硬件代碼問(wèn)題，在可以預(yù)見(jiàn)的將來(lái)，仍然是難以克服的科學(xué)挑戰(zhàn)，不能也不可能構(gòu)建一個(gè)“無(wú)毒無(wú)菌”絕對(duì)安全的理想場(chǎng)景。

? 信息產(chǎn)品安全質(zhì)量尚無(wú)有效的控制辦法。一個(gè)信息系統(tǒng)或控制裝置中可能有成千上萬(wàn)的軟硬件部件或構(gòu)件，只要存在一個(gè)高危漏洞或設(shè)計(jì)一個(gè)后門或無(wú)意導(dǎo)入一個(gè)陷門，就可能導(dǎo)致整個(gè)系統(tǒng)的服務(wù)不可信或功能喪失。

因?yàn)榫W(wǎng)絡(luò)空間廣泛存在內(nèi)生安全問(wèn)題及其共性因素，攻擊者只要能建立起可靠的供給鏈，外因就能通過(guò)內(nèi)因構(gòu)成已知或者未知的安全威脅。

信息系統(tǒng)或控制裝置安全性不能確保之殤

信息系統(tǒng)或軟硬件設(shè)施、工業(yè)控制平臺(tái)或網(wǎng)絡(luò)、IOT系統(tǒng)漏洞后門危害如何評(píng)估、服務(wù)可信性如何保證、內(nèi)生安全共性問(wèn)題如何管控？這些問(wèn)題暫時(shí)還沒(méi)有答案。即使是殺毒滅馬、封門補(bǔ)漏、加密認(rèn)證或防火墻等附加型安全防護(hù)設(shè)施自身的可信性能能否保證？世界上尚沒(méi)有任何科研單位或企業(yè)可以面對(duì)這個(gè)問(wèn)題！一般而言，信息系統(tǒng)或控制裝置除傳統(tǒng)安全外的安全性，迄今為止，無(wú)法給出可量化的設(shè)計(jì)指標(biāo)與可驗(yàn)證度量的測(cè)評(píng)方法。也就是說(shuō)，“安全性無(wú)法量化”是世界難題，因而軟硬件產(chǎn)品安全質(zhì)量就無(wú)從控制，漏洞后門/病毒木馬可從源頭污染Cyberspace。

網(wǎng)絡(luò)空間內(nèi)生安全問(wèn)題的內(nèi)涵

狹義內(nèi)生安全問(wèn)題指的是一個(gè)軟硬件構(gòu)造或算法除本征或元功能之外總存在屬于內(nèi)因的顯式副作用或隱式暗功能，不明副作用或暗功能很可能成為內(nèi)生安全問(wèn)題。廣義內(nèi)生安全問(wèn)題是除了狹義內(nèi)生安全問(wèn)題之外，包括凡是所有未向系統(tǒng)使用者明確聲明過(guò)的軟硬件設(shè)計(jì)功能，；例如前門、后門、陷門等。廣義不確定擾動(dòng)指的是內(nèi)因需通過(guò)外因起作用。廣義內(nèi)生安全問(wèn)題是內(nèi)因，基于人為或自然因素的廣義不確定擾動(dòng)是外因。兩者結(jié)合才能構(gòu)成安全威脅。凡是廣義不確定擾動(dòng)引發(fā)的目標(biāo)系統(tǒng)或關(guān)聯(lián)設(shè)備內(nèi)生安全問(wèn)題可能產(chǎn)生的危害，稱為“廣義不確定安全威脅”。內(nèi)生安全問(wèn)題是自在性矛盾，內(nèi)生安全共性問(wèn)題泛在化存在。如何應(yīng)對(duì)或防御基于目標(biāo)系統(tǒng)未知漏洞、未知后門等內(nèi)生安全問(wèn)題及共性因素的未知攻擊？迄今為止，缺乏可靠的理論和技術(shù)支撐。

現(xiàn)有安全防御技術(shù)是基于威脅特征感知的精確防御，建立在“已知風(fēng)險(xiǎn)”或“已知的未知風(fēng)險(xiǎn)”前提上，有效條件是需要提前獲得攻擊來(lái)源、攻擊特征、滲透途徑、攻擊行為、攻擊機(jī)制、目標(biāo)環(huán)境等先驗(yàn)知識(shí)的支持。現(xiàn)有安全防御技術(shù)本質(zhì)上屬于附加或外掛型防御范疇，附加防御的有效性取決于先驗(yàn)知識(shí)完備性和精確的實(shí)時(shí)感知能力，“亡羊補(bǔ)牢”后天免疫+加密/認(rèn)證“底線防御”無(wú)法應(yīng)對(duì)蓄意利用“內(nèi)生安全問(wèn)題或共性暗功能”引發(fā)的unknow2安全威脅。unknow2安全威脅造成的技術(shù)窘境，無(wú)論是被保護(hù)對(duì)象還是“安全守護(hù)神”自身都無(wú)法回避這些問(wèn)題，即使加密、認(rèn)證等算法的安全性在數(shù)學(xué)意義上可能已足夠強(qiáng)大，但其物理或邏輯實(shí)現(xiàn)載體的安全性也無(wú)法給出理論與工程意義上令人信服的證明。

現(xiàn)有安全防御體系存在理論和工程上無(wú)法確保網(wǎng)絡(luò)空間生態(tài)環(huán)境“無(wú)漏洞無(wú)后門”的基因缺陷，基因缺陷導(dǎo)致的體系困境戰(zhàn)略上屬于被動(dòng)或消極防御，“堵不勝堵，防不勝防”成為內(nèi)生安全共性問(wèn)題之必然缺陷。當(dāng)前信息產(chǎn)業(yè)與網(wǎng)絡(luò)安全界正面臨前所未有的挑戰(zhàn)，沒(méi)有任何商家敢保證“自主可控產(chǎn)品”不存在安全漏洞，沒(méi)有任何安檢機(jī)構(gòu)敢為送檢設(shè)備/裝置作無(wú)漏洞安全擔(dān)保。

三、內(nèi)生安全體系與技術(shù)特征

內(nèi)生安全體質(zhì)應(yīng)該具備的特征：

1、開(kāi)放的組織架構(gòu)，不排除架構(gòu)、模塊和構(gòu)件中包含任何的內(nèi)生安全問(wèn)題；

2、具有一體化的構(gòu)造，能同時(shí)提供高可靠、高可信、高可用的使用功能；

3、體制上應(yīng)當(dāng)能夠協(xié)同使用多樣性、隨機(jī)性和動(dòng)態(tài)性之防御要素；

4、應(yīng)當(dāng)同時(shí)具有異構(gòu)、冗余、動(dòng)態(tài)、裁決和反饋控制只構(gòu)造要素，既能提供面防御功能也能提供點(diǎn)防御功能；

5、應(yīng)當(dāng)具有自學(xué)習(xí)、自優(yōu)化、主動(dòng)應(yīng)對(duì)的自我進(jìn)化能力；

6、能夠自然的接納任何的安全防護(hù)技術(shù)并可獲得指數(shù)量級(jí)的防御增益。

也就是說(shuō)，內(nèi)生安全應(yīng)當(dāng)是目標(biāo)對(duì)象技術(shù)構(gòu)造決定的安全，應(yīng)該能從體制上同時(shí)保障功能的可靠性與可信性并具有普適意義。

內(nèi)生安全機(jī)制應(yīng)該具備的特征：

1、內(nèi)生安全機(jī)制應(yīng)當(dāng)能應(yīng)對(duì)人—機(jī)、機(jī)—機(jī)、機(jī)—人攻防博弈；

2、內(nèi)生安全機(jī)制應(yīng)當(dāng)可以條件管控或抑制已知或未知的威脅；

3、內(nèi)生安全機(jī)制的有效性應(yīng)當(dāng)不依賴（但不排斥）任何先驗(yàn)知識(shí)或附加、內(nèi)置、內(nèi)共生的其他安全措施或技術(shù)手段；

4、能自然的為目標(biāo)對(duì)象提供高可靠、高可信、高可用三位一體使用性能；

5、內(nèi)生安全機(jī)制產(chǎn)生的廣義安全性應(yīng)當(dāng)具有可量化設(shè)計(jì)、可驗(yàn)證度量的穩(wěn)定魯棒性和品質(zhì)魯棒性；

6、內(nèi)生安全機(jī)制產(chǎn)生的使用效能與運(yùn)維管理者技術(shù)能力及過(guò)往經(jīng)驗(yàn)弱相關(guān)。

內(nèi)生安全技術(shù)應(yīng)該具備的特征：

1、 內(nèi)生安全屬于目標(biāo)對(duì)象內(nèi)源性的安全功能，具有與脊椎生物非特異性和特異性免疫機(jī)制類似的“點(diǎn)面融合”式防御功能，與目標(biāo)對(duì)象本征（元）功能產(chǎn)生于同一技術(shù)構(gòu)造，具有不可分割性；

2、內(nèi)生安全功能不依賴攻擊者任何先驗(yàn)知識(shí)或行為特征，對(duì)獨(dú)立的攻擊資源、攻擊技術(shù)或方法形成的“任何差模攻擊效應(yīng)”具有天然的抑制功效，對(duì)基于o-Day/nDay性質(zhì)漏洞后門/病毒木馬等網(wǎng)絡(luò)攻擊可以完全無(wú)視；

3、內(nèi)生安全功能應(yīng)當(dāng)具有時(shí)空非一致性的“測(cè)不準(zhǔn)效應(yīng)”以及“基于策略裁決的異構(gòu)冗余場(chǎng)景反饋迭代調(diào)度機(jī)制”

4、理論上，“差模逃逸”不可能發(fā)生，“共模逃逸”也是極小概率時(shí)間，“即使成功也可能只此一次”，在內(nèi)生安全環(huán)境內(nèi)的攻擊行為或成果都不具有穩(wěn)定穩(wěn)定魯棒性和品質(zhì)魯棒性。

所以說(shuō)，內(nèi)生安全功能應(yīng)當(dāng)成為網(wǎng)絡(luò)信息基礎(chǔ)設(shè)施乃至任何信息系統(tǒng)或控制裝置的基本功能。

四、內(nèi)生安全理論與方法

擬態(tài)防御作為內(nèi)生安全理論的技術(shù)實(shí)踐，能夠在不依賴先驗(yàn)知識(shí)條件下，管控暗功能引發(fā)的內(nèi)生安全問(wèn)題。通過(guò)借鑒可靠性理論與自動(dòng)控制理論，發(fā)現(xiàn)了基于相對(duì)正確公理能將unknow2問(wèn)題轉(zhuǎn)換為有感差模/共模問(wèn)題的規(guī)律，提出了編碼信道糾錯(cuò)理論，功能安全與信息安全問(wèn)題可以歸一化處理。通過(guò)發(fā)明一種動(dòng)態(tài)異構(gòu)冗余構(gòu)造，導(dǎo)入擬態(tài)偽裝機(jī)制，產(chǎn)生測(cè)不準(zhǔn)效應(yīng)，獲得可量化設(shè)計(jì)、可驗(yàn)證度量的內(nèi)生安全與廣義魯棒控制功能。擬態(tài)構(gòu)造的軟硬件系統(tǒng)能夠保證，我的設(shè)計(jì)缺陷不會(huì)成為你的安全問(wèn)題，總結(jié)下就是發(fā)明了一種動(dòng)態(tài)異構(gòu)冗余構(gòu)造DHR，獲得測(cè)不準(zhǔn)構(gòu)造效應(yīng)，形成擬態(tài)防迷霧。

理論與實(shí)踐證明，DHR能夠100%的抑制構(gòu)造內(nèi)以差模形態(tài)呈現(xiàn)的廣義不確定擾動(dòng)，能夠?qū)?gòu)造內(nèi)共模形態(tài)的廣義不確定擾動(dòng)逃逸概率控制在設(shè)定閾值內(nèi)，任何成功的試錯(cuò)攻擊或盲攻擊都會(huì)使構(gòu)造環(huán)境發(fā)生攻擊者無(wú)感切換。

擬態(tài)防御將“未知的未知安全威脅”轉(zhuǎn)變?yōu)?ldquo;已知的未知安全問(wèn)題”，將無(wú)法量化控制的問(wèn)題轉(zhuǎn)換為基于可控概率的問(wèn)題，將內(nèi)生安全共性問(wèn)題轉(zhuǎn)變?yōu)榻?jīng)典可靠性理論與自動(dòng)控制技術(shù)可以管控的事務(wù)，為網(wǎng)絡(luò)空間防御提供了改變游戲規(guī)則的革命性技術(shù)。

五、內(nèi)生安全技術(shù)實(shí)踐與發(fā)展

擬態(tài)構(gòu)造是一種前景可期待的內(nèi)生安全賦能技術(shù)，DHR構(gòu)造理論及基本方法能夠破解信息系統(tǒng)或控制裝置內(nèi)生安全共性問(wèn)題不能管控的世界難題，使得“從源頭管控基于信息技術(shù)的相關(guān)領(lǐng)域產(chǎn)品安全缺陷”成為可能，漏洞后門資源將失去戰(zhàn)略性作用，“隱匿漏洞、設(shè)置后門”不再具有戰(zhàn)略意義，能從根本上抵消美國(guó)人在網(wǎng)絡(luò)空間基于漏洞后門甚至前門的戰(zhàn)略優(yōu)勢(shì)。擬態(tài)構(gòu)造能夠?yàn)镮T/ICT/ICS/CPS等技術(shù)與產(chǎn)業(yè)發(fā)展賦予可量化設(shè)計(jì)、可驗(yàn)證度量的內(nèi)生安全功能，有望徹底扭轉(zhuǎn)當(dāng)前網(wǎng)絡(luò)安全領(lǐng)域“有合規(guī)性管理，缺乏可支撐手段”，“即使自主可控也很難達(dá)成安全可信目的”之困局。但擬態(tài)構(gòu)造也存在機(jī)理缺陷，即對(duì)能夠跨擬態(tài)場(chǎng)景的協(xié)同一致攻擊存在較高的逃逸概率。