信息化觀察網(wǎng)

9月16日—17日，由中國(guó)信息協(xié)會(huì)主辦，信息化觀察網(wǎng)、國(guó)潤(rùn)互聯(lián)信息技術(shù)研究院、中國(guó)信息協(xié)會(huì)傳媒中心承辦的2020第二屆中國(guó)電子政務(wù)安全大會(huì)在北京隆重召開(kāi)。中國(guó)工程院院士鄔江興通過(guò)視頻連線(xiàn)的方式，以《新基建安全痛點(diǎn)與擬態(tài)防御亮點(diǎn)》為題 ，做了主題報(bào)告。以下內(nèi)容根據(jù)鄔江興院士演講內(nèi)容整理。

中國(guó)工程院院士鄔江興視頻演講

一、內(nèi)生安全問(wèn)題哲學(xué)思考

鄔江興院士首先對(duì)內(nèi)生安全問(wèn)題進(jìn)行了哲學(xué)詮釋和推斷。

從一般意義上說(shuō)，任何自然的功能或人造的功能，都存在伴生或者衍生的顯式的副作用或者隱式的暗功能。副作用可能是良性的，也可能是不良的，但暗功能的性狀及影響則完全事未知的，內(nèi)生安全問(wèn)題就是元功能或本征功能的內(nèi)在性矛盾。“任何事物，總存在利與弊的兩面性”，有弊的東西就會(huì)成為內(nèi)生安全問(wèn)題，利與弊如同一枚硬幣的兩面，只能趨利避害，不可能徹底低消除！就普遍性而言，不同事物有著不同的內(nèi)生安全問(wèn)題，但也存在共性問(wèn)題之可能。

從哲學(xué)推斷來(lái)看，內(nèi)生安全問(wèn)題屬于內(nèi)源性基因缺陷，任何體質(zhì)機(jī)制都不可能完美無(wú)缺的。內(nèi)生安全不可能源于任何外部因素，即任何附加管理都無(wú)法產(chǎn)生內(nèi)生安全。人們可以運(yùn)用內(nèi)生安全問(wèn)題規(guī)律發(fā)明相應(yīng)的內(nèi)生安全利用技術(shù)和方法，一個(gè)架構(gòu)的內(nèi)生安全問(wèn)題只有利用其他架構(gòu)內(nèi)生安全技術(shù)才能規(guī)避之。構(gòu)造缺陷只有運(yùn)用互補(bǔ)性的構(gòu)造技術(shù)才能回避和管控。

二、新基建的內(nèi)生安全痛點(diǎn)

鄔江興院士指出新基建助推數(shù)字經(jīng)濟(jì)高速發(fā)展的同時(shí)，將面對(duì)更為嚴(yán)峻的網(wǎng)絡(luò)空間安全挑戰(zhàn)。

從大數(shù)據(jù)角度來(lái)看，它的內(nèi)生安全問(wèn)題是不可解釋性。大數(shù)據(jù)的發(fā)現(xiàn)處于“只知其然不知所以然”的狀態(tài)，一旦數(shù)據(jù)或算法被污染，結(jié)論可能是大相徑庭的，盲目相信可能會(huì)帶來(lái)災(zāi)難性后果。

從人工智能角度來(lái)看，它的現(xiàn)階段內(nèi)生安全問(wèn)題是不可解釋性與不具推理性。人工智能1.0階段前行動(dòng)力主要依賴(lài)三種力量，大數(shù)據(jù)、大算力、深度學(xué)習(xí)算法，但是，結(jié)果不具有可解釋性和可推理性。

從區(qū)塊鏈角度來(lái)看，區(qū)塊鏈的算法實(shí)現(xiàn)離不開(kāi)現(xiàn)有的COTS級(jí)軟硬件系統(tǒng)，因此凡是區(qū)塊鏈系統(tǒng)用到的COTS級(jí)軟硬件之內(nèi)生安全問(wèn)題，同時(shí)也是區(qū)塊鏈技術(shù)的內(nèi)生安全問(wèn)題。

從云服務(wù)/數(shù)據(jù)中心角度來(lái)看，漏洞后門(mén)、病毒木馬等問(wèn)題直接關(guān)系到新一代基礎(chǔ)設(shè)施服務(wù)的可能性，新瓶裝舊酒、穿新鞋走老路會(huì)嚴(yán)重威脅國(guó)家新基建安全底座。

從5G網(wǎng)絡(luò)角度來(lái)看，5G設(shè)計(jì)之初的理念是假設(shè)系統(tǒng)處于一個(gè)開(kāi)放、非信任的環(huán)境中，需要解決如何在非可信條件下搭建出一個(gè)可信賴(lài)的通信網(wǎng)絡(luò)、童工更多安全服務(wù)問(wèn)題，遺憾的是5G至今也未找到實(shí)現(xiàn)這一初心的途徑或辦法。未知漏洞后門(mén)、病毒木馬威脅依然是基于SDN、NFV或云計(jì)算等技術(shù)的5G網(wǎng)絡(luò)最大的內(nèi)生安全問(wèn)題，沒(méi)有之一。

因此我們說(shuō)，新基建面臨著“雞蛋敢不敢都放在一個(gè)籃子里”的問(wèn)題。不能只防護(hù)“已知的未知”攻擊更要能對(duì)付“未知的未知”威脅挑戰(zhàn)，新基建需要安全性可量化設(shè)計(jì)、可驗(yàn)證度量的新一代信息基礎(chǔ)設(shè)施。

三、新基建內(nèi)生安全之共性問(wèn)題

軟硬件部件設(shè)計(jì)缺陷導(dǎo)致的安全漏洞不可避免。因?yàn)槿祟?lèi)技術(shù)發(fā)展和認(rèn)知水平的階段性特征，導(dǎo)致漏洞問(wèn)題不可能徹底避免，這個(gè)與是否擁有自主知識(shí)產(chǎn)權(quán)和國(guó)產(chǎn)化程度弱相關(guān)或無(wú)關(guān)。

信息產(chǎn)品生態(tài)圈中存在的軟硬件后門(mén)無(wú)法杜絕。全球化時(shí)代，開(kāi)放式產(chǎn)業(yè)生態(tài)環(huán)境開(kāi)源技術(shù)模式和“你中有我、我中有你”的產(chǎn)業(yè)鏈，軟硬件后門(mén)問(wèn)題不可能完全杜絕，如果不能掌控整個(gè)生態(tài)圈或全產(chǎn)業(yè)鏈，即使擁有自主知識(shí)產(chǎn)權(quán)也不可能徹底根除問(wèn)題。

現(xiàn)階段人類(lèi)科技能力尚不能徹查漏洞后門(mén)問(wèn)題。就普遍性而言，窮盡或徹查目標(biāo)系統(tǒng)軟硬件代碼問(wèn)題，在可以預(yù)見(jiàn)的將來(lái)，仍然是難以克服的科學(xué)挑戰(zhàn)，不能也不可能構(gòu)建一個(gè)“無(wú)毒無(wú)菌”絕對(duì)安全的理想場(chǎng)景。

信息產(chǎn)品安全質(zhì)量尚無(wú)有效的控制辦法。一個(gè)信息系統(tǒng)或控制裝置中可能有成千上萬(wàn)的軟硬件部件或構(gòu)件，只要存在一個(gè)高危漏洞或設(shè)計(jì)一個(gè)后門(mén)或無(wú)意導(dǎo)入一個(gè)陷門(mén)，就可能導(dǎo)致整個(gè)系統(tǒng)的服務(wù)不可信或功能喪失。

也就是說(shuō)，新一代基礎(chǔ)設(shè)施中只要存在漏洞后門(mén)等內(nèi)生安全問(wèn)題，攻擊者一旦成功利用，外因就一定能通過(guò)內(nèi)因構(gòu)成已知或未知的安全威脅。沒(méi)有創(chuàng)新的網(wǎng)絡(luò)安全理論和新一代信息技術(shù)支撐，無(wú)論是新基建還是數(shù)字經(jīng)濟(jì)只能是沙灘建樓了！

（一）新基建的安全性不能確保之殤

新基建設(shè)施中漏洞后門(mén)危害如何評(píng)估、服務(wù)可信性如何保證、內(nèi)生安全共性問(wèn)題如何管控？即使是殺毒滅馬、封門(mén)補(bǔ)漏、加密認(rèn)證或者防火墻等附加型的網(wǎng)絡(luò)安全防護(hù)設(shè)施自身的可信性能能否保證？世界上尚沒(méi)有任何科研單位或企業(yè)可以面對(duì)這個(gè)問(wèn)題！任何信息基礎(chǔ)設(shè)施安全性無(wú)法量化設(shè)計(jì)、無(wú)法驗(yàn)證度量目前仍是世界難題，因?yàn)檐浻布a(chǎn)品安全質(zhì)量就無(wú)從控制，漏洞后門(mén)/病毒木馬可從源頭污染網(wǎng)絡(luò)空間。

（二）網(wǎng)絡(luò)空間內(nèi)生安全共性問(wèn)題之內(nèi)涵

狹義內(nèi)生安全問(wèn)題指的是一個(gè)軟硬件構(gòu)造或算法除本征或元功能之外總存在屬于內(nèi)因的顯式副作用或隱式暗功能，不明副作用或暗功能很可能成為內(nèi)生安全問(wèn)題。廣義內(nèi)生安全問(wèn)題是除了狹義內(nèi)生安全問(wèn)題之外，包括凡是所有未向系統(tǒng)使用者明確聲明過(guò)的軟硬件設(shè)計(jì)功能，例如前門(mén)、后門(mén)、陷門(mén)等。廣義不確定擾動(dòng)指的是內(nèi)因需通過(guò)外因起作用。廣義內(nèi)生安全問(wèn)題是內(nèi)因，基于人為或自然因素的廣義不確定擾動(dòng)是外因。兩者結(jié)合才能構(gòu)成安全威脅。

一般而言，孤立的內(nèi)生安全問(wèn)題本身不會(huì)直接造成安全威脅，但一旦受到廣義不確定擾動(dòng)就可能產(chǎn)生廣義不確定安全威脅。內(nèi)生安全威脅一定是外因和內(nèi)因共同作用的結(jié)果！毫無(wú)疑問(wèn)，不同領(lǐng)域、不同對(duì)象的內(nèi)生安全問(wèn)題可能不盡相同，但漏洞后門(mén)及相關(guān)問(wèn)題則是數(shù)字經(jīng)濟(jì)時(shí)代共性的內(nèi)生安全問(wèn)題。

舉例來(lái)看，數(shù)字經(jīng)濟(jì)時(shí)代最可怕的幽靈是未知的未知安全威脅，攻擊者可以實(shí)施“單向透明、里應(yīng)外合”協(xié)同攻擊，防御者因?yàn)?ldquo;沒(méi)有先兆和行為特征”無(wú)法有效應(yīng)對(duì)。如何應(yīng)對(duì)或防御基于目標(biāo)系統(tǒng)未知漏洞、未知后門(mén)等內(nèi)生安全共性問(wèn)題的未知攻擊？迄今為止，缺乏可靠的理論和技術(shù)支撐。從現(xiàn)有安全防御的邏輯悖論來(lái)看，本質(zhì)上都屬于附加或外掛型傳統(tǒng)防御范疇，有效性取決于先驗(yàn)知識(shí)完備性和攻擊特征的精確感知及分析能力，“亡羊補(bǔ)牢”后天免疫+加密/認(rèn)證“底線(xiàn)防御”，無(wú)法有效應(yīng)對(duì)蓄意利用內(nèi)生安全共性問(wèn)題引發(fā)的實(shí)時(shí)或非實(shí)時(shí)性未知安全威脅。

同樣，內(nèi)生安全共性問(wèn)題也造成了數(shù)字經(jīng)濟(jì)時(shí)代技術(shù)窘境，無(wú)論是被保護(hù)對(duì)象還是安全守護(hù)神自身，都無(wú)法回避“有無(wú)未知軟硬構(gòu)件漏洞？”、“存在預(yù)設(shè)的軟硬構(gòu)件后門(mén)/陷門(mén)甚至前門(mén)？”、“單一處理環(huán)境、共享資源機(jī)制有無(wú)側(cè)信道問(wèn)題？”這些共性安全問(wèn)題。技術(shù)加密、認(rèn)證等算法的安全性在數(shù)學(xué)意義上可能已足夠強(qiáng)大，但其物理或邏輯實(shí)現(xiàn)載體的安全性也無(wú)法給出理論與工程意義上令人信服的證明。

信息產(chǎn)業(yè)與網(wǎng)絡(luò)安全屆正面臨前所未有的挑戰(zhàn)，沒(méi)有任何商家敢保證“自主可控產(chǎn)品”不存在安全漏洞，沒(méi)有任何安檢機(jī)構(gòu)敢為送檢設(shè)備/裝置作無(wú)漏洞安全擔(dān)保。

四、內(nèi)生安全理論與方法

在內(nèi)生安全理論基石--相對(duì)正確公理基礎(chǔ)上，鄔江興院士進(jìn)行再發(fā)現(xiàn)，一是個(gè)體層面的不確定性（非概率）問(wèn)題可以轉(zhuǎn)化為群體層面差模表現(xiàn)形態(tài)的概率問(wèn)題（感知個(gè)性化的未知問(wèn)題）；二是調(diào)整人數(shù)、類(lèi)型、任務(wù)復(fù)雜度、完成時(shí)間、表決策略可以控制差模概率的大?。刂莆粗獑?wèn)題的影響程度）。

內(nèi)生安全理論的技術(shù)實(shí)踐我們稱(chēng)之為擬態(tài)防御，可以用“7112”來(lái)記憶。即：

● 圍繞一個(gè)前提：在不依賴(lài)（但不排斥）先驗(yàn)知識(shí)條件下，管控暗功能引發(fā)的內(nèi)生安全問(wèn)題；

● 鑒借二種理論：可靠性理論與自動(dòng)控制理論；

● 基于一個(gè)再發(fā)現(xiàn)：運(yùn)用相對(duì)正確公理將不確定問(wèn)題轉(zhuǎn)換為有感差模/共模問(wèn)題；

● 提出一種理論：編碼信道糾錯(cuò)理論，功能安全與信息安全問(wèn)題可以歸一化處理；

● 發(fā)明一種構(gòu)造：動(dòng)態(tài)異構(gòu)冗余構(gòu)造DHR，可自然融合既有或未來(lái)各種安全技術(shù)；

● 導(dǎo)入一類(lèi)機(jī)制：基于生物擬態(tài)現(xiàn)象的偽裝機(jī)制（增強(qiáng)防御迷霧）；

● 產(chǎn)生一個(gè)效應(yīng)：測(cè)不準(zhǔn)效應(yīng)（從機(jī)理上使試錯(cuò)或盲攻擊失去效能）；

● 獲得一類(lèi)功能：可量化設(shè)計(jì)、可驗(yàn)證度量的內(nèi)生安全與廣義魯棒控制功能。

這樣的擬態(tài)構(gòu)造的軟硬件運(yùn)行環(huán)境能夠保證運(yùn)行環(huán)境的設(shè)計(jì)缺陷不會(huì)成為應(yīng)用層的安全問(wèn)題，應(yīng)用軟件A的漏洞后門(mén)問(wèn)題無(wú)法影響應(yīng)用軟件B的可信性，任何應(yīng)用軟件的差模漏洞在擬態(tài)構(gòu)造環(huán)境中不可利用。

總之，擬態(tài)防御能夠?qū)?ldquo;未知的未知安全威脅”轉(zhuǎn)變?yōu)?ldquo;已知的未知安全問(wèn)題”，將無(wú)法量化控制的問(wèn)題轉(zhuǎn)換為基于可控概率的問(wèn)題，將內(nèi)生安全共性問(wèn)題轉(zhuǎn)變?yōu)榻?jīng)典可靠性理論與自動(dòng)控制技術(shù)可以管控的事務(wù)，為網(wǎng)絡(luò)空間防御提供了改變游戲規(guī)則的革命性技術(shù)。

五、內(nèi)生安全技術(shù)實(shí)踐與發(fā)展

擬態(tài)構(gòu)造是目前全球最好的內(nèi)生安全賦能技術(shù)，可滿(mǎn)足從軟硬器件到系統(tǒng)到網(wǎng)絡(luò)，各層面內(nèi)生安全功能部署之需要。擬態(tài)構(gòu)造理論及基本方法，能夠破解信息系統(tǒng)或控制裝置內(nèi)生安全共性問(wèn)題不能管控的世界難題，使得“從源頭管控基于信息技術(shù)的相關(guān)領(lǐng)域產(chǎn)品安全缺陷”成為可能，漏洞后門(mén)資源將失去戰(zhàn)略性作用，“隱匿漏洞、設(shè)置后門(mén)”不再具有戰(zhàn)略意義，能從根本上抵消美國(guó)人在網(wǎng)絡(luò)空間基于漏洞后門(mén)甚至前門(mén)的戰(zhàn)略?xún)?yōu)勢(shì)。擬態(tài)構(gòu)造為IT/ICT/ICS/CPS等技術(shù)與產(chǎn)業(yè)發(fā)展，賦予于可量化設(shè)計(jì)、可驗(yàn)證度量的內(nèi)生安全功能，有望徹底扭轉(zhuǎn)當(dāng)前網(wǎng)絡(luò)安全領(lǐng)域“有合規(guī)性管理，缺乏可支撐手段，即使自主可控也很難達(dá)成安全可信目的”之困局。

鄔江興院士表示，我們應(yīng)乘國(guó)家數(shù)字經(jīng)濟(jì)發(fā)展之大潮，結(jié)構(gòu)性力量發(fā)展之初，“雙循環(huán)”戰(zhàn)略啟動(dòng)之際，新一代信息技術(shù)與產(chǎn)業(yè)洗牌之時(shí)，大力開(kāi)發(fā)新基建所需的、具有擬態(tài)防御等功能的新一代信息技術(shù)設(shè)施與裝備，乘勢(shì)在該領(lǐng)域打造全球范圍有影響力的創(chuàng)新技術(shù)與產(chǎn)業(yè)高地。沒(méi)有顛覆性的理論與技術(shù)創(chuàng)新，新基建就不可能擁有值得信賴(lài)的安全底座，數(shù)字社會(huì)需要可信的網(wǎng)絡(luò)服務(wù)、信息服務(wù)和安全技術(shù)。