随着我国数字化转型步伐的加快,网络空间安全问题已经成为各界关注的热点,无论从国家层面出现的关键信息基础设施遭遇勒索病毒,还是从百姓身边出现的智能网联汽车安全问题频发等现象,都说明网络安全已经成为数字化转型中不可回避的关节点。光明日报记者网络连线采访了中国工程院邬江兴院士。
网络空间存在内生安全共性问题
光明日报记者(以下简称记者):对于网络空间的共性安全问题,目前众说纷纭,您对网络空间是否能够凝练出共性安全问题是如何认识的?
邬江兴院士(以下简称邬院士):任何一种信息技术,都带有内生性、共同性的安全问题。比如,大数据能够根据算法和数据样本发现未知规律,而蓄意污染数据样本、恶意触发算法缺陷却能使人们“误入歧途”;人工智能靠大数据、大算力、深度学习等算法获得前行动力,而结果的不可解释性则存在“智能不可控”的隐忧。
网络空间存在内生安全共性问题,以智能网联汽车为例,实际上就是一台“轮子上的计算机”,其软件规模超过3亿行代码。对这样一个大系统,我们有五个“不知道”,一是软硬件漏洞有没有不知道,工业界平均千行代码存在15-20个漏洞;二是有没有“后门”不知道,以人类现有的科技能力,无法穷尽开放的产业环境中预留软硬件“后门”的行为;三是还有什么未知风险不知道,目前看到的是刹车问题、“勒索”问题,今后还有什么风险难以预测;四是传统功能安全和网络安全的界限不知道,是因为随机性故障产生的安全问题,还是软硬件设计缺陷产生的安全问题,难以进行区分和定责。五是安全功能如何量化不知道,这是网络空间领域最大的“尴尬”,软硬件到底是99%还是99.9%无法标定。这五个问题,不仅在智能网联汽车中有普遍性,在整个网络空间安全领域也有普遍性,这就是内生安全共性问题。
应对共性问题需要内生安全技术
记 者:您提出网络空间的共性安全问题具有内生性的特点,破解这一难题需要“独辟蹊径”,需要创新的思路、创新的技术体系,您能具体谈谈如何解决共性安全问题?
邬院士:对于共性安全问题,全球的科学家、工程师做了很多努力,也探索了诸多技术路线,通过技术标准和约束,让网络具有部分基本的安全功能。比如外挂式防御技术,诸如防火墙、入侵检测、身份验证等技术,好比西医,就是打针吃药。但是这种防御必须基于先验知识,要事先提取恶意代码的样本特征,才能定向进行防御。如果没有先验知识,即使亡羊也不能补牢。我们现在提出的内生安全技术体系,好比是中医,提高的是网络生命体的非特异性免疫能力,通过独有构造和内在机制,将传统网络安全问题转化为可靠性问题,不仅能感知未知的未知风险,还能实现网络设备的可定制、可度量的安全设计。
我们所说的内生安全,就是具有内生或内源性安全功效的构造或算法及其体制机制。按字面意思,内生就是靠自身构造因素而不是外部因素得到的内源性效应;内生安全就是利用系统的架构、算法、机制、场景等内在因素获得的安全属性。在这次研讨会上,大家都感到内生安全技术有望彻底改变网络空间当前的“查漏堵门、杀毒灭马、亡羊补牢”游戏规则,颠覆现有基于漏洞后门的网络攻击理论与方法。通俗的说,网络空间就和自然界一样,不可能做到无毒无菌,而是要探索一种在“有毒带菌”条件下健康的生活方式。内生安全可以促进具有“自身免疫力”的新一代信息技术和产品升级换代,为从根本上破解网络空间共性安全问题提供了“中国方案”。
内生安全技术创新关键是范式创新
记 者:您刚才提到,内生安全是我国科学家提出的独有独创的技术体系,是破解网络空间共性安全问题的“利器”,那么如何才能推动内生安全技术实现创新?
邬院士:内生安全技术是我国独创的技术体系,是网络空间安全的新理论、新领域、新路径。建立这一技术体系可谓“十年磨一剑”,经历了“坐冷板凳、啃硬骨头”的历程,目前已从理论技术创新、典型产品创新进入普适应用创新的新阶段。在这个阶段,如果要实现更大创新和应用,必须推进范式的创新,用范式创新应对共性安全问题,形成内生安全的驱动力。
范式是一种以基本的定理、原理、应用及相关装备集成的综合体,在一定范围内具有普遍性。现有网络安全防御理论和实践规范存在严重的逻辑悖论,能够发现网络的漏洞和后门,但是还属于小概率事件;引入附加式安全功能,又导致新的安全问题,如同摊大饼、摊的越大问题越多。基于此,网络安全必须从原来的被动防御、动态防御、弹性防御等传统范式向内生安全新范式转变。这种范式创新体现在四个方面,一是原理创新,强化问题导向,运用系统思维,按照“结构决定安全”的原则进行设计;二是路径创新,走出一条不依赖于外部先验知识和附加防御措施而达成安全效能的新路子;三是应用创新,构建一体化解决功能安全和网络安全的安全应用体系,使得使用者获得一体化的安全保障底线;四是评价创新,借鉴机械类可靠性技术通过破坏性试验检验的方法,摈弃“自说自话”的模式,让全球顶级“白帽黑客”进行暴力测试,从攻防两端的博弈中评判安全能力。只有实现了这样“四维一体”的范式创新,才可消除网络安全领域的“心腹大患”,让国家放心、让老百姓也用的放心。
内生安全技术可为数字化转型赋能
记 者:内生安全技术能够有效破解共性安全问题,让我们身边的网络在“有毒带菌”条件下正常运行,这一创新技术如何赋能数字化转型、构建数字基建安全底座?
邬院士:借鉴“生物领域”病毒产生传播机理,我们提升数字化转型中的网络安全能力,必须摒弃“打针吃药”的传统模式,建立以形成“抗体”为基础的内生安全体系,数字基建只有具备内生安全属性、具有自生免疫功能,才能实现长治久安。
一是让数字化具有更好的免疫力。内生安全技术最大的特点是让“网络生命体”具有了自身免疫力,类似于脊椎生物非特异性和特异性免疫机制的“点面融合”式防御能力,同时其安全功效不依赖攻击者先验知识和行为特征信息,对利用特定攻击资源、攻击技术、攻击方法形成的已知或未知威胁,具有天然的抑制功效,这就让数字化转型少了很多“后顾之忧”。
二是让数字化具有更强的信任力。内生安全技术内生具有“可量化设计、可验证度量”的属性,这就让数字化、智能化的信息系统可以对其安全功能进行定量描述,解决大家对网络安全“雾里看花”的谜团,让厂商能够标定“安全级别”,让用户能够在可接受的风险层面放心去使用,让保险业可以安心的设计网络安全险种、推动智能网联汽车等产业发展。
三是让数字化具有更大的包容力。内生安全技术是一种新型的使能技术,在这个架构内且允许使用可信性不能确保的软硬件产品。也就是说,对网络设备、部件、构件的来源或生产厂家没有可信性方面的严苛要求,一般而言可面向全球任何国家采购商用等级的软硬件,只要合适的异构度,就能够提供有保证的安全性能。因为这种包容力和自信,为利用全球优质资源提升我国数字化转型水平和能力提供坚实的保障。
