邬江兴院士 中国工程院院士邬江兴:网络安全再平衡战略——拟态防御

10月25~26日,“国际工程科技发展战略高端论坛——信息领域的颠覆性技术”在西安开幕,百余名国内外院士、专家出席,现场听众近700人。本次论坛的主题是“信息领域的颠覆性技术”。论坛由中国工程院主办,西安交通大学、中国工程院信息与电子工程学部共同承办,是中国工程院信息学部最重要的年度学术活动。

本届论坛设置主题演讲、分论坛两大环节,26位专家将各自研究领域所获得的杰出成就发表演讲,研究范围涉及人工智能、认知计算、人机交互、云计算、知识自动化、机器人、大数据、虚拟现实、集成电路、高性能计算、空天一体化信息网络、计量检测等领域。撷取部分与会嘉宾的精彩观点与读者一起分享。

邬江兴:网络安全再平衡战略——拟态防御

邬江兴:通信与信息系统、计算机与网络技术著名专家,现任国家数字交换系统工程技术研究中心主任,2003年当选为中国工程院院士,曾多次获得国家科技奖。

当前,网络空间的基本安全态势是“攻易守难”。其根本原因在于网络空间存在泛在化的基于未知漏洞和后门等的不确定威胁,且缺乏彻查漏洞和后门等的科学与技术方法。

以人类现有的科技能力,还无法从理论和实践上解决网络上未知的问题:一是不知道潜在的漏洞究竟有多少,二是没有办法完全避免漏洞,再就是软件后门的问题,甚至还有前门的问题。现在还未发现的漏洞,如茫茫宇宙、浩瀚星空一样庞杂。迄今为止人类的网络技术尚未形成可以穷尽复杂系统漏洞和后门的理论和方法,在这一设计缺陷的背景下,我们无法期待一个无毒的环境。

网络空间现有的防御体系必须获得攻击来源、特征、行为、机制等知识,才能实施有效防御。而现有的信息系统和防御架构,在本质上是静态的、相似的和确定的,体系架构透明脆弱,成为网络空间最大的安全黑洞。

生物学上有一种现象:一种生物在色彩、纹理、形状上模拟另外一种生物使其一方或双方受益,这被称为“拟态现象”。我们提出拟态安全防御,以期能从主动性、变化性和随机性中来获得有利的防御态势。所谓拟态安全防御,是指在主动和被动触发条件下动态地、伪随机地选择执行各种硬件变体以及相应的软件变体,使得内外部攻击者观察到的硬件执行环境和软件工作状况非常不确定,无法或很难构建起基于漏洞或后门的攻击链,以达成降低系统安全风险的目的。

从本质上来讲,拟态安全防御是一种主被动融合防御体系,即拟态安全主动防御与传统被动防御相融合的引入“安全基因”的主被动融合防御体系。

“已知的未知”可以防御,但是“未知的未知”让全球正在使用的网络系统倍受威胁。拟态防御理论和基础技术架构,以创造性的主动防御思想成功探索出解决网络空间不确定性威胁问题的新途径。

钱学森说过:“从复杂问题的总体入手,总体大于各部分之和。”这也是拟态防御构建的基本思想。现今的科技条件下,我们不能完全避免软硬件的漏洞,又缺少检测的成熟方法。那么,是否能用系统工程的思想,通过系统架构技术创新来克服不确定威胁的安全问题?

今年1月,国家科技部曾委托组织了对拟态防御构建的测试。系统是不是能够隐匿漏洞后门?攻击者能否利用未知漏洞和后门上传病毒和密码?防御方能否有效抑制危险的协同攻击?拟态允许不允许使用不可信,或者不可控的软硬构件?带有病毒和密码的软件能否运行?我们得到了两个结论:一是拟态防御是安全的,二是漏洞只有在非配合条件下联合起来在同一时间同一地方做同样的攻击才有可能突破系统。

同时,可以看到拟态防御的效果:一是可以建筑攻击链的可靠性,现有攻击链对拟态系统是相当的无效;二是可以构造在“去协同化”条件下的协同攻击难度;三是它获得的防御特性,与传统的安全技术无关,但是可以融合传统安全技术,是独立于安全技术存在的属性;四是能够适应这种不可信供应链的产品,当然对于受测服务系统是没有影响的。

理念的进步总是要先于技术的进步。拟态防御是一个架构技术,当然它首先是用来解决网络安全问题的,它是一种原理,利用这种原理可以解决任何不确定问题。它颠覆了安全领域的许多规则,比如说未知风险不可防御的理论。已知的风险可以解决,未知的风险也可以解决,开放和安全第一次实现了完美的统一。

(本文根据邬江兴在“国际工程科技发展战略高端论坛”上的讲话整理,未经本人确认)