邬江兴:网络空间内生安全共性问题及拟态防御

信息化观察网
信息化观察网
现有安全防御体系存在理论和工程上无法确保网络空间生态环境“无漏洞无后门”的基因缺陷,基因缺陷导致的体系困境战略上属于被动或消极防御,“堵不胜堵,防不胜防”成为内生安全共性问题之必然缺陷。

由中国信息协会主办,信息化观察网、中国信息化网、国润互联信息技术研究院共同承办的“2020第五届中国网络信息安全云上峰会”于7月10日通过线上的方式正式召开。中国工程院院士邬江兴受邀出席峰会,并带来了题为《网络空间内生安全共性问题及拟态防御》的主旨报告。以下内容根据邬江兴院士演讲整理,未经演讲者审阅。

一、内生安全问题哲学思考

从一般意义上说,任何自然的功能或人造的功能,都存在伴生或者衍生的显式的副作用或者隐式的暗功能。副作用可能是良性的,也可能是不良的,但暗功能的性状及影响则完全事未知的,内生安全问题就是元功能或本征功能的内在性矛盾。

以大数据为例,它的内生安全问题是不可解释性。大数据的发现处于“只知其然不知所以然”的状态,一旦数据或算法被污染,结论可能是大相径庭的,盲目相信可能会带来灾难性后果。

以人工智能为例,它的现阶段内生安全问题是不可解释性与不具推理性。人工智能1.0阶段前行动力主要依赖三种力量,大数据、大算力、深度学习算法,但是,结果不具有可解释性和可推理性。

以区块链为例,区块链的算法实现离不开现有的COTS级软硬件系统,因此凡是区块链系统用到的COTS级软硬件之内生安全问题,同时也是区块链技术的内生安全问题。

以信息通信网络为例,基于共享资源体制的网络通信技术不可避免的存在协议安全、传输安全、信息安全、拥塞控制等内生安全问题,绝大多数网络攻击都要借助或利用这些内生安全问题才能实施。

以云服务平台为例,在云服务系统中,应用软件、服务器软硬件资源、运行环境中存在漏洞后门,攻击者劫持用户服务;文件存储系统中存在的漏洞后门,攻击者窃取或破坏敏感数据信息;虚拟层存在漏洞后门,攻击者攻击提权后,攻击其它虚拟机,实现威胁能力扩张。

云平台的内生安全问题直接关系到信息基础设施服务的可信性,严重威胁国家“新基建”战略的“安全底座”。

以数据中心为例,智能化时代需要安全性可量化设计与验证的信息基础设施。

以5G网络架构为例,5G的云化网络架构更加开放,服务的集约化提供程度更高,2C&2B&2M使接入环境更加复杂,国家化的产业链形成的软硬构件安全质量几乎无法掌控,将面临全所未有的内生安全问题和大量未知安全威胁与挑战。

二、内生安全之共性问题

网络空间内生安全之共性问题体现在:

➽ 软硬件部件设计缺陷导致的安全漏洞不可避免。因为人类技术发展和认知水平的阶段性特征,导致漏洞问题不可能彻底避免,这个与是否拥有自主知识产权和国产化程度弱相关或无关。

➽ 信息产品生态圈中存在的软硬件后门无法杜绝。全球化时代,开放式产业生态环境开源技术模式和“你中有我、我中有你”的产业链,软硬件后门问题不可能完全杜绝,如果不能掌控整个生态圈或全产业链,即使拥有自主知识产权也不可能彻底根除问题。

➽ 现阶段人类科技能力尚不能彻查漏洞后门问题。就普遍性而言,穷尽或彻查目标系统软硬件代码问题,在可以预见的将来,仍然是难以克服的科学挑战,不能也不可能构建一个“无毒无菌”绝对安全的理想场景。

➽ 信息产品安全质量尚无有效的控制办法。一个信息系统或控制装置中可能有成千上万的软硬件部件或构件,只要存在一个高危漏洞或设计一个后门或无意导入一个陷门,就可能导致整个系统的服务不可信或功能丧失。

因为网络空间广泛存在内生安全问题及其共性因素,攻击者只要能建立起可靠的供给链,外因就能通过内因构成已知或者未知的安全威胁。

信息系统或控制装置安全性不能确保之殇

信息系统或软硬件设施、工业控制平台或网络、IOT系统漏洞后门危害如何评估、服务可信性如何保证、内生安全共性问题如何管控?这些问题暂时还没有答案。即使是杀毒灭马、封门补漏、加密认证或防火墙等附加型安全防护设施自身的可信性能能否保证?世界上尚没有任何科研单位或企业可以面对这个问题!一般而言,信息系统或控制装置除传统安全外的安全性,迄今为止,无法给出可量化的设计指标与可验证度量的测评方法。也就是说,“安全性无法量化”是世界难题,因而软硬件产品安全质量就无从控制,漏洞后门/病毒木马可从源头污染Cyberspace。

网络空间内生安全问题的内涵

狭义内生安全问题指的是一个软硬件构造或算法除本征或元功能之外总存在属于内因的显式副作用或隐式暗功能,不明副作用或暗功能很可能成为内生安全问题。广义内生安全问题是除了狭义内生安全问题之外,包括凡是所有未向系统使用者明确声明过的软硬件设计功能,;例如前门、后门、陷门等。广义不确定扰动指的是内因需通过外因起作用。广义内生安全问题是内因,基于人为或自然因素的广义不确定扰动是外因。两者结合才能构成安全威胁。凡是广义不确定扰动引发的目标系统或关联设备内生安全问题可能产生的危害,称为“广义不确定安全威胁”。内生安全问题是自在性矛盾,内生安全共性问题泛在化存在。如何应对或防御基于目标系统未知漏洞、未知后门等内生安全问题及共性因素的未知攻击?迄今为止,缺乏可靠的理论和技术支撑。

现有安全防御技术是基于威胁特征感知的精确防御,建立在“已知风险”或“已知的未知风险”前提上,有效条件是需要提前获得攻击来源、攻击特征、渗透途径、攻击行为、攻击机制、目标环境等先验知识的支持。现有安全防御技术本质上属于附加或外挂型防御范畴,附加防御的有效性取决于先验知识完备性和精确的实时感知能力,“亡羊补牢”后天免疫+加密/认证“底线防御”无法应对蓄意利用“内生安全问题或共性暗功能”引发的unknow2安全威胁。unknow2安全威胁造成的技术窘境,无论是被保护对象还是“安全守护神”自身都无法回避这些问题,即使加密、认证等算法的安全性在数学意义上可能已足够强大,但其物理或逻辑实现载体的安全性也无法给出理论与工程意义上令人信服的证明。

现有安全防御体系存在理论和工程上无法确保网络空间生态环境“无漏洞无后门”的基因缺陷,基因缺陷导致的体系困境战略上属于被动或消极防御,“堵不胜堵,防不胜防”成为内生安全共性问题之必然缺陷。当前信息产业与网络安全界正面临前所未有的挑战,没有任何商家敢保证“自主可控产品”不存在安全漏洞,没有任何安检机构敢为送检设备/装置作无漏洞安全担保。

三、内生安全体系与技术特征

内生安全体质应该具备的特征:

1、开放的组织架构,不排除架构、模块和构件中包含任何的内生安全问题;

2、具有一体化的构造,能同时提供高可靠、高可信、高可用的使用功能;

3、体制上应当能够协同使用多样性、随机性和动态性之防御要素;

4、应当同时具有异构、冗余、动态、裁决和反馈控制只构造要素,既能提供面防御功能也能提供点防御功能;

5、应当具有自学习、自优化、主动应对的自我进化能力;

6、能够自然的接纳任何的安全防护技术并可获得指数量级的防御增益。

也就是说,内生安全应当是目标对象技术构造决定的安全,应该能从体制上同时保障功能的可靠性与可信性并具有普适意义。

内生安全机制应该具备的特征:

1、内生安全机制应当能应对人—机、机—机、机—人攻防博弈;

2、内生安全机制应当可以条件管控或抑制已知或未知的威胁;

3、内生安全机制的有效性应当不依赖(但不排斥)任何先验知识或附加、内置、内共生的其他安全措施或技术手段;

4、能自然的为目标对象提供高可靠、高可信、高可用三位一体使用性能;

5、内生安全机制产生的广义安全性应当具有可量化设计、可验证度量的稳定鲁棒性和品质鲁棒性;

6、内生安全机制产生的使用效能与运维管理者技术能力及过往经验弱相关。

内生安全技术应该具备的特征:

1、 内生安全属于目标对象内源性的安全功能,具有与脊椎生物非特异性和特异性免疫机制类似的“点面融合”式防御功能,与目标对象本征(元)功能产生于同一技术构造,具有不可分割性;

2、内生安全功能不依赖攻击者任何先验知识或行为特征,对独立的攻击资源、攻击技术或方法形成的“任何差模攻击效应”具有天然的抑制功效,对基于o-Day/nDay性质漏洞后门/病毒木马等网络攻击可以完全无视;

3、内生安全功能应当具有时空非一致性的“测不准效应”以及“基于策略裁决的异构冗余场景反馈迭代调度机制”

4、理论上,“差模逃逸”不可能发生,“共模逃逸”也是极小概率时间,“即使成功也可能只此一次”,在内生安全环境内的攻击行为或成果都不具有稳定稳定鲁棒性和品质鲁棒性。

所以说,内生安全功能应当成为网络信息基础设施乃至任何信息系统或控制装置的基本功能。

四、内生安全理论与方法

拟态防御作为内生安全理论的技术实践,能够在不依赖先验知识条件下,管控暗功能引发的内生安全问题。通过借鉴可靠性理论与自动控制理论,发现了基于相对正确公理能将unknow2问题转换为有感差模/共模问题的规律,提出了编码信道纠错理论,功能安全与信息安全问题可以归一化处理。通过发明一种动态异构冗余构造,导入拟态伪装机制,产生测不准效应,获得可量化设计、可验证度量的内生安全与广义鲁棒控制功能。拟态构造的软硬件系统能够保证,我的设计缺陷不会成为你的安全问题,总结下就是发明了一种动态异构冗余构造DHR,获得测不准构造效应,形成拟态防迷雾。

理论与实践证明,DHR能够100%的抑制构造内以差模形态呈现的广义不确定扰动,能够将构造内共模形态的广义不确定扰动逃逸概率控制在设定阈值内,任何成功的试错攻击或盲攻击都会使构造环境发生攻击者无感切换。

拟态防御将“未知的未知安全威胁”转变为“已知的未知安全问题”,将无法量化控制的问题转换为基于可控概率的问题,将内生安全共性问题转变为经典可靠性理论与自动控制技术可以管控的事务,为网络空间防御提供了改变游戏规则的革命性技术。

五、内生安全技术实践与发展

拟态构造是一种前景可期待的内生安全赋能技术,DHR构造理论及基本方法能够破解信息系统或控制装置内生安全共性问题不能管控的世界难题,使得“从源头管控基于信息技术的相关领域产品安全缺陷”成为可能,漏洞后门资源将失去战略性作用,“隐匿漏洞、设置后门”不再具有战略意义,能从根本上抵消美国人在网络空间基于漏洞后门甚至前门的战略优势。拟态构造能够为IT/ICT/ICS/CPS等技术与产业发展赋予可量化设计、可验证度量的内生安全功能,有望彻底扭转当前网络安全领域“有合规性管理,缺乏可支撑手段”,“即使自主可控也很难达成安全可信目的”之困局。但拟态构造也存在机理缺陷,即对能够跨拟态场景的协同一致攻击存在较高的逃逸概率。

THEEND

最新评论(评论仅代表用户观点)

更多
暂无评论