“网络空间内生安全”是网络空间安全领域的新兴概念,包含内生安全问题和内生安全体制机制两部分内涵。
2013年,中国科学家邬江兴院士针对网络空间安全的本源问题与现有技术手段的局限性分析归纳了内生安全问题。 基于动态变结构软硬件协同计算理论(又称拟态计算),提出了网络空间拟态防御理论,创建了用于突破网络空间防御发展瓶颈的内生性安全体制机制。
2016年,基于内生安全体制机制的拟态防御原理验证系统通过了国家科技部组织的测试评估。
2019年5月22日上午,全球首个网络内生安全试验场开通仪式在南京紫金山实验室举行。该试验场从即日起,接受来自全球任何个人和组织的实名攻击挑战。
从哲学意义上说,“世上万物,有一利必有一弊,两者间是对立统一的关系”。因而,无论是自然形成的功能还是人为设计的功能通常都存在元功能之外的显式副作用和隐式暗功能,将其潜在的安全影响统称为内生安全问题。
在网络空间,内生安全功能(Endogenous Safety and Security,ESS)是指利用技术系统自身架构、功能和运行机制等内源性效应而获得的可量化设计、可验证度量的安全功能,其作用域同时涵盖可靠性和可信性领域,其功能有效性既不依赖关于攻击者的先验知识或特征信息,也不依赖(但可以融合)外挂式的传统安全技术,仅以架构特有的内生安全机制就能达成抑制基于目标系统内生安全问题。网络空间内生安全具有“改变网络空间攻防不对称游戏规则”的变革性意义,能够彻底抵消基于“隐匿漏洞、设置后门”的不对称战略优势,也预示着“可设计、可验证”的内生安全必将成为新一代信息系统或控制装置的标志性功能。"
当前,传统的网络安全思维模式和技术路线限于“尽力而为、问题归零”的惯性思维,挖漏洞、打补丁、查毒杀马乃至设蜜罐、布沙箱,层层叠叠的附加式防护措施,包括内置层次化的组织构造方式(借鉴生物界的内共生学说),在引入安全功能的同时不可避免的会引入新的内生安全隐患。即使作为网络空间“底线防御”的加密认证措施,算法的数学意义是严谨的,但是实现算法的宿主软硬件却不能保证没有内生安全问题存在。
从网络空间的现象观察:一个确定功能总是存在着伴生的显式副作用或隐式暗功能;从网络空间的工程实践经验可知:无法获得一个没有伴生或衍生功能的纯粹功能。对于网络空间中各类软硬件,由于人类技术发展和认知水平的阶段性特征导致其设计脆弱性或漏洞问题不可能彻底避免;全球化时代,开放式产业生态环境,开源协同模式和“你中有我、我中有你”的产业链使得后门问题不可能完全杜绝;就一般意义而言,穷尽或彻查目标系统软硬件代码漏洞或后门问题在可以预见的将来,仍然存在难以克服的理论与技术挑战;因而对于一个拥有成千上万行软硬件代码及相关实体构件的信息系统或控制装置,只要存在一个高危漏洞或被植入一个后门(陷门),就可能导致整个系统的服务不可信或部分乃至所有功能的失效。换言之,迄今为止,对基于内生安全问题的不确定性威胁防御几乎无计可施,信息系统或控制装置安全性不可量化设计、无法验证度量似乎已成为网络空间的“阿喀琉斯之踵”。
网络空间内生安全问题可以抽象为两类问题。一类是狭义内生安全( Narrow Endogenous Satety and Security,NESS)问题,特指一个软硬件系统除预期的设计功能之外,总存在包括副作用、脆弱性、自然失效等因素在内的显式或隐式表达的非期望功能;另一类是广义内生安全( General Endogenous Safety and Security,GESS)问题,专指在狭义内生安全问题之上,还包括对最终用户不可见,或所有未向使用者明确声明或披露过的软硬件隐匿功能,例如前门、后门、陷门等“暗功能”问题。
从哲学原理上说,内生安全问题是难以完全消除的,只能在时空约束前提下实施“条件规避”。而在理论和实践层面,多年来研究者试图彻底根除内生安全问题的努力至今仍难以实现。回顾传统网络安全思维模式与技术路线,网络空间安全为何会陷入当前困局也就不难理解了。但是,怎样才能“条件规避或化解”基于内生安全问题的不确定威胁影响,这是值得研究者重点关注和突破的科学技术难题。
解决内生安全问题,需要从体制机制出发全面革新传统防御思维的局限,并且通过可行的技术特征实现对问题的”条件规避“。具体来说,包括下列内容:
内生安全体制应当是开放的组织架构,不排除架构、模块和构件中包含任何的内生安全问题;
内生安全体制应当是一体化的融合构造,能同时提供高可靠、高可信、高可用的使用功能;内生安全体制应当能够协同使用多样性、随机性和动态性之防御要素;内生安全体制应当同时具有异构、冗余、动态、裁决和反馈控制之构造要素;内生安全体制应当能够自然的接纳传统安全防护技术或其他技术的使用并可获得指数量级的防御增益;内生安全体制应当具有普适性应用意义。内生安全机制与广义不确定扰动应属于人-机、机-机、机-人博弈关系;
内生安全机制应当可以条件管控或抑制广义不确定扰动而不企图杜绝其影响;内生安全机制的有效性应当不依赖关于攻击者的任何先验知识或附加、内置、内共生的其他安全措施或技术手段;
内生安全属于目标对象内源性安全功能,具有与脊椎生物非特异性和特异性免疫机制类似的“点面融合”式防御功能,与目标对象本征功能具有不可分割性;
内生安全功能应当不依赖攻击者任何先验知识和行为特征信息,因此对独立的攻击资源、攻击技术、攻击方法形成的“差模攻击效应”具有天然的抑制功效。那么,凡是基于0-Day性质的漏洞后门、病毒木马等网络攻击,对具有内生安全功能的目标对象在机理上就属于无效攻击;突破内生安全防御除社会工程学的手段外,只有通过时空一致性的精准协同攻击才有逃逸的可能,但是首先要克服时空非一致性的“测不准效应”,然后要逾越“基于策略裁决的异构冗余目标反馈调度迭代机制”才可能形成“共模逃逸”态势;内生安全功能应当能够归一化的解决传统可靠性问题和基于目标对象的网络安全威胁问题;理论上,“差模逃逸”不可能发生,“共模逃逸”也是极小概率事件,“即使成功也可能只此一次”,在内生安全环境内的攻击行动或成果都不具有稳定鲁棒性和品质鲁棒性。解决网络空间内生安全问题的技术架构除了要具备可感知基于内生安全问题的不确定扰动功能外,还需要创造出一个能够有效规避“试错攻击”的鲁棒控制能力,具体包括四个基本特性:
①使试错攻击前提条件难以成立;
②使攻击者很难感知试错攻击效果;
③应能尽快消除系统差模记忆状态;
④能为目标对象规避不确定安全威胁提供稳定鲁棒性和品质鲁棒性。显然,这样的构造相对攻击者而言,具有“测不准”的性质。
经过长期研究和反复实践,邬江兴院士提出了动态异构冗余构造(Dynamic Heterogeneous Redundancy,DHR),来化解或规避目标对象内部“已知的未知风险”或“未知的未知威胁”的原理与方法,即网络空间拟态防御(Cyberspace Mimic Defense,CMD)。其独特表现有五个方面:首先是能将基于构造内执行体个体未知漏洞后门的隐匿性攻击,转变为拟态界内攻击效果不确定的事件;其次是能将效果不确定的攻击事件归一化为具有概率属性的广义不确定扰动问题;三是基于拟态裁决的策略调度和多维动态重构负反馈机制产生的“测不准”防御迷雾,可以瓦解试错或盲攻击的前提条件;四是借助“相对正确”公理的逻辑表达机制,可以在不依赖攻击者先验知识或行为特征信息情况下提供高置信度的敌我识别功能;五是能将非传统安全威胁归一化为广义鲁棒控制问题并可实现一体化的处理。
2013年,提出并创建了基于内生性安全机制的网络空间防御概念。2016年内生安全原理验证系统通过了国家科技部组织的测试评估;
2、017年12月首次发布了相关理论成果《网络空间拟态防御导论》;
2、018年1月,世界首台拟态构造的域名服务器在中国联通洛阳公司上线应用;
2、018年4月,在国际上首次将拟态构造的路由器/交换机、防火墙、web服务器、文件管理系统、基于web的云服务等产品系列化上线使用;
2、018年5月,首届“强网”拟态防御国际精英挑战赛在南京举行,参赛的有22支中外顶级的白帽黑客战队,除了传统的黑盒比赛环境外,增加了部分“白盒”比赛环境,初步检验了基于拟态构造信息通信产品内生安全机制的有效性与可靠性;
2、018年11月进一步完善了理论架构,发布了《网络空间拟态防御原理—广义鲁棒控制与内生安全》;
2、019年5月,第二届“强网”拟态防御国际精英挑战如期在南京举行,参赛的中外顶级战队有29支,在充分开放的环境内,历时20多个小时,经受了近300万次的攻击,5700多次高危漏洞攻击,无一人一队得手;
2、019年9月国家工信部对试点任务做了验收性的测试评估,专家委员会认为“试点任务设备和使用性能与效能与理论预期完全一致”;
2、019年12月相关理论成果《网络空间拟态防御—内生安全&广义鲁棒控制》英文版在全球发行;
温馨提示:
