從網路空間的現象觀察:一個確定功能總是存在著顯式副作用或隱式暗功能;從網路空間的工程實踐經驗可知:無法獲得一個沒有伴生或衍生功能的純粹功能;從一般哲學意義上講:自然界或人工系統中不存在邏輯意義上的“若且唯若的功能”,即不存在沒有矛盾的事物。
那么在信息空間中,如果一個軟硬體實體的暗功能和副作用能被某種因素觸發而影響到實體服務功能的可靠性與可信性,則稱這些副作用和暗功能為“內生安全問題(Endogenous Safety and Security Problems, ESSP)”。
基本介紹
- 中文名:內生安全問題
- 外文名:Endogenous Safety and Security Problems, ESSP
- 涉及領域:網路空間安全
- 問題來源:事物內部矛盾存在的必然性
特徵,舉例,安全共性問題,安全問題分類,
特徵
德國哲學大師黑格爾曾說過:“一切事物都是自在的矛盾,矛盾是一切運動和生命力的根源。”對於信息世界網路空間來說,與現實世界物理空間其實有著相同的哲學本質,內生安全問題也由此而生,且具有以下特徵:
- 內生安全問題屬於本徵或元功能的已知或未知效應;
- 內生安全問題涉及到的功能與元功能是同一構造上的負面形態表達,如同一枚硬幣的兩面,所有工程技術上的努力只可能降低其負面功能的作用而不可能消除問題本身;
- 內生安全問題是內因,通常需要外因擾動才可能導致內生安全風險或內生安全威脅;
- 內生安全問題與內生安全功能同為系統自身構造或算法的內源性表達,後者的作用就是儘量降低前者受到外部因素擾動時的不良影響。
舉例
- 大數據技術能夠根據算法和數據樣本發現未知的規律或特徵,而蓄意污染數據樣本、惡意觸發算法缺陷也可能使人們完全誤入歧途,結果的不可解釋性是其內生安全問題;
安全共性問題
由於人類技術發展和認知水平的階段性特徵導致軟硬體設計脆弱性或漏洞問題不可能徹底避免;全球化時代,開放式產業生態環境,開源協同技術模式和“你中有我、我中有你”的產業鏈使得軟硬體後門問題不可能完全杜絕;就一般意義而言,窮盡或徹查目標系統軟硬體代碼漏洞或後門問題在可以預見的將來,仍然存在難以克服的理論與技術挑戰;因而對於一個擁有成千上萬行軟硬體代碼及相關實體構件的信息系統或控制裝置,只要存在一個高危漏洞或被植入一個後門(陷門),就可能導致整個系統的服務不可信或部分乃至所有功能的失效,因而軟硬體或算法或協定等的設計與實現中的漏洞後門問題就成為網路空間內生安全問題的本因。遺憾的是,迄今為止,對基於網路空間內生安全共性問題的不確定性威脅防禦幾乎無計可施,信息系統或控制裝置安全性不可量化設計、無法驗證度量似乎已成為網路空間的“永恆之痛”,亟待創新基於內生安全功能的體制機制。
安全問題分類
研究者將內生安全問題抽象為兩類問題。一類是狹義內生安全( Narrow Endogenous Safety and Security,NESS)問題,特指一個軟硬體系統除預期的設計功能之外,總存在包括副作用、脆弱性、自然失效等因素在內的顯式或隱式表達的非期望功能;另一類是廣義內生安全( General Endogenous Safety and Security,GESS)問題,專指在狹義內生安全問題之上,還包括對最終用戶不可見,或所有未向使用者明確聲明或披露過的軟硬體隱匿功能,例如前門、後門、陷門等“暗功能”問題。與此相對應的有,直接或間接的利用基於軟硬體廣義內生安全問題引發的非期望事件,稱為廣義不確定擾動(General Uncertainty Disturbance,GUD)。顯然,廣義不確定擾動包含自然因素和人為因素引發的安全擾動。可能引發兩類安全威脅,一是顯著影響目標對象本體功能或服務功能的可靠性、可信性和可用性,二是非法獲得或侵犯他人隱私信息與數據資源。研究者將其統一稱為不確定安全威脅(Uncertainty Security Threaten,UST )。
