基本介紹
概念意義,問題背景,問題根源,網路空間內生安全的體制機制與技術特徵,1. 期望體制,2. 期望機制,3. 期望的技術特徵,技術架構,研究與發展,
概念意義
從哲學意義上說,“世上萬物,有一利必有一弊,兩者間是對立統一的關係”。因而,無論是自然形成的功能還是人為設計的功能通常都存在元功能之外的顯式副作用和隱式暗功能,將其潛在的安全影響統稱為內生安全問題。
在網路空間,內生安全功能(Endogenous Safety and Security,ESS)是指利用技術系統自身架構、功能和運行機制等內源性效應而獲得的可量化設計、可驗證度量的安全功能,其作用域同時涵蓋可靠性和可信性領域,其功能有效性既不依賴關於攻擊者的先驗知識或特徵信息,也不依賴(但可以融合)外掛式的傳統安全技術,僅以架構特有的內生安全機制就能達成抑制基於目標系統內生安全問題。網路空間內生安全具有“改變網路空間攻防不對稱遊戲規則”的變革性意義,能夠徹底抵消基於“隱匿漏洞、設定後門”的不對稱戰略優勢,也預示著“可設計、可驗證”的內生安全必將成為新一代信息系統或控制裝置的標誌性功能。"
問題背景
當前,傳統的網路安全思維模式和技術路線限於“盡力而為、問題歸零”的慣性思維,挖漏洞、打補丁、查毒殺馬乃至設蜜罐、布沙箱,層層疊疊的附加式防護措施,包括內置層次化的組織構造方式(借鑑生物界的內共生學說),在引入安全功能的同時不可避免的會引入新的內生安全隱患。即使作為網路空間“底線防禦”的加密認證措施,算法的數學意義是嚴謹的,但是實現算法的宿主軟硬體卻不能保證沒有內生安全問題存在。
問題根源
從網路空間的現象觀察:一個確定功能總是存在著伴生的顯式副作用或隱式暗功能;從網路空間的工程實踐經驗可知:無法獲得一個沒有伴生或衍生功能的純粹功能。對於網路空間中各類軟硬體,由於人類技術發展和認知水平的階段性特徵導致其設計脆弱性或漏洞問題不可能徹底避免;全球化時代,開放式產業生態環境,開源協同模式和“你中有我、我中有你”的產業鏈使得後門問題不可能完全杜絕;就一般意義而言,窮盡或徹查目標系統軟硬體代碼漏洞或後門問題在可以預見的將來,仍然存在難以克服的理論與技術挑戰;因而對於一個擁有成千上萬行軟硬體代碼及相關實體構件的信息系統或控制裝置,只要存在一個高危漏洞或被植入一個後門(陷門),就可能導致整個系統的服務不可信或部分乃至所有功能的失效。換言之,迄今為止,對基於內生安全問題的不確定性威脅防禦幾乎無計可施,信息系統或控制裝置安全性不可量化設計、無法驗證度量似乎已成為網路空間的“阿喀琉斯之腫”。
網路空間內生安全問題可以抽象為兩類問題。一類是狹義內生安全( Narrow Endogenous Satety and Security,NESS)問題,特指一個軟硬體系統除預期的設計功能之外,總存在包括副作用、脆弱性、自然失效等因素在內的顯式或隱式表達的非期望功能;另一類是廣義內生安全( General Endogenous Safety and Security,GESS)問題,專指在狹義內生安全問題之上,還包括對最終用戶不可見,或所有未向使用者明確聲明或披露過的軟硬體隱匿功能,例如前門、後門、陷門等“暗功能”問題。
從哲學原理上說,內生安全問題是難以完全消除的,只能在時空約束前提下實施“條件規避”。而在理論和實踐層面,多年來研究者試圖徹底根除內生安全問題的努力至今仍難以實現。回顧傳統網路安全思維模式與技術路線,網路空間安全為何會陷入當前困局也就不難理解了。但是,怎樣才能“條件規避或化解”基於內生安全問題的不確定威脅影響,這是值得研究者重點關注和突破的科學技術難題。
網路空間內生安全的體制機制與技術特徵
解決內生安全問題,需要從體制機制出發全面革新傳統防禦思維的局限,並且通過可行的技術特徵實現對問題的”條件規避“。具體來說,包括下列內容:
1. 期望體制
- 內生安全體制應當是開放的組織架構,不排除架構、模組和構件中包含任何的內生安全問題;
- 內生安全體制應當是一體化的融合構造,能同時提供高可靠、高可信、高可用的使用功能;
- 內生安全體制應當能夠協同使用多樣性、隨機性和動態性之防禦要素;
- 內生安全體制應當同時具有異構、冗餘、動態、裁決和反饋控制之構造要素;
- 內生安全體制應當能夠自然的接納傳統安全防護技術或其他技術的使用並可獲得指數量級的防禦增益;
- 內生安全體制應當具有普適性套用意義。
2. 期望機制
- 內生安全機制與廣義不確定擾動應屬於人-機、機-機、機-人博弈關係;
- 內生安全機制應當可以條件管控或抑制廣義不確定擾動而不企圖杜絕其影響;
- 內生安全機制的有效性應當不依賴關於攻擊者的任何先驗知識或附加、內置、內共生的其他安全措施或技術手段;
- 內生安全機制應當能以融合方式為目標對象提供一體化的高可靠、高可信、高可用的使用性能;
- 內生安全機制導致的廣義安全性應當具有可量化設計、可驗證度量的穩定魯棒性和品質魯棒性;
- 內生安全機制的使用效能應當與運維管理者的技術能力和過往的經驗弱相關或不相關。
3. 期望的技術特徵
- 內生安全屬於目標對象內源性安全功能,具有與脊椎生物非特異性和特異性免疫機制類似的“點面融合”式防禦功能,與目標對象本徵功能具有不可分割性;
- 內生安全功能應當不依賴攻擊者任何先驗知識和行為特徵信息,因此對獨立的攻擊資源、攻擊技術、攻擊方法形成的“差模攻擊效應”具有天然的抑制功效。那么,凡是基於0-Day性質的漏洞後門、病毒木馬等網路攻擊,對具有內生安全功能的目標對象在機理上就屬於無效攻擊;
- 突破內生安全防禦除社會工程學的手段外,只有通過時空一致性的精準協同攻擊才有逃逸的可能,但是首先要克服時空非一致性的“測不準效應”,然後要逾越“基於策略裁決的異構冗餘目標反饋調度疊代機制”才可能形成“共模逃逸”態勢;
- 內生安全功能應當能夠歸一化的解決傳統可靠性問題和基於目標對象的網路安全威脅問題;
- 理論上,“差模逃逸”不可能發生,“共模逃逸”也是極小機率事件,“即使成功也可能只此一次”,在內生安全環境內的攻擊行動或成果都不具有穩定魯棒性和品質魯棒性。
技術架構
解決網路空間內生安全問題的技術架構除了要具備可感知基於內生安全問題的不確定擾動功能外,還需要創造出一個能夠有效規避“試錯攻擊”的魯棒控制能力,具體包括四個基本特性:①使試錯攻擊前提條件難以成立;②使攻擊者很難感知試錯攻擊效果;③應能儘快消除系統差模記憶狀態;④能為目標對象規避不確定安全威脅提供穩定魯棒性和品質魯棒性。顯然,這樣的構造相對攻擊者而言,具有“測不準”的性質。
經過長期研究和反覆實踐,鄔江興院士提出了動態異構冗餘構造(Dynamic Heterogeneous Redundancy,DHR),來化解或規避目標對象內部“已知的未知風險”或“未知的未知威脅”的原理與方法,即網路空間擬態防禦(Cyberspace Mimic Defense,CMD)。其獨特表現有五個方面:首先是能將基於構造內執行體個體未知漏洞後門的隱匿性攻擊,轉變為擬態界內攻擊效果不確定的事件;其次是能將效果不確定的攻擊事件歸一化為具有機率屬性的廣義不確定擾動問題;三是基於擬態裁決的策略調度和多維動態重構負反饋機制產生的“測不準”防禦迷霧,可以瓦解試錯或盲攻擊的前提條件;四是藉助“相對正確”公理的邏輯表達機制,可以在不依賴攻擊者先驗知識或行為特徵信息情況下提供高置信度的敵我識別功能;五是能將非傳統安全威脅歸一化為廣義魯棒控制問題並可實現一體化的處理。
研究與發展
2013年,提出並創建了基於內生性安全機制的網路空間防禦概念。2016年內生安全原理驗證系統通過了國家科技部組織的測試評估;2017年12月首次發布了相關理論成果《網路空間擬態防禦導論》;2018年1月,世界首台擬態構造的域名伺服器在中國聯通洛陽公司上線套用;2018年4月,在國際上首次將擬態構造的路由器/交換機、防火牆、web伺服器、檔案管理系統、基於web的雲服務等產品系列化上線使用;2018年5月,首屆“強網”擬態防禦國際精英挑戰賽在南京舉行,參賽的有22支中外頂級的白帽黑客戰隊,除了傳統的黑盒比賽環境外,增加了部分“白盒”比賽環境,初步檢驗了基於擬態構造信息通信產品內生安全機制的有效性與可靠性;2018年11月進一步完善了理論架構,發布了《網路空間擬態防禦原理—廣義魯棒控制與內生安全》;2019年5月,第二屆“強網”擬態防禦國際精英挑戰如期在南京舉行,參賽的中外頂級戰隊有29支,在充分開放的環境內,歷時20多個小時,經受了近300萬次的攻擊,5700多次高危漏洞攻擊,無一人一隊得手;2019年9月國家工信部對試點任務做了驗收性的測試評估,專家委員會認為“試點任務設備和使用性能與效能與理論預期完全一致”;2019年12月相關理論成果《網路空間擬態防禦—內生安全&廣義魯棒控制》英文版在全球發行;
