我的位置 首页  >  新闻动态  >  国内新闻

封面人物 | 中国工程院院士邬江兴:“网络安全再平衡战略”之抓手——拟态防御

来源:科技成果转化中心时间:2018-06-23
      
点击上方“中国信息安全” 可订阅

正当人们尽情享受信息时代生活和工作乐趣的同时,网络安全问题像幽灵一般成为挥之不去的梦魇。根本原因之一是,网络空间存在泛在化的基于未知漏洞和后门等的不确定性威胁。这使得少数人或团体组织利用少量的资源就能肆意践踏个人乃至公众的隐私权,威胁信息基础设施和公共服务系统安全,危及网络空间秩序和社会稳定。当前,网络空间的基本安全态势是“易攻难守”。

习近平总书记指出:“从世界范围看,网络安全威胁和风险日益突出,特别是国家关键信息基础设施面临较大风险隐患,难以有效应对国家级、有组织的高强度网络攻击。这对世界各国都是一个难题,我们当然也不例外。”

2011年12月,美国国家科学技术委员会在《可信网络空间:联邦网空安全研发战略规划》中也指出:“ 网络空间任何信息系统只要在设计链、生产链以及供应链等环节存在可信度或安全风险不受控的情形,就无法从根本上消除信息系统或网络基础设施的安全漏洞。”


一、 网络安全不平衡之源

网络安全不平衡现状的本源问题就是最本质的安全威胁问题。

网络安全不平衡现状的本源问题之一是安全漏洞。通常是指,在硬件、软件或协议等的具体实现或系统安全策略上存在的缺陷,从而使得攻击者能够在未经授权下访问或破坏系统。来自中国国家信息安全漏洞库的资料显示,2015年检测到的浏览器漏洞数比2014年高出37%,操作系统漏洞数比2014年高出73%。但是,令人担忧的问题是,未能检出的漏洞有多少?更为糟糕的是,人类现有的科技能力尚无法彻底避免漏洞。

网络安全不平衡现状的本源问题之二是软硬件后门。通常是指留在软硬件系统中的恶意代码,为特殊使用者通过特殊方式绕过安全控制环节而获得系统访问权的方法与途径。就2014年中国互联网安全报告的数据来看,2014年中国境内被篡改网站数量较2013年增长 53.8%。2014年我国境内4万多个网站被植入后门。其中政府网站就达1500多个。与漏洞同样的问题是,查不出的后门有多少?同样糟糕的问题是,供应链全球化时代,“你中有我,我中有你”已经常态化。 因而,在相当时期内,后门也是无法杜绝的。

“棱镜门”事件披露了大量的关于软硬件后门的黑幕信息,严重打击了国际社会全球化的信心,给贸易自由化带来了长期的负面影响。即使网络安全与信息技术最发达的美国,在2017年国防授权法案中也提出了“如何保证来自全球化市场、商用等级、非可信源构件的可信性问题”。因为实在没有能力回答未披露的后门有多少的质疑。

网络安全不平衡现状的本源问题之三是网络空间中我们已知的漏洞和后门就如同浩瀚宇宙中的一点尘埃,绝大多数漏洞后门是未知的。实际上,迄今为止,人类尚未形成穷尽复杂信息系统漏洞和彻查后门的理论与方法。“设计缺陷与不可信开放式供应链”条件下,无论从技术或经济上都不可能彻底保证网络空间(包括核心信息装备或关键信息基础设施)构成环境内“无毒无菌”的安全性要求。

从网络防御者角度来看,基于未知漏洞或利用未知后门实施的未知攻击属于“ 未知的未知”安全威胁,也即不确定性威胁,这是网络安全领域最令人惊恐万分的威胁。因为我们永远无法知道攻击者在什么时候、用什么手段、经过何种途径进入目标对象,正在干什么,已经干了什么,未来可能干什么等一系列问题,更不知道从何处下手才能实施有针对性的防御。这也是网络安全不平衡态势的主导因素之一。

美国经济学家佛兰克·奈特对风险和不确定威胁有段富有哲学和数学意味的描述,他说:“已知的未知属于风险,风险可以用概率来表述,而未知的未知属于不确定性威胁,不确定性则是不知道概率的情形。”


二、网络安全再平衡之对象

网络安全再平衡的对象问题就是现有防御体系的脆弱性及安全黑洞问题。

网络空间现有的防御体系,是基于威胁特征感知的精确防御,建立在“已知风险”甚至可以是“已知的未知风险”前提条件上,必须获得攻击来源、攻击特征,攻击途径,攻击行为,攻击机制等先验知识才能实施有效防御。更为严峻的是,现有的信息系统架构和防御体系本质上说都是静态的、相似的和确定的,体系架构透明脆弱、又缺乏多样性,缺陷持续暴露,易于攻击,从而成为网络空间最大的安全黑洞。

更加致命的是,信息系统和防御体系还构建在可信性不能确保的运行环境上,因为软硬构件中存在未知的漏洞或未发现的后门。从某种意义上说,现有信息系统或防御体系对不确定性威胁基本上是不设防的,或者说是除了加密认证外几乎没有任何实时高效的应对措施。实际上,如何确保加密认证装置工程实现上的可信性,本身就存在不小的挑战。

因为无法保证复杂信息系统或网络空间生态环境“无漏洞无后门”或者“无毒无菌”,现有的安全防护只能期待“后天获得性免疫”,通过不断地亡羊,不停地补牢,不断地挖掘漏洞和发现后门,不停地打补丁,杀病毒灭木马,封后门堵漏洞等被动的跟随博弈方式来自我完善。所以说“易攻难守”不对称现状是被动防御体系基因缺陷所致。因此被动防御对于不确定威胁如同数学上求解缺维方程组,理论上无确定解。如果说,网络安全严重失衡现状是传统安全防御理论和技术体系基因缺陷所致,也并非言过其实。


三、生物拟态现象之启示

生物学的拟态现象也许能为破解网络安全不平衡现状提供有益的启示。

一种生物在色彩、纹理和形状等特征上模拟另一种生物或环境,从而使一方或双方受益的生态适应现象,称为拟态现象。 按防御行为分类可将其列入基于内生机理的主动防御范畴,我们称之为“拟态伪装”。

拟态现象在生物界其实很普遍,林林总总,光怪陆离。生物体如果不仅在色彩、纹理和形状上,而且在行为和形态上也能模拟另一种生物或环境的拟态伪装,我们称之为“拟态防御 ”。

被称为拟态章鱼的条纹章鱼也许是生物界的拟态防御大师。据研究,他可以至少模拟15种以上海洋生物,可以在珊瑚礁环境和沙质海底完全隐身。能在本征功能不变条件下,以不确定的色彩、纹理、形状和行为变化给攻击者造成目标认知困境,极大地削弱攻击的有效性与可靠性。

“拟态防御”在军事领域的典型应用就是隐形飞行器或舰船,目的就是要尽可能地在对方雷达屏幕上隐匿自己的踪迹和特征。


四、网络空间拟态防御

理念的进步总是先于技术的进步。2008年,中国科学家就尝试着将生物界的拟态防御理念导入到网络安全领域,期望能破解基于未知漏洞和后门等不确定性威胁难题。

我们的目标是要在后全球化时代、开放式的产业生态环境中,基于“有毒带菌”不可信、不可控的软硬构件,搭建基于创新的动态异构冗余体制的信息系统,并能提供不依赖但不排斥传统防御方法的安全可信可靠的信息服务,以不确定性防御应对网络空间不确定安全威胁,改变目前攻防不对称的游戏规则。

网络空间拟态防御体系架构可表述为:从构件池获取功能构件,经多维重构和策略调度机制形成服务集,由动态生成的服务集提供系统当前的网络服务。期望功能等价条件下,拟态界内的异构冗余执行体可以在时间、空间两个维度上作处理结构的相异性和冗余性改变,包括对寄生的未知漏洞和后门等的改变。于是,不确定性威胁通过异构冗余架构转化为“异构执行体同时出现完全或多数相同性错误内容的判定问题”,即“未知的未知威胁”被物理机制转化为“已知的未知风险”控制问题。成为可用概率等数学方法或工具分析和描述的问题。

基于未知漏洞后门等的不确定威胁被拟态防御架构的动态性、异构性、冗余性强制转化为攻击行动不可规划、攻击效果不可预期的不确定性事件,攻击者被迫从相对容易的单一静态目标攻击方式转变为成功概率极低的“非配合条件下”多元动态目标的协同攻击方式。

拟态防御的主要愿景是,期望基于创新的系统架构技术能够应对拟态界内未知漏洞或后门等导致的未知风险或不确定威胁;防御有效性由架构内生防御机制决定而不依赖现有的防御手段或方法;不以拟态界内构件“可信可控”为前提,适应全球化开放生态环境;融合现有任何安全防护技术都可以获得非线性的防御效果。期望用目标内生环境主动创建的视在不确定性,应对网络空间未知安全风险和不确定性威胁,在功能等价、开放多元产业生态环境中,将目标对象复杂的安全可信防护问题转化为创建信息系统内生机理主导的防御态势。用系统架构技术颠覆性创新,实现网络安全再平衡。

事实上,拟态架构本质上是一种具有集约化属性和普适性意义的系统技术,能够“四位一体”的提供主被动防御,服务提供,高可靠与高安全功能。正如三角形具有几何意义上的稳定性内涵一样,拟态架构对“已知的未知”风险或“未知的未知”威胁具有内生防御效果,能为网络安全与信息化的融合式发展战略提供可信赖的技术抓手。


五、国家测试验证评估

拟态防御的有效性虽然在理论上已经得到证明,但工程实践效果如何,仍需要严格的测试验证和分析评估。

2016年1月,国家科技部委托上海市科委组织:国家信息技术安全研究中心等9家权威检测单位,组成联合众测团队,历时5个月,分四个阶段开展测试验证工作。

测评对象为两种应用场景,一是属于信息通信网络基础设施范畴的拟态路由器原理验证系统,另一个是属于网络信息服务范畴的拟态web服务器原理验证系统。并且测评对象的所有软硬构件都是“来自全球化市场、商用等级、非可信源产品”。总共完成13类,113项,204例验证测试。

采取了包括使用黑盒测试、白盒测试、渗透测试、对比测试等在内的多种测试方法和手段,也包括直接设置后门或配合注入木马病毒代码等极端方式。是目前网络安全业界最为严苛,也是开放程度最高的测试验证。

为了检验拟态系统的内生防御机理,测试程序规定评测对象,不得安装任何杀毒灭马等防护工具;测试过程中不能进行任何形式的漏洞修补或后门封堵等增量开发;也不能使用诸如防护墙、加密认证等安全加固手段。需要测试验证拟态系统能否隐匿拟态界内的未知漏洞和后门,攻击者能否利用拟态界内未知漏洞注入未知病毒木马,防御方能否有效抑制拟态界内基于未知因素的协同攻击,能否允许拟态界内使用“不可信不可控”的软硬构件,拟态界内运行环境能否允许“有毒带菌”等5个方面的问题。所有测试验证是在保证目标对象服务功能和性能前提下进行,验证测试和分析评估结果表明,与理论预期完全吻合,原理具有普适性。同时也验证了“拟态系统安全性与软硬构件的未知缺陷,包括后门及木马病毒等基本无关”的推论。有望终结“基于软硬件代码缺陷的攻击时代”。


六、网络安全再平衡战略抓手

受国家科技部高新技术发展及产业化司委托,上海市科委先后组织国内网络通信和安全领域一流科研院所、高等院校和知名企业的21名院士和110余名同行专家,对拟态防御理论和验证系统进行测试评估。主要目的是测试“web服务器拟态防御原理验证系统”、“路由器拟态防御原理验证系统”的安全功能、性能等是否达到设计预期,为评估“拟态防御理论的正确性、有效性及工程实现的可行性”提供依据。

2016年1月下旬至4月下旬为测试阶段。由来自国家信息技术安全研究中心、中国信息通信研究院、中科院信息工程研究所、军委装备发展部第六十一研究所、上海交通大学、浙江大学、北京奇虎科技有限公司、启明星辰信息安全技术有限公司、安天科技股份有限公司等9家单位优势测试团队的45名同行专家,依据国家或行业相关标准、规范和拟态防御原理,论证制定了测试验证方案,并进行了三轮联合测试,其中,众测103项194例、互联网渗透测试10项10例。

2016年5月7日进入总结评估阶段。上海市科委召开了拟态防御原理验证系统测试情况评估会,测试组汇报了测试工作组织实施情况和测试结论,CMD联合研发团队做了测试数据分析报告。2016年5月29日,科技部高新司、中国工程院信息与电子工程学部和上海市科委,在北京联合召开了拟态防御原理暨应用实践研讨会。参与测试评估工作的同行专家以通信方式经过充分评议和修改,于2016年8月正式形成《拟态防御原理验证系统测评意见》。

在2018年5月首届“强网”拟态防御国际精英挑战上,基于网络空间拟态防御理论开发的网络设备和系统作为赛事“靶机”,在国内外22支知名参赛强队的50余万次全方位、高强度的攻击测试下,没有被任何队伍突破,拟态防御的安全属性在实战中得到了充分验证。

测试验证和分析评估表明,拟态架构的内生防御机理可以有效解决“全球化环境”下,拟态界内软硬构件不可控不可信问题,也就是即使拟态界内存在未知的漏洞后门,或“有毒带菌”也不会影响信息系统的功能和性能。使得“网络安全再平衡战略”的实现成为可能。

拟态防御架构可以在“软硬构件供应链不可控不可信”的前提下:支撑全球化时代,开放共赢合作模式下,网络安全与信息化“一体两翼,双轮驱动”发展目标的实现;有助于消除全球自由贸易中的有形或无形壁垒,促进信息共享和全球化的深度发展;使得基于未知漏洞或后门等的攻击失去威胁和震慑作用或极大地增加攻击者代价,终结“易攻难守”的现状,遏制网络恐怖主义的泛滥;创造网络安全与信息化领域的新需求,促进功能等价异构多元、多样化市场的繁荣。总之,拟态防御架构的内生安全机理可以从根本上改变“网络空间攻防不对称”的现状,颠覆利用“先发技术和卖方市场优势”实施网络空间“单向透明”战略的行动基础。重建网络空间新秩序。

此外,拟态防御原理与方法可以促进网络安全与信息化能够实现真正意义上的一体化、融合式、同步式发展。其体制机制适用于从软硬构件、组件、部件、装置、系统、平台、网络等各层面以及信息领域的各个方面,能够产生很强的普适性、渗透性以及立体化、集约化的转基因效果。例如拟态CPU、拟态操作系统、拟态服务器、拟态云、拟态存储、拟态化设计工具等。相信能为网信融合发展释放出“改变游戏规则”的爆炸性活力,成为网络安全再平衡战略的基础动能。

拟态防御为实现“网络安全再平衡战略”提供了全球可以信赖的理论和技术基础,它是中国的创造,也是网络世界的福音!

(本文刊登于《中国信息安全》杂志2018年第6期)


人物简介

邬江兴,中国工程院院士。先后获国家科技进步一等奖3项、二等奖4项。1995年获何梁何利科学技术进步奖、1997年获评国家有突出贡献的中青年专家称号、2015年获何梁何利科学与技术成就奖。所带领的科研团队获2015年国家科技进步创新团队奖。曾担任“九五”、“十五”国家863计划通信技术主题专家组副组长,“十一五”国家863计划信息领域专家组副组长、国家移动通信重大专项论证委员会主任、国家三网融合专家组第一副组长等职务。现任国家数字交换系统工程技术研究中心(NDSC)主任。2008年提出“改变行业游戏规则”的拟态计算与拟态防御理论,2013年主持研制成功世界上第一台拟态计算原理验证机,2016年完成拟态防御原理国家级工程验证。


更多信息安全专家文章

请关注公众号!

       (科技成果转化中心供稿)