久久99国产精品尤物-国产高清色播视频免费看-男生肌肌往女人桶爽视频-精品国产-91PORNY九色|www.jqdstudio.net

鄔江興院士：如何筑牢新基建網絡安全基石？

點擊：  作者：鄔江興    來源：網信軍民融合  發布時間:2020-06-23 10:35:21

 

 

 

 本文刊登于《網信軍民融合》雜志2020年5月刊

 

【編者按】新型基礎設施建設（簡稱“新基建”），是以新發展理念為引領，以技術創新為驅動，以信息網絡為基礎，面向高質量發展需要，提供數字轉型、智能升級、融合創新等服務的基礎設施體系，主要包括信息基礎設施、融合基礎設施、創新基礎設施。新基建需要新安全，為此《網信軍民融合》雜志就如何筑牢新基建網絡安全基石，構建以內生安全為核心的技術體系，專訪中國工程院院士鄔江興。

 

新基建 新風口 新安全 新賦能

——《網信軍民融合》雜志就如何筑牢

新基建安全基石專訪鄔江興院士

 

 

中國工程院院士鄔江興

 

問題一： 

 

鄔院士，近期關于新基建的討論十分火熱，中央密集部署，各地政府積極響應，企業也在主動跟進，作為我國信息與網絡領域專家，您能介紹一下新基建的主要特點么？

 

鄔江興：

 

對于新基建，目前大家議論很多，我個人覺得有四個特點。

 

一是為高質量發展提供牽引力。習總書記指出，我們現在正處于“百年未有之大變局”時期，在這次抗擊新冠肺炎戰役中要善于在危中尋機，要化危為機。如何才能在“前所未有的挑戰”面前抓住“前所未有的發展機遇”，關鍵的一招就是要走高質量發展之路，結構再造，產業重塑。當下，在統籌推進抗擊疫情和經濟發展、實現“兩戰贏”的關鍵時刻，中央推出新基建的發展政策和方針，就是要用國家和政府的力量引導社會各方面高質量的轉型發展。不轉型就不能轉危為機，不轉型就難以應對“黑天鵝”“灰犀牛”等各種充滿變數和不可預知的社會發展風險。

 

二是為實現科技領跑提供支撐。推動新基建，就是要從創新供給側改革思路出發，從創造未來社會前瞻性需求的高度引領高技術及相關產業的發展，為新一代信息技術和戰略性新興產業提供可持續發展的前行動力，起到“觸一發而動全局”“以四兩撥千斤”的作用，實現多領域融合發展，在技術引領與可自持產業生態營造上花大力氣、下狠功夫，做好“十年磨一劍”的思想、精神、物質和人力準備，打贏技術與產業領跑的翻身仗。

 

三是起步就統籌好信息化和網絡安全。這一輪的新基建，務必從籌劃階段就統籌好信息化和網絡安全的關系，達成“車之雙輪”“鳥之兩翼”的發展目標。我個人認為，與“舊基建”的本質區別之一就是，新基建必須從“基因層面”擁有內生安全的體制機制，使安全性指標可量化設計、安全性標準可驗證度量，讓內生安全成為新基建的最顯著特征之一，賦予“新設施”“新功能”“新服務”“新應用”安全可信之內涵，重構自主可控的信息基礎設施，重塑網絡空間安全新秩序。

 

四是讓普通老百姓有更多的獲得感。新基建最后是不是新，最終的裁判是老百姓，金杯銀杯不如百姓的口碑。是不是辦事更方便了？“讓數據多跑路、百姓少跑路”。是不是更便宜了？網速快了、流量高了，費用降了，服務更豐富了。是不是更管用了？面對突發事件，能夠信息暢通、數據貫通，能夠保平安發展大局，能助度過大災大難，經得起網絡戰爭的嚴峻考驗。

 

問題二：

 

 期待著新基建提速為我國高質量發展注入新的動力，但有時起跑決定后程，新基建集中網絡信息技術類設施建設，那么在布局新基建的過程中，我們應該注意哪些問題呢？

 

鄔江興： 

 

新基建作為信息技術向高端演進的新載體，其核心是新的網絡基礎設施，但必須清醒地看到，無論信息網絡如何升級，其與生俱來的安全問題并未得到有效解決，這就給新基建的發展埋下了隱患。統籌信息化和網絡安全，是布局新基建的重中之重。

 

內生安全問題是網絡安全之本源。網絡空間的安全問題盡管表現形式多種多樣 , 但其本質原因卻十分簡單明了。各種信息系統或控制裝置的軟硬件產品，不可避免地會存在各種各樣的設計缺陷。這些設計缺陷，在別有用心的黑客眼里就是攻擊信息系統的利器——漏洞。人類現有的科技能力 , 尚無法徹底避免設計缺陷導致的漏洞問題；基于相對優勢分工的全球化格局使得信息技術產業鏈絕非一國能力可以掌控 , 導致漏洞后門問題幾乎不可能杜絕；目前的技術手段尚不能徹底地排查漏洞后門等“暗功能”；網絡攻擊的門檻正隨著技術工具智能化程度的提高而逐步降低 ,導致黑客基數不斷擴大。于是，形成了當下全球性的網絡空間安全困局。

 

內生安全問題不可能徹底消除。在全球化大趨勢下，開放式、協作化的創新鏈和產業鏈正成為人類技術開發、現代社會生產活動的基本模式，無法設想以一國之力可以做到技術鏈、供應鏈乃至全產業鏈的徹底自主可控與安全可信。同時，軟硬件設計缺陷導致的漏洞問題，目前在理論和技術上尚無有效的應對辦法，試圖從根本上杜絕此類問題也違背人類認知和科技發展的客觀規律。這意味著無論從理論或技術還是經濟層面上，都不可能完全保證網絡空間構成環境無內生安全問題，即“無毒無菌”是安全領域不可能實現的烏托邦式愿景。

 

內生安全問題需用新思路破解。傳統的網絡安全思維模式和技術路線很少能跳出“盡力而為、問題歸零”的慣性思維，挖漏洞、打補丁、封門補漏、查毒殺馬乃至設蜜罐、布沙箱，層層疊疊的附加式防護措施，包括內置各種探針外聯大數據分析裝置的智慧安全方式，在引入安全功能的同時不可避免的會導入新的安全隱患。也正是在此背景下，網絡空間內生安全技術應運而生，在不依賴關于攻擊者先驗知識和行為特征的前提下，有效感知、抑制和管控傳統及非傳統安全威脅導致的目標系統內部的確定或不確定性擾動影響，能使傳統的基于軟硬件脆弱性或漏洞后門的攻擊理論和方法完全失去效能，這將為新基建的自主可控、安全可信提供前所未有的新解決方案。

 

問題三： 

 

您說的內生安全就類似人類的自身免疫力一樣，這是應對病毒侵擾的關鍵。那么，我國在新基建領域是否有構建這樣免疫力的相關理念與技術呢？

 

鄔江興： 

 

網絡免疫能力是全球科技界和產業界近年來一直追求的新目標。在前期研究基礎上，我認為，新基建不僅要有新思路、新體系、新技術、新領域，更需要新的改變游戲規則的網絡安全技術作保證，避免“把房子建在別人墻基上”的現象重演。內生安全作為我國首創、為世界關注的新安全理論與技術體系，有望解決困擾網絡空間安全的一系列難題。按字面意思，內生就是靠自身構造而不是外部因素得到的內源性效應，內生安全就是利用系統的架構、算法、機制、場景等內在因素獲得的安全屬性，這種安全屬性將為新基建賦予新的安全基因。

 

與漏洞共舞。對付漏洞問題，方法無非兩條，要么杜絕、要么抑制。目前看，徹底杜絕漏洞從理論與技術上都不太可能。剩下只有一條路可走，就是要找到能有效抑制隱藏在系統內部的已知或未知漏洞后門、病毒木馬等引起的安全威脅之新技術途徑，即能夠使信息系統或控制裝置可以在“有毒帶菌”條件下正常運行。內生安全技術有望徹底改變網絡空間當前的“查漏堵門、殺毒滅馬、亡羊補牢”游戲規則，從根本上顛覆現有的基于軟硬件代碼漏洞后門的攻擊理論與方法，促進具有“自身免疫力”的新一代信息技術和產品的升級換代，為從根本上解決網絡空間安全難題，探索出了一條適應經濟技術全球化時代“自主可控、安全可信”的新路子。

 

安全可定制。傳統信息技術不可避免的設計缺陷致使相關產品安全性不可度量，難以形成可以量化設計的安全能力。這種在理論上模糊、工程上盡力而為的技術與產品發展路線，很難讓政府和老百姓用的放心，這也是當下網絡安全得不到足夠重視的根本原因。但是，對于內生安全技術而言，安全是可定制、可量化的。其原理是，基于構造效應的內生安全機制能將抗攻擊性問題轉化為非配合條件下、動態異構冗余目標間的協同攻擊難度，最終能歸一化為可用概率表達的可靠性問題，且能用成熟的可靠性與自動控制、魯棒控制方法統一處理。通俗地講，網絡安全問題可以轉化為可靠性問題，通過成熟的技術對信息系統的抗攻擊性和可靠性指標可標定設計、可測試度量，為產品的安全可信提供內生機制方面的保障。

 

應用可擴展。內生安全技術具有強有力的可擴展性，即可通過增量部署升級現有系統，也可通過重新部署賦能未來系統。可以預見，內生安全技術幾乎可以覆蓋新基建的所有領域，這些應用包括：一是網絡信息通信基礎設施，包括各種高魯棒性用途的網絡路由器、交換機、光傳輸系統和有線無線接入系統等天地一體化網絡、衛星互聯網等設施；二是各種標準化程度高且有廣義魯棒性要求的網絡服務平臺；三是文件管理與數據存儲或容災備份系統、加密和認證系統；四是各種高魯棒性、專業化的大眾信息服務系統、云化服務環境、數據中心 IDC、邊緣計算、內容分發網絡或各種提供區塊鏈服務的宿主系統等；五是工業控制領域各種高魯棒性或超高可靠性軟硬件核心系統等。

 

效果可檢驗。對于任何一個領域的安全，不能自說自話，而是要有經得起評價的檢驗方式。安全不安全，全球駭客說了算。因此，需借鑒驗證可靠性設計性能的“白盒”破壞性試驗方法，在傳統信息系統和設備“黑盒”測試基礎上，使用“黑盒測試”疊加全球頂級尖駭客高強度的“白盒”滲透測試模式，從攻防兩端的人機博弈中客觀評判信息系統關鍵設備的安全性能。這種測試方式已成功應用在兩次“擬態強網”國際挑戰賽之中，經受了數億次基于高危漏洞的攻擊檢驗。由于白盒檢測直觀且結果令人信服，正在被網絡空間安全領域普遍接受，成為檢測安全能力的新方式。

 

問題四：

 

請您介紹一下我國內生安全技術發展的現狀及其獨特優勢。

 

鄔江興：

 

應該說，我國在內生安全領域是走在世界前列的，經過近 10 年的研究、論證、試驗、測試，內生安全所形成的安全增益效能已從理論、技術、實踐等多個層面得到證明。

 

2016 年，由國家數字交換系統工程技術研究中心（NDSC）牽頭研制的，基于內生安全機理的擬態防御原理驗證系統通過了國家科技部組織的權威性測試評估。2019 年，基于擬態構造的系列化網絡產品在經過近兩年的試點應用后，通過了國家工信部組織的工程技術和使用效果評測，認為“擬態構造在技術成熟度、普適性和經濟性方面都達到了可推廣應用程度”“試點任務執行情況完全達到了擬態防御預期目標”。其“改變網絡空間游戲規則”的革命性意義，預示著“可量化設計、可驗證度量”的內生安全機制必將成為信息領域及其相關領域新一代軟硬件產品標志性的使能技術之一。

 

2017 年，中國科學出版社出版了《網絡空間擬態防御導論》；2018 年，該出版社又出版了《網絡空間擬態防御原理—內生安全與廣義魯棒控制》；2019年，全球著名出版社 Springer 發行了《網絡空間擬態防御—內生安全 & 廣義魯棒控制》英文版專著；今年 6月，中國科學出版社將向全球發行《網絡空間內生安全—擬態防御與廣義魯棒控制》中文專著，標志著基于內生安全機理的擬態防御已完成理論創建、共性技術攻關、應用技術突破、試點 / 示范應用全鏈條的創新實踐，具備了為新基建提供前所未有的高可靠、高可信、高可用三位一體安全底座的能力。

 

我國率先提出獨特的基于內生安全機制的廣義魯棒控制架構突出表現在五個方面：首先是能將針對擬態括號內執行體個體未知漏洞后門的隱匿性攻擊，轉變為擬態界內攻擊效果不確定的事件；其次是能將效果不確定的攻擊事件歸一化為具有概率屬性的廣義不確定擾動問題；三是基于擬態裁決的策略調度和多維動態重構負反饋機制產生的“測不準”防御迷霧，可以瓦解試錯或盲攻擊的前提條件；四是借助“相對正確”公理的邏輯表達機制，可以在不依賴攻擊者先驗知識或行為特征信息情況下提供高置信度的敵我識別功能；五是能將非傳統安全威脅歸一化為廣義魯棒控制問題并可實現一體化的處理。因而，基于動態異構冗余架構的測不準效應所形成的“防御迷霧”，可以有效化解或規避目標對象內部“已知的未知風險”或“未知的未知威脅”，這種內生安全技術被我國科學家命名為網絡空間擬態防御。

 

問題五：

 

內生安全理念與目前現有網絡安全技術相比，具有明顯優勢，相信對新基建領域也將發揮巨大的推動作用，那么如何在政策、技術和產業方面加強支持，讓內生安全在新基建中落地生根？

 

鄔江興：

 

基礎已經具備。我認為推動內生安全與新基建的相互融合，形成更高安全預期，需要綜合推動、精準施策。

 

一是加快內生安全核心技術攻關。加快內生安全基礎軟硬件研發，開展內生安全設計語言、工具鏈、工具庫等研發，筑牢內生安全技術和產業發展基石。加快關鍵基礎設施專用技術研發，全力突破內生安全的云計算、分布式存儲系統等關鍵技術，研發內生安全的云計算服務系統、數據中心等產品，支撐構建內生安全的新一代信息基礎設施。加緊構建開源開放的內生安全技術和產業發展生態，促進內生安全技術在各行業領域再創新、再發展。

 

二是推動內生安全技術行業標準制定。在國家主管部門指導和協調下，聯合標準制定部門和主要設備廠商，推進內生安全技術標準制定，通過行業標準引領內生安全技術產業發展。依托擬態技術與產業創新聯盟，探索擬態技術知識產權共享共建機制，通過建立“基礎專利授權免費使用、二次應用專利聯合共享”的知識產權模式，促進網絡內生安全技術產業健康發展。

 

三是擴大內生安全技術產品試點應用。圍繞以擬態防御為代表的內生安全技術，以布局重大任務、設立專項工程等為政策導向，持續健全“學研產用測”協同創新機制，特別是鼓勵頭部企業積極參與內生安全技術與產品創新，充分釋放擬態防御等內生安全技術在解決網絡安全重難點問題中的潛能。在現有行業試點的基礎之上，圍繞高安全等級垂直行業領域（剛需市場）和新一代信息基礎設施建設的重點領域（增量市場），通過政府補助、應用獎勵等政策引導，以及安排專項任務等形式，建設擬態構造內生安全產品推廣應用示范點、示范區，以此為抓手推動擴大試點產品門類、擴大試點應用領域，多行業多層次體系化地促進擬態技術與產品成熟，為規模化、普適化、產業化應用奠定基礎。

 

四是精準配套產業發展扶持政策。應結合內生安全技術允許采用全球化條件下供應鏈可信性不能確保的軟硬件構建安全可信網絡信息系統的特點，協調相關部門對現有的網絡安全等級保護條例進行適當修訂，為新型安全技術的示范應用開辟政策性的“綠色通道”。在國家層面應設立網絡內生安全產業創新發展基金，引導風險投資和其它社會資本積極參與具有內生安全性能的信息系統或控制裝置軟硬件產品的研發和產業生態培育。結合內生安全技術“可量化設計、可驗證度量”的屬性，出臺配套政策引導和鼓勵保險行業探索設立網絡安全保險基金，通過產業和商業模式創新，實現內生安全新產品廠家、保險業界和最終用戶多贏的發展格局。

 

來源：網信軍民融合