鄔江興:網(wǎng)絡安全再平衡戰(zhàn)略
——擬態(tài)防御

鄔江興

通信與信息系統(tǒng)、計算機與網(wǎng)絡技術(shù)著名專家，現(xiàn)任國家數(shù)字交換系統(tǒng)工程技術(shù)研究中心主任，2003年當選為中國工程院院士，曾多次獲得國家科技獎。

當前，網(wǎng)絡空間的基本安全態(tài)勢是“攻易守難”。其根本原因在于網(wǎng)絡空間存在泛在化的基于未知漏洞和后門等的不確定威脅，且缺乏徹查漏洞和后門等的科學與技術(shù)方法。

以人類現(xiàn)有的科技能力，還無法從理論和實踐上解決網(wǎng)絡上未知的問題：一是不知道潛在的漏洞究竟有多少，二是沒有辦法完全避免漏洞，再就是軟件后門的問題，甚至還有前門的問題?，F(xiàn)在還未發(fā)現(xiàn)的漏洞，如茫茫宇宙、浩瀚星空一樣龐雜。迄今為止人類的網(wǎng)絡技術(shù)尚未形成可以窮盡復雜系統(tǒng)漏洞和后門的理論和方法，在這一設計缺陷的背景下，我們無法期待一個無毒的環(huán)境。

網(wǎng)絡空間現(xiàn)有的防御體系必須獲得攻擊來源、特征、行為、機制等知識，才能實施有效防御。而現(xiàn)有的信息系統(tǒng)和防御架構(gòu)，在本質(zhì)上是靜態(tài)的、相似的和確定的，體系架構(gòu)透明脆弱，成為網(wǎng)絡空間最大的安全黑洞。

生物學上有一種現(xiàn)象：一種生物在色彩、紋理、形狀上模擬另外一種生物使其一方或雙方受益，這被稱為“擬態(tài)現(xiàn)象”。我們提出擬態(tài)安全防御，以期能從主動性、變化性和隨機性中來獲得有利的防御態(tài)勢。所謂擬態(tài)安全防御，是指在主動和被動觸發(fā)條件下動態(tài)地、偽隨機地選擇執(zhí)行各種硬件變體以及相應的軟件變體，使得內(nèi)外部攻擊者觀察到的硬件執(zhí)行環(huán)境和軟件工作狀況非常不確定，無法或很難構(gòu)建起基于漏洞或后門的攻擊鏈，以達成降低系統(tǒng)安全風險的目的。從本質(zhì)上來講，擬態(tài)安全防御是一種主被動融合防御體系，即擬態(tài)安全主動防御與傳統(tǒng)被動防御相融合的引入“安全基因”的主被動融合防御體系。

“已知的未知”可以防御，但是“未知的未知”讓全球正在使用的網(wǎng)絡系統(tǒng)倍受威脅。擬態(tài)防御理論和基礎技術(shù)架構(gòu)，以創(chuàng)造性的主動防御思想成功探索出解決網(wǎng)絡空間不確定性威脅問題的新途徑。

錢學森說過：“從復雜問題的總體入手，總體大于各部分之和?！边@也是擬態(tài)防御構(gòu)建的基本思想?，F(xiàn)今的科技條件下，我們不能完全避免軟硬件的漏洞，又缺少檢測的成熟方法。那么，是否能用系統(tǒng)工程的思想，通過系統(tǒng)架構(gòu)技術(shù)創(chuàng)新來克服不確定威脅的安全問題？

今年1月，國家科技部曾委托組織了對擬態(tài)防御構(gòu)建的測試。系統(tǒng)是不是能夠隱匿漏洞后門？攻擊者能否利用未知漏洞和后門上傳病毒和密碼？防御方能否有效抑制危險的協(xié)同攻擊？擬態(tài)允許不允許使用不可信，或者不可控的軟硬構(gòu)件？帶有病毒和密碼的軟件能否運行？我們得到了兩個結(jié)論：一是擬態(tài)防御是安全的，二是漏洞只有在非配合條件下聯(lián)合起來在同一時間同一地方做同樣的攻擊才有可能突破系統(tǒng)。

同時，可以看到擬態(tài)防御的效果：一是可以建筑攻擊鏈的可靠性，現(xiàn)有攻擊鏈對擬態(tài)系統(tǒng)是相當?shù)臒o效；二是可以構(gòu)造在“去協(xié)同化”條件下的協(xié)同攻擊難度；三是它獲得的防御特性，與傳統(tǒng)的安全技術(shù)無關(guān)，但是可以融合傳統(tǒng)安全技術(shù)，是獨立于安全技術(shù)存在的屬性；四是能夠適應這種不可信供應鏈的產(chǎn)品，當然對于受測服務系統(tǒng)是沒有影響的。

理念的進步總是要先于技術(shù)的進步。擬態(tài)防御是一個架構(gòu)技術(shù)，當然它首先是用來解決網(wǎng)絡安全問題的，它是一種原理，利用這種原理可以解決任何不確定問題。它顛覆了安全領域的許多規(guī)則，比如說未知風險不可防御的理論。已知的風險可以解決，未知的風險也可以解決，開放和安全第一次實現(xiàn)了完美的統(tǒng)一。

（本文根據(jù)鄔江興在“國際工程科技發(fā)展戰(zhàn)略高端論壇”上的講話整理，未經(jīng)本人確認）