网络空间内生安全.docx

《网络空间内生安全.docx》由会员分享，可在线阅读，更多相关《网络空间内生安全.docx（20页珍藏版）》请在优知文库上搜索。

1、一、引言大量的网络安全事件表明，网络空间绝大部分安全威胁都是由人为攻击这个外因，通过目标对象自身存在的漏洞后门这个“内生安全问题之内因的相互作用而形成的。遗憾的是，迄今为止，传统的网络安全思维模式和技术路线很少能跳出“尽力而为、问题归零的惯性思维，挖漏洞、打补丁、封门补漏、查毒杀马乃至设蜜罐、布沙箱，层层叠叠的附加式防护措施，包括内置层次化的检测构造方式（借鉴生物学的内共生思想），在引入安全功能的同时不可避免地会引入新的内生安全隐患。怎样才能破解基于内生安全问题的不确定威胁影响，是既需要重大理论创新又需要重大技术发明才能解决的科学技术难题。文章从一切事物都是自在的矛盾、任何事物有利必有弊的哲学

2、原理出发,分析了信息系统“内生安全问题存在的必然性，给出了网络空间内生安全问题的概念、特征，指出内生安全问题作为自在矛盾的一方，在理论和工程层面都不可能彻底消除，需要开发或利用系统元构造（算法）自身的内源性安全效应,或者形成“内生的安全体制机制才能有效规避或化解由自在矛盾引发的安全风险。文章给出了期望的内生安全的体制机制定义和技术特征，并在可靠性理论与方法的启示下，通过相对正确公理的再发现，在香农信道编码纠错理论基础上创立了编码信道理论，发明了动态异构冗余架构（DHR）,阐述了DHR架构能够归一化地处理传统可靠性问题与非传统网络安全问题的原理。二、网络空间内生安全问题”（一）内生安全问题的定义

3、和内涵信息世界网络空间与现实世界物理空间一样有着相同的哲学本质，如同德国哲学大师黑格尔所说的那样“一切事物都是自在（内生）的矛盾，矛盾是一切运动和生命力的根源。矛盾的同一性是事物存在和发展的前提，且互为发展条件。矛盾的斗争性则会促进矛盾双方此消彼长，造成双方力量的发展不平衡，为对立面的转化和事物质变创造条件。以信息技术为例：大数据技术能够根据算法和数据样本发现未知的规律或特征，而蓄意污染数据样本、恶意触发算法缺陷也能使人们误入歧途；区块链技术开辟了无中心记账方式的新纪元，51%的共识机制却不能避免市场占有率大于51%的COTS级软硬件产品中的漏洞后门问题。当代计算技术的发展使人类步入了辉煌的信

4、息时代，但是既有的计算技术本身的安全缺陷也使得网络空间充满风险和不确定威胁。由此可见，内生安全问题与内生安全机制是同一系统构造或算法在不同应用目标、不同使用场景、不同技术条件下的不同形态表现，符合矛盾的对立统一规律。网络世界也概莫能外,一个软硬件构造或算法除本征（元）功能之外，总存在着伴生/衍生的显式副作用或隐式暗功能，如果其中的一些副作用或暗功能被某种自然或人为因素触发,影响到本征功能的正确表达，则称这类副作用和暗功能为网络空间内生安全问题。内生安全问题可以进一步抽象为两类问题。一类是狭义内生安全问题，特指一个软硬件实体除了设计的本征或元功能之外，总存在包括副作用、脆弱性、自然失效等因素在内

5、的显式或隐式表达的非期望功能；另一类是广义内生安全问题,专指在狭义内生安全问题之上，还包括蓄意让最终用户不可见的设计功能，或所有未向使用者明确声明或披露过的软硬件隐匿功能,例如刻意设计的前门、后门、陷门等“暗功能问题。（二）内生安全问题的特性由内生安全问题的定义和内涵，可以归纳总结出内生安全问题所具有的特性。1 .存在的必然性漏洞和后门总是时不时被人们发现，从未间断过。根据统计规律，漏洞的数量与代码数量存在一定的比例关系，随系统复杂性的增加和代码数量的增大，漏洞数量也随之增加。同时，由于全球化经济的发展和产业分工的专门化、精细化，集成创新或制造成为普遍的生产组织模式，各种产品的设计链、工具链、

6、生产链、配套链、服务链等供应链条越来越长，涉及的范围和环节越来越多，这给后门的预埋植入提供了众多机会。上述这些非主观因素引入的软硬件代码漏洞（陷门）或人为预埋进入信息系统的后门，不论从矛盾的自在性、技术发展的阶段性还是从利益博弈角度来解释，其出现都是必然的，且难以从根本上避免。2 .呈现的偶然性纵观整个漏洞被发现的历史，虽然时不时有漏洞被发现，但是每个漏洞在什么时候被发现，是怎么被发现的，都有其偶然性，是一个无规律的现象。从认识论关于“事物总是可以被认识的观点出发，漏洞的存在和发现都属于必然事件,但是具体在什么时间、什么系统上和以什么样的方式呈现出来却是偶然的。这其中既有对漏洞认识的技术阶段性

7、或时代局限性问题，也有对复杂代码完备性检查的理论方法和技术能力问题。3 .认知的时空特性漏洞是客观存在的，但是漏洞的发现则具有时空属性，需要随着实践认知不断积累到一定程度才能使漏洞呈现出来。今天认为安全的系统，明天未必安全;“我认为安全的系统，在他眼里未必安全；在环境A里面安全的系统，放到B环境中未必安全。这就是漏洞因认知而呈现的时空差异。4 .威胁的不确定性在经济学中，美国人富兰克奈特区分了风险与不确定性的关系：风险是一种人们可知其概率分布的不确定性，但是人们可以根据过去推测未来的可能性；而不确定性则表示人们根本无法预知没有发生过的将来事件。不难看出，内生安全问题可能引发两类安全威胁，一是显

8、著影响目标对象本征功能或元功能的可靠性、可信性和可用性，二是非法获得或侵犯他人隐私信息与数据资源。由于内生安全问题的性质所致，上述两类安全威胁的发生均不可预知，属于不确定性范畴中的未知威胁。从更加一般的意义上说，由于人类技术发展和认知水平的阶段性特征导致软硬件设计脆弱性或漏洞问题不可能彻底避免也不可能穷尽或彻查，加之全球化时代，开放式产业生态环境，开源协同技术模式和“你中有我、我中有你的产业链使得软硬件后门问题不可能完全杜绝，因此迄今为止，对基于内生安全问题的不确定性威胁之防御，除了用附加型安全技术尽力而为地阻断来自攻击表面的扰动影响之外，几乎没有可量化设计、可验证度量的有效安全防御方法或技术

9、手段，即使采取类似加密认证、可信计算等底线防御措施，也往往会因为宿主系统自身的内生安全问题而被攻击者“旁路或短路。三、破解网络空间内生安全问题的思考（一）变换问题场景和解题思路基于“网络空间绝大部分安全威胁都是由人为攻击这个外因，通过目标对象自身存在的内生安全问题之内因相互作用而形成的认知，一个直观的推论就是,欲彻底解除网络空间安全威胁就必须彻底排除其内生的安全问题，因为外因只能通过内因起作用。然而，理论研究和工程实践告诉我们，内生安全问题是自在性矛盾，不可能彻底消除。首先，在全球化大趋势下，开放式、协作化的创新链和产业链正成为人类技术开发、现代社会生产活动的基本模式，仅凭一国之力几乎不可能做

10、到技术链、供应链层面的彻底自主可控与安全可信；其次，软硬件设计缺陷导致的漏洞问题，目前在理论和技术上尚无有效的应对办法，试图从根本上杜绝此类问题也违背人类认知和科技发展阶段性之客观规律。这意味着无论从理论上、技术上还是经济上，都不可能完全保证网络空间构成环境无内生安全问题，即“无毒无菌几乎是安全领域不可能实现的愿景。基于上述分析，一个很自然的推论，就是如何变换问题场景和解题思路，在网络空间“有毒带菌的条件下，实现有安全保障的沙滩建楼，缓解已知的未知风险和“未知的未知威胁挑战。这需要跳出传统架构下亡羊补牢附加型修复式防御思维定式，使得信息装备的安全性不再过度依赖元件、器件、组件或个体形态软硬件设

11、计、制作、运行和管理环节的自主可控程度与安全可信水平，也就是要找到赋予信息系统基础构造内源性安全功能或内生性安全机制的技术途径，在一定程度或约束条件下能够宽容软硬构件内生安全问题及其影响，使本征功能无论对随机性故障还是网络攻击都有很好的稳定鲁棒性和品质鲁棒性。（二）生物免疫学的启迪生物学的知识告诉我们，人类通过遗传特性获得的与生俱来的非特异性免疫,对绝大多数入侵病原微生物都能作出“无特异性清除反应，属于一种面防御。科学研究表明，自然界的病原微生物总是在不断地变异，是什么因素保证非特异性免疫仅靠生物遗传信息，机体就能够对现实世界变化着的各种入侵病原微生物具有非特异性选择清除的功能；什么情况下、需

12、要何种条件、通过什么样的方式才能激活特异性免疫机制；遗传信息具有相对的稳定性但在生物机体全生命周期内是否需要更新，以及何时更新，怎样更新；特异性免疫（属于点防御）的记忆效应如何及怎样才能影响非特异性免疫的遗传信息等。由此产生的启迪意义，就是我们能否在软硬件装置或系统中，也设计出一种类似脊椎动物免疫机理的融合式防御能力，以便对“基于目标对象内生安全问题的未知攻击活动产生没有特异性选择的清除功能，并能适时触发类似特异性免疫机制那样的点防御功能。由此作者以为，这种源于目标对象自身构造机理的防御功能，用内生安全的概念来定义，最恰当不过。（三）网络空间内生安全所谓内生安全是指具有内生或内源性安全功效的构

13、造或算法及其体制机制O按字面意思，内生就是靠自身因素而不是外部因素得到的内源性效应。内生安全就是利用系统的架构、算法、机制、场景等内在因素获得的安全功能或属性，如，脊椎动物的非特异性免疫和特异性免疫学习机制就是一种内生安全功能。内生安全应该具有的体制机制和技术特征如下：1.期望的内生安全体制（1）内生安全体制应当基于开放的组织架构，不排除架构、模块和构件中包含任何的内生安全问题；（2）内生安全体制应当基于一体化的融合构造，能同时提供高可靠、高可信、高可用的使用功能；（3）内生安全体制应当能够充分发挥多样性、随机性和动态性防御要素的综合效应；（4）内生安全体制应当同时具有异构、冗余、动态、裁决和

14、反馈控制之构造要素；（5）内生安全体制应当能够自然的接纳传统安全防护技术或其他技术的使用并可获得指数量级的防御增益；（6）内生安全体制应当具有普适性应用意义。2 .期望的内生安全机制（1）内生安全机制与广义不确定扰动应属于人-机、机-机、机-人博弈关系;（2）内生安全机制应当可以条件管控或抑制广义不确定扰动造成的负面影响;（3）内生安全机制的有效性应当不依赖（但可以融合）关于攻击者的先验知识或附加、内置、内共生的其他安全措施或技术手段；（4）内生安全机制应当能以融合方式为目标对象提供一体化的高可靠、高可信、高可用的使用性能；（5）内生安全机制导致的广义安全性应当具有可量化设计、可验证度量的稳定

15、鲁棒性和品质鲁棒性；（6）内生安全机制的使用效能应当与运维管理者的技术能力和过往的经验弱相关或不相关。3 .期望的技术特征（1）内生安全应当是基于目标对象基础构造或算法的内源性安全功能，具有与脊椎生物非特异性和特异性免疫机制类似的“点面融合式防御特点，与目标对象本征或元功能具有构造层面的不可分割性;（2）内生安全功效应当不依赖攻击者先验知识和行为特征信息，对独立的攻击资源、攻击技术、攻击方法形成的差模攻击效应应当具有天然的抑制功效。换言之，凡是基于O-Day性质的漏洞后门、病毒木马等网络攻击，内生安全功能可使之在机理上无效；（3）突破内生安全防御除社会工程学的手段外，只能通过时空一致性的精准协

16、同攻击才有共模逃逸的可能，但首先要克服时空非一致性的测不准效应,然后需逾越基于策略裁决的异构冗余目标反馈调度迭代机制，其次必须解决共模逃逸的稳定维持问题；（4）内生安全功能应当能够归一化地解决传统可靠性问题和基于目标对象的网络安全威胁问题；（5）理论上，“差模逃逸不可能发生，“共模逃逸属于可量化设计的小概率或极小概率事件，即使攻击成功也可能只此一次，在内生安全环境内的攻击行动或成果都不具有稳定鲁棒性和品质鲁棒性。四、基于DHR架构的内生安全体制机制（一）可靠性问题的启示作者在长期的研究和探索中发现，可靠性问题与网络安全问题虽属两个领域且扰动因素不同，前者以随机性扰动为主要表现形态，而后者则完全由攻击者人为行为所致。但也存在许多相似甚至相同的理论与技术问题，相