关于新型内生安全信息基础设施的思考
2020-12-31张伟丽
张伟丽,贺 磊
(中国人民解放军战略支援部队信息工程大学,河南 郑州 450002)
0 引言
人类社会正以前所未有的速度迈入数字经济时代,数字革命推动的信息网络技术全面渗透到人类社会的每一个角落。基础设施是经济社会发展的重要支撑,加速布局新型基础设施建设,正成为中国实现多种战略目标的关键之举,新型信息基础设施是其中的重点。在新冠肺炎疫情的处置过程中,5G、大数据等新型信息基础设施在疫情监测、远程医疗、预测分析及指挥控制等方面发挥了巨大作用。官方提出“新基建”概念,源于2018年底的中央经济工作会议[1]。2020年2月14日,中央全面深化改革委员会第十二次会议强调:打造集约高效、经济适用、智能绿色、安全可靠的现代化基础设施体系[2]。2020年3月4日,习近平总书记主持的中共中央政治局常务委员会会议再次强调,加快5G网络、数据中心等新型基础设施建设进度[3]。新型信息基础设施能够为中国经济长期高质量可持续发展打下扎实的基础,安全可靠是新型信息基础设施能够正常发挥作用的基本保障。
网络空间正深刻地改变着人们的生产生活方式,提高了各行业的生产力、效率和能力,但也带来新的网络安全挑战,并对国家安全造成巨大风险。我们认为,网络空间的安全本质,就是围绕目标对象漏洞后门等内源性“暗功能”的抑制与利用,而全面展开的基于技术及市场甚至社会工程学方面的博弈。网络空间安全威胁的根源可以概括为4个方面:① 软硬件设计缺陷或脆弱性导致的内源性漏洞无法彻底避免;② 产品提供者有意设计或产业生态环境中无意引入的具有“暗功能”性质的软硬件代码无法彻底杜绝;③ 在可以预见的将来,尚缺乏有效的科学技术手段,难以穷尽或彻查目标系统的内在问题代码及逻辑缺陷;④ 网络空间也无法给出严格的操作规范以及行为准则,包括精准、可靠的监管手段[4]。根据《中华人民共和国网络安全法》第三十一条规定,国家对关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护[5]。尽管人们较早就认识到软硬件脆弱性问题,但至今也没有找到理想的解决方案。传统以特征匹配为主的网络防御方法,难以有效控制防御者未知的安全威胁,各种信息系统也难以确保提供可信的服务,而一个新的或未被及时修补的漏洞/后门就可能导致整个系统被攻陷。
事实上,按照哲学原理,任何给定功能总存在显式的副作用或隐式的暗功能,现有的软硬件构造及代码编写技术在理论上不可能彻底消除内生安全问题,能够满足强约束条件下的应用就极其不易了[6]。加之,全球化产业分工和开放开源协同技术模式的发展,供应链或技术链乃至产业链可信性无法确保的问题使得潜在后门威胁更趋复杂化。基于目标对象内生安全问题的攻击理论和方法是造成当前网络空间泛在化安全威胁的最主要原因之一,虽然内生安全问题不可避免,但由此带来的安全威胁应当存在可以规避的理论与方法,这不仅涉及网络空间安全防御思想的转变,更关系到信息技术(Information Technology,IT)、信息与通信技术(Information and Communications Technology,ICT)、工业控制系统(Industrial Control System,ICS)等领域和相关行业技术的跨越式发展,内生安全机制将成为新一代软硬件产品的赋能技术。现有依赖于攻击先验知识、基于边界的“外挂式”、补丁式安全技术难以应对因软硬件缺陷、漏洞后门等内生安全问题所引发的未知威胁。从技术发展趋势看,内生安全技术有望破解这一困局,引领新一轮安全技术变革,为国家信息通信网络、重要信息基础设施、电子政务等提供基于可量化设计、可验证度量的内生安全功能。
为解决内生安全问题,需要将内生安全技术基因融入信息基础设施,建设新型内生安全信息基础设施,研发具有内生安全特性的信息基础设施产品与服务,面向基础通信、公共服务、金融、数据中心等重要行业和领域,研制内生安全信息基础设施核心设备,并针对共性需求研发和提供内生安全标准化构件平台,利用产品新研、设备升级和平台支撑等技术实现途径,全面构建内生安全信息基础设施产业发展生态环境。通过打造若干内生安全信息基础设施产品与服务标杆产品,从源头管控软硬件产品安全缺陷,为新一代信息技术与产业“换道超车”提供创新机遇和市场驱动力,具备广阔的应用前景和良好的社会经济效益。
1 新型信息基础设施面临的安全挑战
新型信息基础设施建设,主要包括新一轮的网络(如5G、工业互联网和物联网等)建设,以及数据信息的相关服务(如大数据中心、人工智能计算中心、云计算中心以及信息和网络安全保障等)建设。新型信息基础设施建设能够推动传统产业的数字化转型,为发展数字经济提供新动能,并已成为拉动经济发展的重要动力。2016年,由中共中央办公厅、国务院办公厅印发的《国家信息化发展战略纲要》指出,网络安全和信息化是一体之两翼、驱动之双轮,应切实防范、控制和化解信息化进程中可能产生的风险,以安全保发展,以发展促安全[7]。
我国新型信息基础设施主要面临如下安全挑战。
1.1 未知漏洞后门威胁不断增大
在关键信息技术安全基础设施领域,网络安全问题日益突出,后门和漏洞是信息基础设施面临的最大安全隐患。国家计算机网络应急技术处理协调中心(National Internet Emergency Center,CNCERT)《2019年上半年我国互联网网络安全态势》数据显示:2019年上半年,国家信息安全漏洞共享平台(China National Vulnerability Database,CNVD)收录通用型安全漏洞5 859个,其中高危漏洞收录数量为2 055个,“零日漏洞”收录数量为2 536个。而自2014年以来,CNVD收录安全漏洞数量年平均增长率为15%,漏洞的数量与日俱增,覆盖范围广,并且“零日漏洞”的数量增长速度最快,而且基本包括国外主要信息基础设施生产厂商。而近几年发生的网络重大安全事件中,针对信息基础设施的攻击大部分都是与其自身的漏洞有关。
鉴于互联网络的开放性,以及我国自有信息技术发展限制,信息基础设施中很大一部分依赖于国外的技术和设备,这对我国关键部门的信息化建设是潜在的安全威胁,导致我国的通信和服务设施处于“被后门、被透明、被制网、主权失控”的状态,给整个国家的信息安全造成了极大的隐患。在当前的网络安全形势中,国家级的力量已经入场,各行业的关键基础设施已经成为他国国家级黑客的重点攻击对象。过去几年,出现多起以他国国家级黑客为背景的APT攻击。2020年3月3日,我国360网络安全公司宣布发现中国网络遭受美国中央情报局(CIA)相关组织长达11年的攻击渗透,我国航空航天、科研机构、石油行业、大型互联网公司以及政府机构等多个单位均遭到不同程度的攻击,并且很有可能美方已窃取了大量机密和精密数据等[8]。
先发国家经常利用其科技领先和市场垄断地位,通过延迟公布“零日漏洞”以及主动注入后门等方式建立安全优势,并企图长期维持其网络霸权地位。因此,变查漏补漏的亡羊补牢思路为系统结构层面的抑漏灭活主动防御设计,从系统架构设计层面入手,研发具有内生安全属性的信息基础设施就成为行之有效的网络安全问题解决之道。大力发展基于系统构造的内生安全理论具有重要的战略意义,在新兴技术和设备发展初期即引入安全性设计也已成业界共识。因此,在国家战略的大力扶持下,“可设计、可验证”的内生安全属性必将成为新一代网络信息基础设施的标志性功能。
由此可见,未知的漏洞和后门引发的未知安全威胁与日俱增,信息基础设施领域面临严峻的风险挑战,而当前网络安全防控能力薄弱,难以有效应对国家级、有组织的高强度网络攻击。
1.2 虚拟化等新技术扩大攻击面
5G[9]、数据中心等新型信息基础设施广泛使用软件定义网络(Software Defined Network,SDN)、网络功能虚拟化(Network Functions Virtualization,NFV)、大数据(Big Data)和云计算(Cloud Computing)等技术,提高了资源利用率和部署灵活性,除了包含传统网络同样存在的软硬件安全漏洞、第三方开源软件脆弱性、不良安全设计或策略配置等带来的系统脆弱性外,又引入了很多新的安全威胁。
5G网络和云数据中心采用的各种虚拟化技术模糊了网络的物理和安全边界,扩大了攻击表面。其中,NFV将网络功能和物理硬件设备解耦,通过在通用商用服务器上部署和管理网络功能,为企业降低了网络设备管理难度,减少了网络功能设备开销,提供了灵活的网络服务部署策略。从在网络使用的角度来看,当前的NFV平台难以为虚拟化通信服务提供完全的隔离,除了欺骗、嗅探和拒绝服务攻击等典型网络攻击外,还易受到旁路攻击、洪泛攻击、虚拟机管理程序劫持、恶意软件注入等特殊攻击[10]。
SDN是一种新型的网络架构,其通过解耦网络设备的控制平面和数据平面,旨在实现灵活、智能的网络流量控制。不但在SDN网络中的控制器或被控制设备自身都存在一定的漏洞后门,而且由于运行时可重新配置的灵活性,进一步引入了脆弱性。因此如果恶意应用程序被授予访问权限,或者关键应用程序编程接口暴露于非预期的软件环境中,则会造成整个网络崩溃[11]。
大数据技术能够根据算法和数据样本发现未知的规律或特征,而蓄意污染数据样本、恶意触发算法缺陷也可能使人们误入歧途。大数据所存储的数据非常巨大,拥有大量的使用用户,并采用分布式存储,由于数据多点存储和数据保护机制相对简单,使得黑客能够较为轻易地利用相关漏洞实施不法操作,从而造成安全问题。
1.3 传统安全防御手段失效
边界防御在网络安全中一直扮演重要的角色,是安全防护的重要阵地。然而,其本质上是基于先验知识的威胁特征或行为感知的精确防御,其有效性建立在威胁目标明确、特征清晰、途径已知、行为可探以及机制明确等对攻方信息精确掌握的基础上。随着新型攻击方式的增多,以及云计算、远程办公等难以区分内外边界的新型服务方式的出现,这种“亡羊补牢”式的被动防御无法应对“未知漏洞”的威胁。更为严峻的是边界防护设备原生的漏洞和后门问题将成为新的攻击可利用的资源。大量成功攻击案例表明,边界防护模式已经无法再延续物理隔离的奇迹了。
而受到广泛关注的安全领域新技术,如零信任网络(Zero Trust Networks)及软件保护扩展(Intel Software Guard eXtensions,SGX)等,仍然逃脱不了技术实现本身的未知漏洞和后门带来的安全问题。零信任网络中的身份标识数据库或访问控制引擎中的未知漏洞后门一旦被攻击者成功利用,则无安全性可言。SGX技术被大量区块链公司用于确保链上安全性。然而,目前已出现多种可以针对Intel处理器SGX的漏洞攻击,如“幽灵”(Spectre)[12]和“熔断”(Meltdown)[13]及多个衍生变种,其中“幽灵”的变种SgxPectre攻击可以完全破坏SGX可信区域(Enclave)的机密性。
鉴于现有安全防御手段无法有效抵御未知安全威胁,迫切需要扭转现有网络安全防御技术研发思路,寻求普适性的内生安全机制设计技术与方法。
2 新型内生安全信息基础设施的设计与建设
2.1 内生安全问题的定义
一个软硬件构造或算法除本征(元)功能之外,总存在着伴生、衍生的显式副作用或隐式暗功能,这些副作用或暗功能如果被某种因素触发,将会影响到本征功能的正确表达,这类副作用和暗功能被称之为网络空间“内生安全问题”[7]。
内生安全问题主要包括两类问题:一类是客观导致问题,即在设计、实现和管理软硬件系统的过程中,由于考虑不周、实现错误、维护失误以及第三方脆弱性等客观原因所导致的设计方案之外的功能;第二类是主观引入的问题,即在第一类问题之外,出于某种目的,故意引入的未向用户公开的功能,主要包括后门、特殊管理维护接口等。
内生安全问题的存在具有必然性,呈现具有偶然性,认知具有时空差异性,威胁具有不确定性。内生安全问题的产生不以人类的意志为转移,其存在具有必然性。通过各种维度、层次和构件的动态组合,其呈现具有极大的偶然性。人们对具体事务的认知水平,也会随着时间和空间的变化而不断发展变化,因此对内生安全问题的认知也具有时空差异。即便是同样的内生安全问题,在不同阶段,采用不同顺序,对不同对象的威胁也是不同的,其威胁具有不确定性。
更进一步,由于全球化导致供应链的精细化分工合作,开源软硬件的广泛应用,以及成本效益最优化考虑,使得绝大多数的信息系统难以彻底使用自己开发的软硬件模块,因而既无法避免也难以检查发现全部的软硬件漏洞后门。针对内生安全问题引发的不确定安全威胁,目前主要采用基于特征的安全防御方法,只能起到“亡羊补牢,扬汤止沸”的作用,无法从根本上解决内生安全问题。
为解决内生安全问题,邬江兴院士提出一种内生安全的网络空间拟态防御理论,在不依赖攻击者先验知识和行为特征信息的情况下,通过内生安全功能克服内生安全缺陷,将网络空间不确定的安全威胁问题,归一化为可靠性与鲁棒控制理论和技术能够解决的问题[14]。针对防范未知漏洞后门等不确定威胁,基于相对正确的公理,依据熵不减系统能稳定抵抗未知攻击这一发现,借鉴可靠性理论与自动控制理论,提出了动态异构冗余构造,导入拟态伪装机制,形成测不准效应,获得内生安全功能。内生安全功能融合现有安全技术可以指数量级提升防御增益,实现归一化处理传统安全和非传统安全问题,获得了广义鲁棒控制的属性。
2.2 新型内生安全信息基础设施的设计原则
国家关键信息基础设施的安全保证是网络空间赖以生存的基础,应该建设内生安全信息基础设施,以捍卫国家安全、助力建设网络强国和推动数字经济繁荣发展。首先,设计新型信息基础设施应该满足“内生安全原则”,内生安全架构的技术路线类似于“转基因工程”,其将动态性、多样性、随机性作为一种“安全基因”,通过在网络、平台、运行环境、软件以及数据等层面导入“安全基因”,使得“基因受体”获得主动防御功能,因而可以广泛地应用到从器件、组件到部件,从硬件、软件到固件,从基础软件、中间件到应用软件,从系统、平台到网络,对关键信息基础设施、工业控制、军事装备乃至消费类电子产品等信息领域的各个方面,具有很强的普适性、渗透性和催化作用。
其次,设计新型信息基础设施应该满足“有效原则”。内生安全信息基础设施解决内生安全问题的有效性主要体现在5个方面:① 能将针对目标对象执行体个体未知漏洞后门的、人为的、确定性的攻击行动,转变为系统层面攻击效果不确定的事件,使得网络空间“易攻难守”的战略格局有望发生根本性的逆转;② 能将系统效果不确定的攻击事件变换为概率可控的可靠性问题,实现了安全防御能力可量化设计、安全态势可量化感知和安全威胁可量化控制的突破;③ 基于裁决的策略调度和多维动态重构负反馈机制能呈现出攻击者视角下的“测不准”效应,使得攻击手法和经验难以复现或继承,无法产生可规划、可预期的攻击效果,基于软硬件内部漏洞后门的传统网络攻击方法被彻底颠覆,诸如“挖漏洞”“设后门”“植病毒”“藏木马”等经典攻击套路在机理上不再有效;④ 借助共识机制,可以在不依赖攻击者先验知识或行为特征信息情况下感知不确定威胁;⑤ 能将传统的随机性扰动和非传统的不确定安全威胁,诸如软硬件内部的随机性“差模”失效和未知“差模”攻击,基于软硬件暗功能的外部攻击和内部渗透攻击等,变换或归一化为经典的可靠性和鲁棒性问题并案处理[4]。
最后,设计新型信息基础设施应该满足“融合原则”。在传统安全技术发展模式下,安全技术和系统设计技术是“两张皮”,彼此独立演进发展,而内生安全架构则是基于系统架构的内源性技术,可以将新型信息基础设施的安全和功能统一设计和实现,对漏洞后门等未知威胁实现有效防御,成为实现网络安全和信息技术发展“一体两翼、双轮驱动”战略目标的落地抓手。
2.3 建设新型内生安全信息基础设施
内生安全是新型信息基础设施的主要支撑和基本特性,建设新型内生安全信息基础设施应该选择自主可控、成熟可信的技术路线。其中,拟态防御技术是我国自主研发并经过国家级测试验证的内生安全防御技术。2018年1月起,工信部组织在国家信息基础设施中开展拟态防御网络设备的先行先试,为试点单位提供体系化拟态防御解决方案,从单点的拟态化防御,到体系化拟态防御,试点应用效果倍增。2019年4月,工信部在郑州组织了试点任务技术测试验收,对线上拟态构造设备进行了服务功能、性能及黑盒、白盒安全性测试,结果表明“被测设备的服务性能与安全性能完全达到了理论预期”。同年9月,工信部组织了试点任务的评估验收会,会议认为“拟态构造在技术成熟度、普适性和经济性方面都达到了可推广应用程度” “试点任务执行情况完全达到了拟态防御预期目标”。
在工信部试点应用的带动下,国内多家企事业单位主动联系拟态防御团队和试点单位,围绕拟态防御谋求进一步合作,当前相关拟态设备已经在河南联通、中国工商银行等单位同步开展示范应用,并陆续在中国移动、国家电网、郑州市政务网等单位开展部署,逐步呈现出规模化应用示范良好势头。成套拟态防御网络设备作为测试目标,先后参加两届拟态防御国际精英挑战赛,成功防御来自10余个国家300余万次的攻击。由成套拟态防御设备支撑构建的内生安全试验场NEST已于2019年6月26日面向全球开放众测,为全世界顶尖网络高手提供基于常年奖励机制的“人机大战”擂台,任何组织和个人都可以申请对拟态防御设备进行测试评估[15]。拟态防御信息基础设施设备的系列化技术要求和标准规范已经在中国通信标准化协会立项并讨论,预期2020年底前将陆续发布,为拟态化信息基础设施的研制和规范化提供了基本的标准遵循。拟态防御作为内生安全的一种有效实现方法,从最初的概念逐步落地,完成了从理论到机制机理、从验证系统到产品样机、从模型评估到测评方法的全流程探索,有利支撑新型内生安全信息基础设施的规模化研制、生产和销售。
着眼于网络安全技术研发从“外挂式”向“内生性”转变的技术变革、“新基建”加速信息技术产业升级演进,将催生网络信息服务与应用发展新业态,应紧抓“新基建+新安全”“双轮驱动”的新型内生安全信息基础设施发展机遇,重点面向基础通信、公共服务、金融及数据中心等重要行业和领域,建立内生安全信息基础设施标准化构件平台,推广内生安全域名服务器、路由器、交换机及Web服务器等核心设备,提供内生安全信息基础设施整体解决方案,构建产业发展生态环境,筑牢产业发展基础,为建设新一代国家内生安全信息基础设施提供技术和产业支撑。
3 结束语
我国作为网络规模世界第一的大国,在重要行业和领域都面临未知网络安全风险,跟随型发展、增量式的安全防御技术无法从根本上解决这一问题,亟待通过颠覆式创新实现弯道超车。内生安全技术开辟了“改变游戏规则”的防御理念和技术途径,期望通过系统设计方法和运行机制的创新获取内生安全属性,从而有效管控内生毒瘤(漏洞、后门)引发的确定性和不确定性安全威胁。通过建设具有内生安全能力的新型信息基础设施,有望颠覆“易攻难守”的非对称网络空间制衡态势和当前我国网络空间安全所处的战略劣势,切实提升关键网络信息服务和应用安全,促进各行业数字化转型和物联网、5G、智慧城市等各类新兴领域的服务应用繁荣发展,为建设网络强国、维护网络主权和发展数字经济提供坚实支撑。