信息产业和安全产业面临着前所未有的挑战
中国工程院院士邬江兴:
10月29日,2020成都全球创新创业交易会——首届国际区块链产业博览会举行了开幕式。会上,中国工程院院士、国家数字交换系统工程技术研究中心主任邬江兴发表了《数字经济痛点与内生安全亮点》的主题演讲,分享了他在数字经济时代对于网络安全问题的观察和思考。
邬江兴提到,新一代数字经济的信息化要以安全打头,而且,在新基建助推数字经济的高速发展的同时,我们将面对更为严峻的网络空间内生安全问题和挑战。
新技术存在内生安全问题
世界上没有完美的事物,也没有完美的功能。内生安全问题属于内源性的基因缺陷,这种不完美性就是因为内生安全问题导致的。
邬江兴举了几个新兴技术存在的内生安全问题:
大数据的内生安全问题是什么?“我们可以看到,大数据的发现仍然处于只知其然不知其所以然的状态,一旦数据和算法被污染,结论可能就大相径庭,所以盲目取信可能会带来灾难性的后果,因此我们说不可解释性是大数据技术的内生安全问题。”他说。
人工智能的内生安全问题是什么?谷歌的主席和Facebook的工程师说人工智能威胁人类是杞人忧天,霍金和微软创始人比尔·盖茨认为人工智能将威胁人类生存。为什么有这样不同的争论?当今的人工智能技术存在着不可避免的三个内生安全问题:不可解释性、不可预测性、不具推理性,所以才导致那么多的分歧。
云服务和数据中心的内生安全问题是什么?漏洞后门、病毒木马等问题直接关系到新一代基础设施服务的可行性,一旦被攻击者利用,它们就能劫持用户数据,窃取和破坏敏感数据,实现网络安全威胁能力的扩张。拿新瓶装旧酒、穿新鞋走老路就会严重威胁国家新基建的安全底座。
5G的内生安全问题是什么?5G设计之初的理念,是假设一个系统处于一个开放的非信任的环境中,需要解决如何在非可信条件下搭建出一个可信赖的通信网络,来提供更多的安全服务。初心很不错,遗憾的是5G至今也未找到实现这一初心的途径和方法。坦率地说,现在热火朝天的5G技术相当初级。这种云化的网络使得未知的漏洞后门和暗功能更多,服务集约化提供,使未知安全威胁造成更严峻的局面。
区块链的内生安全问题是什么?区块链技术中很重要一个特色是共识机制,但一些商业巨头拥有的市占率远远超过51%,假如区块链在这些环境中来实现的话,共识机制又有何意义呢?
安全技术如何自证清白
即使是采用杀毒、封门、堵漏、防火墙等附加型的网络安全防护设施,我们也会问,它们自身的可信性又如何保证?简而言之,所有安全技术怎样才能自证清白?邬江兴自问自答:没有答案。
这就是现有的附加安全技术的逻辑悖论。附加和外挂性的传统防御,其特点是亡羊补牢、后天免疫,加上加密认证提前防御。这套体系想要发挥它的安全作用,其有效性取决于先验知识的完备性和精确感知能力,能否有效应对蓄意利用内生安全问题引发的安全问题。“所以有人把内生技术当成安全问题来说,我认为是不合适的,它是管理技术,而不是安全技术。”邬江兴说。
邬江兴提出了一个严峻的事实,信息产业和安全产业界面临着前所未有的挑战,“没有商家敢保证自主可控产品不存在安全漏洞,也没有任何安检机构为送检设备或者装置做无漏洞安全担保。”
邬江兴还着重提到了新基建“,新基建的痛点是什么?鸡蛋都放在一个篮子里靠谱吗?”邬江兴表示,我们不能只满足防护已知未知的攻击,更要能对未知的未知网络威胁,要应对它们的挑战。所以新基建需要安全性可量化设计,可验证度量的新一代新型基础设施,包括区块链的应用,要给出安全性的指标和可度量的方法。
最后,邬江兴也提出了解决办法:基于动态异构冗余构造新理论,做了一个拟态防御的技术实现。邬江兴提到,截至目前这是全球最好的内生安全赋能技术,它对所有网络空间的技术赋予安全能力,满足从软硬件器件到网络部署的需要,强大的渗透性、普适性、集约化和基层性,使得它具有很好的赋能作用。