網(wǎng)絡(luò)安全威脅和風險日益突出，特別是國家關(guān)鍵信息基礎(chǔ)設(shè)施面臨較大風險隱患，難以有效應(yīng)對國家級、有組織的高強度的網(wǎng)絡(luò)空間，這對世界各國都是一個難題。

　　最本質(zhì)的安全威脅

　　首先，我想談?wù)劸W(wǎng)絡(luò)安全不平衡現(xiàn)狀的本原問題，或者是最本質(zhì)的安全威脅問題。安全漏洞是在硬件、軟件或協(xié)議等具體實現(xiàn)或系統(tǒng)安全策略上存在的危險，從而使攻擊能夠在未經(jīng)授權(quán)下訪問或破壞系統(tǒng)。但是無論是在理論上，還是實踐上，漏洞都是不可避免的。令人擔心的問題是未能檢測的漏洞是多少？

　　與漏洞同樣的詞是后門，后門代碼是留在信息系統(tǒng)、組件或者構(gòu)建軟硬件的代碼中，供某位特殊使用者通過特殊方式繞過安全控制而獲取程序和系統(tǒng)訪問權(quán)的方法與途徑，但是全球化環(huán)境下，后門是不可杜絕的。

　　2014年中國境內(nèi)40000多個網(wǎng)站被植入后門，那么與漏洞的問題查不出的后門有多少？棱鏡門事件披露的黑幕信息給世界帶來了嚴重的影響。網(wǎng)絡(luò)空間的后門和漏洞絕大部分都未知。更為糟糕的是迄今為止，人類尚未形成窮盡復雜信息系統(tǒng)漏洞與徹查后門的理論與方法。

　　那么從網(wǎng)絡(luò)防御者的角度來看，基于未知漏洞和后門的未知攻擊，是未知的安全威脅。不知道何處下手才能夠?qū)嵤┯行п槍π缘姆烙?。美國?jīng)濟學家弗蘭克·奈特說，已知的未知屬于風險，風險可以用概率來表述，而未知的未知屬于不確定性?，F(xiàn)在有必要討論現(xiàn)有防御體系之安全黑洞的問題，我們的精準防御是建立在已知風險，甚至是已知的未知風險的前提條件上。而且IT系統(tǒng)架構(gòu)的方案體系都是靜態(tài)的、相似的、確定的，這成為網(wǎng)絡(luò)空間最大的安全黑洞。

　　更加致命的是可信性不能確保的運行環(huán)境上，軟硬件存在未知的漏洞、未知的后門，從某種意義上說，現(xiàn)有的信息系統(tǒng)對不確定性基本不設(shè)防，除了加密認證外沒有任何實施高效的措施。因為無法保證復雜信息系統(tǒng)或網(wǎng)絡(luò)空間生態(tài)環(huán)境，無漏洞無后門，被動防御只能獲得后天性免疫，不斷亡羊補牢、不斷地找漏洞、不斷的打補丁。

　　生物擬態(tài)現(xiàn)象能為我們破解安全網(wǎng)絡(luò)難題提供啟示。生物體用擬態(tài)偽裝造成捕食對象的認知困境，包括把不能偽裝的定義為擬態(tài)防御，目的是內(nèi)生而不是外在機理的主動防御。如同隱形飛行器，盡可能在對方雷達屏上隱匿蹤跡和特征，如果我們能把潛在的漏洞和后門做擬態(tài)化，從而把攻擊者認知困境大幅度降低，任何漏洞都可以歸為對象物理或邏輯構(gòu)造上存在的安全缺陷，也可以視為給定服務(wù)功能之外的不良寄生功能。

　　為了讓攻擊者難以利用，我們用兩個公理體現(xiàn)，一個是給定功能，往往存在多種實現(xiàn)結(jié)構(gòu)，第二個公理是不同結(jié)構(gòu)，存在的功能缺陷往往不同。由此可以得到兩個推論，一個是功能等價條件下，多種實現(xiàn)結(jié)構(gòu)的顯性或隱形缺陷往往不同，隨機的選擇這些實現(xiàn)結(jié)構(gòu)，給定的功能不會改變，但是漏洞或后門會隨機變化。

　　網(wǎng)絡(luò)空間擬態(tài)防御

　　對攻擊者來說，位置漏洞與后門被擬態(tài)化了，他變化，漏洞和后門也變化了，主體變了，他也變了，但是功能不變。那么擬態(tài)化的漏洞與后門，盡管我們并不知道是什么，在哪里和有什么影響。但是難以被攻擊者利用是肯定的。因為不管漏洞和后門是什么，只要攻擊者很難利用就達到我們的安全目的。

　　理論的進步先于技術(shù)的進步，網(wǎng)絡(luò)空間擬態(tài)防御，我們的目標是要在后全球化時代、開源模式的時代中，進行安全可靠可信的服務(wù)。以不確定防御應(yīng)對網(wǎng)絡(luò)空間不確定安全威脅，這就是我們的目標。

　　從通用構(gòu)件、專用構(gòu)件來形成一個生態(tài)生存，包括服務(wù)體本能存在寄生的漏洞和后門，隨著調(diào)動而改變。通過調(diào)動來實現(xiàn)服務(wù)體，通過輸入、分配，把這些結(jié)果進行判別。于是不確定威脅通過這樣的異構(gòu)冗余架構(gòu)轉(zhuǎn)化為異構(gòu)執(zhí)行體同時出現(xiàn)完全或者多數(shù)相同性錯誤內(nèi)容的判定問題，即未知的未知威脅轉(zhuǎn)為已知的未知風險控制問題。

　　這是我們擬態(tài)的防御功能，隨著時間的變化，每一次選擇不同的功能體形成一個服務(wù)集來服務(wù)，基于未知漏洞和后門的不確定威脅，被動態(tài)機構(gòu)冗余的擬態(tài)架構(gòu)強制轉(zhuǎn)化為攻擊效果不可預(yù)期的事件。攻擊者被迫從相對容易單一靜態(tài)目標攻擊方式轉(zhuǎn)變?yōu)槌晒Ω怕蕵O低的多元動態(tài)目標協(xié)同攻擊方式。

　　于是我們對擬態(tài)防御有以下愿景。第一，首先我們能夠應(yīng)對擬態(tài)界未知漏洞或后門等導致的未知風險或不確定威脅。第二是防御有效性由架構(gòu)內(nèi)生防御機制決定，不依賴現(xiàn)有的防御手段或方法。第三，我們不以擬態(tài)界內(nèi)構(gòu)件，可信可控為前提，適應(yīng)全球化開放生態(tài)環(huán)境。第四，融合現(xiàn)有任何安全防護技術(shù)，都可以獲得非線性的防御效果。

　　也就是說用目標內(nèi)生機制主動創(chuàng)建的實在結(jié)構(gòu)不確定性，應(yīng)對網(wǎng)絡(luò)空間未知安全風險和不確定性威脅。在功能等價、開放多元產(chǎn)業(yè)生態(tài)環(huán)境中，將目標對象復雜的安全可信防護問題轉(zhuǎn)化為創(chuàng)建信息系統(tǒng)架構(gòu)內(nèi)生特性主導的主導機制。

　　第一個漏洞打過去，還要正好打到第二個漏洞、第三個漏洞。我們可以看到，一次攻擊同時集中M個不相同的漏洞，這屬于極小概率事件，所以我們說攻擊者必須挑戰(zhàn)非配合條件下協(xié)同攻擊難度。

　　所以擬態(tài)防御不是一個單純的防御架構(gòu)，他本質(zhì)上是一個具有集約化屬性的普適意義的信息系統(tǒng)架構(gòu)，為已知的未知風險或未知的威脅具有內(nèi)生的安全防護機制，是網(wǎng)絡(luò)安全與信息化一體之兩翼、雙輪之驅(qū)動，具有重要的意義。

　　擬態(tài)防御需要付出代價，后全球化時代、開放、開源生態(tài)環(huán)境下擬態(tài)界內(nèi)構(gòu)件的異構(gòu)冗余代價至多是線性增加，所獲得的綜合防御能力則是非線性提升，科技大大降低目標對象全生命周期安全防護代價。所以擬態(tài)攻擊效果有三級，第一是攻擊效果難以維持，第二是攻擊效果難以復現(xiàn)，第三是攻擊掃過無法確定。擬態(tài)防御也許不是網(wǎng)絡(luò)空間未來最理想的安全防御技術(shù)，但肯定是實現(xiàn)當前網(wǎng)絡(luò)空間安全再平衡的可靠抓手。

　　擬態(tài)防御的測試驗證

　　工程實踐效果怎么樣，需要嚴格的測試驗證。為了檢驗擬態(tài)的有效性，測試需要嚴格規(guī)定，不能對被測對象做增量式開發(fā)，排除一切傳統(tǒng)安全措施，需要配合做白盒和灰盒測試。這些做法，就是看是否非線性增加了漏洞等。同時也是一樣，所有的測試驗證是要在保障目標對象服務(wù)功能和性能的前提下進行的，為了檢驗擬態(tài)架構(gòu)的內(nèi)生防御機理，我們提出了“三不”前提，即不安裝任何殺毒滅馬工具、不做任何漏洞、后門封堵，不使用防火墻之類傳統(tǒng)防護手段。能否隱匿擬態(tài)界內(nèi)的未知漏洞和后門，能否利用擬態(tài)界內(nèi)未知漏洞注入未知病毒木馬，能否允許擬態(tài)界內(nèi)使用不可信不控制的軟硬件構(gòu)件，還有擬態(tài)界內(nèi)運行環(huán)境能否允許有毒帶菌。這都是我們需要驗證的東西。結(jié)果怎么樣呢？測試驗證結(jié)果與理論預(yù)期完全吻合，原理具有普適性。

　　那么網(wǎng)絡(luò)安全再平衡作為擬態(tài)防御的技術(shù)抓手，基于架構(gòu)內(nèi)生機制解決“開放環(huán)境”軟硬構(gòu)件不可控不可信的問題。產(chǎn)業(yè)與技術(shù)后全球化時代的發(fā)展趨勢不再成為網(wǎng)絡(luò)空間安全的主要威脅，也證明擬態(tài)防御消除貿(mào)易自由化在網(wǎng)絡(luò)安全領(lǐng)域的壁壘，使后門工程和惡意利用漏洞的行動失去威脅和震懾的作用。更重要的是創(chuàng)造網(wǎng)信領(lǐng)域新需求，促進功能等價異構(gòu)多元化市場的繁榮。

　　所以擬態(tài)防御內(nèi)生機理可以從根本上改變網(wǎng)絡(luò)空間攻防不對稱，顛覆利用先有技術(shù)和賣方市場優(yōu)勢，實時網(wǎng)絡(luò)安全領(lǐng)域信息單向透明戰(zhàn)略的行動基礎(chǔ)。各個層面具有普適性、立體化、集約化、滲透性的方法。所以我們可以支持產(chǎn)品技術(shù)的增量開發(fā)，我們相信在網(wǎng)絡(luò)安全發(fā)展越來越好。

　?。ū疚母鶕?jù)其在“2016首屆C3安全峰會”上的演講整理而成，有部分刪改，未經(jīng)本人確認。）

　　■中國工程院院士 鄔江興

關(guān)注讀覽天下微信， 100萬篇深度好文， 等你來看……