張偉麗，賀 磊

(中國人民解放軍戰(zhàn)略支援部隊信息工程大學，河南 鄭州 450002)

0 引言

人類社會正以前所未有的速度邁入數字經濟時代，數字革命推動的信息網絡技術全面滲透到人類社會的每一個角落?；A設施是經濟社會發(fā)展的重要支撐，加速布局新型基礎設施建設，正成為中國實現(xiàn)多種戰(zhàn)略目標的關鍵之舉，新型信息基礎設施是其中的重點。在新冠肺炎疫情的處置過程中，5G、大數據等新型信息基礎設施在疫情監(jiān)測、遠程醫(yī)療、預測分析及指揮控制等方面發(fā)揮了巨大作用。官方提出“新基建”概念，源于2018年底的中央經濟工作會議[1]。2020年2月14日，中央全面深化改革委員會第十二次會議強調：打造集約高效、經濟適用、智能綠色、安全可靠的現(xiàn)代化基礎設施體系[2]。2020年3月4日，習近平總書記主持的中共中央政治局常務委員會會議再次強調，加快5G網絡、數據中心等新型基礎設施建設進度[3]。新型信息基礎設施能夠為中國經濟長期高質量可持續(xù)發(fā)展打下扎實的基礎，安全可靠是新型信息基礎設施能夠正常發(fā)揮作用的基本保障。

網絡空間正深刻地改變著人們的生產生活方式，提高了各行業(yè)的生產力、效率和能力，但也帶來新的網絡安全挑戰(zhàn)，并對國家安全造成巨大風險。我們認為，網絡空間的安全本質，就是圍繞目標對象漏洞后門等內源性“暗功能”的抑制與利用，而全面展開的基于技術及市場甚至社會工程學方面的博弈。網絡空間安全威脅的根源可以概括為4個方面：① 軟硬件設計缺陷或脆弱性導致的內源性漏洞無法徹底避免；② 產品提供者有意設計或產業(yè)生態(tài)環(huán)境中無意引入的具有“暗功能”性質的軟硬件代碼無法徹底杜絕；③ 在可以預見的將來，尚缺乏有效的科學技術手段，難以窮盡或徹查目標系統(tǒng)的內在問題代碼及邏輯缺陷；④ 網絡空間也無法給出嚴格的操作規(guī)范以及行為準則，包括精準、可靠的監(jiān)管手段[4]。根據《中華人民共和國網絡安全法》第三十一條規(guī)定，國家對關鍵信息基礎設施，在網絡安全等級保護制度的基礎上，實行重點保護[5]。盡管人們較早就認識到軟硬件脆弱性問題，但至今也沒有找到理想的解決方案。傳統(tǒng)以特征匹配為主的網絡防御方法，難以有效控制防御者未知的安全威脅，各種信息系統(tǒng)也難以確保提供可信的服務，而一個新的或未被及時修補的漏洞/后門就可能導致整個系統(tǒng)被攻陷。

事實上，按照哲學原理，任何給定功能總存在顯式的副作用或隱式的暗功能，現(xiàn)有的軟硬件構造及代碼編寫技術在理論上不可能徹底消除內生安全問題，能夠滿足強約束條件下的應用就極其不易了[6]。加之，全球化產業(yè)分工和開放開源協(xié)同技術模式的發(fā)展，供應鏈或技術鏈乃至產業(yè)鏈可信性無法確保的問題使得潛在后門威脅更趨復雜化?；谀繕藢ο髢壬踩珕栴}的攻擊理論和方法是造成當前網絡空間泛在化安全威脅的最主要原因之一，雖然內生安全問題不可避免，但由此帶來的安全威脅應當存在可以規(guī)避的理論與方法，這不僅涉及網絡空間安全防御思想的轉變，更關系到信息技術(Information Technology,IT)、信息與通信技術(Information and Communications Technology,ICT)、工業(yè)控制系統(tǒng)(Industrial Control System,ICS)等領域和相關行業(yè)技術的跨越式發(fā)展，內生安全機制將成為新一代軟硬件產品的賦能技術?，F(xiàn)有依賴于攻擊先驗知識、基于邊界的“外掛式”、補丁式安全技術難以應對因軟硬件缺陷、漏洞后門等內生安全問題所引發(fā)的未知威脅。從技術發(fā)展趨勢看，內生安全技術有望破解這一困局，引領新一輪安全技術變革，為國家信息通信網絡、重要信息基礎設施、電子政務等提供基于可量化設計、可驗證度量的內生安全功能。

為解決內生安全問題，需要將內生安全技術基因融入信息基礎設施，建設新型內生安全信息基礎設施，研發(fā)具有內生安全特性的信息基礎設施產品與服務，面向基礎通信、公共服務、金融、數據中心等重要行業(yè)和領域，研制內生安全信息基礎設施核心設備，并針對共性需求研發(fā)和提供內生安全標準化構件平臺，利用產品新研、設備升級和平臺支撐等技術實現(xiàn)途徑，全面構建內生安全信息基礎設施產業(yè)發(fā)展生態(tài)環(huán)境。通過打造若干內生安全信息基礎設施產品與服務標桿產品，從源頭管控軟硬件產品安全缺陷，為新一代信息技術與產業(yè)“換道超車”提供創(chuàng)新機遇和市場驅動力，具備廣闊的應用前景和良好的社會經濟效益。

1 新型信息基礎設施面臨的安全挑戰(zhàn)

新型信息基礎設施建設，主要包括新一輪的網絡(如5G、工業(yè)互聯(lián)網和物聯(lián)網等)建設，以及數據信息的相關服務(如大數據中心、人工智能計算中心、云計算中心以及信息和網絡安全保障等)建設。新型信息基礎設施建設能夠推動傳統(tǒng)產業(yè)的數字化轉型，為發(fā)展數字經濟提供新動能，并已成為拉動經濟發(fā)展的重要動力。2016年，由中共中央辦公廳、國務院辦公廳印發(fā)的《國家信息化發(fā)展戰(zhàn)略綱要》指出，網絡安全和信息化是一體之兩翼、驅動之雙輪，應切實防范、控制和化解信息化進程中可能產生的風險，以安全保發(fā)展，以發(fā)展促安全[7]。

我國新型信息基礎設施主要面臨如下安全挑戰(zhàn)。

1.1 未知漏洞后門威脅不斷增大

在關鍵信息技術安全基礎設施領域，網絡安全問題日益突出，后門和漏洞是信息基礎設施面臨的最大安全隱患。國家計算機網絡應急技術處理協(xié)調中心(National Internet Emergency Center,CNCERT)《2019年上半年我國互聯(lián)網網絡安全態(tài)勢》數據顯示：2019年上半年，國家信息安全漏洞共享平臺(China National Vulnerability Database,CNVD)收錄通用型安全漏洞5 859個，其中高危漏洞收錄數量為2 055個，“零日漏洞”收錄數量為2 536個。而自2014年以來，CNVD收錄安全漏洞數量年平均增長率為15%，漏洞的數量與日俱增，覆蓋范圍廣，并且“零日漏洞”的數量增長速度最快，而且基本包括國外主要信息基礎設施生產廠商。而近幾年發(fā)生的網絡重大安全事件中，針對信息基礎設施的攻擊大部分都是與其自身的漏洞有關。

鑒于互聯(lián)網絡的開放性，以及我國自有信息技術發(fā)展限制，信息基礎設施中很大一部分依賴于國外的技術和設備，這對我國關鍵部門的信息化建設是潛在的安全威脅，導致我國的通信和服務設施處于“被后門、被透明、被制網、主權失控”的狀態(tài)，給整個國家的信息安全造成了極大的隱患。在當前的網絡安全形勢中，國家級的力量已經入場，各行業(yè)的關鍵基礎設施已經成為他國國家級黑客的重點攻擊對象。過去幾年，出現(xiàn)多起以他國國家級黑客為背景的APT攻擊。2020年3月3日，我國360網絡安全公司宣布發(fā)現(xiàn)中國網絡遭受美國中央情報局(CIA)相關組織長達11年的攻擊滲透，我國航空航天、科研機構、石油行業(yè)、大型互聯(lián)網公司以及政府機構等多個單位均遭到不同程度的攻擊，并且很有可能美方已竊取了大量機密和精密數據等[8]。

先發(fā)國家經常利用其科技領先和市場壟斷地位，通過延遲公布“零日漏洞”以及主動注入后門等方式建立安全優(yōu)勢，并企圖長期維持其網絡霸權地位。因此，變查漏補漏的亡羊補牢思路為系統(tǒng)結構層面的抑漏滅活主動防御設計，從系統(tǒng)架構設計層面入手，研發(fā)具有內生安全屬性的信息基礎設施就成為行之有效的網絡安全問題解決之道。大力發(fā)展基于系統(tǒng)構造的內生安全理論具有重要的戰(zhàn)略意義，在新興技術和設備發(fā)展初期即引入安全性設計也已成業(yè)界共識。因此，在國家戰(zhàn)略的大力扶持下，“可設計、可驗證”的內生安全屬性必將成為新一代網絡信息基礎設施的標志性功能。

由此可見，未知的漏洞和后門引發(fā)的未知安全威脅與日俱增，信息基礎設施領域面臨嚴峻的風險挑戰(zhàn)，而當前網絡安全防控能力薄弱，難以有效應對國家級、有組織的高強度網絡攻擊。

1.2 虛擬化等新技術擴大攻擊面

5G[9]、數據中心等新型信息基礎設施廣泛使用軟件定義網絡(Software Defined Network，SDN)、網絡功能虛擬化(Network Functions Virtualization，NFV)、大數據(Big Data)和云計算(Cloud Computing)等技術，提高了資源利用率和部署靈活性，除了包含傳統(tǒng)網絡同樣存在的軟硬件安全漏洞、第三方開源軟件脆弱性、不良安全設計或策略配置等帶來的系統(tǒng)脆弱性外，又引入了很多新的安全威脅。

5G網絡和云數據中心采用的各種虛擬化技術模糊了網絡的物理和安全邊界，擴大了攻擊表面。其中，NFV將網絡功能和物理硬件設備解耦，通過在通用商用服務器上部署和管理網絡功能，為企業(yè)降低了網絡設備管理難度，減少了網絡功能設備開銷，提供了靈活的網絡服務部署策略。從在網絡使用的角度來看，當前的NFV平臺難以為虛擬化通信服務提供完全的隔離，除了欺騙、嗅探和拒絕服務攻擊等典型網絡攻擊外，還易受到旁路攻擊、洪泛攻擊、虛擬機管理程序劫持、惡意軟件注入等特殊攻擊[10]。

SDN是一種新型的網絡架構，其通過解耦網絡設備的控制平面和數據平面，旨在實現(xiàn)靈活、智能的網絡流量控制。不但在SDN網絡中的控制器或被控制設備自身都存在一定的漏洞后門，而且由于運行時可重新配置的靈活性，進一步引入了脆弱性。因此如果惡意應用程序被授予訪問權限，或者關鍵應用程序編程接口暴露于非預期的軟件環(huán)境中，則會造成整個網絡崩潰[11]。

大數據技術能夠根據算法和數據樣本發(fā)現(xiàn)未知的規(guī)律或特征，而蓄意污染數據樣本、惡意觸發(fā)算法缺陷也可能使人們誤入歧途。大數據所存儲的數據非常巨大，擁有大量的使用用戶，并采用分布式存儲，由于數據多點存儲和數據保護機制相對簡單，使得黑客能夠較為輕易地利用相關漏洞實施不法操作，從而造成安全問題。

1.3 傳統(tǒng)安全防御手段失效

邊界防御在網絡安全中一直扮演重要的角色，是安全防護的重要陣地。然而，其本質上是基于先驗知識的威脅特征或行為感知的精確防御，其有效性建立在威脅目標明確、特征清晰、途徑已知、行為可探以及機制明確等對攻方信息精確掌握的基礎上。隨著新型攻擊方式的增多，以及云計算、遠程辦公等難以區(qū)分內外邊界的新型服務方式的出現(xiàn)，這種“亡羊補牢”式的被動防御無法應對“未知漏洞”的威脅。更為嚴峻的是邊界防護設備原生的漏洞和后門問題將成為新的攻擊可利用的資源。大量成功攻擊案例表明，邊界防護模式已經無法再延續(xù)物理隔離的奇跡了。

而受到廣泛關注的安全領域新技術，如零信任網絡(Zero Trust Networks)及軟件保護擴展(Intel Software Guard eXtensions,SGX)等，仍然逃脫不了技術實現(xiàn)本身的未知漏洞和后門帶來的安全問題。零信任網絡中的身份標識數據庫或訪問控制引擎中的未知漏洞后門一旦被攻擊者成功利用，則無安全性可言。SGX技術被大量區(qū)塊鏈公司用于確保鏈上安全性。然而，目前已出現(xiàn)多種可以針對Intel處理器SGX的漏洞攻擊，如“幽靈”(Spectre)[12]和“熔斷”(Meltdown)[13]及多個衍生變種，其中“幽靈”的變種SgxPectre攻擊可以完全破壞SGX可信區(qū)域(Enclave)的機密性。

鑒于現(xiàn)有安全防御手段無法有效抵御未知安全威脅，迫切需要扭轉現(xiàn)有網絡安全防御技術研發(fā)思路，尋求普適性的內生安全機制設計技術與方法。

2 新型內生安全信息基礎設施的設計與建設

2.1 內生安全問題的定義

一個軟硬件構造或算法除本征(元)功能之外，總存在著伴生、衍生的顯式副作用或隱式暗功能，這些副作用或暗功能如果被某種因素觸發(fā)，將會影響到本征功能的正確表達，這類副作用和暗功能被稱之為網絡空間“內生安全問題”[7]。

內生安全問題主要包括兩類問題：一類是客觀導致問題，即在設計、實現(xiàn)和管理軟硬件系統(tǒng)的過程中，由于考慮不周、實現(xiàn)錯誤、維護失誤以及第三方脆弱性等客觀原因所導致的設計方案之外的功能；第二類是主觀引入的問題，即在第一類問題之外，出于某種目的，故意引入的未向用戶公開的功能，主要包括后門、特殊管理維護接口等。

內生安全問題的存在具有必然性，呈現(xiàn)具有偶然性，認知具有時空差異性，威脅具有不確定性。內生安全問題的產生不以人類的意志為轉移，其存在具有必然性。通過各種維度、層次和構件的動態(tài)組合，其呈現(xiàn)具有極大的偶然性。人們對具體事務的認知水平，也會隨著時間和空間的變化而不斷發(fā)展變化，因此對內生安全問題的認知也具有時空差異。即便是同樣的內生安全問題，在不同階段，采用不同順序，對不同對象的威脅也是不同的，其威脅具有不確定性。

更進一步，由于全球化導致供應鏈的精細化分工合作，開源軟硬件的廣泛應用，以及成本效益最優(yōu)化考慮，使得絕大多數的信息系統(tǒng)難以徹底使用自己開發(fā)的軟硬件模塊，因而既無法避免也難以檢查發(fā)現(xiàn)全部的軟硬件漏洞后門。針對內生安全問題引發(fā)的不確定安全威脅，目前主要采用基于特征的安全防御方法，只能起到“亡羊補牢，揚湯止沸”的作用，無法從根本上解決內生安全問題。

為解決內生安全問題，鄔江興院士提出一種內生安全的網絡空間擬態(tài)防御理論，在不依賴攻擊者先驗知識和行為特征信息的情況下，通過內生安全功能克服內生安全缺陷，將網絡空間不確定的安全威脅問題，歸一化為可靠性與魯棒控制理論和技術能夠解決的問題[14]。針對防范未知漏洞后門等不確定威脅，基于相對正確的公理，依據熵不減系統(tǒng)能穩(wěn)定抵抗未知攻擊這一發(fā)現(xiàn)，借鑒可靠性理論與自動控制理論，提出了動態(tài)異構冗余構造，導入擬態(tài)偽裝機制，形成測不準效應，獲得內生安全功能。內生安全功能融合現(xiàn)有安全技術可以指數量級提升防御增益，實現(xiàn)歸一化處理傳統(tǒng)安全和非傳統(tǒng)安全問題，獲得了廣義魯棒控制的屬性。

2.2 新型內生安全信息基礎設施的設計原則

國家關鍵信息基礎設施的安全保證是網絡空間賴以生存的基礎，應該建設內生安全信息基礎設施，以捍衛(wèi)國家安全、助力建設網絡強國和推動數字經濟繁榮發(fā)展。首先，設計新型信息基礎設施應該滿足“內生安全原則”，內生安全架構的技術路線類似于“轉基因工程”，其將動態(tài)性、多樣性、隨機性作為一種“安全基因”，通過在網絡、平臺、運行環(huán)境、軟件以及數據等層面導入“安全基因”，使得“基因受體”獲得主動防御功能，因而可以廣泛地應用到從器件、組件到部件，從硬件、軟件到固件，從基礎軟件、中間件到應用軟件，從系統(tǒng)、平臺到網絡，對關鍵信息基礎設施、工業(yè)控制、軍事裝備乃至消費類電子產品等信息領域的各個方面，具有很強的普適性、滲透性和催化作用。

其次，設計新型信息基礎設施應該滿足“有效原則”。內生安全信息基礎設施解決內生安全問題的有效性主要體現(xiàn)在5個方面：① 能將針對目標對象執(zhí)行體個體未知漏洞后門的、人為的、確定性的攻擊行動，轉變?yōu)橄到y(tǒng)層面攻擊效果不確定的事件，使得網絡空間“易攻難守”的戰(zhàn)略格局有望發(fā)生根本性的逆轉；② 能將系統(tǒng)效果不確定的攻擊事件變換為概率可控的可靠性問題，實現(xiàn)了安全防御能力可量化設計、安全態(tài)勢可量化感知和安全威脅可量化控制的突破；③ 基于裁決的策略調度和多維動態(tài)重構負反饋機制能呈現(xiàn)出攻擊者視角下的“測不準”效應，使得攻擊手法和經驗難以復現(xiàn)或繼承，無法產生可規(guī)劃、可預期的攻擊效果，基于軟硬件內部漏洞后門的傳統(tǒng)網絡攻擊方法被徹底顛覆，諸如“挖漏洞”“設后門”“植病毒”“藏木馬”等經典攻擊套路在機理上不再有效；④ 借助共識機制，可以在不依賴攻擊者先驗知識或行為特征信息情況下感知不確定威脅；⑤ 能將傳統(tǒng)的隨機性擾動和非傳統(tǒng)的不確定安全威脅，諸如軟硬件內部的隨機性“差模”失效和未知“差?！惫?，基于軟硬件暗功能的外部攻擊和內部滲透攻擊等，變換或歸一化為經典的可靠性和魯棒性問題并案處理[4]。

最后，設計新型信息基礎設施應該滿足“融合原則”。在傳統(tǒng)安全技術發(fā)展模式下，安全技術和系統(tǒng)設計技術是“兩張皮”，彼此獨立演進發(fā)展，而內生安全架構則是基于系統(tǒng)架構的內源性技術，可以將新型信息基礎設施的安全和功能統(tǒng)一設計和實現(xiàn)，對漏洞后門等未知威脅實現(xiàn)有效防御，成為實現(xiàn)網絡安全和信息技術發(fā)展“一體兩翼、雙輪驅動”戰(zhàn)略目標的落地抓手。

2.3 建設新型內生安全信息基礎設施

內生安全是新型信息基礎設施的主要支撐和基本特性，建設新型內生安全信息基礎設施應該選擇自主可控、成熟可信的技術路線。其中，擬態(tài)防御技術是我國自主研發(fā)并經過國家級測試驗證的內生安全防御技術。2018年1月起，工信部組織在國家信息基礎設施中開展擬態(tài)防御網絡設備的先行先試，為試點單位提供體系化擬態(tài)防御解決方案，從單點的擬態(tài)化防御，到體系化擬態(tài)防御，試點應用效果倍增。2019年4月，工信部在鄭州組織了試點任務技術測試驗收，對線上擬態(tài)構造設備進行了服務功能、性能及黑盒、白盒安全性測試，結果表明“被測設備的服務性能與安全性能完全達到了理論預期”。同年9月，工信部組織了試點任務的評估驗收會，會議認為“擬態(tài)構造在技術成熟度、普適性和經濟性方面都達到了可推廣應用程度” “試點任務執(zhí)行情況完全達到了擬態(tài)防御預期目標”。

在工信部試點應用的帶動下，國內多家企事業(yè)單位主動聯(lián)系擬態(tài)防御團隊和試點單位，圍繞擬態(tài)防御謀求進一步合作，當前相關擬態(tài)設備已經在河南聯(lián)通、中國工商銀行等單位同步開展示范應用，并陸續(xù)在中國移動、國家電網、鄭州市政務網等單位開展部署，逐步呈現(xiàn)出規(guī)?；瘧檬痉读己脛蓊^。成套擬態(tài)防御網絡設備作為測試目標，先后參加兩屆擬態(tài)防御國際精英挑戰(zhàn)賽，成功防御來自10余個國家300余萬次的攻擊。由成套擬態(tài)防御設備支撐構建的內生安全試驗場NEST已于2019年6月26日面向全球開放眾測，為全世界頂尖網絡高手提供基于常年獎勵機制的“人機大戰(zhàn)”擂臺，任何組織和個人都可以申請對擬態(tài)防御設備進行測試評估[15]。擬態(tài)防御信息基礎設施設備的系列化技術要求和標準規(guī)范已經在中國通信標準化協(xié)會立項并討論，預期2020年底前將陸續(xù)發(fā)布，為擬態(tài)化信息基礎設施的研制和規(guī)范化提供了基本的標準遵循。擬態(tài)防御作為內生安全的一種有效實現(xiàn)方法，從最初的概念逐步落地，完成了從理論到機制機理、從驗證系統(tǒng)到產品樣機、從模型評估到測評方法的全流程探索，有利支撐新型內生安全信息基礎設施的規(guī)模化研制、生產和銷售。

著眼于網絡安全技術研發(fā)從“外掛式”向“內生性”轉變的技術變革、“新基建”加速信息技術產業(yè)升級演進，將催生網絡信息服務與應用發(fā)展新業(yè)態(tài)，應緊抓“新基建+新安全”“雙輪驅動”的新型內生安全信息基礎設施發(fā)展機遇，重點面向基礎通信、公共服務、金融及數據中心等重要行業(yè)和領域，建立內生安全信息基礎設施標準化構件平臺，推廣內生安全域名服務器、路由器、交換機及Web服務器等核心設備，提供內生安全信息基礎設施整體解決方案，構建產業(yè)發(fā)展生態(tài)環(huán)境，筑牢產業(yè)發(fā)展基礎，為建設新一代國家內生安全信息基礎設施提供技術和產業(yè)支撐。

3 結束語

我國作為網絡規(guī)模世界第一的大國，在重要行業(yè)和領域都面臨未知網絡安全風險，跟隨型發(fā)展、增量式的安全防御技術無法從根本上解決這一問題，亟待通過顛覆式創(chuàng)新實現(xiàn)彎道超車。內生安全技術開辟了“改變游戲規(guī)則”的防御理念和技術途徑，期望通過系統(tǒng)設計方法和運行機制的創(chuàng)新獲取內生安全屬性，從而有效管控內生毒瘤(漏洞、后門)引發(fā)的確定性和不確定性安全威脅。通過建設具有內生安全能力的新型信息基礎設施，有望顛覆“易攻難守”的非對稱網絡空間制衡態(tài)勢和當前我國網絡空間安全所處的戰(zhàn)略劣勢，切實提升關鍵網絡信息服務和應用安全，促進各行業(yè)數字化轉型和物聯(lián)網、5G、智慧城市等各類新興領域的服務應用繁榮發(fā)展，為建設網絡強國、維護網絡主權和發(fā)展數字經濟提供堅實支撐。