中国工程院院士于全:网络安全防御体系在与病毒博弈中协同进化
“网络安全防御体系应该像生物免疫生态体系一样,永远与病毒处于动态博弈的协同进化中。”在2019年国家网络安全宣传周期间,中国工程院院士于全在网络安全技术高峰论坛主论坛上谈到,尝试从生物内生的免疫安全系统找到破解网络安全问题之道。
于全称,网络安全系统与生物免疫系统一样,难以应付未知病毒或内部变异分子的攻击。所以,不要奢望找到什么理想的解决方案,达到所谓的“绝对安全”状态。追求“绝对”安全的结果是“绝对”的不可用,就像人想要“绝对”不生病也是“绝对”的不可能。
目前,网络安全发展遇到很多矛盾。于全指出,首先,已知与未知的矛盾。人们对于已知的攻击和威胁比较有办法,而对未知的攻击办法不多;其次,专用与通用的矛盾。专用的网络有电力系统,在可信计算的平台上,边界是可控的,但对互联网这种每天都爆发式增长的业务却缺乏办法;再次,局部与整体的矛盾。局部的可以通过物理隔离等办法,但大块整体的却缺少手段。最后安全与可用的矛盾,在实际应用中如何平衡二者关系是非常困难的。
如何应对网络安全问题?于全认为,从生物免疫安全系统上或许可以得到答案。
他进一步解释,生物免疫系统包括免疫识别、免疫预警、免疫应答、免疫调节四个方面。前三个部分在网络安全防御系统里基本上都有对应的环节,只有免疫调节基本没有考虑。通过对生物免疫系统的学习,我们对于网络安全的架构和网络安全的机制该怎么做,得到了一些启发。
“我们做了一个类免疫动态安全架构,跟生物免疫的安全架构非常相似。”于全介绍,除了传统的静态防御,这个安全架构最重要的是通过快速的传递感知信息,形成优于对抗对方的感知优势,快速响应。同时,建立一个平衡对抗网络,主动对抗黑客的AI攻击,通过持续的对抗加上积极学习,形成“网络疫苗”,这样就有可能在黑客攻击前被系统提前发现。同时,疫苗库可以实时共享,网络安全还要依靠人民,有效形成合力应对问题。
于全认为,科学的网络安全目标应该是可用性和安全性的平衡,安全风险的可预测、可评估、可隔离和可控制。而过度防护通常会造成网络可用性和用户体验的严重下降,相当于入侵威慑产生了攻击效果,不战而屈人之兵。
“网络空间是人创造出来的,人就一定有这个能力重塑一个健康、安全、繁荣的万物互联的新时代。”于全说。(记者 梁爽)
责任编辑:张薇