编者按:习近平总书记指出,要紧紧抓住基础技术、通用技术、非对称技术、前沿技术、颠覆性技术,把更多人力、物力、财力投向核心技术研发,尽快在核心技术上取得突破。习总书记这一重要指示揭示了当前我国网络空间发展的瓶颈问题——缺乏核心技术,表达了党和国家对网络安全核心技术的迫切需求和大力支持,也给网络空间安全领域的从业者设立了目标,提出了要求。网络安全动态防御技术,对信息系统进行基因改造,以“动态变化”为信息系统的常态,颠覆网络攻击所依赖的静态性、确定性,已经成为美国土安全部和空军的重点研究方向。这种核心技术由于相对处于起步阶段,可以成为我们“弯道超车”的重点突破领域,值得把更多人力、物力、财力投向此项核心技术研发,尽快取得突破。
当前,信息产业的核心技术大多掌握在美国等西方信息产业强国手中,从操作系统到应用软件,从网络协议到互联网应用,从基础芯片到整机产品,从技术创新到产业发展,处处受制于人,信息安全形势极其严峻。在这样的技术、产业格局下,如何寻找突破口,实现弯道超车,扭转被动态势,落实习近平总书记网信工作会议的重要指示精神,是摆在每位信息安全工作者面前最大的课题。
纵观网络空间安全技术发展,传统的网络防御技术总是期望通过“修修补补”建造一条“绝对坚固”的防线,能够抵御所有威胁和攻击。这一思路对于提高安全性固然具有积极意义,但其通过静态眼光看信息安全的思维定势,势必造成“矛尖盾薄”的防御被动局面,也是频频发生安全事故的重要原因。近年来,以美国国防部提出的移动目标防御(Move target defense)为代表的网络动态防御技术,受到学术界、产业界的高度关注和认可,为我国实现跨越式发展,扭转被动局面提供了可能。
动态网络防御技术,旨在从根本上改变传统防御技术“头疼医头、脚疼医脚”的针对性防御模式,对信息系统进行基因改造,以“动态变化”为信息系统的常态,颠覆网络攻击所依赖的静态性、确定性。通过主动改变网络通信、硬件平台、软件数据等各个层面的关键要素,构建一个动态的、不断变化的信息系统,通过动态的运行环境,破坏网络攻击能够实施的条件,从而剧烈地增加包括未知漏洞和后门在内的各种网络攻击的难度。简单来说,动态防御就是把固定靶变成移动靶,甚至随机靶,极大提高打靶的难度。因此可以说,动态网络防御是一种根本性的“基因疗法”——目的是改变网络安全体系的结构性基因,变静为动,以动治动。
动态防御技术是网络防御领域的跨代技术,相比传统防御具有明显的代差优势,是典型的非对称技术、前沿技术和颠覆性技术。加快动态防御技术的研究和推广,有利于实现弯道超车,有利于落实习近平总书记在网信工作会议上的重要指示。因此,要从思想上、技术上、产业上聚焦网络空间动态防御技术,加快推动相关核心技术的发展。
第一,树立动态防御的思想,用动态的眼光重新定义网络防御。
动态网络防御与其说是一种技术的革新,毋宁说是一次思想的革命。动态防御思想,可应用到信息系统的各个层面的各个要素,实现从静态的体系结构转变为动态体系结构、从被动感知的安全机制转变为主动设障的安全机制、从确定性的运行方式转变为具有随机特性的运行方式,形成具有相对独立防御能力的基本单元,进而构成全新的防御体系,形成以动态化为基本框架的系统化的网络防御体系。因此,动态防御不只是安全防御技术人员的事,也是事关信息系统管理者、使用者、运维者。只有树立全新的动态安全观,用动态的思想武装头脑,用动态的思路重新定义网络安全,才能最大发挥动态网络防御的效能。
第二,创新动态防御技术,用动态防御技术构建安全防御新规则。
习近平总书记高度重视技术创新,将创新思维置于“五大发展理念”之首。提出要探索揭榜挂帅,把需要的关键核心技术项目张出榜来,英雄不论出处,谁有本事谁就揭榜。创新动态防御技术,就是要突破传统防御技术的发展思路,创新颠覆性的技术,改变网络安全防御的“游戏规则”。
传统的网络防御技术是针对性的防御,是建立在对某类攻击或威胁充分研究的基础上,是以获得该攻击相关先验知识为防御的前提条件,这就必然决定了“先有威胁后有防御”、“先要亡羊才能补牢”的天生被动态势。而动态网络防御技术不针对任何具体的攻击或威胁,仅改变信息系统内部的状态、结构,且该变化的过程既可针对性的变化,也可随机变化,只要通过变化破坏了攻击过程依赖的任意环境或数据,即可阻止攻击威胁。在这一过程中,变化本身不依赖对网络威胁的先验知识,从而使网络防御能够“先敌一步、高敌一筹”,扭转防御技术天生慢一步的被动态势。
第三,推动动态防御产业发展,用产业化的力量全面提升防御水平。
习近平总书记指出,要在科研投入上集中力量办大事,积极推动核心技术成果转化。毋庸置疑,只有将核心技术商业化、产业化,才能真正大幅提高我国网络空间安全防御的整体水平。要达到“客观上无危险、主观上无恐惧”的信息安全目标,需要的是成体系的、全面的、多层次的安全产品和服务,这只能通过企业的产业化才能完成。而动态网络防御技术尤其适合产品化、产业化,因其可在被防护系统的设计、建设、运维等全周期过程中实施安全防护,有利于形成融合态势感知、漏洞响应、威胁预警、灾难恢复、终端检测、安全定制等业务的体系化安全防护产品和服务,进而促进网络空间安全的体系化、规范化、制度化、标准化,全面提升我国网络空间整体防御水平。
相比海、陆、空等传统空间,网络空间对高精尖核心技术的依赖更加强烈,安全问题也更加突出。面对当前各自为战、防御水平参差不齐、“烟囱式”的网络空间安全现状,聚焦网络安全动态防御技术,落实习近平总书记在网络安全与信息化工作座谈会的重要指示精神,就是要抓住网络防御技术创新的战略机遇,把握动态防御技术引领的新方向、新规则、新趋势,从思想上、技术上、产业上全面推进动态防御发展,将动态的“基因”植入的我国网络空间的方方面面、大大小小的信息系统,把动态网络防御思想纳入到相关规范、制度、标准,对网络空间安全进行宏观指导,从制度上、机制上提高我国网络空间整体安全水平。