中科院：網絡安全不能陷於“補漏洞” 需尋求新思路新技術

在國際上首次提出內置式主動防禦新理念的中國科學院信息工程研究所(中科院信工所)，7月10日在北京組織召開網絡空間內置式主動防禦學術研討會暨技術創新聯盟籌備會議，旨在進一步推動網絡空間內置式主動防禦技術發展，發揮其在關鍵信息基礎設施和重要信息系統安全防禦中的重要支撐作用。

中科院重大科技任務局副局長黃鐵青出席會議並致辭，中科院科學傳播局局長周德進出席會議。中科院院士陸建華、管曉宏、王小云，中國工程院院士方濱興、樊邦奎、廖湘科、王恩東，中國科學技術大學教授王東進，清華大學教授魏少軍等專家以及40餘家聯盟發起單位代表參加會議。中科院信工所所長孟丹主持會議。

黃鐵青指出，爲服務關鍵信息基礎設施和重要信息系統安全可控的國家戰略需求，信工所牽頭承擔了中科院“網絡空間內置式主動防禦”C類戰略性先導專項，經過數年的努力已取得重要階段性成果：在國際上首次提出內置式主動防禦新理念，突破安全優先體系結構等關鍵核心技術，推動網絡空間防禦由“被動”轉爲“主動”。

他表示，希望與會院士專家多提寶貴意見，爲內置式主動防禦的發展把握方向；希望中科院信工所始終心繫“國家事”，肩扛“國家責”，努力成爲國家在信息工程領域的戰略科技力量，爲服務國家戰略需求，爲中國加快實現高水平科技自立自強作出新的更大貢獻。

孟丹在會議報告中指出，近年來，伴隨信息技術的持續發展與廣泛應用，網絡空間安全面臨新的巨大挑戰。對於關鍵信息基礎設施和重要信息系統而言，軟硬件漏洞不可避免，未知威脅層出不窮，傳統的防禦理念與安全技術已不能有效應對，“我們正陷入無休止的‘挖漏洞、補漏洞’的被動局面，迫切需要尋求防禦的新思路和新技術”。

他表示，研究發現，軟硬件漏洞能夠被成功利用實施攻擊的根源，在於CPU、OS等核心信息技術自身設計中存在安全脆弱性。內置式主動防禦強調從分析漏洞利用機理和攻擊路徑入手，找出信息系統漏洞背後攻擊者所利用的信息技術安全脆弱性，從安全的需求出發，重新設計、改造現有的信息技術，使其具備有效抑制、發現、調控、消除自身安全脆弱性造成的安全威脅的能力，變“信息技術+安全”爲“安全的信息技術”。與傳統的補漏洞思路不同，由於有效控制了信息技術的安全脆弱性，內置式主動防禦不試圖消滅漏洞，而是努力使漏洞無法成功利用。同時，區別於邊界防禦和縱深防禦的“防盜門模式”、零信任的“保險箱模式”，內置式主動防禦建立以攻擊路徑爲中心的“藏寶洞模式”。

在會議討論環節，與會院士專家針對內置式主動防禦的科學問題、設計原則、技術思路和推廣應用等提出意見與建議。他們一致認爲，內置式主動防禦技術在理論上有創新，技術上有突破，對構建中國自主安全的信息技術意義重大。

會議還對網絡空間內置式主動防禦技術創新聯盟籌備階段的工作方案和工作計劃進行討論。孟丹表示，面向關鍵基礎設施和重要信息系統安全防禦的重大需求，迫切需要產學研各方密切協作，形成推動安全信息技術發展的合力。該創新聯盟的成立就是要打造一個產學研用協同創新的平臺，將自主的信息技術發展爲安全的信息技術，在國際學術界和產業界提供中國方案，發出中國聲音，更好服務國家重大需求。

據瞭解，網絡空間內置式主動防禦技術創新聯盟是信工所在中科院和國家有關單位的指導下，聯合國內基礎軟硬件、整機、安全、系統集成等產業界以及高校、測評機構的優勢單位共同發起成立，旨在共同推動內置式主動防禦技術創新、相關標準制定、產品研發、生態建設和推廣應用。(記者 孫自法)