我们在2013年提出“构造决定安全”的内生安全和拟态防御理论,能够催生新质安全能力,将网络空间不确定的系统性安全风险转化为可控概率的非系统性安全问题,从而一体化管控车联网数字生态的系统性网络安全风险。主要特征是:能够在不依赖攻击者先验信息的条件下,在制造侧采用基于内生安全构造的网络弹性设计,有效避免“已知的未知”“未知的未知”等广义功能安全问题导致的安全事件;能够实现安全质量的可量化设计、可验证度量;允许第三方在被测对象构造内植入任何数量、且不为设备制造者和使用者所知悉的差模性质的漏洞后门,依此准确测量出安全事件可能发生的概率。
近年来,科技部、工业和信息化部、国家网信办等先后对内生安全拟态构造技术进行系统性的测试和评估,研究表明基于拟态构造的网络设备和数字系统能够有效防御基于未知漏洞后门、病毒木马等的不确定威胁,可一体化解决当前欧美等国提出的网络弹性工程存在的问题。在已连续举办六届的“强网”拟态防御国际精英挑战赛上,“白盒插桩”开放众测创新赛制,向全世界展示了内生安全赋能的数字产品具有难以比拟的一体化安全优势。
我国应引领全球车联网数字生态系统转型
《瞭望》:如何推动我国在车联网安全领域形成领跑优势,从而为全球车联网数字生态系统转型提供“中国方案”?
邬江兴:目前来看,我国在数字生态系统底层驱动范式转型方面,具有原创性理论和独创性技术优势,但是要将优势转化为相关产业高质量发展的能力还需要政府层面的强力推动,尤其是在事关国计民生的垂直领域,比如在关键基础设施建设、车联网等领域先行先试。
一是强化数字生态系统中制造侧网络安全责任。将“设计安全”“开箱即用”的“默认安全”作为车联网数字产品的质量规范和市场准入门槛。在车联网中推行“谁设计谁负责、谁制造谁负责、谁销售谁负责”的网络安全责任和质量控制新体系,把“网络安全和信息化是一体之两翼、驱动之双轮”战略要求,真正落实在数字产业化和产业数字化过程中,落实到推出更安全的数字产品行动上来,绝不能再重蹈选择性忽视数字产品网络安全质量的覆辙。
二是尽快出台车联网内生安全政策法规。目前我国仍缺少对数字产品制造侧全行业、全流程体系化的法律约束,尤其是对数字产品软硬件设计方、开发商、制造商、供应商缺乏网络安全责任刚性规范。应建立健全具有中国特色的网络弹性政策法规体系,强化车联网数字技术产品功能安全和网络安全的“法律红线”思维。 |
