我們在2013年提出“構造決定安全”的內生安全和擬態防禦理論,能夠催生新質安全能力,將網絡空間不確定的系統性安全風險轉化為可控概率的非系統性安全問題,從而一體化管控車聯網數字生態的系統性網絡安全風險。主要特徵是:能夠在不依賴攻擊者先驗信息的條件下,在製造側採用基於內生安全構造的網絡彈性設計,有效避免“已知的未知”“未知的未知”等廣義功能安全問題導致的安全事件;能夠實現安全質量的可量化設計、可驗證度量;允許第三方在被測對象構造內植入任何數量、且不為設備製造者和使用者所知悉的差模性質的漏洞後門,依此準確測量出安全事件可能發生的概率。
近年來,科技部、工業和信息化部、國家網信辦等先後對內生安全擬態構造技術進行系統性的測試和評估,研究表明基於擬態構造的網絡設備和數字系統能夠有效防禦基於未知漏洞後門、病毒木馬等的不確定威脅,可一體化解決當前歐美等國提出的網絡彈性工程存在的問題。在已連續舉辦六屆的“強網”擬態防禦國際精英挑戰賽上,“白盒插樁”開放眾測創新賽制,向全世界展示了內生安全賦能的數字產品具有難以比擬的一體化安全優勢。
我國應引領全球車聯網數字生態系統轉型
《瞭望》:如何推動我國在車聯網安全領域形成領跑優勢,從而為全球車聯網數字生態系統轉型提供“中國方案”?
鄔江興:目前來看,我國在數字生態系統底層驅動範式轉型方面,具有原創性理論和獨創性技術優勢,但是要將優勢轉化為相關產業高質量發展的能力還需要政府層面的強力推動,尤其是在事關國計民生的垂直領域,比如在關鍵基礎設施建設、車聯網等領域先行先試。
一是強化數字生態系統中製造側網絡安全責任。將“設計安全”“開箱即用”的“默認安全”作為車聯網數字產品的質量規範和市場准入門檻。在車聯網中推行“誰設計誰負責、誰製造誰負責、誰銷售誰負責”的網絡安全責任和質量控制新體系,把“網絡安全和信息化是一體之兩翼、驅動之雙輪”戰略要求,真正落實在數字產業化和產業數字化過程中,落實到推出更安全的數字產品行動上來,絕不能再重蹈選擇性忽視數字產品網絡安全質量的覆轍。
二是盡快出台車聯網內生安全政策法規。目前我國仍缺少對數字產品製造側全行業、全流程體系化的法律約束,尤其是對數字產品軟硬件設計方、開發商、製造商、供應商缺乏網絡安全責任剛性規範。應建立健全具有中國特色的網絡彈性政策法規體系,強化車聯網數字技術產品功能安全和網絡安全的“法律紅線”思維。 |
