文章来源《元宇宙十大技术》
元宇宙在给人类带来巨大的想象空间和极大的应用前景的同时,其本身面临的安全问题绝对不容忽视。
构成元宇宙系统的地基和支柱本身就存在相应的安全问题,地基和支柱各个部件之间的连接也面临着同样严峻的安全考验。
传统上基于边界防护的防火墙、入侵检测和病毒查杀系统,在已经没有边界概念的元宇宙系统中将难以发挥作用。
可信计算、拟态防御、零信任网络等新技术将发挥一定的作用,但其中心化配置和部署与元宇宙多方参与且互不信任的实际情况还是存在一定的不匹配。
区块链系统的去信任解决方案给元宇宙系统的安全建设带来了新的启发,但也存在一定的局限性。
元宇宙系统在更高的层面呼唤新的安全哲学的诞生。
第一节 需要进一步加固的元宇宙
元宇宙是数字技术发展到相当程度之后,在整合并融合各种数字技术及其他技术的基础上,由人类绘制的通向未来的一幅蓝图。
但无论是构成数字技术的最底层技术基础,还是在技术基础之上构筑出来的各种数字化应用和工具,无一不存在各种各样的安全问题,这就注定了元宇宙大厦需要进一步加固。
一、并不牢固的元宇宙产业地基
元宇宙中的各种应用均是建立在计算的基础之上,而安全问题是与计算相伴始终的。
最开始的计算设备只是一个计算工具,不仅与他人利益无关,计算过程也与他人无关,因此无须防止他人攻击破坏。
但随着计算技术和网络技术的发展,互联网、移动互联网、区块链等新型计算模式不断涌现,并渗入国民经济生活的整个层面,现在的网络空间已经是资产财富的聚集地,也是各种基础设施和国家主权的重要载体,黑客利用系统漏洞和病毒盗取金钱,敌对势力以 APT[插图]实施暴恐,霸权国家通过网络发动新型战争,这些都会对网络空间构成重大安全威胁。
中国工程院院士沈昌祥认为,传统的计算设备在设计上缺少攻防理念,在体系结构上缺失防护部件,在工程实现和应用上没有安全服务。
这三个方面的天生缺陷在计算机及网络的发展历史上从来都没有得到彻底解决,并且这三个根本性的问题在后来计算设备的每一次重大更新迭代过程中几乎都被保留了下来。
当前绝大多数计算都需要依托网络环境进行。
但由于计算和网络连接组合逻辑越来越复杂,而人类对 IT 认知逻辑具有天然局限性,人们没有办法穷尽所有逻辑组合,只能就计算任务设计 IT 系统,因此必定存在逻辑不完全的缺陷,难免有人会利用各种缺陷对网络进行攻击。
这也是信息安全和网络安全的永恒主题。
元宇宙系统面临的物理安全问题
现代社会的建立和运行是基于能源基础之上的。
电力,几乎成为现代社会能源的代名词。
元宇宙系统自然也是建立在现代能源基础之上的,因此,元宇宙系统具有天然的脆弱性。
如果因人为或非人为因素导致电力系统出现故障,那么因电力故障而受影响的那部分元宇宙系统自然就没有办法运行。
这是元宇宙系统在物理层面面临的安全问题。
当然,元宇宙系统还面临着其他物理层面的安全问题,比如地震、海啸、山洪等自然灾难,以及战争、核爆炸等人为灾难。
元宇宙系统本身如果在计算、存储和网络等任一系统最底层的技术部件上出现物理层面的故障,都会影响到元宇宙系统的安全和有效运行。
如果出现故障的部件是单一部件,则会导致元宇宙系统宕机。
如果相应的部件在系统设计上有一定的冗余,但冗余程度不足或负载均衡设计不合理,也会对元宇宙系统运行的有效性带来影响。
2.元宇宙系统面临的系统安全问题
从技术层面来讲,元宇宙是由各种各样的应用链接起来的。
没有应用,元宇宙最多就是一块荒芜的土地,而各种各样的应用,才是元宇宙土地上的高楼大厦和车水马龙,但这些应用都需要建立在相应的地基之上。
这个地基,既包括硬件层面的 CPU 和各种计算器件,也包括软件层面的操作系统、数据库、编译系统等系统软件。
CPU 是最底层的计算执行终端,其存在的漏洞隐蔽性很强,CPU 内部结构对上层又是透明的,因此非专业人员难以追踪和捕捉到其设计上存在的漏洞。
同时,CPU 具有最高级别权限,其权限级别比操作系统还要高,因此利用 CPU 漏洞就可以获得比操作系统更高的权限,从而给上层的系统软件和应用软件带来更大的危害。
利用 CPU 漏洞还可以帮助软件或应用突破虚拟机隔离,在更大范围内给主机和网络系统带来危害。
IOT 设备、PC、服务器、嵌入式设备等各类计算设备都需要 CPU 组件,因此 CPU 存在的漏洞会波及大量设备,甚至直接击穿元宇宙系统。
2017 年 6 月 1 日,谷歌的安全团队就向英特尔、AMD、ARM 报告了一个硬件级漏洞,该漏洞会导致内核数据泄露。
操作系统是与计算机硬件紧密相连的系统软件。
对于计算机用户来说,操作系统体现在为用户提供的各项服务;
从程序员角度,操作系统主要是指用户登录的界面或者接口;
从设计人员的角度,操作系统就是各式各样模块和单元之间的联系。
除了操作系统,还有编译系统、数据库系统等系统软件,这都是计算机和网络应用不可或缺的基础。
元宇宙中各种各样的应用,无一不是建立在这些系统软件基础之上。云服务、区块链,也有可能成为元宇宙中基础的系统组成。
但这些系统软件也存在安全漏洞。
我们必须经常性地为操作系统打补丁并进行系统升级。
同时由于编译系统存在漏洞而导致应用崩溃的案例也屡见不鲜。
此外,类似情形在数据库系统中也经常出现,截至 2019 年 12 月,CVE(通用漏洞披露)发布的被确认的国际主流数据库漏洞共计 140 个,其中 Oracle 12 个、MySQL 有 107 个、PostgreSQL 有 4 个、IBM DB2 有 14 个。
其中 Oracle 被发现的 12 个漏洞中含有 1 个超危漏洞、4 个高危漏洞;
MySQL 数据库的 107 个漏洞中含有 4 个高危漏洞、97 个中危漏洞;
PostgreSQL 数据库中有 2 个高危漏洞;
DB2 数据库中发现了 11 个高危漏洞。
系统软件是应用软件的底层和基础。
系统软件一旦出现安全问题,不仅影响系统软件本身,还影响构建在其上的所有应用软件。
二、纸浆糊怎能糊出元宇宙的高楼大厦
元宇宙是建立在各种数字技术的广泛连接和融合基础之上的。
我们前面分析了构成元宇宙的各种底层技术和中间层技术可能存在的安全问题。
即使构成元宇宙的这些底层技术和中间层技术都是安全的,元宇宙这栋高楼大厦也不必然是坚固的。
因为元宇宙不可能是由各个底层技术和中间层技术以及上层应用直接焊接并做到严丝合缝的,这些技术和应用必然存在横向及纵向的各种交互和连接。
这种数据和功能方面的交互和连接如果出现安全问题,元宇宙这个高楼大厦就仍然是不安全的。
最近,以太坊联合创始人维塔利克·布特林发表观点,称区块链的“未来将是‘多链’而非‘跨链’”,依据是“跨链桥存在基本安全限制”。
他进一步解释称,如果单一区块链系统存在安全问题,那么这种安全问题就会通过跨链桥传播到整个区块链世界。
我们知道,区块链本身是多种技术以特定结构实现的组合,这种技术的特定组合方式保证了区块链系统的安全和稳固。
但即使区块链系统耗费了这么多资源,组合了这么多技术来确保其系统的安全、可靠、可信,也仍然无法完全保证自身的安全,以及不同区块链间通过跨链桥连接的安全。
因此,其他技术之间的交互和连接方式,其安全性也必须要经过进一步的检验和验证。
此外,元宇宙系统中的用户也必然要面临更多的数据方面和应用方面的安全问题。
传统意义上的数据安全更多是指数据本身的机密性、完整性和可用性,但这更多是对小数据、关键数据和核心数据而言。
在大数据时代,数据安全已经拓展到了极为宽泛的领域,很多本身没有价值或价值很低的数据,一旦汇集为大数据,通常都能产生极大的价值,并对其他数据、信息以及人的安全带来威胁。
目前基于大数据和人工智能技术,已经能够实现对用户的精准画像,但这种精准画像更多是被用于精准营销。
如果基于海量无价值或低价值数据,从中挖掘出更多的关键信息甚至机密信息,那必将对个人、机构甚至国家主权带来广泛的影响和危害。
因此,最新颁布的《中华人民共和国数据安全法》,将“数据安全”定义为“通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。”
在元宇宙系统中,各种应用无论是种类还是数量只会越来越多,因此系统面临的安全威胁和威胁样式也必然会越来越多。
此外,在不断变化的系统环境中,人类迫切需要一种能够对未知攻击和潜在攻击行为进行高速、准确提取和智能分析的能力,并能对数据分析结果进行实时聚合展现,从而实现对安全威胁的实时发现、阻拦、应急的能力。
如果没有这种安全能力,就不可能构建起安全、可用、可靠并且敢于开放互连的元宇宙系统,也不可能在元宇宙系统上展开各种应用,服务于人类越来越丰富的想象和产业化应用。
第二节 传统安全手段难以支撑元宇宙迈向星辰大海
随着新型计算模式出现,在发展出传统计算模式所不具备的很多功能的同时,也带来了新的安全风险。
一、新型计算模式下,传统安全手段更捉襟见肘
基于传统安全工具组合,试图解决新型计算模式的安全解决方案虽然也纷纷出笼,但面向层出不穷的安全隐患,大多数安全解决方案都捉襟见肘。
云计算平台面临多重严重安全威胁
相对于传统网络架构,云在技术架构、管理架构、服务架构以及安全边界方面都有很大的变化,对安全监管也提出了新的要求和挑战。
云安全联盟于 2018 年 1 月发布了《12 大顶级云安全威胁:行业见解报告》。
如图 6-1 所示,该报告重点聚焦了 12 个最严重的涉及云计算共享和按需特性方面的安全威胁。
图 6-1 云计算共享和按需特性方面的 12 大顶级云安全威胁
资料来源:云安全联盟
除了以上 12 个方面的安全威胁,在云环境的建设和使用过程中,每个环节都可能带来安全风险。
业界一般将云计算共享和按需特性方面可能导致的安全风险归结为如图 6-2 所示的传统信息安全风险、云计算平台安全风险、用户访问安全风险以及管理安全风险 4 个方面的内容。
图 6-2 云计算共享和按需特性方面面临的安全风险分类
资料来源:云安全联盟
在具体技术层面,虚拟化是目前云计算供应商使用最广泛的技术之一。
但在主流虚拟化技术中,漏洞广泛存在,安全风险大,并且这些漏洞不仅危及虚拟机本身,还会影响虚拟化的宿主机。
如果这些虚拟化管理软件中存在的漏洞被利用,租户的安全就无法得到有效保障。
在虚拟化环境下,单台物理服务器上的各虚拟机之间可能存在二层流量交换,而这部分流量对于管理员是不可见的。
在这种情况下,管理员需要判断虚拟机之间的访问是否符合预定的安全策略,或者需要考虑如何设置策略以便实现对虚拟机之间流量的访问控制。
此外,服务提供商通过接口或者 API 让客户与云平台进行交互,一些第三方组织基于这些接口为客户提供增值服务,远程访问机制以及 Web 浏览器的使用也增加了这些接口的漏洞存在并被利用的可能性。
在云环境中,各个云应用属于不同的安全管理域,每个安全管理域都管理着本地的资源和用户。
攻击者还有可能假冒合法用户进行如窃取用户数据、篡改用户数据等非法活动。
云中存储的大量的用户业务数据、隐私信息或其他有价值信息,很容易受到攻击。
当遇到严重攻击时,云计算系统有可能面临崩溃的危险,甚至无法提供相应的服务。
面对云计算带来的更加复杂的安全威胁,安全厂商基本都会从组织、制度、管理、人员、架构、服务、边界、工具、租户等维度,系统性地提供解决方案。
但网络安全机构 Sophos 公司的《2020 年云安全状况》报告显示,在 2020 年,近 3/4 的企业遭受了云安全威胁事件,其中恶意软件、勒索软件、数据和账户泄露以及加密劫持是比较大的威胁,运行多云环境的企业也受到了云安全威胁事件的影响。
2.大数据系统数据泄露问题层出不穷
大数据系统具有分布式、组件多、接口多、类型多、数据量大等特点,这些特点使得其安全与传统数据安全存在明显差异,而这些差异使得大数据的安全维护更加困难。
目前,主流的开源大数据组件至少有几十款,还有大量第三方封装的组件,不同组件使用的交互接口又不同,因此,安全产品在监控、防护、溯源的方案设计和技术实现上都存在相当大的难度。
大数据平台涉及的安全问题也比较广泛,在安全管理、平台安全、数据安全、运维安全、业务安全等 5 个方面,大数据平台都存在安全隐患。
●安全管理是指大数据平台在管理方面的安全要求,包括管理制度、管理机构和人员、系统建设、运维等内容方面的管理和配套管理。
●平台安全指主机、系统、组件自身的安全和身份鉴别、访问控制、接口安全、多租户管理等方面的安全。平台安全是对大数据平台传输、存储、运算等资源的基本安全防护要求。
●数据安全。数据的生命周期一般分为采集、传输、存储、处理、交换和销毁 6 个阶段,数据安全贯穿其全生命周期。
具体包括:
数据采集阶段的分类分级、清洗比对、质量监控;
数据传输阶段的安全管理;
数据存储阶段的安全存储、访问控制、数据副本、数据归档、数据时效性;
数据处理阶段的分布式处理安全、数据加密、数据脱敏、数据溯源;
数据交换阶段的数据导入导出、共享、发布、交换监控;
数据销毁阶段的介质使用管理、数据销毁、介质销毁。
●运维方面的安全则包括内部人员的误操作导致的数据丢失或不可用,或运维人员蓄谋恶意行为导致的数据泄露。
●业务安全跟业务强相关,跟应用场景和业务流量特征有关,一般的防护手段很难发现。
业务安全包括缓慢少量攻击、共谋、在噪音中隐身、持续渗漏尝试、长期潜伏者等。
目前大多数大数据安全系统给出的综合性的解决方案,都会从安全平台能力、运维安全管控、监控与评估、管控与处理、审计与分析等方面出发,设计出一套大数据安全防护方案,覆盖平台安全、数据安全、运维安全、业务安全,提供数据发现、分类、分级、评估、监控、保护、审计、溯源、态势感知等方面的安全防护方案。
但即使如此,包括谷歌、微软在内的大公司数据泄露事件仍然时有发生,更多的小公司数据泄露事件更是层出不穷。
3.人工智能系统安全风险凸显
人工智能技术在元宇宙中几乎无处不在。
元宇宙不仅是对目前现实物理世界的数字映射或数字孪生,更要基于数字世界的内在逻辑实现对现实物理世界以及数字世界的优化和重构。
而这种优化和重构,需要人工智能的深度参与。
人工智能能够比人类智能触及更加深层的数字逻辑,并基于海量计算能够发现更加隐蔽的要素之间的关联关系。
中国信通院于 2020 年编撰的《人工智能安全框架》引述了 ISO 基于“人工智能系统生命周期过程”,从初始、设计研发、检验验证、部署、运行监控、持续验证、重新评估和废弃 8 个阶段,描述的人工智能全生命周期的安全风险地图。
自 2014 年谷歌研究人员首次证实深度神经网络面临对抗样本攻击威胁以后,人工智能风险防御领域的论文数量迅速增长。
当前,人工智能安全风险日益凸显,并不断向物理世界和人类社会蔓延。
但现阶段企业主要聚焦于人工智能技术研发和产品运营,在人工智能安全方面投入较少,也尚未形成成熟安全的产品和服务。
同时,现有网络安全框架并不适用于人工智能应用。
张小松等人在其 2021 年出版的《人工智能算法安全与安全应用》中,围绕人工智能网络安全应用以及对人工智能算法自身安全性的分析,给出了如图 6-3 所示的人工智能算法安全与安全应用的框架结构。
图 6-3 人工智能算法安全与安全应用的框架结构
4.区块链系统安全问题频发
区块链系统使用了复杂的密码学技术,且其主要应用于虚拟数字货币领域,使得其安全性在开放环境下得到了比较充分的检验,但区块链系统仍然面临一系列安全问题。
即使是经过大范围长时间检验的比特币系统,也不例外。
2010 年 8 月,比特币系统就曾因整数溢出漏洞,出现被人凭空造出了 1844 亿枚比特币的事件。
在以太坊引入智能合约以后,由于智能合约编写者水平参差不齐,业务逻辑又与以往中心化系统逻辑不同,因此,新的系统漏洞和安全性问题也层出不穷。
同时,智能合约在以太坊上是以链上数据的形式存在,因此即使发现智能合约存在漏洞,作为去中心化系统的公有链以及智能合约编写者和发布者也都没有办法让合约停止运行,更不能像传统中心化系统那样通过打补丁和系统升级的办法更正合约。
表 6-1 总结了 3 个层面 15 个不同类别的以太坊智能合约漏洞[插图]。区块链系统存在和面临的安全问题并没有得到有效解决。
目前只能基于安全层面对系统设计进行反复论证,以及在代码上线前进行多轮审计,尽可能早地发现安全隐患,让问题消灭在萌芽状态。
表 6-1 以太坊智能合约安全威胁与安全漏洞
三、系统级安全解决方案群雄纷争
尽管各主流安全厂商针对新型计算给出了各具特色的安全解决方案,但实施效果差强人意。
除了防火墙、入侵检测系统和病毒查杀软件等基本工具,各种安全解决方案还综合运用了访问控制策略等不同的系统功能组件。
相对各种新型计算,这些安全解决方案还停留在通用化阶段,并没有深入到系统的底层和应用逻辑层面,提出的方案也基本上是基于已有技术的碎片化组合。
在这种背景下,根植于计算机体系结构改造,或面向网络应用,或面向无边界网络的系统级安全解决方案开始涌现。
1.可信计算
TCG(可信计算组织)从行为的角度对实体可信进行了定义,认为当一个实体的行为总是按照预期的方式达到预期的目标时,它就是可信的。
可信计算的技术路线为可信根、信任度量模型与信任链,以及可信计算平台。
其一般思路是,首先建立一个可信根作为信任的基础和出发点;然后再建立一条信任链,以可信根为起点,一级度量一级,一级信任一级,把这种信任扩展到整个系统,从而保证整个计算环境的可信。
可信计算一方面需要建立报告机制,实时通告系统自身的属性,另一方面也需要对报告机制和报告内容提供必要的保证功能。
可信计算经历了从 1.0 到 3.0 三个主要发展阶段。
可信 1.0 主要以故障排除和冗余备份为手段,是基于容错方法的安全防护措施,主要是对计算机可靠性的保证。
可信 2.0 以 TCG 出台的 TPM 1.0 为标志,以硬件芯片作为可信根,以可信度量、可信存储、可信报告等为手段,以实现计算机的单机保护,未能从计算机体系结构层面考虑安全问题,很难实现主动防御。
可信 3.0 战略基于“主动免疫计算模式”,主要包括可信计算密码模块平台、可信平台控制模块、可信度量节点、可信基础支撑软件框架和可信连接框架。
在此基础上,可信计算 3.0 进而提出“以主动免疫的可信计算为基础,访问控制为核心,构建可信安全管理中心支持下的积极主动三重防护框架”的主动防御策略。
主动免疫可信计算技术是核心,安全计算环境、安全区域边界和安全通信网络共同组成了纵深积极防御体系,围绕安全管理中心对防御体系的各个层面进行保护机制、响应机制和审计机制之间的策略联动。
可信计算需要有一个先验的可信根,如何动态度量软件安全也存在一定技术上的难度。
可信计算是一个开放的体系,发展空间非常大,发展速度也非常快。
国际上一些可信计算的反对者认为可信计算背后的公司并不值得信任,可信计算给系统和软件设计者过多的权利和控制。
他们还认为可信计算会潜在地迫使用户的在线交互过程失去匿名性,并强制推行一些不必要的技术。
中国政府对可信计算给予了极大的关注。
中国国家密码管理委员会组织了可信密码模块的标准制定,并在其官方网站上提供了部分标准。
中国科学技术部“863 计划”开展了可信计算技术的项目专题研究,自然基金委开展了“可信软件”重大专项研究计划支持。
中国工程院沈昌祥院士、中国科学院冯登国院士、武汉大学张焕国教授在可信计算的理论与技术推广方面做出了卓越贡献。
2.拟态防御
拟态本是指一种生物在色彩、纹理和形状等特征上模拟另一种生物或环境,从而使一方或双方受益的生态适应现象。
如果这种生物伪装不仅限于色彩、纹理和形状,而且在行为和形态上也能模拟另一种生物或环境,则称之为“拟态防御”。
研究者将这种主动防御理念引入到网络空间中,在基于内生安全机理的动态异构冗余构造中引入拟态伪装的策略或机制,使得构造产生时空不一致的测不准效应。
导入拟态伪装策略,可以更好地隐蔽或伪装目标对象的防御场景和防御行为,使得目标对象在应对持续性的、隐蔽的、高烈度的人机攻防博弈中获得更为可靠的优势地位,尤其是面对未知漏洞后门、病毒木马等不确定威胁时,具有更加显著的效果。
现有的网络空间防御基本上是基于已有特征感知的精确防御。
建立在“已知风险”或者是“已知的未知风险”前提条件上,需要攻击来源、攻击特征、攻击途径、攻击行为等先验知识的支撑,在防御机理上属于“后天获得性免疫”,通常需要加密或认证功能作为“底线防御”,在应对基于未知漏洞后门或病毒木马等未知攻击时存在防御体制和机制上的脆弱性。
网络安全领域的拟态防御在目标对象给定服务功能和性能不变的前提下,通过对其内部架构、冗余资源、运行机制、核心算法、异常表现等环境因素,以及可能附着其上的未知漏洞后门或木马病毒等做策略性的时空变化,从而呈现出“似是而非”的场景,以扰乱攻击链的构造和生效过程,使攻击成功的代价倍增。
拟态防御在技术上融合了多种主动防御要素,以异构性、多样或多元性改变目标系统的相似性、单一性;
以动态性、随机性改变目标系统的静态性、确定性;
以异构冗余多模裁决机制识别和屏蔽未知缺陷与未明威胁;
以高可靠性架构增强目标系统服务功能的柔韧性或弹性;
以系统的不确定属性防御或拒绝针对目标系统的不确定性威胁。
拟态界面所定义功能的完整性、有效性和安全性是拟态防御有效性的前提条件。
如果攻击行动未能使拟态界上的输出矢量表现不一致,拟态防御机制是不会做出任何反应的。
因此,合理设置、划分或选择拟态防御界在工程实现上非常关键。
基于不同任务、时段、负载、效能要求、资源占用等条件或参数,拟态计算动态地选择构成与之相适应的解算环境,以基于主动认知的动态变结构计算提升系统的处理效能,充分挖掘变结构计算中机理上的内生抗攻击属性。
在攻击者眼中,拟态计算系统以规律不定的方式在多样化环境间实施基于时空维度上的主动跳变或快速迁移,表现出很强的动态性、异构性和随机性等不确定性特点,难以观察和预测,从而增大了构建基于漏洞和后门的攻击链的难度与代价。
2018 年 4 月 12 日,全球首套拟态防御网络设备在郑州投入互联网线上服务。
此次上线的拟态防御网络设备包括拟态域名服务器、拟态路由器、拟态 Web 虚拟机、拟态云服务器和拟态防火墙等多种类型的设备与装置,可为网络服务提供一体化解决方案,应用范围也进一步扩大。
拟态计算建立在大量资源冗余和异构基础之上,而且拟态系统在运行时,需要首先确保自身系统以及相关的软件系统是安全的,但也难以避免先验安全的问题。
3.零信任网络
近年来,远程办公、业务协同、分支互联等业务需求快速发展,企业原有的网络边界逐渐泛化,原来基于边界的防火墙、入侵检测等传统安全工具不再有效。
于是,持续不间断地对用户身份进行验证并进行风险评估,构建以身份为关键的零信任安全网络就应运而生了。
中国信息安全研究院副院长左晓栋表示,零信任的产生有客观必然性,源于网络安全风险加大,传统信任模型受到挑战;
零信任的实质是对访问控制的新要求,不是网络安全的全部。
零信任网络模型是约翰·金德维格(John Kindervag)在 2010 年提出的,其核心思想是企业不应自动信任内部或外部的任何人、事或物,而应在对人、事或物授权前对任何试图接入企业系统的人、事或物进行验证。
由此,零信任架构意味着每个用户、设备、服务或应用程序都是不可信任的,必须经历身份和访问管理过程才能获得最低级别的信任和关联访问特权。
因此,零信任网络的原则是“从不信任,总是验证”。这一假设得到了数据上的支持。
加利福尼亚州旧金山计算机安全研究所称,60%到 80%的网络滥用事件来自内部网络。
而防火墙和入侵检测系统主要防御网络外部发起的攻击,对内部网络攻击是无效的。
多位专家认为,零信任是框架而不是具体技术,是技术组合而不是单一技术,可由多种方法实现而不是唯一固化的方式。
需要针对系统的安全保护相关要求及访问控制应用情况,建立起物理设备、信息系统、数据等在内的资源清单并加强标识化管理,对资源实施细粒度访问控制,开展持续的面向信任的监测和分析。
零信任网络仍然是建立在已知身份和访问权限基础上的,面对一个开放和匿名的系统,如何确保弱访问控制下的零信任网络安全,还是一个比较难的问题。
目前零信任网络在工程实现上还存在很多不足,比如边界网关协议、身份和访问管理服务等路由协议之间缺乏集成。
第三节 系统安全如何成为元宇宙的定海神针
元宇宙系统与传统系统的最大不同是,元宇宙是由不同国家和机构分别建设并需要他们高度配合和协同才能够投入运营的跨机构、跨地域系统。
目前使用的部件或系统,如硬件、操作系统、数据库以及各种应用软件,虽然也是由不同国家和机构建设的,但基本上各成体系,这些部件或系统只有纵向的寄生或承载关系,而极少有横向的交互与关联,因此一些大众化应用,比如微信,就不得不针对不同的操作系统开发不同的版本,并在后台数据库中完成数据的整合及汇总。
一、元宇宙在系统安全方面提出的新要求
大数据的出现,使得数据隐私和数据价值成为迫切的现实问题。元宇宙的出现,则使得安全问题变得更加迫切。
360 公司创始人周鸿祎认为,“在元宇宙的强大需求下,网络安全也应该随之而升级”。
周鸿祎指出,数字时代的安全问题已升级为大数据安全、云安全、物联网安全、新终端安全、网络通信安全、供应链安全、应用安全、区块链安全这八大挑战,元宇宙和数字化用到的基础技术都将面临新的安全问题。
同时,安全威胁与现实世界交织融合,安全风险遍布关键基础设施、工业互联网、车联网、能源互联网、数字金融、智慧医疗、数字政府、智慧城市这八大场景,影响国家、国防、经济、社会乃至人身安全,上升为大安全挑战。
周鸿祎注意到了元宇宙时代每类新型计算及应用自身面临的安全问题,以及这些安全威胁与现实世界交织可能带来的安全风险,此外,还存在着不同计算系统由于数据、功能和业务上的交织融合而可能带来的更加多元的安全风险。
如果说在传统的 IT 系统中,每个业务系统的安全仅是单一业务系统所面临和要解决的问题,那么在元宇宙时代,安全问题牵一发而动全身,一个环节出现问题,这个问题就有可能在整个系统中扩散,甚至直到整个元宇宙系统崩塌。
但到目前为止,传统的业务单元都还存在相当多的没有解决的安全问题,如果我们将这些带有安全问题的业务单元直接带入元宇宙系统,那么元宇宙系统在建设之初就是千疮百孔的,而不是像人类建筑的高楼大厦一样地基坚实、支柱稳固。
二、元宇宙建设呼唤更新的安全哲学
元宇宙是数字技术和数字工具在多个层面、多个维度的超复杂组合,元宇宙系统以数据作为各种功能和内容的载体,将体系内外部连通在一起,从底层的物理基础,到系统构成,再到上层应用。
元宇宙系统的高楼大厦,不仅要求部件和系统要有纵向的寄生和承载关系,更要求它们之间要有横向密切的关联和协同,甚至不同层级间的应用也需要建立紧密的合作和协作。
但不是所有国家和机构都能建立起百分之百的信任关系,更不用说分别隶属于不同国家和机构的用户跨越国家和机构之间的合作了。
因此,和原来基于可信第三方,或由系统或应用自己提供安全和信任解决方案不同,元宇宙必须要有一个为大家所公认并经过检验的跨越国家和机构的安全与信任解决方案。
元宇宙概念的提出和元系统的建设对网络和系统的安全提出了更复杂的要求。
元宇宙系统架构上的复杂性、功能上的丰富性、对数字技术利用的全面性,都急迫需要一种去中心化的、更加顶层的安全哲学,否则难以从整体上确保元宇宙系统的安全。
这种新的去中心化的安全哲学和方法论,需要渗透到元宇宙的每个组件、功能和环节中。
为了满足安全方面的要求,需要抓住元宇宙系统的体系结构特点和主要矛盾,从计算最基本的体系结构入手,重新思考计算在不同环境下所需要的安全对策和安全解决方案,充分利用政治、经济和社会学研究成果,充分利用人体免疫等医学研究成果,以及计算系统层次化和模块化思维,将总的安全需求和具体解决方案的实现进行必要的分解,并分别实施。
另外,还需要结合具体的业务内容,从具象层面提出针对不同业务场景的安全解决方案,而不是像传统安全解决方案一样,用一套方案来应对所有业务场景。
三、全新解决方案
通常,我们在讨论网络和信息系统安全时很少进一步讨论物理安全,因为物理安全不在安全从业者的业务范围以内,而且一般情况下,物理安全和系统安全、数据安全和应用安全也不在一个层面上。
但元宇宙系统的物理安全与传统信息系统的物理安全需求不完全一致。
在传统信息系统中,如果发生物理安全问题,可能会导致当前的系统无法使用,但不会带来更大的(负)外部性问题。
比如证券交易所的交易通常都是面向全球的,为了确保不因物理安全而影响交易,证券交易所往往对系统和数据实施两地三备份,以保证系统在发生大规模的物理性安全危机时仍然能正常运转。
但即使真的发生大规模的物理性安全危机,影响的也仅仅是证券的交易系统以及与交易相关的事情,而不可能会影响到诸如医院等其他系统。
但当元宇宙成为人类社会的最主要栖息地时,如果某个区域的网络或信息系统发生物理安全问题造成系统宕机,则可能会使某一个局域的元宇宙系统停止运行,也还可能进一步造成其他区域的元宇宙系统也无法运行,由此带来较大的(负)外部性。
就算此时其他区域的元宇宙系统能够继续运行,也会导致元宇宙系统在使用上的区域不均衡。
因此,在物理层面,如何确保元宇宙系统不发生大规模的物理安全问题,也是元宇宙系统在建设时需要充分考虑的问题。
为确保信息系统的安全,人们曾试图在计算体系结构上对传统的计算模式进行改造,可信计算就是直接对计算机的体系结构进行改造,并取得了较为理想效果的典型案例;
拟态防御则是在网络层面,在计算外部通过对资源进行冗余动态配置的方式来防御外部入侵;
零信任网络则将一切安全内容都聚焦在身份上,但对于身份如何确认、身份所属的权限如何授予,却并没有充分的讨论。
以上这些方案,在元宇宙的安全体系中也都会有其用武之地。
元宇宙系统需要更多面向新的安全需求的具体解决方案。
比如针对大数据背景下的人工智能应用,为了确保各方数据安全和隐私问题而发展出了零知识证明、安全多方计算、隐私计算、联邦学习以及同态加密等新型技术。
这些技术也都会在元宇宙系统中发挥其应有的作用。
同时,区块链的出现为解决元宇宙系统的安全问题提供了新的思路。
尽管区块链系统自身也存在着严重的安全问题,但区块链通过多种技术的组合和大量资源的消耗,在不安全的网络环境、无可信第三方的情况下,在非信任主体甚至陌生主体间建立和维护了信任关系。
虽然这种方案目前还仅仅是建立在链上数据不可篡改、不可伪造,以及智能合约基础之上,但是否可以在非区块链系统上,通过系统改造和代码移植,也实现这种无信任主体间的信任关系建立和维护,到目前还是一个有待理论界和工程界回答的问题。
另外,区块链提供的信任,更多是基于数字领域对虚拟加密货币交易的信任,而没有拓展到更通用的信任维度上。
这一点,也有待在元宇宙的大背景下,对其进行进一步的发展。
也许在现有安全框架之下,以及现有安全解决方案之外,针对元宇宙系统的安全需求,还会有某一种或几种新的安全哲学和范式,以及新的解决方案产生,进而可以进一步形成更新、更全面、更系统的安全哲学和范式,成为元宇宙时代的安全主导。
但有一点可以确定,元宇宙系统不是一套安全体系贯穿始终,而是多个安全系统、不同安全结构、多个安全指导思想和安全哲学、不同安全范式交互,并在不同层面、不同维度、不同环节,分别发挥不同的作用,并因其相互影响和关联,进而构造成一个覆盖元宇宙系统各个层面和应用的坚固的安全保障网!