工商银行成为首家拟态防御试点银行
随着社会信息化和全球网络化进程的推进,在极大地便利社会生产生活的过程中,网络安全的重要性也日益凸显。攻击者只要发现并成功利用一个高危漏洞,就可能给系统带来难以预估的安全风险。传统防御技术需在提前了解攻击特征与新披露的漏洞的情况下,在尽量短的时间内作出有效响应,难以有效应对未知漏洞、后门以及层出不穷的攻击方式。拟态防御技术提出通过系统自身的异构设计主动防御的新思路,并在工商银行率先实现金融服务场景的试点实施。
拟态防御理论是由中国工程院院士邬江兴于2013年研究提出的一种新型网络空间防御理论。与传统上需预先了解攻击来源、攻击特征、攻击途径、攻击行为等信息的威胁特征感知防御体系相比,拟态防御理论的基本思想是:通过冗余部署提供相同功能的不同类别资源、不同算法组件等方式,实现系统相关组成部分的异构性和多元性,系统运行过程中动态随机地选择和使用相关资源和算法,降低单一潜在漏洞带来的安全风险,提高对未知威胁的主动防御能力。
如图1所示,拟态系统会把用户的原始请求复制成多份,分发给多个异构体。每个异构体的实现各不相同,但都能处理用户请求,各异构体的处理结果经过表决得到最终结果。系统只有在表决通过时才认为是合法的输出结果,否则作为异常处置。
图1 基于多元异构体的拟态防御机制
2016年,国家科技部委托上海市邀请9家权威测试及研究机构对拟态防御理论进行评估,包括13位院士在内的53位专家一致认可其安全性与普适性。2016年11月,邬江兴院士在乌镇世界互联网大会上首次公开发布拟态防御技术理论,中央电视台、新华社、人民日报、解放军报等国内主流媒体进行了专题报道。
工商银行长期以来高度重视安全防护体系建设,密切跟踪信息安全前沿技术的发展趋势,持续研究引入安全新技术以提升信息安全防护水平。拟态防御理论正式发布后,在邬江兴院士团队的指导下,工商银行与相关单位开展技术合作,2017年完成了拟态防御在部分金融科技场景的技术原型验证,在此基础上,经进一步完善,于2018年6月和7月,先后在工银e生活、网络域名解析服务(DNS)系统中成功试点投产,在金融行业中首次实现基于多元异构体的动态防御机制(如图2、图3所示)。
图2 工银e生活拟态防御示意
图3 网络域名解析服务拟态防御示意
本次在金融行业的成功试点,有效提升了工商银行工银e生活、DNS系统防范未知漏洞的能力;同时,工商银行强大的专业技术能力和行业影响力也将推动拟态防御理论和技术的进一步发展。工商银行后续将继续加强和相关单位的技术交流,持续跟进拟态防御技术的研究、完善与应用,为网络空间安全事业贡献更多智慧和力量。