中国工程院院士邬江兴：避免网安防御陷入打鼹鼠式困境

（图片来源：南方都市报）

2022年，美国网络安全风险投资公司Cybersecurity Ventures在其发布的网络犯罪报告中预测，全球网络犯罪造成的损失将以每年15%的速度增长，到2025年或将达到10.5万亿美元。“这个数字比全球一年自然灾害造成的总体损失大得多。”邬江兴说。

在他看来，数字经济时代下，网络安全威胁已经从信息域扩大到“数据域+物理域+认知域”，社会数字化、智能化转型面临着系统性的风险隐患。重要的是，在多重安全威胁交织下，还形成了网络空间新域新质安全问题。

具体而言，新域新质安全问题至少包括五种属性：物理失效的随机属性、软件失效的不确定性、网络攻击的人为性、受信任执行环境的缺位以及AI内生安全威胁泛化。“糟糕的是，这个新域新质安全问题，无法用传统手段‘分而治之’。”

“网络安全漏洞‘冒’出来了就追打一下。”邬江兴指出，如今网络安全防御陷入一种“打鼹鼠”式困境的原因在于，数字产品设计制造商缺乏认真对待网络安全问题的动机和激励机制，存在习以为常的“偏差正常化”状况——他们默认一种前提，所有的软件产品都肯定带有必须通过补丁修复的缺陷，而且大部分是被恶意行为者利用后才可修补。

不仅如此，当前网络安全市场还具有强烈的负外部性，即由用户承担安全成本，第三方承受不利后果。《欧盟网络弹性法案》中数据表明，欧盟近50%的制造商明知其产品有漏洞仍将它们投入市场。据邬江兴估计，我国存在此类情况的制造商比例会更高。

邬江兴分析，目前网络安全第一性问题是内生安全矛盾，要实现内生安全目标，本质是在不安全的网络空间中，创建基于内生安全构造的可信服务环境。

此外，当前网络安全防御范式存在先天性缺陷、依赖性问题、及时性问题等，任何安全算法和措施都不可能有效抵御全部威胁。因此，他提出一种“内生安全与拟态构造方法”，其能将网络空间不确定的系统性安全风险转化为已知可控的非系统性安全问题。

“数字化转型需要更安全的数字产品，而不是更多的网络安全产品。”邬江兴在会上强调，传统网络安全治理方法的局限性已然凸显，要实现我国网络空间安全态势的根本转变，必须变更当前的数字生态系统底层驱动范式，实施网络弹性升级，从而促进数字产业新质生产力发展。

来源：南方都市报