4月24日，由中国软件行业协会主办的第三届中国国际软件发展大会暨中国软件行业协会成立40周年纪念活动在北京召开。本次大会以“智能时代的软件产业”为主题，聚焦软件根技术、开源软件和生成式人工智能对全行业的根本性变革，探讨数据要素和未来产业对全行业的深远影响，并回顾中国软件产业40年发展历程，引领整个软件行业做一次深刻的总结，重装上阵再出发。大会设置开幕式、高峰论坛等环节，邀请两院院士、领军企业代表、相关行业机构代表、高校专家等到会。

中国工程院院士 邬江兴

　　中国工程院院士邬江兴致辞。以下是发言实录：

　　各位来宾下午好，我今天报告的题目是《数字经济需要更安全的数智基础设施》，我们在拥抱智能时代的时候，必须考虑更安全的主题。网络安全问题提出到现在，从1972年发现病毒到现在开始50多年，50多年为什么越治理问题越多，这个问题一直萦绕在人们的心头，网络安全问题为什么多？

　　这是欧盟的报告，它讲到以经济体量衡量，网络犯罪已发展成为仅次于美国和中国的世界第三大经济体，比1年内自然灾害总体造成的损失大得多，比所有主流毒品全球贸易总和大得多，这是网络安全的现实。与此同时，网络威胁从IT、ICT向CPS到CPS的转型，数字化智能化的时代，安全转型的时代，也是决定性的时代。

　　在这样的时代，上面的三个圆包括功能安全问题、网络安全问题以及信息和数据安全问题，这三个问题叠加新质新域安全问题无法用传统安全基础分而治之，传统技术没办法。

　　根据欧盟的报告，当今主流网络安全的理论与方法存在天花板问题，报告当中将网络安全问题分成四个因素，一、已知的已知，知道现象也了解原因；二、知道现象但不清楚原因；三、了解问题但不知道如何呈现；四、不知道现象也不清楚原因，这叫做不确定安全威胁，也是当前网络防御范式无法解决的天花板问题。

　　当今网络安全防御呈现为一种“打鼹鼠”的游戏，历经50余年的发展，网络安全始终处于不断打补丁的恶性循环中，随着系统复杂性增加，大家都讲到AI，AI天生就不安全，存在着不可解释性、不可预判性、不可推诿性，AI本身是不安全的系数，我们要把它做到怎么样可以安全利用。网络安全逐渐演变成“打鼹鼠”的游戏，永远打不完。呈现出非常严重的问题，用户侧与制造侧网络安全责任及风险严重失衡，用户侧承担过多安全责任与风险，而制造侧往往选择性忽视安全责任，更多关注于功能和性能，相对来说用户侧比制造侧处于明显弱势地位。

　　接下来看欧美的报告，谈到网络安全是市场机制失灵的地方，欧美崇尚市场经济，发现网络安全靠市场经济是弄不来的，缺乏认真对待网络安全问题的动机和激励机制，存在习以为常的“偏差正常化”，所有软件都肯定会带有必须通过补丁修复的缺陷，而且大部分是被恶意行为者利用后修补的，也就是财富乃至生命的代价，软件要靠这样的方法来修补吗？

　　网络安全市场具有强烈的负外部性，用户承担安全成本，第三方承受不利后果。欧盟《欧盟网络弹性法案》提出近50%的制造商明知其产品有漏洞仍将其投入市场。数字技术的生态系统有了问题，如果不从生态区办不行，办法是什么？网络弹性。

　　网络弹性是什么？欧美给出答案，从使用侧向设计和制造侧“左移”的网络安全叫网络弹性，安全责任在用户侧这个事情换到设计侧，换到软件代码和生产和设计企业来。2013年我在全球提出内生安全理论和拟态防御技术后，2018年美国MITRE提出网络弹性的概念，后来被美国政府和标准化组织采纳，强调从任务视角去保障系统，重点考虑如何在防护失效的情况下也能确保任务达成。网络弹性与网络安全的不同在于，关注的防御阶段不同、保障目标不同，更重要的是假设系统必然存在失陷的组件，假设庞大的软件中必然存在着问题，甚至是事件，在这种情况下防守无法完全奏效的情况下怎么确保？

　　美国更新版的《国家网络安全战略》指出，必须从根本上改变数字生态系统的底层驱动，建立可防御且富有弹性韧性的数字生态系统，使其更容易形成内在防御能力。这里面专门讲到软件的问题，能让攻击方付出比防御方更高的代价，从而实现防御优势的转变，确保我们始终能够挫败数字生态系统面临的种种威胁。2022年底美国NIST提出网络弹性系统工作方法，4个目的、8个目标、26个字母表、14个技术、49个方法及53战略设计原则和14个结构设计原则，近500个子项，如果按这500个子项来测试的话，中国没有一家企业的产品能够通过此测试。强调需将数字产品的安全置于产品全生命周期的前沿和中心，从一开始就考虑安全的设计。我们不能暴力使用AI，也不能先使用后治理，AI也可能会带来灭顶之灾，我本身坚决反对AI先发展后治理，这样的话可能导致我们没有机会治理。

　　以网络安全倒逼数字生态系统底层驱动转型。从设计安全角度来看，软件从开始设计的时候就有安全，而不是后来再靠360、奇安信等来保护，而要做到在设计的时候就是安全的。这里有个误区，欧美特别强调，将网络安全融入技术和产品的设计与制造中，不是让两个工程组设计两个系统，用一个保护另外一个，而是按要求设计单一的系统，在其中融入安全的能力。

　　2023年以来美国联合五眼联盟及多个国家，强调制造侧设计安全，将安全着重包含数字元素的核心能力贯穿于产品的设计始终，而非仅仅作为产品的技术选项。强调默认安全，产品开箱即可抵御普遍存在的攻击技术，最终用户无需采取额外措施来保障其安全。当然，安全是有成本的，基于设计与默认安全可能会增加产品开发成本，尤其是软件，仅软件开发成本至少增加19%左右，但可大大改善客户安全，从长远来看可降低制造商的维护和修补成本，以及最终用户全寿命周期的使用成本。

　　美国更新《网络安全战略》后，同时更新网络安全战略实施计划，18个部门同时推进。美国联邦通信委员会决定在2024年底实施“网络安全标识计划”，软件产品如果通过不了安全标识计划，在美国卖这个产品就是非法的。同时，数字生态系统底层转型不仅仅是软件，还设置到CPS，要推广到所有信息物理系统。我们的世界，人、机、物、网已经深度融合。欧盟更激烈，从2020年开始到现在推出欧盟统一的网络弹性法案，立法逻辑是制造商缺乏认真对待安全问题的动机，如果没有政策制定者的适当干预，市场无法应对不断上升的安全风险，认为网络安全领域就是市场失灵的地方，政府必须干预。他们立法，要求数字产品制造商，包括软件产品开发商，实施网络弹性设计，必须对因产品设计缺陷导致的网络安全事故负责。

　　欧盟提出网络安全经济学，认为安全是有代价的，在这个报告当中欧盟委员会的GRC提出必须使用负责任的数字技术，什么责任？就是对于安全负责任的技术，来开发更安全的数字产品，而不是更多的网络安全产品，口号是这样提出来的，软件业必须解决这个问题，他们现在提出的网络弹性工程存在很大问题。

　　我认为有五大问题：首先是不确定扰动在原有安全问题维度上无解，网络弹性亟须创新的内生安全范式；第二方面是基于经典网络安全范式的设计安全，网络弹性的实时性极度依赖知识库、保险库，依赖病毒库、木马库、行为库，这些库对我们是屏蔽的，我们不知道新鲜的库资料，怎么在设计中保证设计安全？第三是仍然跳不出补丁摞补丁的恶性循环。第四是看起来网络弹性做得不错，但只是混凝土。第五，欧美提出的网络弹性设计难、选择难、度量难，根本原因是它基于传统的网络安全理论和方法来搞网络弹性，肯定没有解。

　　怎么解决问题？我们同时来认识网络安全的第一性问题，也就是“网络内生安全问题”。凡是包含存储程序控制的构造数字元素的系统，如果不能杜绝软硬件代码的设计脆弱性，自在性矛盾导致的内源或内生的安全问题或隐患，在网络攻击或其他不确定因素的扰乱下，会产生局部或全局性不确定安全事件，而且将不可避免，我称为“网络内生安全问题”。

　　我们区分一下问题和事件，问题存在不一定会导致事件。内生安全问题是内因，如果没有攻击者的话不会产生内生安全事件，我们杜绝不了内生安全问题，但是可以控制内生安全发生的概念，这就是内生安全整个的技术色彩。

　　内生安全问题全面挑战当今数字生态系统的底层次驱动范式，硬件、核心、CPU、操作系统都是我们自己的，供应链安全也许是可以的，但有没有漏洞？有没有后门/陷门？有没有多重安全交织问题？没有人能回答，无论是数字基础设施还是软件产品的开发，以及“看家护院”的网络安全产品都无法回答这些灵魂拷问。

　　怎么解决？有一种新的办法——内生安全理论与方法。2013年在世界上首创设计内生安全理论和方法，被全球誉为中国学派。核心思想是一种在“有毒带菌”的网络空间构建安全性可承诺的信息物理系统设计理论与方法。

　　我们发现内生安全不是我们创造的词，而是自然界存在的一种科学机理。当动态性、多样性、异构性、冗余性形成交集的话，交集中一定存在内生安全性，结构能够决定安全，我们发现内生安全的科学机理，提出内生安全的定理，基于这样的定理，发明了内生安全构造，这个构造可以不依赖任何库，与病毒库、木马库完全无关，不依赖现有知识，一律通通消灭，本质是一种构造编码/环境加密。

　　我们在理论上，内生安全和香农提出的完美加密基本相同，通过内生安全构造从机理上对付所谓APT的网络攻击。相同信息产生一次一密的完美保密理论，网络内生安全一次一充构产生内生安全构造，怎么样解决现在所谓不确定安全威胁问题。

　　物理学告诉我们这个世界唯一确定的东西是不确定性，技术发明的意义就是如何在不确定环境下创建概率可控的技术来解决我们的应用问题。比如说香农第二定理是通信唯一的科学，怎么样在噪声信道上提供可靠性的办法？同样，内生安全也是在解决不安全网络空间如何创建受信任的执行环境的问题，它的本质是寻求有毒带菌环境总安全可信的解法，不是所有网络安全问题彻底归零，不能指望软件设计没有漏洞，但是有漏洞不能产生安全事件，或者说安全事件概率可控。

　　在这种情况下，这两个范式是完全不同的。不论是制造侧的设计安全，还是使用侧的附加安全，如果不能实现网络安全范式的转型，就不可能从根本上实现数字生态系统的底层驱动范式转型的远景。内生安全的设计、理论和实践上证明，可以满足网络弹性动态、多样性等技术原则，只需要一个构造，可以完美解决这个问题。

　　内生安全不是自嗨，我们在南京建立全世界第一个内生安全测试床，叫NEST，举办六届全球国际精英挑战赛，无论线上线下，无论黑盒、白盒，无论实名还是匿名，世界浪潮已经来了，设计安全基于自身提高，开箱就要用，范式创新必须从理论上和实践上，游戏规则改变，生态也变了，要营造新的生态，使数字产品设计、开发者具有内生安全的技能，包括教育体系，要从培养看家护院的保镖向懂内生安全的负责任设计者转变，既要有供应链可确保的信创产品，还要有更安全的信创产品。

　　我们创立中国特色网络内生安全学派，构建内生安全网络自信自主知识体系，也创办SS的一体化刊物，我衷心欢迎大家参加中国网络内生安全产业与技术联盟。

　　（声明：所有会议实录均为现场速记整理，未经演讲者审阅，国际在线登载此文出于传递更多信息之目的，并不意味着赞同其观点或证实其描述。）