隨著社會信息化和全球網絡化進程的推進，在極大地便利社會生產生活的過程中，網絡安全的重要性也日益凸顯。攻擊者只要發現并成功利用一個高危漏洞，就可能給系統帶來難以預估的安全風險。傳統防御技術需在提前了解攻擊特征與新披露的漏洞的情況下，在盡量短的時間內作出有效響應，難以有效應對未知漏洞、后門以及層出不窮的攻擊方式。擬態防御技術提出通過系統自身的異構設計主動防御的新思路，并在工商銀行率先實現金融服務場景的試點實施。

　　擬態防御理論是由中國工程院院士鄔江興于2013年研究提出的一種新型網絡空間防御理論。與傳統上需預先了解攻擊來源、攻擊特征、攻擊途徑、攻擊行為等信息的威脅特征感知防御體系相比，擬態防御理論的基本思想是：通過冗余部署提供相同功能的不同類別資源、不同算法組件等方式，實現系統相關組成部分的異構性和多元性，系統運行過程中動態隨機地選擇和使用相關資源和算法，降低單一潛在漏洞帶來的安全風險，提高對未知威脅的主動防御能力。

　　如圖1所示，擬態系統會把用戶的原始請求復制成多份，分發給多個異構體。每個異構體的實現各不相同，但都能處理用戶請求，各異構體的處理結果經過表決得到最終結果。系統只有在表決通過時才認為是合法的輸出結果，否則作為異常處置。

　　圖1基于多元異構體的擬態防御機制

　　2016年，國家科技部委托上海市邀請9家權威測試及研究機構對擬態防御理論進行評估，包括13位院士在內的53位專家一致認可其安全性與普適性。2016年11月，鄔江興院士在烏鎮世界互聯網大會上首次公開發布擬態防御技術理論，中央電視臺、新華社、人民日報、解放軍報等國內主流媒體進行了專題報道。

　　工商銀行長期以來高度重視安全防護體系建設，密切跟蹤信息安全前沿技術的發展趨勢，持續研究引入安全新技術以提升信息安全防護水平。擬態防御理論正式發布后，在鄔江興院士團隊的指導下，工商銀行與相關單位開展技術合作，2017年完成了擬態防御在部分金融科技場景的技術原型驗證，在此基礎上，經進一步完善，于2018年6月和7月，先后在工銀e生活、網絡域名解析服務(DNS)系統中成功試點投產，在金融行業中首次實現基于多元異構體的動態防御機制(如圖2、圖3所示)。

　　圖2工銀e生活擬態防御示意

　　圖3網絡域名解析服務擬態防御示意

　　本次在金融行業的成功試點，有效提升了工商銀行工銀e生活、DNS系統防范未知漏洞的能力；同時，工商銀行強大的專業技術能力和行業影響力也將推動擬態防御理論和技術的進一步發展。工商銀行后續將繼續加強和相關單位的技術交流，持續跟進擬態防御技術的研究、完善與應用，為網絡空間安全事業貢獻更多智慧和力量。

<menuitem id="zjj55"></menuitem>

<menuitem id="zjj55"></menuitem>

<big id="zjj55"></big>

責任編輯：陳愛