◎鄔江興 院士

傳統(tǒng)的安全問(wèn)題是自然發(fā)生的安全問(wèn)題，現(xiàn)在非傳統(tǒng)安全問(wèn)題是人為的，比如黑客或蓄謀已久的人所做的事情，這時(shí)候的安全問(wèn)題就由Safety變成Security。對(duì)于Security怎么辦呢？廣義魯棒控制是手段，獲得的效果是內(nèi)生安全。

廣義魯棒控制與網(wǎng)絡(luò)安全挑戰(zhàn)

廣義不確定擾動(dòng)定義如下：如果目標(biāo)對(duì)象內(nèi)部既存在某些傳統(tǒng)類(lèi)型的不確定擾動(dòng)因素（例如可靠性問(wèn)題、物理失效問(wèn)題），也存在針對(duì)系統(tǒng)軟硬件漏洞后門(mén)等“暗功能”的未知攻擊擾動(dòng)（人 為的），我們稱(chēng)之為廣義不確定擾動(dòng)，包括人為暗功能的擾動(dòng)。

廣義不確定擾動(dòng)就存在廣義魯棒控制。廣義魯棒的定義如下：如果有一種廣義魯棒控制構(gòu)造，即能在某些傳統(tǒng)類(lèi)型的不確定因素?cái)_動(dòng)下保持給定功能或性能在設(shè)計(jì)余度內(nèi)，也能在基于系統(tǒng)內(nèi)部漏洞后門(mén)等“暗功能”的不確定攻擊作用下維持給定功能或性能。假如有這樣的能力，我們就說(shuō)它具有“抑制廣義不確定擾動(dòng)”的功能，也可以稱(chēng)之為“廣義魯棒控制構(gòu)造”。

鄔江興院士

網(wǎng)絡(luò)空間安全之本源問(wèn)題

由于軟硬件設(shè)計(jì)缺陷或脆弱性導(dǎo)致的安全漏洞無(wú)法徹底避免。產(chǎn)品提供者有意設(shè)計(jì)或產(chǎn)業(yè)生態(tài)環(huán)境中無(wú)意引入的具有“暗功能”性質(zhì)的軟硬件代碼無(wú)法徹底杜絕。在可以預(yù)見(jiàn)的將來(lái)，尚缺乏技術(shù)和方法，無(wú)法窮盡或徹查目標(biāo)系統(tǒng)問(wèn)題代碼及邏輯缺陷。網(wǎng)絡(luò)空間也無(wú)法給出嚴(yán)格的操作規(guī)范以及它的行為準(zhǔn)則，包括精準(zhǔn)、可靠的監(jiān)管手段。試圖通過(guò)法律手段把這些問(wèn)題解決也不太可能。

傳統(tǒng)魯棒控制構(gòu)造由于無(wú)法實(shí)時(shí)感知“已知的未知”或“未知的未知”，這是網(wǎng)絡(luò)安全界獨(dú)有的表述，這不是一種非傳統(tǒng)的不確定擾動(dòng)影響，因而傳統(tǒng)的魯棒控制不具有抑制廣義不確定擾動(dòng)的能力。也就是說(shuō)傳統(tǒng)魯棒控制沒(méi)有辦法對(duì)付廣義不確定擾動(dòng)，這是個(gè)世界性難題。

本屬網(wǎng)絡(luò)空間軟硬件產(chǎn)品設(shè)計(jì)、制造和使用過(guò)程中存在的脆弱性或安全缺陷，或產(chǎn)業(yè)生態(tài)問(wèn)題，由于無(wú)法實(shí)時(shí)管控軟硬件產(chǎn)品內(nèi)部的廣義不確定性擾動(dòng)，隨著網(wǎng)絡(luò)空間的急速膨脹，安全威脅就成為彌漫性問(wèn)題，威脅彌漫在整個(gè)網(wǎng)絡(luò)空間內(nèi)。

這樣潘多拉魔盒就這樣打開(kāi)了。網(wǎng)絡(luò)空間自然產(chǎn)生“阿喀琉斯之踵”，現(xiàn)在從芯片到軟件，部件到器件，到云、工業(yè)控制設(shè)備、網(wǎng)絡(luò)路由器/交換機(jī)，這么多設(shè)備里我們會(huì)問(wèn)他們可信嗎？是安全的嗎？具有魯棒控制能力嗎？

一個(gè)復(fù)雜系統(tǒng)或控制裝置只要存在一個(gè)設(shè)計(jì)缺陷或混入一段惡意代碼，就可能導(dǎo)致目標(biāo)代碼的遭殃。因?yàn)槿鄙傧闰?yàn)知識(shí)而無(wú)法實(shí)時(shí)感知或認(rèn)知基于軟硬件問(wèn)題代碼實(shí)施的未知攻擊，被迫處于“無(wú)法設(shè)防”狀態(tài)。不是我們不愿意設(shè)防，是無(wú)法設(shè)防。對(duì)于攻擊者來(lái)說(shuō)，它具有“單向透明”的行動(dòng)優(yōu)勢(shì)，他看得到，埋設(shè)了漏洞，并采取“里應(yīng)外合、隱匿配合”的攻擊方式。于是我們可以看到，軟硬件安全質(zhì)量問(wèn)題必然會(huì)成為網(wǎng)絡(luò)空間的“阿 喀琉斯之踵”。

鄔江興院士

現(xiàn)在的IT/ICT信息系統(tǒng)廣義魯棒控制功能狀況

現(xiàn)有的廣義魯棒控制功能能做的事是基于威脅或擾動(dòng)特征感知的魯棒控制。魯棒控制首先是感知，需要通過(guò)實(shí)時(shí)感知來(lái)獲得關(guān)于不確定擾動(dòng)的信息，比如攻擊來(lái)源、攻擊特征、滲透途徑、攻擊行為、攻擊機(jī)理、目標(biāo)環(huán)境等。要想實(shí)現(xiàn)魯棒控制，必須解決魯棒控制的實(shí)時(shí)性要求。由于軟硬件目標(biāo)對(duì)象自身既不能只是感知廣義不確定擾動(dòng)，又無(wú)法實(shí)時(shí)應(yīng)用魯棒控制技術(shù)抑制內(nèi)部非期望的攝動(dòng)，因而現(xiàn)有IT/ICT/ICS等信息處理或控制系統(tǒng)不具有廣義魯棒控制功能。

附加式防御的有效性取決于先驗(yàn)知識(shí)的完備性和精確感知能力，它屬于亡羊補(bǔ)牢式的后天免疫，即使引入動(dòng)態(tài)防御（美國(guó)人提出的移動(dòng)目標(biāo)防御）或加密認(rèn)證機(jī)制。如果是基于后一個(gè)功能也就是滲透攻擊的話(huà)，這兩者的問(wèn)題也是無(wú)能為力，對(duì)這兩個(gè)問(wèn)題的防范是沒(méi)有用的。動(dòng)態(tài)防御和加密認(rèn)證，對(duì)于基于后門(mén)功能的滲透攻擊也是無(wú)能為力的，因?yàn)樗莾?nèi)外勾結(jié)的。

附加式防御系統(tǒng)本身通常不具備廣義魯棒控制功能。于是出現(xiàn)兩個(gè)問(wèn)題，需要保護(hù)的對(duì)象自身沒(méi)有廣義魯棒控制功能，作為它衛(wèi)兵的系統(tǒng)也沒(méi)有廣義魯棒控制功能，安全系統(tǒng)本身不安全。

廣義魯棒控制缺位之困局

一是無(wú)法設(shè)計(jì)出“沒(méi)有漏洞后門(mén)”的軟硬件。二是沒(méi)有先驗(yàn)知識(shí)支持情況下，不知道什么是“擾動(dòng)行為”，要想進(jìn)行攔截和攔阻，什么是擾動(dòng)行為都不知道是不行的。三是“單向透明”條件下可以從容地瞄準(zhǔn)鎖定和利用系統(tǒng)中的漏洞后門(mén)，動(dòng)態(tài)防御能力除外。四是“里應(yīng)外合”的隱匿攻擊可以輕易繞過(guò)任何形式的附加防御，包括加密、密碼技術(shù)的運(yùn)用。因?yàn)榧用芩惴ㄟ€得放在CPU和芯片上，它里面有沒(méi)有問(wèn)題不知道。

缺乏廣義魯棒控制功能的軟硬件產(chǎn)品越多，相關(guān)產(chǎn)業(yè)生態(tài)環(huán)境狀況越惡劣，網(wǎng)絡(luò)空間陷入惡性循環(huán)就成為不可避免的趨勢(shì)。更糟糕的是，因?yàn)榇嬖谥J(rèn)的世界難題，無(wú)法實(shí)時(shí)感知，所以，全世界的軟硬件產(chǎn)品提供商都不必?fù)?dān)心會(huì)被追究其產(chǎn)品安全質(zhì)量缺陷造成的責(zé)任。微軟因?yàn)樗穆┒醋鲞^(guò)什么賠償嗎？進(jìn)行召回嗎？聽(tīng)過(guò)英特爾會(huì)為他的缺陷賠償過(guò)嗎？在商品世界里，產(chǎn)品質(zhì)量的問(wèn)題廠(chǎng)家都要負(fù)責(zé)的，可在這一點(diǎn)上，所有的IT廠(chǎng)家都可以對(duì)他的安全質(zhì)量不負(fù)責(zé)任。當(dāng)然，不是不愿意負(fù)責(zé)任，是因?yàn)槭澜缧噪y題沒(méi)有解決，所以沒(méi)有辦法負(fù)責(zé)任。因此，“潘多拉魔盒”無(wú)論在觀(guān)念上還是事實(shí)上都是敞開(kāi)的。

網(wǎng)絡(luò)空間安全問(wèn)題的核心是蒼蠅總叮有縫的雞蛋，網(wǎng)絡(luò)空間安全問(wèn)題的核心還是內(nèi)因“不給力”，疏于抵抗。有沒(méi)有辦法解決這個(gè)問(wèn)題，比如相對(duì)正確的公理和不確定擾動(dòng)感知。

這都是瞎子摸象?！拔粗焙汀安淮_定性”，在哲學(xué)意義上通常屬于相對(duì)性范疇，原因是可感知的空間和可認(rèn)知手段的局限性，當(dāng)人類(lèi)沒(méi)有發(fā)明顯微鏡時(shí)我們根本不知道病毒和細(xì)菌是怎么回事，當(dāng)我們沒(méi)有設(shè)計(jì)太空望遠(yuǎn)鏡的時(shí)候也不知道地球圍著太陽(yáng)轉(zhuǎn)，也就是說(shuō)位置和不確定性是相對(duì)的范疇。

人人都存在這樣或那樣的缺點(diǎn)，但極少出現(xiàn)獨(dú)立完成同樣任務(wù)時(shí)，多數(shù)人在同一個(gè)地點(diǎn)、同一時(shí)間、犯完全一樣錯(cuò)誤的情形。這是一個(gè)公理，我把它命名為“相對(duì)正確”公理。它有一個(gè)前提條件，也就是說(shuō)對(duì)于個(gè)體成員而言，獨(dú)立完成任務(wù)是大概率事件，完不成任務(wù)是小概率事件，不能讓瞎子做他完不成的事兒。這就不存在內(nèi)外勾結(jié)、協(xié)同作弊的問(wèn)題，只有這種情況下相對(duì)正確公理是成立的。

基于這個(gè)公理我們有幾個(gè)推論：

推論一：從成員個(gè)體行為看，雖然缺點(diǎn)或錯(cuò)誤具有多樣性，存在不確定性，但在獨(dú)立完成同樣任務(wù)a時(shí)，從群體層面觀(guān)察，極少在同一時(shí)間、同一場(chǎng)合下犯完全一樣的錯(cuò)誤，態(tài)勢(shì)情況可用概率表達(dá)，這是從不確定性到可用概率表達(dá)。它得到結(jié)果是只要任務(wù)成員間不存在共同的缺陷和“私下串聯(lián)”的行為，在相對(duì)正確公理適用場(chǎng)景下，個(gè)體的不確定行為能在群體層面被相對(duì)正確的判定模式感知。一個(gè)不確定的東西通過(guò)相對(duì)正確的公理轉(zhuǎn)換成可以相對(duì)確定的東西。

推論二：相對(duì)正確具有量子疊加態(tài)的屬性。相對(duì)正確的感知結(jié)果，是相對(duì)正確，感知結(jié)果的確定性正確是大概率事件，不確定性是小概率事件，感知結(jié)果的不確定性是正確與錯(cuò)誤同時(shí)存在，只是概率不同。

推論三：感知結(jié)果的“置信度”與下列因素強(qiáng)相關(guān)：獨(dú)立執(zhí)行任務(wù)人員的數(shù)量（冗余度），任務(wù)參與成員合題差異（異構(gòu)度），任務(wù)完成指標(biāo)的詳盡程度（調(diào)查表或判決表等多少項(xiàng)，樣本空間），指標(biāo)項(xiàng)選取與圈中設(shè)置（最高分還是最低分，還是取中間值，還是要加權(quán)，這是表決策略）。

推論四：改變感知場(chǎng)景可轉(zhuǎn)化問(wèn)題的性質(zhì)。我們把它從單一空間變換到多維空間，從同質(zhì)化處理場(chǎng)景變換到功能等價(jià)的多元處理場(chǎng)景，從個(gè)體主觀(guān)性感知到群體相對(duì)性判識(shí)，從關(guān)注局部效果到注重全局態(tài)勢(shì)情況。我們把這些問(wèn)題變換以后，以前的未知，以前的不確定可能都變成已知和確定，這是感知場(chǎng)景的轉(zhuǎn)換，感知手段的轉(zhuǎn)換，感知條件的轉(zhuǎn)換，感知問(wèn)題的性質(zhì)變化了。因此，原有感知場(chǎng)景下無(wú)法認(rèn)知的不確定擾動(dòng)問(wèn)題能用相對(duì)正確的等價(jià)場(chǎng)景轉(zhuǎn)化為具有概率屬性的可感知問(wèn)題。

用公理等價(jià)場(chǎng)景感知不確定失效得到實(shí)際應(yīng)用，叫非相似余度架構(gòu)DRS。這個(gè)架構(gòu)最后的約束條件是系統(tǒng)各種零部件出現(xiàn)物理性不確定失效是小概率事件，零部件設(shè)計(jì)缺陷導(dǎo)致的不確定性擾動(dòng)也是小概率事件。在兩個(gè)約束條件成立的情況下，構(gòu)件或設(shè)計(jì)缺陷導(dǎo)致的不確定擾動(dòng)就能夠被轉(zhuǎn)換為功能等價(jià)、異構(gòu)冗余、相對(duì)性判決場(chǎng)景下系統(tǒng)層面可用概率表達(dá)的品質(zhì)魯棒性問(wèn)題。

這種構(gòu)造成熟地在B-777和F-16戰(zhàn)機(jī)上得到了應(yīng)用，在可靠性不夠的情況下，用構(gòu)造創(chuàng)新來(lái)解決問(wèn)題，可以控制系統(tǒng)故障率分別低于10的負(fù)11次方和10的負(fù)8次方，這在當(dāng)時(shí)沒(méi)有任何一個(gè)飛控系統(tǒng)的元器件達(dá)到這個(gè)水平，但用系統(tǒng)構(gòu)造技術(shù)達(dá)到了，也就是說(shuō)用相對(duì)正確的工藝等價(jià)表達(dá)形式能把不確定和未知的東西轉(zhuǎn)換成概率可控的問(wèn)題。

構(gòu)造決定安全，擬態(tài)構(gòu)造與內(nèi)生安全效應(yīng)

構(gòu)造決定安全，不論A1、A2或Ai中有何漏洞后門(mén)、病毒木馬，也不論它們有什么樣的行為特征，只要不能使輸出矢量同時(shí)產(chǎn)生完全或多樣的錯(cuò)誤，就會(huì)被多模表決機(jī)制發(fā)現(xiàn)并攔截。原來(lái)這兩個(gè)問(wèn)題是不可能歸一的，不確定失效是物理性問(wèn)題，不確定威脅是人為問(wèn)題。這種歸一化產(chǎn)生內(nèi)生安全機(jī)制，就是已知或未知的個(gè)性化攻擊以及確定或不確定的擾動(dòng)因素，都能被DRS構(gòu)造感知為可靠性且具有概率可控的特性。這是讓我們非常心寬的事情。

DRS傳統(tǒng)的表決方式，內(nèi)生安全機(jī)制的局限性，由于構(gòu)造、構(gòu)件以及機(jī)制的確定性和靜態(tài)性，使之不能夠應(yīng)對(duì)“協(xié)同作弊”或“試錯(cuò)”式攻擊?，F(xiàn)在表決里輻射UI。協(xié)同作弊不行，它的內(nèi)生安全機(jī)制，不具備內(nèi)生穩(wěn)定的魯棒性，你搞作弊的話(huà)它不具有穩(wěn)定魯棒性。于是怎么辦？我們要改造一下，所以用冗余架構(gòu)。輸入序列，通過(guò)異構(gòu)m個(gè)執(zhí)行體，它不具有穩(wěn)定魯棒性，于是把它改造一下，變成動(dòng)態(tài)魯棒冗余架構(gòu)，這里增加了反饋和負(fù)反饋控制器。增加以后的效果是什么？可以在某些不確定的特定條件下具有穩(wěn)定性、漸近調(diào)節(jié)和可收斂動(dòng)態(tài)性保持不變的特性，也就是應(yīng)對(duì)“試錯(cuò)/協(xié)同攻擊”的穩(wěn)定魯棒功能，也就是DHR能對(duì)付協(xié)同攻擊和試錯(cuò)攻擊，機(jī)制上就不允許。DHR結(jié)構(gòu)具有歸一化的處理功效，無(wú)論是目標(biāo)對(duì)象（軟硬件）內(nèi)部的隨機(jī)性差模失效還是未知差模攻擊，無(wú)論是基于目標(biāo)對(duì)象暗功能的外部攻擊還是內(nèi)部滲透攻擊，無(wú)論是傳統(tǒng)的不確定擾動(dòng)問(wèn)題還是非傳統(tǒng)安全的未知威脅，總之都能轉(zhuǎn)換為穩(wěn)定魯棒性和品質(zhì)魯棒性問(wèn)題并處理之。

擬態(tài)構(gòu)造可視化表達(dá)。給定服務(wù)功能不變的情況下，目標(biāo)對(duì)象運(yùn)行場(chǎng)景處于測(cè)不準(zhǔn)的狀態(tài)，任何針對(duì)執(zhí)行體個(gè)體的不確定攻擊首先被擬態(tài)構(gòu)造感知為群體層面的相對(duì)性事件，并且能被變換為概率可控的可靠性事件。它的內(nèi)生性效應(yīng)就是非配合條件下動(dòng)態(tài)多元目標(biāo)協(xié)同一致攻擊?？恳粋€(gè)漏洞或一個(gè)后門(mén)，或靠幾個(gè)漏洞后門(mén)去攻擊指法產(chǎn)生一致性的結(jié)果，這種漏洞是沒(méi)有用的，在機(jī)理上已經(jīng)把攻擊否定掉了。于是，廣義魯棒控制屬性的擬態(tài)架構(gòu)可以承載高可靠、高可信、高可用的三位一體服務(wù)功能，尤其是工業(yè)控制系統(tǒng)，因?yàn)樗鼪](méi)辦法附加太多的防火墻、入侵檢測(cè)、入侵容忍這一套。所以，用擬態(tài)架構(gòu)可以三位一體把這個(gè)問(wèn)題解決，而不需要通過(guò)附加形式。

魯棒控制機(jī)理

通過(guò)策略調(diào)度到擬態(tài)界，給它一個(gè)輸入代理?xiàng)l件，各自做不一樣的事，進(jìn)行不同的算法，按結(jié)果表明輸出，裁決狀態(tài)反饋，不合適再換。這個(gè)機(jī)制，擬態(tài)場(chǎng)景調(diào)度原則，用適當(dāng)?shù)姆烙鶊?chǎng)景來(lái)應(yīng)對(duì)相應(yīng)的攻擊威脅，在擬態(tài)環(huán)境里不是問(wèn)題歸零，而是用問(wèn)題快速規(guī)避。兵來(lái)降擋，水來(lái)土掩，并不是萬(wàn)能的，只要A情況不行，B情況行的時(shí)候，B情況就能上。未知威脅在內(nèi)的不確定擾動(dòng)被擬態(tài)構(gòu)造變換為擬態(tài)界內(nèi)同時(shí)出現(xiàn)多數(shù)一次性錯(cuò)誤的概率問(wèn)題且具有可靠性，這是擬態(tài)構(gòu)造最大的發(fā)現(xiàn)。

測(cè)不準(zhǔn)效應(yīng)。擬態(tài)也有這個(gè)特點(diǎn)，因?yàn)槿魏翁綔y(cè)、試錯(cuò)攻擊或擾動(dòng)都可能導(dǎo)致當(dāng)前服務(wù)場(chǎng)景改變，在機(jī)理上與測(cè)不準(zhǔn)原理等通過(guò)密碼方式暴力破解方式無(wú)異，因?yàn)檫@是物理問(wèn)題，不是計(jì)算方法問(wèn)題。擬態(tài)構(gòu)造的廣義魯棒控制機(jī)制的產(chǎn)生，既不依賴(lài)攻擊者先驗(yàn)知識(shí)和行為特征信息，也不依賴(lài)附加或外置防御措施有效性的擬態(tài)安全效應(yīng)。它廣義上是個(gè)擬態(tài)安全效應(yīng)的內(nèi)生效應(yīng)，并不是刻意把它弄出來(lái)的。內(nèi)生安全目標(biāo)，可應(yīng)對(duì)目標(biāo)對(duì)象漏洞后門(mén)等暗功能引發(fā)的確定風(fēng)險(xiǎn)或不確定性威脅，內(nèi)生安全機(jī)制的有效性，不依賴(lài)外在防御手段或任何先驗(yàn)性知識(shí)，不以系統(tǒng)軟硬件安全可信為前提，適應(yīng)經(jīng)濟(jì)全球化生態(tài)環(huán)境，既能防外部攻擊也能防內(nèi)部作案，安全制度以可控可管手段為基礎(chǔ)，能自然融合附加安全防護(hù)措施，并能獲得超非線(xiàn)性的防御效果。它的異構(gòu)性可以通過(guò)附加防御措施增加它的異構(gòu)性，異構(gòu)體之間如果異構(gòu)度無(wú)窮大的話(huà)，它的安全性也是無(wú)窮大。具有高可靠、高可信、高可用三位一體的魯棒性服務(wù)和控制功能，與傳統(tǒng)加密認(rèn)證方法一旦破解即可崩潰問(wèn)題不同，即使被成功也只是一次，極低的概率。

因此，安全的東西可以經(jīng)過(guò)標(biāo)定設(shè)計(jì)、可驗(yàn)證度量的廣義魯棒性范疇。擬態(tài)防御場(chǎng)景數(shù)量、防御場(chǎng)景之間的相異度，多模輸出矢量?jī)?nèi)容豐度，裁決空間與裁決策略、擬態(tài)界設(shè)置層面、調(diào)度策略和多維重構(gòu)策略、魯棒控制算法都能調(diào)整它的概率。擬態(tài)構(gòu)造的穩(wěn)定魯棒性和服務(wù)的品質(zhì)魯棒性可標(biāo)定設(shè)計(jì)，能用經(jīng)典可靠性驗(yàn)證理論和注入測(cè)試方法來(lái)驗(yàn)證和度量，不是讓黑客測(cè)試。

迄今為止，尚沒(méi)有一種信息服務(wù)裝置或網(wǎng)絡(luò)安全設(shè)備可以接受廣義魯棒性注入測(cè)試和度量（白盒測(cè)試），包括移動(dòng)目標(biāo)防御MTD為代表的各種動(dòng)態(tài)防御或者加密認(rèn)證、可信計(jì)算類(lèi)的底線(xiàn)防御。DHR構(gòu)造建立在跨領(lǐng)域的理論技術(shù)創(chuàng)新基礎(chǔ)之上，以相對(duì)正確公理為核心，以系統(tǒng)工程理論為主線(xiàn)，以非相似余度架構(gòu)與魯棒控制理論和技術(shù)為基礎(chǔ)，以可靠性驗(yàn)證理論和方法為定性、定量測(cè)試評(píng)估手段。沒(méi)法定量測(cè)試擬態(tài)解決問(wèn)題，可以用概率表示，擬態(tài)構(gòu)造的集約化效應(yīng)，主動(dòng)與被動(dòng)防御一體化，內(nèi)生安全與可靠性一體化，服務(wù)提供與安全防護(hù)一體化，防外部與防滲透攻擊一體化。

錢(qián)老先生的系統(tǒng)論對(duì)我有很大的影響，擬態(tài)構(gòu)造內(nèi)生機(jī)制形成的擬態(tài)安全效應(yīng)，為自主可控、安全可信開(kāi)辟出一條基于系統(tǒng)工程理論和方法的實(shí)現(xiàn)途徑。

當(dāng)然，因?yàn)閿M態(tài)要異構(gòu)，這種異構(gòu)冗余帶來(lái)了設(shè)計(jì)、體積、成本、功耗和復(fù)雜度的增加，需要實(shí)現(xiàn)技術(shù)方面的再創(chuàng)新，但在同等功能性能條件下擬態(tài)系統(tǒng)具有傳統(tǒng)系統(tǒng)不可比擬的綜合性?xún)r(jià)比優(yōu)勢(shì)。至少?zèng)]有0day的問(wèn)題，沒(méi)有漏洞庫(kù)的升級(jí)問(wèn)題，沒(méi)有病毒庫(kù)的修改問(wèn)題，也沒(méi)有殺毒軟件升級(jí)的問(wèn)題。所以，要把握住擬態(tài)這個(gè)條件，需要依賴(lài)軟硬件多樣性、多元化供應(yīng)鏈以及快速式的產(chǎn)業(yè)生態(tài)環(huán)境。

如何保證開(kāi)放式環(huán)境下的一元度和互異性，這既是科學(xué)問(wèn)題也是工程技術(shù)問(wèn)題。不管怎么說(shuō)，不同領(lǐng)域面臨不同實(shí)現(xiàn)技術(shù)挑戰(zhàn)，理論與實(shí)踐的結(jié)合層面仍需要不斷完善或再創(chuàng)新。

國(guó)家自然基金委創(chuàng)新群體項(xiàng)目把網(wǎng)絡(luò)安全與防御機(jī)制的研究作為創(chuàng)新軀體。去年12月18日科學(xué)出版社出版了《網(wǎng)絡(luò)空間擬態(tài)防御導(dǎo)論》，這本書(shū)從理論和原理論證層面顛覆了當(dāng)前圍繞目標(biāo)對(duì)象軟硬件代碼缺陷的攻擊原理與方法。國(guó)家重點(diǎn)研發(fā)計(jì)劃——先進(jìn)防御技術(shù)試驗(yàn)場(chǎng)，完全是擬態(tài)化的網(wǎng)絡(luò)設(shè)備，這將徹底抵消技術(shù)先行者和市場(chǎng)壟斷者通過(guò)隱匿漏洞、植入木馬獲得的單向透明戰(zhàn)略?xún)?yōu)勢(shì)。國(guó)家重點(diǎn)研發(fā)計(jì)劃——內(nèi)生安全的主動(dòng)防御工控系統(tǒng)，重點(diǎn)研究如何用擬態(tài)構(gòu)造技術(shù)改造和升級(jí)工控領(lǐng)域技術(shù)產(chǎn)品，解決工控系統(tǒng)普遍缺乏內(nèi)生防御的問(wèn)題，當(dāng)然還有終結(jié)地下黑市攻擊服務(wù)，黑客攻擊等，構(gòu)建工業(yè)4.0和中國(guó)制造2025時(shí)代三高三位一體內(nèi)生安全的新一代工業(yè)控制系統(tǒng)和裝備。

在網(wǎng)絡(luò)基礎(chǔ)領(lǐng)域，軍事部門(mén)、運(yùn)營(yíng)商，控制領(lǐng)域、電商領(lǐng)域、金融領(lǐng)域都在試點(diǎn)示范，前一段時(shí)間，擬態(tài)域名服務(wù)器正式上線(xiàn)。擬態(tài)固網(wǎng)的應(yīng)用前景很光明，它是構(gòu)造基因，對(duì)芯片、模組、開(kāi)源的軟件硬件、中間平臺(tái)、系統(tǒng)網(wǎng)絡(luò)具有滲透性、普適性、繼承性、集約化的效應(yīng)，所以它具有裂變效應(yīng)。于是，擬態(tài)構(gòu)造理論和方法破解了目標(biāo)對(duì)象軟硬件“暗功能”不能管控的公認(rèn)難題，使得應(yīng)用廣義魯棒控制技術(shù)與方法屏蔽軟硬件產(chǎn)品安全缺陷成為可能。

習(xí)總書(shū)記提出的一體之兩翼，驅(qū)動(dòng)之雙輪發(fā)展戰(zhàn)略，為軍民融合發(fā)展新一代信息技術(shù)和產(chǎn)業(yè)，實(shí)現(xiàn)換道超車(chē)提供創(chuàng)新活力和市場(chǎng)驅(qū)動(dòng)力。在IT/ICT/ICS/CPS等技術(shù)產(chǎn)業(yè)發(fā)展上，中國(guó)有望成為技術(shù)的引領(lǐng)者。

核心知識(shí)產(chǎn)權(quán)包括國(guó)內(nèi)外專(zhuān)利，我們授權(quán)擬態(tài)技術(shù)與產(chǎn)業(yè)創(chuàng)新聯(lián)盟成員單位免費(fèi)使用，在授權(quán)IP基礎(chǔ)上形成的新知識(shí)產(chǎn)權(quán)與授權(quán)者共享且后者只保留獲利權(quán)并自愿放棄單獨(dú)實(shí)施權(quán)，以確保排他性。目前已經(jīng)有60多家單位簽訂了核心授權(quán)協(xié)議。擬態(tài)構(gòu)造應(yīng)用范圍非常寬廣，擁有足夠大的技術(shù)創(chuàng)新空間可容納眾多市場(chǎng)參與者最大程度吸引國(guó)內(nèi)外力量參與擬態(tài)技術(shù)的產(chǎn)業(yè)創(chuàng)新發(fā)展。

標(biāo)定與檢定

擬態(tài)構(gòu)造通常只是增加了產(chǎn)品的廣義魯棒性，故而凡是涉及產(chǎn)品現(xiàn)有標(biāo)準(zhǔn)或規(guī)范，比如路由器按照工信部的標(biāo)準(zhǔn)測(cè)，測(cè)完以后再測(cè)廣義魯棒性。增量性的擬態(tài)防御功能性能的標(biāo)準(zhǔn)或規(guī)范由國(guó)家保密局審批和發(fā)布，其檢測(cè)中心負(fù)責(zé)產(chǎn)品相關(guān)標(biāo)準(zhǔn)復(fù)合型檢測(cè)認(rèn)定。有了國(guó)家權(quán)威部門(mén)主導(dǎo)產(chǎn)品技術(shù)標(biāo)準(zhǔn)和檢測(cè)規(guī)范，保證市場(chǎng)健康，通過(guò)互聯(lián)網(wǎng)測(cè)試就是擬態(tài)，沒(méi)有通過(guò)就不是的。擬態(tài)系統(tǒng)控制與服務(wù)是分離的，現(xiàn)在的互聯(lián)網(wǎng)只是擬態(tài)后面加了一個(gè)結(jié)構(gòu)，使行業(yè)技術(shù)擁有者具有應(yīng)用創(chuàng)新的先發(fā)優(yōu)勢(shì)。

還要有商業(yè)杠桿。由于擬態(tài)構(gòu)造產(chǎn)品的廣義魯棒性是可設(shè)計(jì)標(biāo)定，可驗(yàn)證度量，屬于可精算的概率范圍，滿(mǎn)足保險(xiǎn)服務(wù)的基本要求。于是我們知道，下一步只要能給各類(lèi)擬態(tài)產(chǎn)品的廣義魯棒性精算登記，并能通過(guò)國(guó)家保密局檢測(cè)中心的檢定，保險(xiǎn)業(yè)界愿意提供相關(guān)險(xiǎn)種服務(wù)，包括再保險(xiǎn)服務(wù)，我們可以用保險(xiǎn)級(jí)來(lái)撬動(dòng)產(chǎn)業(yè)發(fā)展和推動(dòng)擬態(tài)技術(shù)的應(yīng)用。

在保險(xiǎn)業(yè)的支持下，擬態(tài)產(chǎn)品將獲得市場(chǎng)先發(fā)優(yōu)勢(shì)，并迫使非廣義魯棒控制功能產(chǎn)品盡快轉(zhuǎn)型升級(jí)。一旦人家拿出擬態(tài)防火墻，你還是用傳統(tǒng)防火墻，用戶(hù)肯定不會(huì)用你的，因?yàn)閿M態(tài)防火墻是有公司保險(xiǎn)的，你沒(méi)有保險(xiǎn)。因此，開(kāi)辟了IT/ICT/ICS技術(shù)產(chǎn)品和控制裝置的保險(xiǎn)業(yè)技術(shù)通道，我們以顛覆性技術(shù)撬動(dòng)了保險(xiǎn)業(yè)，以保險(xiǎn)業(yè)助力網(wǎng)絡(luò)安全增量市場(chǎng)開(kāi)拓，以旺盛市場(chǎng)需求反哺新技術(shù)的成熟與發(fā)展。

這就是我們的產(chǎn)業(yè)發(fā)展路線(xiàn)圖。我大膽預(yù)言，傳統(tǒng)信息技術(shù)產(chǎn)業(yè)將發(fā)生“雪崩運(yùn)動(dòng)”，新一代具有內(nèi)生安全屬性的廣義魯棒控制軟硬件產(chǎn)品必將在網(wǎng)絡(luò)強(qiáng)國(guó)戰(zhàn)略發(fā)展綱要的推動(dòng)下快速崛起，并會(huì)導(dǎo)致現(xiàn)有市場(chǎng)格局“重新洗牌”。