鄔江興院士：工業互聯網安全&擬態防御

尊敬的鄭院士、曹書記、張秘書長，各位學術界的同仁們，很高興在第一屆工業互聯網學術專題論壇上發言，我今天想談的問題是工業互聯網，這個概念很熱，前景也很美好，很誘人，但是我認為工業互聯網的安全挑戰更嚴峻，從某種意義上來說，一個沒有完全保證的工業互聯網，是不會有什么美好前景的，

我今天想談一下工業互聯網的安全有什么共性的解決方案，

首先，工業互聯網也是網路空間Cyberspace的一部分，因此對Cyberspace目前的這樣一種安全問題的本源性認知就變得非常重要了，就是到底安全的問題，它的本源問題是什么，這樣的現象有很多，

我歸納為四個本源性認知，第一個問題就是軟硬構件，不管是OT還是IT，或者是OT加IT，軟硬體構件的設計缺陷導致的安全漏洞不可避免，因為人類科學技術發展和認知水平的階段性特征導致的，所以漏洞問題不可能徹底避免，是因為這個原因，與是否擁有自主知識產權和國產化程度弱相關，

第二，資訊技術產品生態圈中存在的軟硬體后門無法杜絕，這又是什么原因？是因為全球化時代，開放式的產業生態環境，開源的技術模式和你中有我，我中有你的產業鏈，造成了軟硬體后門問題不可能完全杜絕，只要不能掌握整個生態圈，即便你擁有自主知識產權也不能完全解決問題，這不是自主知識產權就可以解決的問題，

第三，現階段人類科技人類尚不能徹查漏洞后門問題，就一般意義而言，窮盡和徹查目標系統軟硬體代碼問題，在可預見的將來，依然是難以克服的科技難題，我們不能也不可能構建一個無毒無菌絕對安全的理想場景，工業互聯網也如此，

第四，資訊產品安全質量尚無有效的控制辦法，比如說一塊幾萬乃至上百億晶體管的集成電路，幾萬乃至上億行代碼的軟體版本，一個復雜的資訊系統，一個工業控制裝置，只要存在一個漏洞，或者植入一個后門，就可能導致整個資訊系統乃至所有相同的設施都遭殃，

因此，軟硬體產品安全質量因為無法從源頭控制與保障，導致Cyberspace快速膨脹程序中，基本安全問題呈幾何級數擴散，網路空間生態圈陷入了回圈污染的狀態，這是必然結果，于是我們就知道了，為什么Cyberspace空間安全問題越來越多，因為資訊化這個美女打開了網路安全的魔盒，

基于這四個本源性認知，我們可以有四個重要推論，第一，凡是采用資源共享機制和層次化垂直處理構造的系統，其服務的可信性都無法自證，也就是說，底層或者低層的漏洞后門、病毒木馬可能導致上層安全措施失效，包括加密，第二的一個復雜系統，附加式安全措施通常不能有效防范目標物件或者主系統當中存在的問題，就是外部的警衛不知道無法管控目標物件內部發生的安全問題，第三，基于攻擊者先驗知識和行為特征的防護技術，無法實時應對基于未知漏洞、未知后門的未知威脅，我叫做3U問題，于是，亡羊補牢的態勢不可能避免，代價高昂不說，還不一定能夠補牢，

第四個問題只要不走旁門外道，前門攻擊總是可以設防，我可以增強密碼，我可以增強刷臉的識別度，只要不走旁門外道，漏洞后門就是走旁門外道的，所以我們說，傳統安全技術應對3U威脅存在著基因缺陷，右邊的圖很漂亮，里面是硬體，然后是服務與應用，還有安全模型，但是每一層我們都可以提出左邊的三個問題，就是存在著未知的軟硬體的漏洞，是不是存在預設的軟硬體后門？是不是存在著短板效應？這樣的一個問題，無論是被保護物件，還是安全守護者，自身都無法回答這些問題，一個360的安全衛士，他沒有漏洞嗎？他沒有后門嗎？我想，無論是誰都不能回答各問題，所以缺乏有效的感知認知就無法對不確定威脅實施有效防御，

這是我們對前面Cyberspace問題的基本認知，實際上也是我們對工業互聯網安全的基本認知，于是，工業互聯網存在著更為嚴峻的安全威脅，如果說我們現在的消費互聯網是對人，人還是有很大的抗干擾能力盡管有受騙上當的行為，但是機器幾乎是沒有太多的認知的，所以不僅是受騙上當，任何一個指令都會做，

我們首先看工業互聯網的內涵，這里面有各種各樣的說法，核心是資訊化與工業化兩化融合背景下，IT技術加OT技術加互聯網技術，就是工業互聯網，我特別把IT技術和互聯網分開，因為IT技術早于互聯網，OT技術早于IT技術，

這是融合發展的創新產物，這條線上我們可以看到，上側是IT，是互聯網發展的軌跡，50年的發展軌跡，下面是OT網路，是從工業革命2.0開始之后的概念，所以發展得更早，我們可以看到，他們在2000年前后出現了融合和交匯的部分，這也是我們看到的技術發展的趨勢，正在向融合方向邁進，

因為我們可以看到從當初的檔案資訊到互聯網+，工業從數控、計算機輔助設計與制造，最后成為了工業互聯網，這里的工業是IT+OT+互聯網，于是我們可以看到，在工業里面原來是有自動控制，領域專用，物理隔離、確定性能服務、高可靠、高可用，有合規性操作問題，不考慮蓄意破壞的問題，工業互聯網是人機物互聯，高可用，高可靠，但是服務確定性有怎么保證，低時延大連接怎么保證，尤其是高可信資料安全怎么保證？如果沒有這一條，因此，工業互聯網安全問題，也屬于網路空間安全范疇，漏洞后門的危害可能比傳統互聯網大，我們看一下它的演進趨勢，三個網在一個企業內部，有一個企業資訊網，有一個工業控制網，還有外部的互聯網，工業控制網里面盡管存在著漏洞后門問題，因為它是物理隔離的，如果要遵守這個規則，外來的攻擊通常不可達，所以除非人為操作失誤，系統安全是基本可控的，所以我們說人為操作失誤是最大的安全隱患，在OT的情況下，

企業資訊網漏洞后門問題同樣存在，但是物理隔離使之很難被利用，除非有內鬼通過不合規操作，利用U盤，把攻擊代碼植入企業資訊網內，但是基本上還是安全的，所以因此，內鬼是企業網最主要的安全威脅，

再來看互聯網，互聯網的問題大家很清楚，它的核心問題就是基于漏洞后門的未知攻擊是最難防范的安全，也是目前最大的安全威脅，沒有之一，在這種情況下我們看到，企業內部面向三個網有融合了，首先是兩化融合的需要，使企業資訊化不可避免地要與工業控制網路實作互聯互通，網關成為剛需的同時，網間物理隔離不再能被確保，也就是供給可達性的問題，工廠內資訊資訊化和工業控制網通過了網關進行了連接，

隨著全球化、互聯網+的時代到來，資訊孤島的狀況無法適應生產和管理模式的轉變，連接互聯網成為剛需，泛在化的安全威脅隨之而來，突出問題就是攻擊可達性，使得企業網和工業控制網內原生的漏洞后門問題凸顯，包括防火墻、網關、附加安全設施、自身的軟體代碼問題，也就是說，原來的企業網不是安全的，有內生安全缺陷，有大量的漏洞和后門，就像奧巴馬跟習主席說的一樣，奧巴馬說你們這些東西我動動手腳你們就完了，所以我們在三峽的檢查中發現有2000多漏洞，

所以我從三級網路結構來講，互聯網有現場級、車間級、工廠級，大量的資訊技術的東西，由于通了，攻擊可達性達成了，原生的漏洞和后門問題將成為新的攻擊可利用的資源，所以僅靠自身安全性都無法保證的防火墻、身份認證、合規性檢查等附加型的或者外掛式的軟硬體的防護措施，有些甚至會影響服務的確定性，難以有效應對基于軟硬體未來漏洞后門等的不確定威脅，所以一看到工業系統的時候，我真的是很震驚，但是也沒有什么好震驚的，因為原來是一個生活在一個隔離圈里的人，是一個無菌房間，

現在突然暴露在充滿細菌的環境下，這是很自然的一個情況，對于我們來說很驚訝，尤其是在全球化時代下，怎么去解決這些問題？特別是分布在全球的分工的協作，分布在全球的上下游企業件的協作，分布在全球的企業分支、云端服務、移動辦公，包括支撐工廠運行的運營環境，物流、水電汽暖、金融，全球化的接入需求每一個節點都暴露在充滿各種安全威脅的網路空間環境下，大量成功攻擊案例表明，邊界防護模式已經無法再延續物理隔離的奇跡了，所以，谷歌提出了零信任架構，就是從邊界防護到重點防護的轉變，核心思想是基于用戶身份受管設備的動態多輪認證，和基于實時指紋與用戶歷史行為的打分機制，包括精準化、層次化的資源訪問控制，架構是一種網路部署方式，從邊界防護到重點防護，但是，零信任架構依然面臨著嚴峻的安全挑戰，比如說這些設施唯一身份標識的各種資料庫，3U問題同樣存在，一旦資料庫被攻陷，零信任架構就會崩塌，同樣的道理，訪問控制引擎中的未知漏洞后門，一旦被攻擊者成功利用，訪問授權控制功能就可能被旁路或者繞過，如何應對基于訪問控制引擎和認證資料庫未知漏洞后門的不確定攻擊？零信任架構自身不可能給出滿意答案，在全球化、大規模應用部署導致了網路物理邊界的不確定，

我們可以看到，在一個工廠，IT、OT扁平化的融合網路，當連接的網路設備激增我們看到設備接入種類繁多，有線、無線等接入方式的靈活，在這種情況下我們可以看到，網路扁平化的演進與泛在化的接入需求導致了邏輯邊界模糊化，在這樣的情況下，物理邊界的不確定，加上邏輯邊界的模糊化，接入方式的多樣化，加上設備數量的規模化，漏洞后門資源極大豐富，基于軟硬體代碼缺陷的攻擊就成為了最大的安全威脅，所以說，為什么更加嚴峻？對安全毫無知識的領域要去面對那么復雜的互聯網環境，不嚴峻是不可能的，

我們該怎么辦？匯入擬態理論和構造，就是廣義魯棒控制和內生安全，是IT的新技術，內生安全缺陷要通過內生安全功能來克服，用8122來描述一下擬態，針對一個前提，就是防范未來漏洞后門等不確定威脅，基于一個公理，相對正確的公理，依據一個發現，熵不減系統能穩定抵抗未知攻擊，借鑒兩種理論，可靠性理論與自動控制理論，發明一種構造，動態異構冗余構造，我們匯入一種機制，叫做擬態偽裝機制，形成一種效益，測不準效應，

獲得一種功能，內生安全功能，達到了一種效果，融合現有安全技術可以指數量級提升防御增益，實作兩個目標，歸一化處理傳統安全和非傳統安全問題，獲得了廣義魯棒控制的屬性，所以擬態防御不僅僅是防御技術，應該是一個內生的構造技術，我們叫做廣義控制技術，產生的效果是內生安全效果，就是系統設計出來的時候就有這個，而不是靠你加防火墻才可以解決的問題，

可以提供一種在不依賴攻擊者先驗知識和行為特征資訊情況下，將網路空間不確定安全威脅問題，歸一化為可靠性與魯棒控制理論和技術能夠解決的問題，我們知道可靠性和魯棒控制理論發展得相當成熟，把這個不確定威脅問題歸一化，這個解決問題建立在堅實的理論基礎上，

這是擬態構造的模型，這個發行里面很簡單，中間是各種執行體，外層是擬態框，對基于反饋函式的控制器，我們可以賦予各種演算法，就像控制OT里面的話，賦予不同的控制率，控制效果就不同，在這種情況下，匯入這類機制就可以使擬態構造產生一種類似于擬態偽裝的機制，這個圖很著名，這是擬態章魚，如果我不說大家可能不知道這是章魚，但是這個章魚所表現出的形態是各種各樣的，

在這種情況下我們又構造了一個基于一致性判別，可迭代收斂的反饋控制場景，我們將單一場景變換到多維場景將靜態場景變換到動態場景將同構場景變換到異構場景，將開環場景變換到倍訓場景，極大的增強了內外勾結、協同作弊的難度，所以形成了一種效益，我叫做測不準效應，獲得了一種功能叫做內生安全功能，

它的指數量級提升了攻擊門檻任何利用個性化漏洞后門的攻擊在機理上無效，任何試錯或盲攻擊都將導致當前防御場景改變，也就是說任何協同攻擊即便成功也很難穩定地維持和重復再現，某種意義上宣判了基于軟硬體代碼整個漏洞后門的攻擊理論和方法的終結，我們給了一個可視化的表達，最左邊是異構庫，生成異構執行體，通過調度，來提供服務，然后通過策略裁決，得到一個結果，這個動態是基于裁決的動態，不是盲目的動態，

在這種情況下，我們能夠把傳統和非傳統安全問題，通過擬態構造，變換為一個擬態界內同時出現多數一致性錯誤的概率問題，這個可以通過量化控制來調整，所以我們匯入基于擬態偽裝的策略的反饋控制函式，就能夠有效地阻止試錯式的協同或非協同攻擊，使得攻擊效果無法評估，攻擊經驗難以繼承，攻擊場景難以復現，獲得的廣義魯棒控制的屬性，能夠防范已知的未知風險，也能防范不確定風險，也能抑制隨機性差模和共模故障產生的擾動，它是用系統架構技術滿足高可靠、高可信、高可用一體化的應用要求，這是工業互聯網的必須的性質，

我介紹一下擬態技術的狀態，擬態防御是可量化設計、可驗證度量的，所以對于不確定性威脅的防御和感知能力，是可以設計的，能夠顯著地增加攻擊者的成本和代價，具有獨特的內生安全效應，能夠適應全球化產業生態環境，我們不使用美國人的東西，因為它是構造形東西做的，可以自然繼承或融合資訊技術和安全技術成果，具有全生命周期高性價比優勢，不需要每天殺毒，這些在擬態里就不是什么事了，每年有一個例檢就可以了，所以擬態的防御，可靠性、可用性、抗攻擊型可量化設計，我們借助可靠性驗證理論和注入測驗方法定量檢定，全球迄今尚沒有一種ICT或者CPS或者IT產品，可以利用白盒實驗進行安全性測驗和度量我們知道可靠性技術需要通過白盒驗證，而不是用黑盒測驗，

應該說，擬態技術顛覆了基于目標物件軟硬體漏洞后門等暗功能的攻擊理論和方法，抵消了技術和市場先行者在網安領域的戰略優勢，比如美國人在這一方面具有安置后門和漏洞的優勢，這種在擬態是蕩然無存的，所以改變了網路空間游戲規則，我們現在已經產生了各種交換機、陸游及、網關、檔案系統，大概有10余類20多種擬態構造產品，涉及IT、ICT、CPS多個領域，實踐證明，產品性能穩定可靠，技術具有普適性，費效比顯著，

在工信部的指導下，從去年1月份開始了系列化的構造設備的提供和驗證，目前所有的設備已經得到了全面驗證，產生了一個PB的資料，工信部起范了示范試點工程作為驗收，我們對工業互聯網的各種部件，我們要賦予一種內生安全，我們提出了以工業互聯網擬態化的技術體系，我稱之為擬態之樹，就像曹書記說的5G之花，現在是擬態之樹，

從土壤層分、樹根、樹干、樹枝、樹葉、果實，每一個層面都有完整的生態，而不是靠一兩件法寶解決，而是一個生態，我們可以看到，在這樣的生態下，工業互聯網擬態產品的布局非常豐富，從下面的芯片、設備、模組，都可以做，所以富有吸引力的產業前景和五巨大的市場容量，足夠寬廣的技術與產品創新空間，賦予工業互聯網軟硬體產品不可或缺的內生安全基因，因此我們有可能在引領全球OT和IT技術和產業發展的新潮流，在這種情況下我強調一點，擬態構造的案與軟硬構件的多樣性呈指數關系，從技術上解決了開放性與安全性統一問題，回答了習總書記提出的一體兩翼、雙輪驅動的抓手問題，

去年5月份成立了擬態技術產業聯盟，會員已經達到了100多家，希望我們實作換道超車，我本人是理事長，所以有愿意參加的都可以來報名，謝謝，

 本文來源：中國資訊產業網

標籤：其他

上一篇：鄔江興院士：多模態智慧網路與內生安全

下一篇：鄔江興院士：魯棒控制與內生安全