◎鄔江興

中國工程院院士、解放軍信息工程大學教授鄔江興在“互聯(lián)網(wǎng)之光”博覽會介紹擬態(tài)防御原理（圖片來源：大河網(wǎng)）

當前，我國已邁入實現(xiàn)“第一個百年目標”的沖刺階段，面臨實現(xiàn)中華民族偉大復興中國夢的關(guān)鍵時期。與此同時，我們面臨的各種外部壓力和風險挑戰(zhàn)急劇增多。從安全的角度來看，我們面臨“修昔底德陷阱”，即“新興大國”和“守成大國”之間爆發(fā)戰(zhàn)爭沖突的可能性會增大。從發(fā)展的角度看，我們面臨“中等收入陷阱”，即一國的人均GDP到了“中等收入”階段，如果不能成功實現(xiàn)經(jīng)濟發(fā)展方式的轉(zhuǎn)型，就無法跨入高收入國家行列?？朔邢拶Y源的矛盾，同時跨越“兩大陷阱”，關(guān)鍵在于實現(xiàn)軍事優(yōu)勢、經(jīng)濟優(yōu)勢的良性循環(huán)。歷史上，能夠長期保持強大的所有強國都在經(jīng)濟優(yōu)勢與軍事優(yōu)勢之間建立了良性循環(huán)。美國能夠長期保持超級大國地位，關(guān)鍵是能夠?qū)⒂邢拶Y源打造為雙向互動的“生產(chǎn)力”和“戰(zhàn)斗力”，這也是我們跨過“兩大陷阱”的核心要義。黨的十八大以來，以習近平同志為核心的黨中央把軍民融合發(fā)展上升為國家戰(zhàn)略。這既是興國之舉，又是強軍之策，吹響了富國和強軍相統(tǒng)一的號角。無論是《關(guān)于經(jīng)濟建設(shè)和國防建設(shè)融合發(fā)展的意見》出臺，還是中央軍民融合發(fā)展委員會的成立，都是要打破軍民兩大體系的界限，使得“生產(chǎn)力發(fā)展”和“戰(zhàn)斗力生成”相互轉(zhuǎn)化、相得益彰，保障中華民族和平崛起、永續(xù)發(fā)展。

信息時代給我們帶來生活和工作樂趣的同時，網(wǎng)絡(luò)安全問題像幽靈一般成為揮之不去的夢魘。網(wǎng)絡(luò)空間“易攻難守”的不平衡或不對稱現(xiàn)狀，使得少數(shù)組織甚至個人就能挑戰(zhàn)整個網(wǎng)絡(luò)世界的安全秩序。

習近平總書記《在網(wǎng)絡(luò)安全和信息化工作座談會上的講話》中指出，“從世界范圍看，網(wǎng)絡(luò)安全威脅和風險日益突出，特別是國家關(guān)鍵信息基礎(chǔ)設(shè)施面臨較大風險隱患，難以有效應(yīng)對國家級、有組織的高強度網(wǎng)絡(luò)攻擊。這對世界各國都是一個難題，我們當然也不例外”。

在經(jīng)濟技術(shù)全球化浪潮的推動下，世界各國都面臨全球化帶來的許多新挑戰(zhàn)。2011年12月，美國國家科學技術(shù)委員會在《可信網(wǎng)絡(luò)空間：聯(lián)邦網(wǎng)空安全研發(fā)戰(zhàn)略規(guī)劃》中也指出：在經(jīng)濟全球化、產(chǎn)業(yè)技術(shù)國際化大趨勢下，“網(wǎng)絡(luò)空間任何信息系統(tǒng)只要在設(shè)計鏈、生產(chǎn)鏈以及供應(yīng)鏈等環(huán)節(jié)存在可信度或安全風險不受控的情形，就無法從根本上消除信息系統(tǒng)或網(wǎng)絡(luò)基礎(chǔ)設(shè)施的安全漏洞”。這句話揭示了：在目前全球化大背景下，信息系統(tǒng)的安全漏洞問題非常嚴重，網(wǎng)絡(luò)空間的安全形勢非常嚴峻。

現(xiàn)有的各種信息裝置和服務(wù)系統(tǒng)，從芯片、板卡、軟硬件部件、信息系統(tǒng)乃至平臺和網(wǎng)絡(luò)，甚至密碼裝置，可以確保安全可信嗎？這個問題恐怕再高明的密碼或安全專家也沒有辦法回答。我們稱這種現(xiàn)象叫信息裝置和服務(wù)設(shè)施的安全之殤。如何才能在全球化環(huán)境下基于可信性不能確保的軟硬件供應(yīng)鏈，構(gòu)建自主可控、安全可信的信息系統(tǒng)或設(shè)施，這是科技界和工業(yè)界無法再回避的技術(shù)挑戰(zhàn)，也是國家安全必須直面的戰(zhàn)略性問題。

網(wǎng)絡(luò)空間擬態(tài)防御將改變網(wǎng)絡(luò)安全游戲規(guī)則（圖片來源：大河網(wǎng)）

一、網(wǎng)絡(luò)空間最嚴重的安全威脅

1.網(wǎng)絡(luò)空間最嚴重的安全威脅之一——安全漏洞

網(wǎng)絡(luò)空間最嚴重的安全威脅之一是安全漏洞。漏洞通常是指，在硬件、軟件或協(xié)議等的具體實現(xiàn)或系統(tǒng)安全策略上存在的缺陷，從而可以使攻擊者能夠在未經(jīng)授權(quán)下訪問或破壞信息系統(tǒng)。據(jù)來自中國國家信息安全漏洞庫的資料，2015年檢測到的瀏覽器漏洞數(shù)比2014年增長37%，操作系統(tǒng)漏洞數(shù)增長73%。而令人擔憂的問題是，未能檢出的漏洞有多少？更為糟糕的是，人類現(xiàn)有的科技能力尚無法從理論和實踐上徹底避免漏洞問題。漏洞是人類設(shè)計缺陷造成的，而設(shè)計缺陷又跟人的認知水平有關(guān)。上個世紀60年代末，美國科學家們發(fā)明Internet，那個時候的基本技術(shù)訴求只是想把各個孤立的計算機或網(wǎng)絡(luò)互連起來為大家共享使用，最后卻發(fā)展成了今天的全球互聯(lián)網(wǎng)。當初創(chuàng)造Internet的是一幫正人君子，絕沒想到后來網(wǎng)上會出現(xiàn)那么多的小人。

網(wǎng)絡(luò)空間擬態(tài)防御發(fā)布現(xiàn)場（圖片來源：大河網(wǎng)）

2.網(wǎng)絡(luò)空間最嚴重的安全威脅之二——軟硬件后門

網(wǎng)絡(luò)空間最嚴重的安全威脅之二是軟硬件后門。通常是指留在軟硬件系統(tǒng)中的惡意代碼，為特殊使用者通過特殊方式繞過安全控制環(huán)節(jié)而獲得系統(tǒng)訪問權(quán)的方法與途徑。僅就2014年中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報告的數(shù)據(jù)來看，2014年中國境內(nèi)被篡改網(wǎng)站數(shù)量較2013年增長53.8%。2014年我國境內(nèi)4萬多個網(wǎng)站被植入后門，其中政府網(wǎng)站就達1500多個。與漏洞同樣的問題是，查不出的后門有多少？更為嚴峻的是，在供應(yīng)鏈全球化時代下，“你中有我，我中有你”是必然趨勢。因而，在相當時期內(nèi)，后門將是無法杜絕的。

3.“棱鏡門”事件及相關(guān)事件的啟迪

“棱鏡門”事件披露了大量的關(guān)于硬件后門的黑幕信息，嚴重打擊了國際社會全球化的信心，給貿(mào)易自由化帶來了長期的負面影響。即使在網(wǎng)絡(luò)安全與信息技術(shù)最發(fā)達的美國，2017年國防授權(quán)法案中也提出了“如何保證來自全球化市場、商用等級、非可信源構(gòu)件的可信性問題”。其實這個問題2005年美國人就提出了相關(guān)的國家研究計劃，可是到2016年，十二年過去了，這個問題依然沒有得到有效的解決。今天，美國國會繼續(xù)在國防授權(quán)法里面要求為此撥款研究。一個典型的例子是，據(jù)美國一家著名戰(zhàn)略咨詢公司的報告稱，如果不利用全球化市場和技術(shù)資源，據(jù)估算，F(xiàn)22戰(zhàn)斗機所有零部件完全靠美國自主設(shè)計和加工生產(chǎn)，到2015年，單機價格很可能超過30億美元，即使是最富有的美國人在技術(shù)和經(jīng)濟上也都是無法承受的。

4.網(wǎng)絡(luò)空間最嚴重的安全威脅之三——網(wǎng)絡(luò)空間中存在巨大的未知數(shù)

網(wǎng)絡(luò)空間最嚴重的安全威脅之三是網(wǎng)絡(luò)空間中存在巨大的未知數(shù)。我們已知的漏洞和后門就如同浩瀚宇宙中的一點點塵埃，絕大多數(shù)漏洞后門仍然是未知的，在數(shù)學上根本給不出任何有意義的數(shù)據(jù)。其中的一個重要原因就是，迄今為止，人類尚未形成窮盡復雜信息系統(tǒng)漏洞和徹查后門的理論與方法。在“設(shè)計缺陷與不可信開放式供應(yīng)鏈”條件下，無論從技術(shù)或經(jīng)濟上都不可能徹底保證網(wǎng)絡(luò)空間（包括核心信息裝備或關(guān)鍵信息基礎(chǔ)設(shè)施）構(gòu)成環(huán)境內(nèi)“無毒無菌”的安全性要求。

擬態(tài)安全作用域

5.基于未知漏洞后門等的未知攻擊

從網(wǎng)絡(luò)防御者角度來看，基于未知漏洞或利用未知后門實施的未知攻擊屬于“未知的未知”安全威脅，也即不確定性威脅，這是網(wǎng)絡(luò)安全領(lǐng)域最令人惶恐不安的威脅。因為我們永遠無法知道攻擊者在什么時候、用什么手段、經(jīng)過何種途徑進入目標對象，正在干什么，已經(jīng)干了什么，未來可能干什么等一系列問題，更不知道從何處下手才能實施有針對性的防御。這是最具挑戰(zhàn)性的安全問題，也是最使人抓狂的安全威脅，沒有之一。一個說不清道不白的問題是，這些信息設(shè)備和安全防護裝備自身安全嗎？以加密機為例，加密部件本身是不是存在一些病毒或者木馬呢？這是任何廠家都沒有辦法回答的問題。目前所知許多被破譯的密碼，其中被暴力破解的微乎其微，大部分是通過加密機本身的缺陷將密碼破解。在安全領(lǐng)域，大家以后可能會經(jīng)常見到一個名詞叫“未見異?！保@個詞以前可是醫(yī)學檢查報告里常見的。醫(yī)學上對“未見異?！钡闹赶蛐允欠浅Ｃ鞔_的，這句話應(yīng)該這么理解，不是你沒有病，而是說我的水平?jīng)]有檢察出你有什么病癥。現(xiàn)在網(wǎng)絡(luò)安全領(lǐng)域的檢查也開始用這個詞了，“未見異?！?，必須正確認識，否則會大錯特錯的。

6.風險與不確定性問題的經(jīng)濟學區(qū)別

美國經(jīng)濟學家佛蘭克·奈特對風險和不確定威脅有段富有哲學和數(shù)學意味的描述，大概的意思說，已知的未知屬于風險，風險可以用概率來表述，而未知的未知屬于不確定威脅，不確定性則是不知道概率的情形。

“互聯(lián)網(wǎng)之光”擬態(tài)防御展臺（圖片來源：大河網(wǎng)）

二、傳統(tǒng)防御體系的脆弱性

1.網(wǎng)絡(luò)空間傳統(tǒng)（主被動）防御體系

網(wǎng)絡(luò)空間現(xiàn)有的防御體系，是基于威脅特征感知的精確防御。建立在“已知風險”甚至可以是“已知的未知風險”前提條件下，必須獲得攻擊來源、攻擊特征、攻擊途徑、攻擊行為、攻擊機制等先驗知識才能實施有效防御。更為嚴峻的是，網(wǎng)絡(luò)空間信息系統(tǒng)架構(gòu)和防御體系本質(zhì)上說都是靜態(tài)、相似和確定的，體系架構(gòu)透明脆弱、又缺乏多樣性，缺陷持續(xù)暴露易于攻擊，從而成為網(wǎng)絡(luò)空間最大的安全黑洞。這種“亡羊補牢式”的防御體系屬于后天獲得性免疫，一般是將加密認證技術(shù)作為底線防御手段。

2.應(yīng)對不確定威脅的體系脆弱性

傳統(tǒng)防御體系應(yīng)對不確定危險方面的體系脆弱性，其實是一種基因缺陷。大量未知的軟硬件漏洞，預(yù)設(shè)的軟硬件后門，以及同一處理空間共享資源運行機制等，都使得整個系統(tǒng)處在可信性不能確保的生態(tài)環(huán)境中。即使是自主設(shè)計的CPU、操作系統(tǒng)、數(shù)據(jù)庫等，也無法確保沒有設(shè)計漏洞，更沒有辦法完全避免使用開源軟硬件代碼而引入的后門或陷門問題。因此，才有我們時常聽到的“自主決不等于可控，可控更不等于可信”的說法。傳統(tǒng)防御體系的“軟肋”是不能感知和認知不確定性危險，而作為底線防御的加密或認證手段，并不能確保不被基于未知漏洞后門的未知攻擊旁路或者短路。也就是說，基于可信性不能確保的軟硬件構(gòu)件，想要建立起自主可控、安全可信的防御體系，沒有創(chuàng)新的理論和技術(shù)，此路能通的可能性渺茫。

3.傳統(tǒng)防御體系基因缺陷

傳統(tǒng)防御體系的基因缺陷體現(xiàn)在，無論從理論和實踐上，都無法確保網(wǎng)絡(luò)空間生態(tài)環(huán)境無漏洞無后門。這種基于威脅感知和特征提取的主被動防御體制，在機理上只有點防御功能而沒有面防御功能，以一個功能不完備的防御體系應(yīng)對不確定性威脅注定無解。因為無法保證復雜信息系統(tǒng)或網(wǎng)絡(luò)空間生態(tài)環(huán)境“無漏洞無后門”或者“無毒無菌”，現(xiàn)有的安全防護只能期待“后天獲得性免疫”。通過不斷地亡羊，不停地補牢，不斷地挖掘漏洞和發(fā)現(xiàn)后門，不停地打補丁，殺毒滅馬，封門堵漏等被動的跟隨博弈方式來自我完善。所以說“易攻難守”不對稱現(xiàn)狀是被動防御體系基因缺陷所致，因此被動防御對于不確定威脅如同數(shù)學上求解缺維方程組，理論上無確定解。所以說，網(wǎng)絡(luò)安全嚴重失衡現(xiàn)狀是傳統(tǒng)安全防御理論和技術(shù)體系基因缺陷所致，也并非言過其實。

三、脊椎動物免疫機制的啟示

破解目前網(wǎng)絡(luò)空間安全困局，也許能從生物學的脊椎動物免疫機制獲得靈感。

1.生物免疫與內(nèi)生安全——非特異性免疫

生物免疫是一種內(nèi)生安全，叫非特異性免疫，就是不需要任何特征的免疫。這種與生俱來的能力是生物在漫長進化過程中獲得的一種遺傳特性。它有三個特點，即：

（1）機體對于入侵抗原物質(zhì)的清除沒有特異選擇性；

（2）不受入侵抗原物質(zhì)的影響，也不會因為強弱和次數(shù)有所增減，這部分的抵抗力與每天跑步、游泳、打球等鍛煉沒有關(guān)系，這是遺傳特性；

（3）當抗原物質(zhì)入侵機體以后，首先發(fā)揮作用的是非特異性免疫，而后產(chǎn)生特異性免疫。只有通過非特異性免疫發(fā)現(xiàn)抗原物質(zhì)入侵，才能啟動面防御進而去激發(fā)點防御，而不是直接拿點防御代替面防御，這種面防御是非特異性，不需要知道抗原的具體特征。

2.生物免疫與內(nèi)生安全——特異性免疫

與非特異性免疫相對應(yīng)的是特異性免疫，這是后天獲得性免疫，他具備以下四個特點：

（1）通常只針對一種抗原，需經(jīng)后天（病愈或無癥狀）感染或人工預(yù)防接種（疫苗等）獲得抵抗感染的能力。

（2）機體的二次應(yīng)答只對再次進入的抗原，對于初次侵入抗原無感，不是先天的，一定是通過“吃一塹長一智”的方式完成的。

（3）個體特征存在質(zhì)和量的差異，也即免疫力有高低的區(qū)別。

（4）到現(xiàn)在為止沒有證據(jù)表明特異性免疫獲得的信息能夠遺傳。

3.生物免疫與內(nèi)生安全的關(guān)系

從生物免疫的機理可以看到，非特異性免疫對于侵入機體的抗原是一律通殺，屬于面防御，只有出現(xiàn)漏網(wǎng)之魚的時候才觸發(fā)特異性免疫；特異性免疫是在機體出生后，在非特異性免疫的基礎(chǔ)上，通過抗原的反復刺激后建立的個體保護功能，屬于點防御。類似的，除加密技術(shù)外，現(xiàn)有網(wǎng)絡(luò)空間的防御技術(shù)都屬于點防御性質(zhì)。

生物學的免疫能力，是內(nèi)生安全機制的完美結(jié)合，先天的非特異性免疫負責面防御，后天的特異性免疫負責點防御，即：“點面結(jié)合、融合式防御，與生俱來”。但是生物學界也有一個不解之惑，即：非特異性免疫，究竟是用何種“敵我識別”機制做到既能“通殺任何已知或未知的入侵抗原”又不至于“誤傷自己”；為什么特異性免疫獲得的信息不反饋給非特異性免疫，以實現(xiàn)“不斷增強的遺傳特質(zhì)”？

4.生物免疫與內(nèi)生安全的幾點啟示

（1）網(wǎng)絡(luò)空間因為缺乏基于“內(nèi)生安全”的“面防御”功能，所以到處“跑冒滴漏”，防不勝防。

（2）如何才能在缺乏先驗知識的條件下防御已知安全風險或未知安全威脅，即網(wǎng)絡(luò)空間要具有非特異性免疫功能。

（3）網(wǎng)絡(luò)空間如何才能實現(xiàn)基于內(nèi)生安全的點面融合式防御?？磥恚锝绲淖匀环烙鶛C制遠比人造的網(wǎng)絡(luò)空間要完美的多。因此，網(wǎng)絡(luò)空間防御之道需要從生物學獲得解決問題的靈感。

四、一個重要公理的物理實現(xiàn)

1.“相對正確”或“小概率事件”公理

這個公理的內(nèi)涵是“人人都存在這樣或那樣的缺點，但極少出現(xiàn)獨立完成同樣任務(wù)時，多數(shù)人在同一個地方、同一時間、犯完全一樣錯誤的情形”。這個公理成立的前提條件首先是給定功能或性能等價，即人人都具有獨立完成這個任務(wù)的功能性能；其次人人都不完全相同，包括不同的優(yōu)點和缺點。這個公理有三個核心要素，即：異構(gòu)、冗余和多數(shù)性。

這個公理說明在缺乏對錯標準的情況下，多數(shù)人的意見具有相對高的置信度。盡管，多數(shù)人意見也不總是正確的（因為真理也有時掌握在少數(shù)人手里）。但是，在缺乏對錯標準的情況下，靠相對性作出判斷是合適的。不過相對性也存在一個小概率事件――多數(shù)人也會同時在同一地方犯同樣的錯誤。

2.可靠性領(lǐng)域的應(yīng)用

在可靠性設(shè)計領(lǐng)域就經(jīng)常應(yīng)用此公理的物理表達來解決不確定性故障的挑戰(zhàn)。一個復雜系統(tǒng)的不確定性故障挑戰(zhàn)是指，系統(tǒng)的構(gòu)件物理性失效導致的隨機故障、軟硬構(gòu)件設(shè)計缺陷導致的隨機故障以及何時、何處發(fā)生何種形式的故障。挑戰(zhàn)的場景就是如何提高不確定性失效條件下的系統(tǒng)可靠性?？梢岳玫臈l件是，系統(tǒng)各種零部件出現(xiàn)物理性隨機失效是小概率事件；零部件設(shè)計缺陷導致的隨機性故障也是小概率事件。用相對正確公理的物理表達來解決不確定性故障的問題，就是要將隨機性的不確定性故障，通過這種表達機制轉(zhuǎn)變成一個概率可控的事件。

3.異構(gòu)冗余表決構(gòu)造

異構(gòu)冗余表決機制可以看作是上述公理的物理表達。在這個機制下，同一個輸入激勵，被送到多個功能等價異構(gòu)冗余執(zhí)行體中處理，通過多模表決形成輸出響應(yīng)。由于功能等價異構(gòu)冗余執(zhí)行體的處理空間和實現(xiàn)算法不同，多數(shù)相同導致正確結(jié)果是大概率事件，多數(shù)相同導致錯誤結(jié)果是小概率事件。因此，無論是物理性隨機失效還是設(shè)計缺陷導致的隨機故障，經(jīng)過異構(gòu)冗余表決后，“相對正確”物理機制都可以把不確定故障轉(zhuǎn)化為概率可控事件。