網絡空間擬態防御原理簡介（上）

◎鄔江興

中國工程院院士、解放軍信息工程大學教授鄔江興在“互聯網之光”博覽會介紹擬態防御原理（圖片來源：大河網）

當前，我國已邁入實現“第一個百年目標”的沖刺階段，面臨實現中華民族偉大復興中國夢的關鍵時期。與此同時，我們面臨的各種外部壓力和風險挑戰急劇增多。從安全的角度來看，我們面臨“修昔底德陷阱”，即“新興大國”和“守成大國”之間爆發戰爭沖突的可能性會增大。從發展的角度看，我們面臨“中等收入陷阱”，即一國的人均GDP到了“中等收入”階段，如果不能成功實現經濟發展方式的轉型，就無法跨入高收入國家行列。克服有限資源的矛盾，同時跨越“兩大陷阱”，關鍵在于實現軍事優勢、經濟優勢的良性循環。歷史上，能夠長期保持強大的所有強國都在經濟優勢與軍事優勢之間建立了良性循環。美國能夠長期保持超級大國地位，關鍵是能夠將有限資源打造為雙向互動的“生產力”和“戰斗力”，這也是我們跨過“兩大陷阱”的核心要義。黨的十八大以來，以習近平同志為核心的黨中央把軍民融合發展上升為國家戰略。這既是興國之舉，又是強軍之策，吹響了富國和強軍相統一的號角。無論是《關于經濟建設和國防建設融合發展的意見》出臺，還是中央軍民融合發展委員會的成立，都是要打破軍民兩大體系的界限，使得“生產力發展”和“戰斗力生成”相互轉化、相得益彰，保障中華民族和平崛起、永續發展。

信息時代給我們帶來生活和工作樂趣的同時，網絡安全問題像幽靈一般成為揮之不去的夢魘。網絡空間“易攻難守”的不平衡或不對稱現狀，使得少數組織甚至個人就能挑戰整個網絡世界的安全秩序。

習近平總書記《在網絡安全和信息化工作座談會上的講話》中指出，“從世界范圍看，網絡安全威脅和風險日益突出，特別是國家關鍵信息基礎設施面臨較大風險隱患，難以有效應對國家級、有組織的高強度網絡攻擊。這對世界各國都是一個難題，我們當然也不例外”。

在經濟技術全球化浪潮的推動下，世界各國都面臨全球化帶來的許多新挑戰。2011年12月，美國國家科學技術委員會在《可信網絡空間：聯邦網空安全研發戰略規劃》中也指出：在經濟全球化、產業技術國際化大趨勢下，“網絡空間任何信息系統只要在設計鏈、生產鏈以及供應鏈等環節存在可信度或安全風險不受控的情形，就無法從根本上消除信息系統或網絡基礎設施的安全漏洞”。這句話揭示了：在目前全球化大背景下，信息系統的安全漏洞問題非常嚴重，網絡空間的安全形勢非常嚴峻。

現有的各種信息裝置和服務系統，從芯片、板卡、軟硬件部件、信息系統乃至平臺和網絡，甚至密碼裝置，可以確保安全可信嗎？這個問題恐怕再高明的密碼或安全專家也沒有辦法回答。我們稱這種現象叫信息裝置和服務設施的安全之殤。如何才能在全球化環境下基于可信性不能確保的軟硬件供應鏈，構建自主可控、安全可信的信息系統或設施，這是科技界和工業界無法再回避的技術挑戰，也是國家安全必須直面的戰略性問題。

網絡空間擬態防御將改變網絡安全游戲規則（圖片來源：大河網）

一、網絡空間最嚴重的安全威脅

1.網絡空間最嚴重的安全威脅之一——安全漏洞

網絡空間最嚴重的安全威脅之一是安全漏洞。漏洞通常是指，在硬件、軟件或協議等的具體實現或系統安全策略上存在的缺陷，從而可以使攻擊者能夠在未經授權下訪問或破壞信息系統。據來自中國國家信息安全漏洞庫的資料，2015年檢測到的瀏覽器漏洞數比2014年增長37%，操作系統漏洞數增長73%。而令人擔憂的問題是，未能檢出的漏洞有多少？更為糟糕的是，人類現有的科技能力尚無法從理論和實踐上徹底避免漏洞問題。漏洞是人類設計缺陷造成的，而設計缺陷又跟人的認知水平有關。上個世紀60年代末，美國科學家們發明Internet，那個時候的基本技術訴求只是想把各個孤立的計算機或網絡互連起來為大家共享使用，最后卻發展成了今天的全球互聯網。當初創造Internet的是一幫正人君子，絕沒想到后來網上會出現那么多的小人。

網絡空間擬態防御發布現場（圖片來源：大河網）

2.網絡空間最嚴重的安全威脅之二——軟硬件后門

網絡空間最嚴重的安全威脅之二是軟硬件后門。通常是指留在軟硬件系統中的惡意代碼，為特殊使用者通過特殊方式繞過安全控制環節而獲得系統訪問權的方法與途徑。僅就2014年中國互聯網網絡安全報告的數據來看，2014年中國境內被篡改網站數量較2013年增長53.8%。2014年我國境內4萬多個網站被植入后門，其中政府網站就達1500多個。與漏洞同樣的問題是，查不出的后門有多少？更為嚴峻的是，在供應鏈全球化時代下，“你中有我，我中有你”是必然趨勢。因而，在相當時期內，后門將是無法杜絕的。

3.“棱鏡門”事件及相關事件的啟迪

“棱鏡門”事件披露了大量的關于硬件后門的黑幕信息，嚴重打擊了國際社會全球化的信心，給貿易自由化帶來了長期的負面影響。即使在網絡安全與信息技術最發達的美國，2017年國防授權法案中也提出了“如何保證來自全球化市場、商用等級、非可信源構件的可信性問題”。其實這個問題2005年美國人就提出了相關的國家研究計劃，可是到2016年，十二年過去了，這個問題依然沒有得到有效的解決。今天，美國國會繼續在國防授權法里面要求為此撥款研究。一個典型的例子是，據美國一家著名戰略咨詢公司的報告稱，如果不利用全球化市場和技術資源，據估算，F22戰斗機所有零部件完全靠美國自主設計和加工生產，到2015年，單機價格很可能超過30億美元，即使是最富有的美國人在技術和經濟上也都是無法承受的。

4.網絡空間最嚴重的安全威脅之三——網絡空間中存在巨大的未知數

網絡空間最嚴重的安全威脅之三是網絡空間中存在巨大的未知數。我們已知的漏洞和后門就如同浩瀚宇宙中的一點點塵埃，絕大多數漏洞后門仍然是未知的，在數學上根本給不出任何有意義的數據。其中的一個重要原因就是，迄今為止，人類尚未形成窮盡復雜信息系統漏洞和徹查后門的理論與方法。在“設計缺陷與不可信開放式供應鏈”條件下，無論從技術或經濟上都不可能徹底保證網絡空間（包括核心信息裝備或關鍵信息基礎設施）構成環境內“無毒無菌”的安全性要求。

擬態安全作用域

5.基于未知漏洞后門等的未知攻擊

從網絡防御者角度來看，基于未知漏洞或利用未知后門實施的未知攻擊屬于“未知的未知”安全威脅，也即不確定性威脅，這是網絡安全領域最令人惶恐不安的威脅。因為我們永遠無法知道攻擊者在什么時候、用什么手段、經過何種途徑進入目標對象，正在干什么，已經干了什么，未來可能干什么等一系列問題，更不知道從何處下手才能實施有針對性的防御。這是最具挑戰性的安全問題，也是最使人抓狂的安全威脅，沒有之一。一個說不清道不白的問題是，這些信息設備和安全防護裝備自身安全嗎？以加密機為例，加密部件本身是不是存在一些病毒或者木馬呢？這是任何廠家都沒有辦法回答的問題。目前所知許多被破譯的密碼，其中被暴力破解的微乎其微，大部分是通過加密機本身的缺陷將密碼破解。在安全領域，大家以后可能會經常見到一個名詞叫“未見異常”，這個詞以前可是醫學檢查報告里常見的。醫學上對“未見異常”的指向性是非常明確的，這句話應該這么理解，不是你沒有病，而是說我的水平沒有檢察出你有什么病癥。現在網絡安全領域的檢查也開始用這個詞了，“未見異常”，必須正確認識，否則會大錯特錯的。

6.風險與不確定性問題的經濟學區別

美國經濟學家佛蘭克·奈特對風險和不確定威脅有段富有哲學和數學意味的描述，大概的意思說，已知的未知屬于風險，風險可以用概率來表述，而未知的未知屬于不確定威脅，不確定性則是不知道概率的情形。

“互聯網之光”擬態防御展臺（圖片來源：大河網）

二、傳統防御體系的脆弱性

1.網絡空間傳統（主被動）防御體系

網絡空間現有的防御體系，是基于威脅特征感知的精確防御。建立在“已知風險”甚至可以是“已知的未知風險”前提條件下，必須獲得攻擊來源、攻擊特征、攻擊途徑、攻擊行為、攻擊機制等先驗知識才能實施有效防御。更為嚴峻的是，網絡空間信息系統架構和防御體系本質上說都是靜態、相似和確定的，體系架構透明脆弱、又缺乏多樣性，缺陷持續暴露易于攻擊，從而成為網絡空間最大的安全黑洞。這種“亡羊補牢式”的防御體系屬于后天獲得性免疫，一般是將加密認證技術作為底線防御手段。

2.應對不確定威脅的體系脆弱性

傳統防御體系應對不確定危險方面的體系脆弱性，其實是一種基因缺陷。大量未知的軟硬件漏洞，預設的軟硬件后門，以及同一處理空間共享資源運行機制等，都使得整個系統處在可信性不能確保的生態環境中。即使是自主設計的CPU、操作系統、數據庫等，也無法確保沒有設計漏洞，更沒有辦法完全避免使用開源軟硬件代碼而引入的后門或陷門問題。因此，才有我們時常聽到的“自主決不等于可控，可控更不等于可信”的說法。傳統防御體系的“軟肋”是不能感知和認知不確定性危險，而作為底線防御的加密或認證手段，并不能確保不被基于未知漏洞后門的未知攻擊旁路或者短路。也就是說，基于可信性不能確保的軟硬件構件，想要建立起自主可控、安全可信的防御體系，沒有創新的理論和技術，此路能通的可能性渺茫。

3.傳統防御體系基因缺陷

傳統防御體系的基因缺陷體現在，無論從理論和實踐上，都無法確保網絡空間生態環境無漏洞無后門。這種基于威脅感知和特征提取的主被動防御體制，在機理上只有點防御功能而沒有面防御功能，以一個功能不完備的防御體系應對不確定性威脅注定無解。因為無法保證復雜信息系統或網絡空間生態環境“無漏洞無后門”或者“無毒無菌”，現有的安全防護只能期待“后天獲得性免疫”。通過不斷地亡羊，不停地補牢，不斷地挖掘漏洞和發現后門，不停地打補丁，殺毒滅馬，封門堵漏等被動的跟隨博弈方式來自我完善。所以說“易攻難守”不對稱現狀是被動防御體系基因缺陷所致，因此被動防御對于不確定威脅如同數學上求解缺維方程組，理論上無確定解。所以說，網絡安全嚴重失衡現狀是傳統安全防御理論和技術體系基因缺陷所致，也并非言過其實。

三、脊椎動物免疫機制的啟示

破解目前網絡空間安全困局，也許能從生物學的脊椎動物免疫機制獲得靈感。

1.生物免疫與內生安全——非特異性免疫

生物免疫是一種內生安全，叫非特異性免疫，就是不需要任何特征的免疫。這種與生俱來的能力是生物在漫長進化過程中獲得的一種遺傳特性。它有三個特點，即：

（1）機體對于入侵抗原物質的清除沒有特異選擇性；

（2）不受入侵抗原物質的影響，也不會因為強弱和次數有所增減，這部分的抵抗力與每天跑步、游泳、打球等鍛煉沒有關系，這是遺傳特性；

（3）當抗原物質入侵機體以后，首先發揮作用的是非特異性免疫，而后產生特異性免疫。只有通過非特異性免疫發現抗原物質入侵，才能啟動面防御進而去激發點防御，而不是直接拿點防御代替面防御，這種面防御是非特異性，不需要知道抗原的具體特征。

2.生物免疫與內生安全——特異性免疫

與非特異性免疫相對應的是特異性免疫，這是后天獲得性免疫，他具備以下四個特點：

（1）通常只針對一種抗原，需經后天（病愈或無癥狀）感染或人工預防接種（疫苗等）獲得抵抗感染的能力。

（2）機體的二次應答只對再次進入的抗原，對于初次侵入抗原無感，不是先天的，一定是通過“吃一塹長一智”的方式完成的。

（3）個體特征存在質和量的差異，也即免疫力有高低的區別。

（4）到現在為止沒有證據表明特異性免疫獲得的信息能夠遺傳。

3.生物免疫與內生安全的關系

從生物免疫的機理可以看到，非特異性免疫對于侵入機體的抗原是一律通殺，屬于面防御，只有出現漏網之魚的時候才觸發特異性免疫；特異性免疫是在機體出生后，在非特異性免疫的基礎上，通過抗原的反復刺激后建立的個體保護功能，屬于點防御。類似的，除加密技術外，現有網絡空間的防御技術都屬于點防御性質。

生物學的免疫能力，是內生安全機制的完美結合，先天的非特異性免疫負責面防御，后天的特異性免疫負責點防御，即：“點面結合、融合式防御，與生俱來”。但是生物學界也有一個不解之惑，即：非特異性免疫，究竟是用何種“敵我識別”機制做到既能“通殺任何已知或未知的入侵抗原”又不至于“誤傷自己”；為什么特異性免疫獲得的信息不反饋給非特異性免疫，以實現“不斷增強的遺傳特質”？

4.生物免疫與內生安全的幾點啟示

（1）網絡空間因為缺乏基于“內生安全”的“面防御”功能，所以到處“跑冒滴漏”，防不勝防。

（2）如何才能在缺乏先驗知識的條件下防御已知安全風險或未知安全威脅，即網絡空間要具有非特異性免疫功能。

（3）網絡空間如何才能實現基于內生安全的點面融合式防御。看來，生物界的自然防御機制遠比人造的網絡空間要完美的多。因此，網絡空間防御之道需要從生物學獲得解決問題的靈感。

四、一個重要公理的物理實現

1.“相對正確”或“小概率事件”公理

這個公理的內涵是“人人都存在這樣或那樣的缺點，但極少出現獨立完成同樣任務時，多數人在同一個地方、同一時間、犯完全一樣錯誤的情形”。這個公理成立的前提條件首先是給定功能或性能等價，即人人都具有獨立完成這個任務的功能性能；其次人人都不完全相同，包括不同的優點和缺點。這個公理有三個核心要素，即：異構、冗余和多數性。

這個公理說明在缺乏對錯標準的情況下，多數人的意見具有相對高的置信度。盡管，多數人意見也不總是正確的（因為真理也有時掌握在少數人手里）。但是，在缺乏對錯標準的情況下，靠相對性作出判斷是合適的。不過相對性也存在一個小概率事件――多數人也會同時在同一地方犯同樣的錯誤。

2.可靠性領域的應用

在可靠性設計領域就經常應用此公理的物理表達來解決不確定性故障的挑戰。一個復雜系統的不確定性故障挑戰是指，系統的構件物理性失效導致的隨機故障、軟硬構件設計缺陷導致的隨機故障以及何時、何處發生何種形式的故障。挑戰的場景就是如何提高不確定性失效條件下的系統可靠性。可以利用的條件是，系統各種零部件出現物理性隨機失效是小概率事件；零部件設計缺陷導致的隨機性故障也是小概率事件。用相對正確公理的物理表達來解決不確定性故障的問題，就是要將隨機性的不確定性故障，通過這種表達機制轉變成一個概率可控的事件。

3.異構冗余表決構造

異構冗余表決機制可以看作是上述公理的物理表達。在這個機制下，同一個輸入激勵，被送到多個功能等價異構冗余執行體中處理，通過多模表決形成輸出響應。由于功能等價異構冗余執行體的處理空間和實現算法不同，多數相同導致正確結果是大概率事件，多數相同導致錯誤結果是小概率事件。因此，無論是物理性隨機失效還是設計缺陷導致的隨機故障，經過異構冗余表決后，“相對正確”物理機制都可以把不確定故障轉化為概率可控事件。