網(wǎng)絡(luò)空間內(nèi)生安全

一、引言大量的網(wǎng)絡(luò)安全事件表明，網(wǎng)絡(luò)空間絕大部分安全威脅都是由人為攻擊這個(gè)外因，通過(guò)目標(biāo)對(duì)象自身存在的漏洞后門這個(gè)“內(nèi)生安全問(wèn)題”之內(nèi)因的相互作用而形成的。遺憾的是，迄今為止，傳統(tǒng)的網(wǎng)絡(luò)安全思維模式和技術(shù)路線很少能跳出“盡力而為、問(wèn)題歸零”的慣性思維，挖漏洞、打補(bǔ)丁、封門補(bǔ)漏、查毒殺馬乃至設(shè)蜜罐、布沙箱，層層疊疊的附加式防護(hù)措施，包括內(nèi)置層次化的檢測(cè)構(gòu)造方式（借鑒生物學(xué)的內(nèi)共生思想），在引入安全功能的同時(shí)不可避免地會(huì)引入新的內(nèi)生安全隱患。怎樣才能破解基于內(nèi)生安全問(wèn)題的不確定威脅影響，是既需要重大理論創(chuàng)新又需要重大技術(shù)發(fā)明才能解決的科學(xué)技術(shù)難題。文章從“一切事物都是自在的矛盾、任何事物有利必有弊”的哲學(xué)原理出發(fā)，分析了信息系統(tǒng)“內(nèi)生安全問(wèn)題”存在的必然性，給出了網(wǎng)絡(luò)空間內(nèi)生安全問(wèn)題的概念、特征，指出內(nèi)生安全問(wèn)題作為自在矛盾的一方，在理論和工程層面都不可能徹底消除，需要開發(fā)或利用系統(tǒng)元構(gòu)造（算法）自身的“內(nèi)源性安全效應(yīng)”，或者形成“內(nèi)生的安全體制機(jī)制”才能有效規(guī)避或化解由自在矛盾引發(fā)的安全風(fēng)險(xiǎn)。文章給出了期望的內(nèi)生安全的體制機(jī)制定義和技術(shù)特征，并在可靠性理論與方法的啟示下，通過(guò)“相對(duì)正確公理”的再發(fā)現(xiàn)，在香農(nóng)信道編碼糾錯(cuò)理論基礎(chǔ)上創(chuàng)立了編碼信道理論，發(fā)明了動(dòng)態(tài)異構(gòu)冗余架構(gòu)（DHR），闡述了DHR架構(gòu)能夠歸一化地處理傳統(tǒng)可靠性問(wèn)題與非傳統(tǒng)網(wǎng)絡(luò)安全問(wèn)題的原理。二、網(wǎng)絡(luò)空間“內(nèi)生安全問(wèn)題”（一）內(nèi)生安全問(wèn)題的定義和內(nèi)涵信息世界網(wǎng)絡(luò)空間與現(xiàn)實(shí)世界物理空間一樣有著相同的哲學(xué)本質(zhì)，如同德國(guó)哲學(xué)大師黑格爾所說(shuō)的那樣“一切事物都是自在（內(nèi)生）的矛盾，矛盾是一切運(yùn)動(dòng)和生命力的根源”。矛盾的同一性是事物存在和發(fā)展的前提，且互為發(fā)展條件。矛盾的斗爭(zhēng)性則會(huì)促進(jìn)矛盾雙方此消彼長(zhǎng)，造成雙方力量的發(fā)展不平衡，為對(duì)立面的轉(zhuǎn)化和事物質(zhì)變創(chuàng)造條件。以信息技術(shù)為例：大數(shù)據(jù)技術(shù)能夠根據(jù)算法和數(shù)據(jù)樣本發(fā)現(xiàn)未知的規(guī)律或特征，而蓄意污染數(shù)據(jù)樣本、惡意觸發(fā)算法缺陷也能使人們誤入歧途；區(qū)塊鏈技術(shù)開辟了無(wú)中心記賬方式的新紀(jì)元，51%的共識(shí)機(jī)制卻不能避免市場(chǎng)占有率大于51%的COTS級(jí)軟硬件產(chǎn)品中的漏洞后門問(wèn)題。當(dāng)代計(jì)算技術(shù)的發(fā)展使人類步入了輝煌的信息時(shí)代，但是既有的計(jì)算技術(shù)本身的安全缺陷也使得網(wǎng)絡(luò)空間充滿風(fēng)險(xiǎn)和不確定威脅。由此可見，內(nèi)生安全問(wèn)題與內(nèi)生安全機(jī)制是同一系統(tǒng)構(gòu)造或算法在不同應(yīng)用目標(biāo)、不同使用場(chǎng)景、不同技術(shù)條件下的不同形態(tài)表現(xiàn)，符合矛盾的對(duì)立統(tǒng)一規(guī)律。網(wǎng)絡(luò)世界也概莫能外，一個(gè)軟硬件構(gòu)造或算法除本征（元）功能之外，總存在著伴生/衍生的顯式副作用或隱式暗功能，如果其中的一些副作用或暗功能被某種自然或人為因素觸發(fā)，影響到本征功能的正確表達(dá)，則稱這類副作用和暗功能為網(wǎng)絡(luò)空間“內(nèi)生安全問(wèn)題”。內(nèi)生安全問(wèn)題可以進(jìn)一步抽象為兩類問(wèn)題。一類是狹義內(nèi)生安全問(wèn)題，特指一個(gè)軟硬件實(shí)體除了設(shè)計(jì)的本征或元功能之外，總存在包括副作用、脆弱性、自然失效等因素在內(nèi)的顯式或隱式表達(dá)的非期望功能；另一類是廣義內(nèi)生安全問(wèn)題，專指在狹義內(nèi)生安全問(wèn)題之上，還包括蓄意讓最終用戶不可見的設(shè)計(jì)功能，或所有未向使用者明確聲明或披露過(guò)的軟硬件隱匿功能，例如刻意設(shè)計(jì)的前門、后門、陷門等“暗功能”問(wèn)題。（二）內(nèi)生安全問(wèn)題的特性由內(nèi)生安全問(wèn)題的定義和內(nèi)涵，可以歸納總結(jié)出內(nèi)生安全問(wèn)題所具有的特性。1.存在的必然性漏洞和后門總是時(shí)不時(shí)被人們發(fā)現(xiàn)，從未間斷過(guò)。根據(jù)統(tǒng)計(jì)規(guī)律，漏洞的數(shù)量與代碼數(shù)量存在一定的比例關(guān)系，隨系統(tǒng)復(fù)雜性的增加和代碼數(shù)量的增大，漏洞數(shù)量也隨之增加。同時(shí)，由于全球化經(jīng)濟(jì)的發(fā)展和產(chǎn)業(yè)分工的專門化、精細(xì)化，集成創(chuàng)新或制造成為普遍的生產(chǎn)組織模式，各種產(chǎn)品的設(shè)計(jì)鏈、工具鏈、生產(chǎn)鏈、配套鏈、服務(wù)鏈等供應(yīng)鏈條越來(lái)越長(zhǎng)，涉及的范圍和環(huán)節(jié)越來(lái)越多，這給后門的預(yù)埋植入提供了眾多機(jī)會(huì)。上述這些非主觀因素引入的軟硬件代碼漏洞（陷門）或人為預(yù)埋進(jìn)入信息系統(tǒng)的后門，不論從矛盾的自在性、技術(shù)發(fā)展的階段性還是從利益博弈角度來(lái)解釋，其出現(xiàn)都是必然的，且難以從根本上避免。2.呈現(xiàn)的偶然性縱觀整個(gè)漏洞被發(fā)現(xiàn)的歷史，雖然時(shí)不時(shí)有漏洞被發(fā)現(xiàn)，但是每個(gè)漏洞在什么時(shí)候被發(fā)現(xiàn)，是怎么被發(fā)現(xiàn)的，都有其偶然性，是一個(gè)無(wú)規(guī)律的現(xiàn)象。從認(rèn)識(shí)論關(guān)于“事物總是可以被認(rèn)識(shí)的”觀點(diǎn)出發(fā)，漏洞的存在和發(fā)現(xiàn)都屬于必然事件，但是具體在什么時(shí)間、什么系統(tǒng)上和以什么樣的方式呈現(xiàn)出來(lái)卻是偶然的。這其中既有對(duì)漏洞認(rèn)識(shí)的技術(shù)階段性或時(shí)代局限性問(wèn)題，也有對(duì)復(fù)雜代碼完備性檢查的理論方法和技術(shù)能力問(wèn)題。3.認(rèn)知的時(shí)空特性漏洞是客觀存在的，但是漏洞的發(fā)現(xiàn)則具有時(shí)空屬性，需要隨著實(shí)踐認(rèn)知不斷積累到一定程度才能使漏洞呈現(xiàn)出來(lái)。今天認(rèn)為安全的系統(tǒng)，明天未必安全；“我”認(rèn)為安全的系統(tǒng)，在“他”眼里未必安全；在環(huán)境A里面安全的系統(tǒng)，放到B環(huán)境中未必安全。這就是漏洞因認(rèn)知而呈現(xiàn)的時(shí)空差異。4.威脅的不確定性在經(jīng)濟(jì)學(xué)中，美國(guó)人富蘭克·奈特區(qū)分了風(fēng)險(xiǎn)與不確定性的關(guān)系：風(fēng)險(xiǎn)是一種人們可知其概率分布的不確定性，但是人們可以根據(jù)過(guò)去推測(cè)未來(lái)的可能性；而不確定性則表示人們根本無(wú)法預(yù)知沒(méi)有發(fā)生過(guò)的將來(lái)事件。不難看出，“內(nèi)生安全問(wèn)題”可能引發(fā)兩類安全威脅，一是顯著影響目標(biāo)對(duì)象本征功能或元功能的可靠性、可信性和可用性，二是非法獲得或侵犯他人隱私信息與數(shù)據(jù)資源。由于“內(nèi)生安全問(wèn)題”的性質(zhì)所致，上述兩類安全威脅的發(fā)生均不可預(yù)知，屬于不確定性范疇中的未知威脅。從更加一般的意義上說(shuō)，由于人類技術(shù)發(fā)展和認(rèn)知水平的階段性特征導(dǎo)致軟硬件設(shè)計(jì)脆弱性或漏洞問(wèn)題不可能徹底避免也不可能窮盡或徹查，加之全球化時(shí)代，開放式產(chǎn)業(yè)生態(tài)環(huán)境，開源協(xié)同技術(shù)模式和“你中有我、我中有你”的產(chǎn)業(yè)鏈?zhǔn)沟密浻布箝T問(wèn)題不可能完全杜絕，因此迄今為止，對(duì)基于內(nèi)生安全問(wèn)題的不確定性威脅之防御，除了用附加型安全技術(shù)盡力而為地阻斷來(lái)自攻擊表面的擾動(dòng)影響之外，幾乎沒(méi)有可量化設(shè)計(jì)、可驗(yàn)證度量的有效安全防御方法或技術(shù)手段，即使采取類似加密認(rèn)證、可信計(jì)算等“底線防御”措施，也往往會(huì)因?yàn)樗拗飨到y(tǒng)自身的內(nèi)生安全問(wèn)題而被攻擊者“旁路或短路”。三、破解網(wǎng)絡(luò)空間內(nèi)生安全問(wèn)題的思考（一）變換問(wèn)題場(chǎng)景和解題思路基于“網(wǎng)絡(luò)空間絕大部分安全威脅都是由人為攻擊這個(gè)外因，通過(guò)目標(biāo)對(duì)象自身存在的‘內(nèi)生安全問(wèn)題’之內(nèi)因相互作用而形成的”認(rèn)知，一個(gè)直觀的推論就是，欲徹底解除網(wǎng)絡(luò)空間安全威脅就必須徹底排除其內(nèi)生的安全問(wèn)題，因?yàn)橥庖蛑荒芡ㄟ^(guò)內(nèi)因起作用。然而，理論研究和工程實(shí)踐告訴我們，內(nèi)生安全問(wèn)題是自在性矛盾，不可能“徹底消除”。首先，在全球化大趨勢(shì)下，開放式、協(xié)作化的創(chuàng)新鏈和產(chǎn)業(yè)鏈正成為人類技術(shù)開發(fā)、現(xiàn)代社會(huì)生產(chǎn)活動(dòng)的基本模式，僅憑一國(guó)之力幾乎不可能做到技術(shù)鏈、供應(yīng)鏈層面的徹底自主可控與安全可信；其次，軟硬件設(shè)計(jì)缺陷導(dǎo)致的漏洞問(wèn)題，目前在理論和技術(shù)上尚無(wú)有效的應(yīng)對(duì)辦法，試圖從根本上杜絕此類問(wèn)題也違背人類認(rèn)知和科技發(fā)展階段性之客觀規(guī)律。這意味著無(wú)論從理論上、技術(shù)上還是經(jīng)濟(jì)上，都不可能完全保證網(wǎng)絡(luò)空間構(gòu)成環(huán)境無(wú)內(nèi)生安全問(wèn)題，即“無(wú)毒無(wú)菌”幾乎是安全領(lǐng)域不可能實(shí)現(xiàn)的愿景?；谏鲜龇治觯粋€(gè)很自然的推論，就是如何變換問(wèn)題場(chǎng)景和解題思路，在網(wǎng)絡(luò)空間“有毒帶菌”的條件下，實(shí)現(xiàn)有安全保障的“沙灘建樓”，緩解“已知的未知”風(fēng)險(xiǎn)和“未知的未知”威脅挑戰(zhàn)。這需要跳出傳統(tǒng)架構(gòu)下“亡羊補(bǔ)牢”附加型修復(fù)式防御思維定式，使得信息裝備的安全性不再過(guò)度依賴元件、器件、組件或個(gè)體形態(tài)軟硬件設(shè)計(jì)、制作、運(yùn)行和管理環(huán)節(jié)的自主可控程度與安全可信水平，也就是要找到賦予信息系統(tǒng)基礎(chǔ)構(gòu)造內(nèi)源性安全功能或內(nèi)生性安全機(jī)制的技術(shù)途徑，在一定程度或約束條件下能夠?qū)捜蒈浻矘?gòu)件內(nèi)生安全問(wèn)題及其影響，使本征功能無(wú)論對(duì)隨機(jī)性故障還是網(wǎng)絡(luò)攻擊都有很好的穩(wěn)定魯棒性和品質(zhì)魯棒性。（二）生物免疫學(xué)的啟迪生物學(xué)的知識(shí)告訴我們，人類通過(guò)遺傳特性獲得的與生俱來(lái)的非特異性免疫，對(duì)絕大多數(shù)入侵病原微生物都能作出“無(wú)特異性清除”反應(yīng)，屬于一種“面”防御?？茖W(xué)研究表明，自然界的病原微生物總是在不斷地變異，是什么因素保證非特異性免疫僅靠生物遺傳信息，機(jī)體就能夠?qū)ΜF(xiàn)實(shí)世界變化著的各種入侵病原微生物具有非特異性選擇清除的功能；什么情況下、需要何種條件、通過(guò)什么樣的方式才能激活特異性免疫機(jī)制；遺傳信息具有相對(duì)的穩(wěn)定性但在生物機(jī)體全生命周期內(nèi)是否需要更新，以及何時(shí)更新，怎樣更新；特異性免疫（屬于“點(diǎn)”防御）的記憶效應(yīng)如何及怎樣才能影響非特異性免疫的遺傳信息等。由此產(chǎn)生的啟迪意義，就是我們能否在軟硬件裝置或系統(tǒng)中，也設(shè)計(jì)出一種類似脊椎動(dòng)物免疫機(jī)理的融合式防御能力，以便對(duì)“基于目標(biāo)對(duì)象內(nèi)生安全問(wèn)題的未知攻擊活動(dòng)產(chǎn)生沒(méi)有特異性選擇的清除功能”，并能適時(shí)觸發(fā)類似特異性免疫機(jī)制那樣的點(diǎn)防御功能。由此作者以為，這種源于目標(biāo)對(duì)象自身構(gòu)造機(jī)理的防御功能，用內(nèi)生安全的概念來(lái)定義，最恰當(dāng)不過(guò)。（三）網(wǎng)絡(luò)空間內(nèi)生安全所謂內(nèi)生安全是指具有內(nèi)生或內(nèi)源性安全功效的構(gòu)造或算法及其體制機(jī)制。按字面意思，內(nèi)生就是靠自身因素而不是外部因素得到的內(nèi)源性效應(yīng)。內(nèi)生安全就是利用系統(tǒng)的架構(gòu)、算法、機(jī)制、場(chǎng)景等內(nèi)在因素獲得的安全功能或?qū)傩?，如，脊椎?dòng)物的非特異性免疫和特異性免疫學(xué)習(xí)機(jī)制就是一種內(nèi)生安全功能。內(nèi)生安全應(yīng)該具有的體制機(jī)制和技術(shù)特征如下：1.期望的內(nèi)生安全體制（1）內(nèi)生安全體制應(yīng)當(dāng)基于開放的組織架構(gòu)，不排除架構(gòu)、模塊和構(gòu)件中包含任何的內(nèi)生安全問(wèn)題；（2）內(nèi)生安全體制應(yīng)當(dāng)基于一體化的融合構(gòu)造，能同時(shí)提供高可靠、高可信、高可用的使用功能；（3）內(nèi)生安全體制應(yīng)當(dāng)能夠充分發(fā)揮多樣性、隨機(jī)性和動(dòng)態(tài)性防御要素的綜合效應(yīng)；（4）內(nèi)生安全體制應(yīng)當(dāng)同時(shí)具有異構(gòu)、冗余、動(dòng)態(tài)、裁決和反饋控制之構(gòu)造要素；（5）內(nèi)生安全體制應(yīng)當(dāng)能夠自然的接納傳統(tǒng)安全防護(hù)技術(shù)或其他技術(shù)的使用并可獲得指數(shù)量級(jí)的防御增益；（6）內(nèi)生安全體制應(yīng)當(dāng)具有普適性應(yīng)用意義。2.期望的內(nèi)生安全機(jī)制（1）內(nèi)生安全機(jī)制與廣義不確定擾動(dòng)應(yīng)屬于人-機(jī)、機(jī)-機(jī)、機(jī)-人博弈關(guān)系；（2）內(nèi)生安全機(jī)制應(yīng)當(dāng)可以條件管控或抑制廣義不確定擾動(dòng)造成的負(fù)面影響；（3）內(nèi)生安全機(jī)制的有效性應(yīng)當(dāng)不依賴（但可以融合）關(guān)于攻擊者的先驗(yàn)知識(shí)或附加、內(nèi)置、內(nèi)共生的其他安全措施或技術(shù)手段；（4）內(nèi)生安全機(jī)制應(yīng)當(dāng)能以融合方式為目標(biāo)對(duì)象提供一體化的高可靠、高可信、高可用的使用性能；（5）內(nèi)生安全機(jī)制導(dǎo)致的廣義安全性應(yīng)當(dāng)具有可量化設(shè)計(jì)、可驗(yàn)證度量的穩(wěn)定魯棒性和品質(zhì)魯棒性；（6）內(nèi)生安全機(jī)制的使用效能應(yīng)當(dāng)與運(yùn)維管理者的技術(shù)能力和過(guò)往的經(jīng)驗(yàn)弱相關(guān)或不相關(guān)。3.期望的技術(shù)特征（1）內(nèi)生安全應(yīng)當(dāng)是基于目標(biāo)對(duì)象基礎(chǔ)構(gòu)造或算法的內(nèi)源性安全功能，具有與脊椎生物非特異性和特異性免疫機(jī)制類似的“點(diǎn)面融合”式防御特點(diǎn)，與目標(biāo)對(duì)象本征或元功能具有構(gòu)造層面的不可分割性；（2）內(nèi)生安全功效應(yīng)當(dāng)不依賴攻擊者先驗(yàn)知識(shí)和行為特征信息，對(duì)獨(dú)立的攻擊資源、攻擊技術(shù)、攻擊方法形成的“差模攻擊效應(yīng)”應(yīng)當(dāng)具有天然的抑制功效。換言之，凡是基于0-Day性質(zhì)的漏洞后門、病毒木馬等網(wǎng)絡(luò)攻擊，內(nèi)生安全功能可使之在機(jī)理上無(wú)效；（3）突破內(nèi)生安全防御除社會(huì)工程學(xué)的手段外，只能通過(guò)時(shí)空一致性的精準(zhǔn)協(xié)同攻擊才有“共模逃逸”的可能，但首先要克服時(shí)空非一致性的“測(cè)不準(zhǔn)效應(yīng)”，然后需逾越“基于策略裁決的異構(gòu)冗余目標(biāo)反饋調(diào)度迭代機(jī)制”，其次必須解決共模逃逸的穩(wěn)定維持問(wèn)題；（4）內(nèi)生安全功能應(yīng)當(dāng)能夠歸一化地解決傳統(tǒng)可靠性問(wèn)題和基于目標(biāo)對(duì)象的網(wǎng)絡(luò)安全威脅問(wèn)題；（5）理論上，“差模逃逸”不可能發(fā)生，“共模逃逸”屬于可量化設(shè)計(jì)的小概率或極小概率事件，“即使攻擊成功也可能只此一次”，在內(nèi)生安全環(huán)境內(nèi)的攻擊行動(dòng)或成果都不具有穩(wěn)定魯棒性和品質(zhì)魯棒性。四、基于DHR架構(gòu)的內(nèi)生安全體制機(jī)制（一）可靠性問(wèn)題的啟示作者在長(zhǎng)期的研究和探索中發(fā)現(xiàn)，可靠性問(wèn)題與網(wǎng)絡(luò)安全問(wèn)題雖屬兩個(gè)領(lǐng)域且擾動(dòng)因素不同，前者以隨機(jī)性擾動(dòng)為主要表現(xiàn)形態(tài)，而后者則完全由攻擊者人為行為所致。但也存在許多相似甚至相同的理論與技術(shù)問(wèn)題，相關(guān)的理論方法和體制機(jī)制應(yīng)當(dāng)具有“他山之石可以攻玉”的相互借鑒意義。我們知道，可靠性領(lǐng)域最具挑戰(zhàn)性的問(wèn)題是如何應(yīng)對(duì)系統(tǒng)的不確定性故障或失效。涉及兩個(gè)基本問(wèn)題：一是如何應(yīng)對(duì)由無(wú)源或有源器件或零部件物理性錯(cuò)誤或故障導(dǎo)致的不確定失效問(wèn)題，二是怎樣才能避免由未能發(fā)現(xiàn)的軟硬件設(shè)計(jì)缺陷或錯(cuò)誤導(dǎo)致的不確定失效問(wèn)題。盡管故障或失效產(chǎn)生的機(jī)理和影響程度不同，但是共同的特征都是故障或失效發(fā)生的時(shí)間、部位、性質(zhì)和結(jié)果等都不確定。換言之，可靠性技術(shù)同樣需要克服相關(guān)領(lǐng)域內(nèi)生安全問(wèn)題導(dǎo)致的不確定錯(cuò)誤、故障乃至失效。

（二）“相對(duì)正確公理”的再發(fā)現(xiàn)“相對(duì)正確公理”（也有研究者稱之為共識(shí)機(jī)制）是指“人人都存在這樣或那樣的缺點(diǎn)，但極少出現(xiàn)獨(dú)立完成同樣任務(wù)時(shí)，多數(shù)人在同一個(gè)地點(diǎn)、同一時(shí)間、犯完全一樣錯(cuò)誤的情形”。相對(duì)正確公理在可靠性工程領(lǐng)域的成功應(yīng)用，是20世紀(jì)70年代首先在飛行控制器領(lǐng)域提出的非相似余度構(gòu)造（dissimilarredundantstructure,DRS），其抽象模型如圖1所示?；谠摌?gòu)造的目標(biāo)系統(tǒng)在一定的前提或約束條件下，即使其軟硬構(gòu)件存在分布形式各異的隨機(jī)性故障，或者存在未知設(shè)計(jì)缺陷或錯(cuò)誤導(dǎo)致的統(tǒng)計(jì)意義上的不確定失效，都可以被多模表決機(jī)制變換為能用概率表達(dá)的差模或共模事件，從而使我們不僅能通過(guò)提高或改善材料、構(gòu)件質(zhì)量的方式提高系統(tǒng)可靠性，也能通過(guò)系統(tǒng)工程技術(shù)的創(chuàng)新來(lái)顯著增強(qiáng)系統(tǒng)的可靠性與可用性。圖1

DRS架構(gòu)的抽象模型就目標(biāo)對(duì)象內(nèi)生安全問(wèn)題的不確定威脅而言，DRS構(gòu)造從某種意義上說(shuō)也具有與敵我識(shí)別作用相同或相似的功效。盡管不確定威脅的攻擊效果對(duì)于功能等價(jià)的異構(gòu)冗余個(gè)體而言往往不是概率問(wèn)題，但是這種攻擊事件在群體層面的反映通常會(huì)以差模形態(tài)呈現(xiàn)，并具有隨機(jī)性質(zhì)的概率屬性。換言之，在給定的約束條件下，不確定的個(gè)體表現(xiàn)可以被相對(duì)正確公理變換為群體層面的概率問(wèn)題。在小尺度空間上，基于DRS構(gòu)造的目標(biāo)對(duì)象，能夠抑制包括未知的人為攻擊在內(nèi)的廣義不確定擾動(dòng)，且具有可設(shè)計(jì)標(biāo)定、驗(yàn)證度量的品質(zhì)魯棒性。（三）動(dòng)態(tài)異構(gòu)冗余架構(gòu)進(jìn)一步研究不難看出，盡管基于DRS構(gòu)造的目標(biāo)對(duì)象能夠抑制包括未知的人為攻擊在內(nèi)的廣義不確定擾動(dòng)，但DRS架構(gòu)內(nèi)各執(zhí)行體的運(yùn)行環(huán)境以及相關(guān)漏洞后門等的可利用條件是靜態(tài)確定的，且執(zhí)行體的并行部署方式通常也不會(huì)改變攻擊表面的可達(dá)性，因而，對(duì)DRS的攻擊成功經(jīng)驗(yàn)具有可繼承性，方法具有可復(fù)現(xiàn)性，攻擊效果具有可持續(xù)利用價(jià)值。換言之，DRS架構(gòu)的靜態(tài)性、確定性和相似性在非傳統(tǒng)安全領(lǐng)域成為構(gòu)造或算法層面的基因缺陷，其抗攻擊性與可靠性不具備穩(wěn)定魯棒性。作者研究發(fā)現(xiàn)，從信息熵角度觀察，攻防雙方實(shí)際上是圍繞防御方初始信息熵的增減或維持展開的博弈。DRS構(gòu)造的容侵屬性之所以缺乏時(shí)間穩(wěn)定性是因?yàn)殡S著針對(duì)性嘗試攻擊或試錯(cuò)式攻擊的持續(xù)進(jìn)行，構(gòu)造內(nèi)的初始信息熵因?yàn)闆](méi)有任何的自維持機(jī)制只能作熵減少運(yùn)動(dòng)，直至初始信息熵低至攻擊鏈能夠可靠地發(fā)揮期望的作用，構(gòu)造的本征功能或防御功效徹底喪失為止。不難推論，如果能在DRS架構(gòu)中導(dǎo)入初始信息熵不減（或熵平衡）機(jī)制就能使其容侵屬性具有一定程度的魯棒性。例如，添加動(dòng)態(tài)、隨機(jī)、多樣、重構(gòu)或加密認(rèn)證、入侵檢測(cè)、入侵預(yù)防等傳統(tǒng)防御元素，或?qū)氩呗圆脹Q、控制律反饋、可迭代收斂的魯棒控制機(jī)制等，理論上應(yīng)當(dāng)能夠改變DRS運(yùn)行環(huán)境的靜態(tài)性、確定性和相似性在非傳統(tǒng)安全領(lǐng)域的基因缺陷。期望這種經(jīng)“基因工程”再造后的控制構(gòu)造和運(yùn)行機(jī)制，由于具有初始信息熵不減（包括熵平衡）特性，因而無(wú)論在容侵還是容錯(cuò)方面都應(yīng)該具有可量化設(shè)計(jì)、可驗(yàn)證度量的穩(wěn)定魯棒性和品質(zhì)魯棒性。作者將這種創(chuàng)新的技術(shù)構(gòu)造命名為“動(dòng)態(tài)異構(gòu)冗余架構(gòu)”（DynamicHeterogeneousRedundancy,DHR）。DHR架構(gòu)抽象模型如圖2所示。圖2

DHR架構(gòu)的抽象模型DHR架構(gòu)的核心思想是：依據(jù)“構(gòu)造決定安全”的公知，在保證本征功能集不變條件下，導(dǎo)入基于多模裁決的策略調(diào)度和多維動(dòng)態(tài)重構(gòu)魯棒控制機(jī)制，賦予運(yùn)行環(huán)境動(dòng)態(tài)可重組、軟件可定義、算法可重構(gòu)的功能屬性，形成攻擊者視角下的測(cè)不準(zhǔn)效應(yīng)，使目標(biāo)運(yùn)行場(chǎng)景在抑制廣義不確定擾動(dòng)方面具備可迭代收斂的動(dòng)態(tài)性、隨機(jī)性、多樣性。同時(shí)，嚴(yán)格隔離執(zhí)行體之間的協(xié)同途徑或盡可能地消除攻擊者可資利用的同步、共享機(jī)制，最大限度地發(fā)揮基于動(dòng)態(tài)異構(gòu)冗余環(huán)境、非合作模式、多模裁決對(duì)蓄意利用內(nèi)生安全問(wèn)題的不確定威脅的規(guī)避或瓦解作用，顯著提升軟硬件差模故障或隨機(jī)性失效的容忍度。換言之，期望通過(guò)DHR架構(gòu)獲得多位一體的內(nèi)生安全功能，既能有效抑制基于目標(biāo)對(duì)象內(nèi)生安全問(wèn)題的非配合或差模攻擊擾動(dòng)，又能保證即使出現(xiàn)協(xié)同攻擊逃逸情況仍能夠控制模型攝動(dòng)范圍在給定的閾值之內(nèi)；不僅能顯著增加攻擊鏈的不確定性，還能充分增強(qiáng)包括高可靠、高可用、高可信一體化機(jī)制在內(nèi)的廣義魯棒控制服務(wù)或應(yīng)用性能；期望能顯著弱化非相似余度苛刻的異構(gòu)性設(shè)計(jì)要求，使得DHR構(gòu)造能夠成為具有廣泛應(yīng)用前景的新型使能技術(shù)。有關(guān)DHR的基本原理、典型與非典型構(gòu)造、技術(shù)目標(biāo)與典型功效、安全性量化分析的相關(guān)論述參見參考文獻(xiàn)。

（四）DHR架構(gòu)的內(nèi)生安全特性DHR從組織結(jié)構(gòu)、運(yùn)行模式、制度安排等方面具備內(nèi)生安全體制需要的全部要素，在目標(biāo)對(duì)象中運(yùn)用DHR的過(guò)程就是為其建立內(nèi)生安全體制的過(guò)程，具體表現(xiàn)在如下幾個(gè)方面。（1）DHR是完全開放的組織架構(gòu)，允許架構(gòu)內(nèi)的軟硬模塊或構(gòu)件中包含任何的內(nèi)生安全問(wèn)題，即可以在任何“有毒帶菌”場(chǎng)景下可靠的發(fā)揮期望的作用；（2）DHR是一體化的融合構(gòu)造，能同時(shí)提供高可靠、高可信、高可用的使用功能。不僅能解決傳統(tǒng)的功能安全問(wèn)題還能管控非傳統(tǒng)安全問(wèn)題；（3）DHR架構(gòu)能夠綜合使用多樣性、隨機(jī)性和動(dòng)態(tài)性之防御要素，形成內(nèi)源性的測(cè)不準(zhǔn)效應(yīng)和難以窺探的“防御迷霧”；（4）DHR架構(gòu)本身是由異構(gòu)、冗余、動(dòng)態(tài)、裁決和反饋控制五大環(huán)節(jié)組成，能最大限度地發(fā)揮“動(dòng)態(tài)、多樣、隨機(jī)”防御三要素的協(xié)同效應(yīng)；（5）DHR架構(gòu)能夠自然地接納傳統(tǒng)安全防護(hù)技術(shù)或其他技術(shù)的使用并可獲得指數(shù)量級(jí)的防御增益；（6）DHR架構(gòu)對(duì)所有軟硬件系統(tǒng)具有普適性應(yīng)用意義。基于DHR架構(gòu)、功能、相關(guān)策略等形成的協(xié)同關(guān)系造就了一種具有獨(dú)特優(yōu)勢(shì)的內(nèi)源性安全機(jī)制，具體表現(xiàn)在如下幾個(gè)方面：（1）DHR安全機(jī)制形成的測(cè)不準(zhǔn)防御迷霧正是為了管控或抑制基于目標(biāo)對(duì)象內(nèi)生安全問(wèn)題的廣義不確定擾動(dòng)，屬于典型的人-機(jī)博弈關(guān)系，如果導(dǎo)入人工智能和大數(shù)據(jù)等后臺(tái)處理功能完全可以在人-機(jī)、機(jī)-機(jī)、機(jī)-人博弈中占據(jù)優(yōu)勢(shì)；（2）DHR安全機(jī)制可以條件管控或抑制針對(duì)目標(biāo)對(duì)象的廣義不確定擾動(dòng)，但不可能完全杜絕共模逃逸現(xiàn)象的發(fā)生，盡管這種逃逸屬于可量化控制的極小概率事件；（3）DHR安全機(jī)制的有效性不依賴任何先驗(yàn)知識(shí)或附加、內(nèi)置、內(nèi)共生的其他安全措施或技術(shù)手段，但可以融合使用相關(guān)技術(shù)成果指數(shù)量級(jí)地提升安全增益；（4）DHR安全機(jī)制能用同一技術(shù)架構(gòu)以融合方式為目標(biāo)對(duì)象提供一體化的高可靠、高可信、高可用的使用性能；（5）DHR安全機(jī)制形成的安全效應(yīng)可通過(guò)可靠性驗(yàn)證理論中的“白盒注入”測(cè)試法檢定，并具有可量化設(shè)計(jì)、可驗(yàn)證度量的穩(wěn)定魯棒性和品質(zhì)魯棒性；（6）DHR安全機(jī)制的使用效能與運(yùn)維管理者的技術(shù)能力和過(guò)往的經(jīng)驗(yàn)弱相關(guān)或不相關(guān)，具有全生命周期難以比擬的效費(fèi)比優(yōu)勢(shì)。需要鄭重聲明的是，DHR只是網(wǎng)絡(luò)空間內(nèi)生安全體制機(jī)制的一種而不是全部。（五）DHR架構(gòu)編碼信道模型1949年香農(nóng)提出著名的信道編碼定理，奠定了現(xiàn)代通信特別是糾錯(cuò)編碼的理論基礎(chǔ)。香農(nóng)第二定理（有噪信道編碼定理）的目的是在無(wú)記憶信道引入隨機(jī)噪聲的情況下，通過(guò)在傳輸?shù)南⒅刑砑右粋€(gè)適當(dāng)設(shè)計(jì)的冗余，然后在接收器處使用該冗余來(lái)重建原始消息，最終完成消息的正常傳遞。該定理雖然僅是存在性的，但對(duì)通信的指導(dǎo)意義十分明顯，它給通信工作者指出了進(jìn)行可靠通信的新方向和新途徑，糾錯(cuò)編碼正是在該定理指導(dǎo)下發(fā)展起來(lái)的。DHR構(gòu)造的內(nèi)生安全機(jī)制也可以描述為如何在一個(gè)存在非隨機(jī)噪聲的可重構(gòu)有記憶信道上正確地處理和傳輸信息的問(wèn)題。作者認(rèn)為，對(duì)于網(wǎng)絡(luò)攻擊所導(dǎo)致的信息處理和傳輸錯(cuò)誤與可靠性錯(cuò)誤與通信噪聲錯(cuò)誤等的性質(zhì)類似，都可以采用糾錯(cuò)編碼思路進(jìn)行解決。但與經(jīng)典香農(nóng)通信傳輸模型中的無(wú)記憶信道假設(shè)不同，DHR可以抽象為一種有處理能力的可重構(gòu)有記憶信道。與香農(nóng)假設(shè)的隨機(jī)噪聲不同，網(wǎng)絡(luò)攻擊具有明顯的非隨機(jī)性，可以抽象為非隨機(jī)噪聲，這里將隨機(jī)通信噪聲、隨機(jī)物理失效、人為攻擊噪聲等統(tǒng)一稱為廣義不確定擾動(dòng)。DHR構(gòu)造等效傳輸信道模型和香農(nóng)傳輸信道模型如圖3和圖4所示。圖3

DHR構(gòu)造等價(jià)傳輸信道模型

圖4

香農(nóng)傳輸信道模型

如果從香農(nóng)的冗余編碼理論視之，DHR結(jié)構(gòu)在時(shí)空上可以展開為一組基于動(dòng)態(tài)異構(gòu)冗余方式的“編碼結(jié)構(gòu)”（之集合，目的是為了對(duì)抗與信道噪聲類似的隨機(jī)或非隨機(jī)的“結(jié)構(gòu)擾動(dòng)噪聲”的影響。但是，香農(nóng)信道編碼理論的分析對(duì)象是“隨機(jī)無(wú)記憶信道”，而DHR的異構(gòu)冗余迭代防御場(chǎng)景則相當(dāng)于“隨機(jī)或非隨機(jī)的有記憶信道”。因此，不能直接用香農(nóng)理論及方法來(lái)量化分析DHR構(gòu)造的安全性或廣義魯棒性，需要從信道編碼理論發(fā)展出一種“編碼信道”理論，以便能對(duì)DHR的“編碼結(jié)構(gòu)”體制機(jī)制在抑制“結(jié)構(gòu)擾動(dòng)噪聲”方面的性能進(jìn)行量化分析。而編碼信道理論是否成立的關(guān)鍵是相關(guān)存在定理的證明，需要從理論上闡明在廣義擾動(dòng)條件下，針對(duì)特定離散有記憶信道，如何構(gòu)造合適的信道與編碼來(lái)提供正確服務(wù)的問(wèn)題。所謂“正確”的概念就是采用適當(dāng)?shù)木幋a與譯碼步驟，使得在具有內(nèi)生安全屬性的系統(tǒng)架構(gòu)內(nèi)，當(dāng)存在隨機(jī)或人為加性干擾時(shí)信息傳遞和處理的誤差足夠小。簡(jiǎn)而言之，編碼信道理論是由內(nèi)生安全構(gòu)造數(shù)學(xué)模型和兩個(gè)存在定理及相關(guān)定義、引理及數(shù)學(xué)證明構(gòu)成，涵蓋且應(yīng)當(dāng)涵蓋香農(nóng)第二定理的內(nèi)容。（六）DHR架構(gòu)編碼信道數(shù)學(xué)模型假定攻擊以速率λ

(λ

>0)到達(dá)，以及假定存在以下三類單個(gè)執(zhí)行體被攻擊成功的概率Ps(t)與時(shí)間t的數(shù)學(xué)表達(dá)式：式中，Ts表示干擾到達(dá)的時(shí)間；p表示部署差模元信道的概率，首次以概率p部署差模元信道沒(méi)有任何危害?？梢宰C明，動(dòng)態(tài)異構(gòu)冗余與反饋記憶消除信道構(gòu)造方案使得編碼信道結(jié)構(gòu)與元信道記憶具有不確定性，保證了系統(tǒng)失效的隨機(jī)性。（七）編碼信道存在定理將編碼信道內(nèi)具備同等功能和性能的子信道稱為元信道，元信道的噪聲隨機(jī)到達(dá)（在內(nèi)生安全問(wèn)題中表現(xiàn)為未知的漏洞后門），對(duì)于任意隨機(jī)噪聲，信道輸出出錯(cuò)的概率Pe<1