邬江兴院士：工业互联网安全&拟态防御

尊敬的郑院士、曹书记、张秘书长，各位学术界的同仁们，很高兴在第一届工业互联网学术专题论坛上发言。我今天想谈的问题是工业互联网，这个概念很热，前景也很美好，很诱人。但是我认为工业互联网的安全挑战更严峻，从某种意义上来说，一个没有完全保证的工业互联网，是不会有什么美好前景的。

我今天想谈一下工业互联网的安全有什么共性的解决方案。

首先，工业互联网也是网络空间Cyberspace的一部分，因此对Cyberspace目前的这样一种安全问题的本源性认知就变得非常重要了。就是到底安全的问题，它的本源问题是什么，这样的现象有很多。

我归纳为四个本源性认知，第一个问题就是软硬构件，不管是OT还是IT，或者是OT加IT，软硬件构件的设计缺陷导致的安全漏洞不可避免。因为人类科学技术发展和认知水平的阶段性特征导致的，所以漏洞问题不可能彻底避免，是因为这个原因，与是否拥有自主知识产权和国产化程度弱相关。

第二，信息技术产品生态圈中存在的软硬件后门无法杜绝，这又是什么原因？是因为全球化时代，开放式的产业生态环境，开源的技术模式和你中有我，我中有你的产业链，造成了软硬件后门问题不可能完全杜绝。只要不能掌握整个生态圈，即便你拥有自主知识产权也不能完全解决问题，这不是自主知识产权就可以解决的问题。

第三，现阶段人类科技人类尚不能彻查漏洞后门问题，就一般意义而言，穷尽和彻查目标系统软硬件代码问题，在可预见的将来，依然是难以克服的科技难题，我们不能也不可能构建一个无毒无菌绝对安全的理想场景，工业互联网也如此。

第四，信息产品安全质量尚无有效的控制办法，比如说一块几万乃至上百亿晶体管的集成电路，几万乃至上亿行代码的软件版本，一个复杂的信息系统，一个工业控制装置，只要存在一个漏洞，或者植入一个后门，就可能导致整个信息系统乃至所有相同的设施都遭殃。

因此，软硬件产品安全质量因为无法从源头控制与保障，导致Cyberspace快速膨胀过程中，基本安全问题呈几何级数扩散，网络空间生态圈陷入了循环污染的状态，这是必然结果。于是我们就知道了，为什么Cyberspace空间安全问题越来越多，因为信息化这个美女打开了网络安全的魔盒。

基于这四个本源性认知，我们可以有四个重要推论，第一，凡是采用资源共享机制和层次化垂直处理构造的系统，其服务的可信性都无法自证。也就是说，底层或者低层的漏洞后门、病毒木马可能导致上层安全措施失效，包括加密。第二的一个复杂系统，附加式安全措施通常不能有效防范目标对象或者主系统当中存在的问题。就是外部的警卫不知道无法管控目标对象内部发生的安全问题。第三，基于攻击者先验知识和行为特征的防护技术，无法实时应对基于未知漏洞、未知后门的未知威胁，我叫做3U问题。于是，亡羊补牢的态势不可能避免，代价高昂不说，还不一定能够补牢。

第四个问题只要不走旁门外道，前门攻击总是可以设防，我可以增强密码，我可以增强刷脸的识别度，只要不走旁门外道，漏洞后门就是走旁门外道的。所以我们说，传统安全技术应对3U威胁存在着基因缺陷，右边的图很漂亮，里面是硬件，然后是服务与应用，还有安全模型，但是每一层我们都可以提出左边的三个问题，就是存在着未知的软硬件的漏洞，是不是存在预设的软硬件后门？是不是存在着短板效应？这样的一个问题，无论是被保护对象，还是安全守护者，自身都无法回答这些问题。一个360的安全卫士，他没有漏洞吗？他没有后门吗？我想，无论是谁都不能回答各问题。所以缺乏有效的感知认知就无法对不确定威胁实施有效防御。

这是我们对前面Cyberspace问题的基本认知，实际上也是我们对工业互联网安全的基本认知。于是，工业互联网存在着更为严峻的安全威胁，如果说我们现在的消费互联网是对人，人还是有很大的抗干扰能力尽管有受骗上当的行为。但是机器几乎是没有太多的认知的，所以不仅是受骗上当，任何一个指令都会做。

我们首先看工业互联网的内涵，这里面有各种各样的说法，核心是信息化与工业化两化融合背景下，IT技术加OT技术加互联网技术，就是工业互联网，我特别把IT技术和互联网分开，因为IT技术早于互联网，OT技术早于IT技术。

这是融合发展的创新产物。这条线上我们可以看到，上侧是IT，是互联网发展的轨迹，50年的发展轨迹。下面是OT网络，是从工业革命2.0开始之后的概念，所以发展得更早。我们可以看到，他们在2000年前后出现了融合和交汇的部分，这也是我们看到的技术发展的趋势，正在向融合方向迈进。

因为我们可以看到从当初的文档信息到互联网+，工业从数控、计算机辅助设计与制造，最后成为了工业互联网。这里的工业是IT+OT+互联网，于是我们可以看到，在工业里面原来是有自动控制，领域专用，物理隔离、确定性能服务、高可靠、高可用，有合规性操作问题，不考虑蓄意破坏的问题，工业互联网是人机物互联，高可用，高可靠，但是服务确定性有怎么保证，低时延大连接怎么保证，尤其是高可信数据安全怎么保证？如果没有这一条。因此，工业互联网安全问题，也属于网络空间安全范畴，漏洞后门的危害可能比传统互联网大，我们看一下它的演进趋势，三个网在一个企业内部，有一个企业信息网，有一个工业控制网，还有外部的互联网，工业控制网里面尽管存在着漏洞后门问题，因为它是物理隔离的，如果要遵守这个规则，外来的攻击通常不可达。所以除非人为操作失误，系统安全是基本可控的，所以我们说人为操作失误是最大的安全隐患，在OT的情况下。

企业信息网漏洞后门问题同样存在，但是物理隔离使之很难被利用，除非有内鬼通过不合规操作，利用U盘，把攻击代码植入企业信息网内，但是基本上还是安全的。所以因此，内鬼是企业网最主要的安全威胁。

再来看互联网，互联网的问题大家很清楚，它的核心问题就是基于漏洞后门的未知攻击是最难防范的安全，也是目前最大的安全威胁，没有之一。在这种情况下我们看到，企业内部面向三个网有融合了，首先是两化融合的需要，使企业信息化不可避免地要与工业控制网络实现互联互通，网关成为刚需的同时，网间物理隔离不再能被确保，也就是供给可达性的问题，工厂内信息信息化和工业控制网通过了网关进行了连接。

随着全球化、互联网+的时代到来，信息孤岛的状况无法适应生产和管理模式的转变，连接互联网成为刚需，泛在化的安全威胁随之而来，突出问题就是攻击可达性，使得企业网和工业控制网内原生的漏洞后门问题凸显，包括防火墙、网关、附加安全设施、自身的软件代码问题。也就是说，原来的企业网不是安全的，有内生安全缺陷，有大量的漏洞和后门，就像奥巴马跟习主席说的一样。奥巴马说你们这些东西我动动手脚你们就完了，所以我们在三峡的检查中发现有2000多漏洞。

所以我从三级网络结构来讲，互联网有现场级、车间级、工厂级，大量的信息技术的东西，由于通了，攻击可达性达成了，原生的漏洞和后门问题将成为新的攻击可利用的资源。所以仅靠自身安全性都无法保证的防火墙、身份认证、合规性检查等附加型的或者外挂式的软硬件的防护措施，有些甚至会影响服务的确定性，难以有效应对基于软硬件未来漏洞后门等的不确定威胁，所以一看到工业系统的时候，我真的是很震惊，但是也没有什么好震惊的，因为原来是一个生活在一个隔离圈里的人，是一个无菌房间。

现在突然暴露在充满细菌的环境下，这是很自然的一个情况，对于我们来说很惊讶。尤其是在全球化时代下，怎么去解决这些问题？特别是分布在全球的分工的协作，分布在全球的上下游企业件的协作，分布在全球的企业分支、云端服务、移动办公，包括支撑工厂运行的运营环境，物流、水电汽暖、金融，全球化的接入需求每一个节点都暴露在充满各种安全威胁的网络空间环境下，大量成功攻击案例表明，边界防护模式已经无法再延续物理隔离的奇迹了。所以，谷歌提出了零信任架构，就是从边界防护到重点防护的转变，核心思想是基于用户身份受管设备的动态多轮认证，和基于实时指纹与用户历史行为的打分机制，包括精准化、层次化的资源访问控制，架构是一种网络部署方式，从边界防护到重点防护。但是，零信任架构依然面临着严峻的安全挑战，比如说这些设施唯一身份标识的各种数据库，3U问题同样存在，一旦数据库被攻陷，零信任架构就会崩塌。同样的道理，访问控制引擎中的未知漏洞后门，一旦被攻击者成功利用，访问授权控制功能就可能被旁路或者绕过。如何应对基于访问控制引擎和认证数据库未知漏洞后门的不确定攻击？零信任架构自身不可能给出满意答案。在全球化、大规模应用部署导致了网络物理边界的不确定。

我们可以看到，在一个工厂，IT、OT扁平化的融合网络，当连接的网络设备激增我们看到设备接入种类繁多，有线、无线等接入方式的灵活，在这种情况下我们可以看到，网络扁平化的演进与泛在化的接入需求导致了逻辑边界模糊化。在这样的情况下，物理边界的不确定，加上逻辑边界的模糊化，接入方式的多样化，加上设备数量的规模化，漏洞后门资源极大丰富，基于软硬件代码缺陷的攻击就成为了最大的安全威胁，所以说，为什么更加严峻？对安全毫无知识的领域要去面对那么复杂的互联网环境，不严峻是不可能的。

我们该怎么办？导入拟态理论和构造，就是广义鲁棒控制和内生安全，是IT的新技术。内生安全缺陷要通过内生安全功能来克服，用8122来描述一下拟态。针对一个前提，就是防范未来漏洞后门等不确定威胁，基于一个公理，相对正确的公理，依据一个发现，熵不减系统能稳定抵抗未知攻击，借鉴两种理论，可靠性理论与自动控制理论，发明一种构造，动态异构冗余构造，我们导入一种机制，叫做拟态伪装机制，形成一种效益，测不准效应。

获得一种功能，内生安全功能，达到了一种效果，融合现有安全技术可以指数量级提升防御增益，实现两个目标，归一化处理传统安全和非传统安全问题，获得了广义鲁棒控制的属性，所以拟态防御不仅仅是防御技术，应该是一个内生的构造技术，我们叫做广义控制技术，产生的效果是内生安全效果，就是系统设计出来的时候就有这个，而不是靠你加防火墙才可以解决的问题。

可以提供一种在不依赖攻击者先验知识和行为特征信息情况下，将网络空间不确定安全威胁问题，归一化为可靠性与鲁棒控制理论和技术能够解决的问题。我们知道可靠性和鲁棒控制理论发展得相当成熟，把这个不确定威胁问题归一化，这个解决问题建立在坚实的理论基础上。

这是拟态构造的模型，这个发行里面很简单，中间是各种执行体，外层是拟态框，对基于反馈函数的控制器，我们可以赋予各种算法，就像控制OT里面的话，赋予不同的控制率，控制效果就不同。在这种情况下，导入这类机制就可以使拟态构造产生一种类似于拟态伪装的机制，这个图很著名，这是拟态章鱼，如果我不说大家可能不知道这是章鱼，但是这个章鱼所表现出的形态是各种各样的。

在这种情况下我们又构造了一个基于一致性判别，可迭代收敛的反馈控制场景，我们将单一场景变换到多维场景将静态场景变换到动态场景将同构场景变换到异构场景，将开环场景变换到闭环场景，极大的增强了内外勾结、协同作弊的难度。所以形成了一种效益，我叫做测不准效应。获得了一种功能叫做内生安全功能。

它的指数量级提升了攻击门槛任何利用个性化漏洞后门的攻击在机理上无效。任何试错或盲攻击都将导致当前防御场景改变，也就是说任何协同攻击即便成功也很难稳定地维持和重复再现，某种意义上宣判了基于软硬件代码整个漏洞后门的攻击理论和方法的终结。我们给了一个可视化的表达，最左边是异构库，生成异构执行体，通过调度，来提供服务，然后通过策略裁决，得到一个结果，这个动态是基于裁决的动态，不是盲目的动态。

在这种情况下，我们能够把传统和非传统安全问题，通过拟态构造，变换为一个拟态界内同时出现多数一致性错误的概率问题，这个可以通过量化控制来调整。所以我们导入基于拟态伪装的策略的反馈控制函数，就能够有效地阻止试错式的协同或非协同攻击，使得攻击效果无法评估，攻击经验难以继承，攻击场景难以复现。获得的广义鲁棒控制的属性，能够防范已知的未知风险，也能防范不确定风险，也能抑制随机性差模和共模故障产生的扰动，它是用系统架构技术满足高可靠、高可信、高可用一体化的应用要求，这是工业互联网的必须的性质。

我介绍一下拟态技术的状态，拟态防御是可量化设计、可验证度量的。所以对于不确定性威胁的防御和感知能力，是可以设计的，能够显著地增加攻击者的成本和代价，具有独特的内生安全效应，能够适应全球化产业生态环境，我们不使用美国人的东西，因为它是构造形东西做的，可以自然继承或融合信息技术和安全技术成果，具有全生命周期高性价比优势，不需要每天杀毒，这些在拟态里就不是什么事了，每年有一个例检就可以了。所以拟态的防御，可靠性、可用性、抗攻击型可量化设计，我们借助可靠性验证理论和注入测试方法定量检定，全球迄今尚没有一种ICT或者CPS或者IT产品，可以利用白盒实验进行安全性测试和度量我们知道可靠性技术需要通过白盒验证，而不是用黑盒测试。

应该说，拟态技术颠覆了基于目标对象软硬件漏洞后门等暗功能的攻击理论和方法，抵消了技术和市场先行者在网安领域的战略优势，比如美国人在这一方面具有安置后门和漏洞的优势，这种在拟态是荡然无存的，所以改变了网络空间游戏规则。我们现在已经产生了各种交换机、陆游及、网关、文件系统，大概有10余类20多种拟态构造产品，涉及IT、ICT、CPS多个领域，实践证明，产品性能稳定可靠，技术具有普适性，费效比显著。

在工信部的指导下，从去年1月份开始了系列化的构造设备的提供和验证。目前所有的设备已经得到了全面验证，产生了一个PB的数据，工信部起范了示范试点工程作为验收。我们对工业互联网的各种部件，我们要赋予一种内生安全，我们提出了以工业互联网拟态化的技术体系，我称之为拟态之树，就像曹书记说的5G之花，现在是拟态之树。

从土壤层分、树根、树干、树枝、树叶、果实，每一个层面都有完整的生态，而不是靠一两件法宝解决，而是一个生态。我们可以看到，在这样的生态下，工业互联网拟态产品的布局非常丰富，从下面的芯片、设备、模组，都可以做。所以富有吸引力的产业前景和五巨大的市场容量，足够宽广的技术与产品创新空间，赋予工业互联网软硬件产品不可或缺的内生安全基因，因此我们有可能在引领全球OT和IT技术和产业发展的新潮流。在这种情况下我强调一点，拟态构造的案与软硬构件的多样性呈指数关系，从技术上解决了开放性与安全性统一问题，回答了习总书记提出的一体两翼、双轮驱动的抓手问题。

去年5月份成立了拟态技术产业联盟，会员已经达到了100多家，希望我们实现换道超车，我本人是理事长，所以有愿意参加的都可以来报名，谢谢。

本文来源：中国信息产业网