鄔江興院士：工業互聯網安全&擬態防護

尊敬的鄭院士、曹書記、張祕書長，各位學術界的同仁們，很高興在第一屆工業互聯網學術專題論壇上發言。我今天想談的問題是工業互聯網，這個概念很熱，前景也很美好，很誘人。可是我認爲工業互聯網的安全挑戰更嚴峻，從某種意義上來講，一個沒有徹底保證的工業互聯網，是不會有什麼美好前景的。

我今天想談一下工業互聯網的安全有什麼共性的解決方案。

首先，工業互聯網也是網絡空間Cyberspace的一部分，所以對Cyberspace目前的這樣一種安全問題的本源性認知就變得很是重要了。就是到底安全的問題，它的本源問題是什麼，這樣的現象有不少。

我概括爲四個本源性認知，第一個問題就是軟硬構件，無論是OT仍是IT，或者是OT加IT，軟硬件構件的設計缺陷致使的安全漏洞不可避免。由於人類科學技術發展和認知水平的階段性特徵致使的，因此漏洞問題不可能完全避免，是由於這個緣由，與是否擁有自主知識產權和國產化程度弱相關。

第二，信息技術產品生態圈中存在的軟硬件後門沒法杜絕，這又是什麼緣由？是由於全球化時代，開放式的產業生態環境，開源的技術模式和你中有我，我中有你的產業鏈，形成了軟硬件後門問題不可能徹底杜絕。只要不能掌握整個生態圈，即使你擁有自主知識產權也不能徹底解決問題，這不是自主知識產權就能夠解決的問題。

第三，現階段人類科技人類尚不能徹查漏洞後門問題，就通常意義而言，窮盡和徹查目標系統軟硬件代碼問題，在可預見的未來，依然是難以克服的科技難題，咱們不能也不可能構建一個無毒無菌絕對安全的理想場景，工業互聯網也如此。

第四，信息產品安全質量尚無有效的控制辦法，好比說一塊幾萬乃至上百億晶體管的集成電路，幾萬乃至上億行代碼的軟件版本，一個複雜的信息系統，一個工業控制裝置，只要存在一個漏洞，或者植入一個後門，就可能致使整個信息系統乃至全部相同的設施都遭殃。

所以，軟硬件產品安全質量由於沒法從源頭控制與保障，致使Cyberspace快速膨脹過程當中，基本安全問題呈幾何級數擴散，網絡空間生態圈陷入了循環污染的狀態，這是必然結果。因而咱們就知道了，爲何Cyberspace空間安全問題愈來愈多，由於信息化這個美女打開了網絡安全的魔盒。

基於這四個本源性認知，咱們能夠有四個重要推論，第一，凡是採用資源共享機制和層次化垂直處理構造的系統，其服務的可信性都沒法自證。也就是說，底層或者低層的漏洞後門、病毒木馬可能致使上層安全措施失效，包括加密。第二的一個複雜系統，附加式安全措施一般不能有效防範目標對象或者主系統當中存在的問題。就是外部的警衛不知道沒法管控目標對象內部發生的安全問題。第三，基於攻擊者先驗知識和行爲特徵的防禦技術，沒法實時應對基於未知漏洞、未知後門的未知威脅，我叫作3U問題。因而，亡羊補牢的態勢不可能避免，代價高昂不說，還不必定可以補牢。

第四個問題只要不走旁門外道，前門攻擊老是能夠設防，我能夠加強密碼，我能夠加強刷臉的識別度，只要不走旁門外道，漏洞後門就是走旁門外道的。因此咱們說，傳統安全技術應對3U威脅存在着基因缺陷，右邊的圖很漂亮，裏面是硬件，而後是服務與應用，還有安全模型，可是每一層咱們均可以提出左邊的三個問題，就是存在着未知的軟硬件的漏洞，是否是存在預設的軟硬件後門？是否是存在着短板效應？這樣的一個問題，不管是被保護對象，仍是安全守護者，自身都沒法回答這些問題。一個360的安全衛士，他沒有漏洞嗎？他沒有後門嗎？我想，不管是誰都不能回答各問題。因此缺少有效的感知認知就沒法對不肯定威脅實施有效防護。

這是咱們對前面Cyberspace問題的基本認知，實際上也是咱們對工業互聯網安全的基本認知。因而，工業互聯網存在着更爲嚴峻的安全威脅，若是說咱們如今的消費互聯網是對人，人仍是有很大的抗干擾能力盡管有受騙上當的行爲。可是機器幾乎是沒有太多的認知的，因此不只是受騙上當，任何一個指令都會作。

咱們首先看工業互聯網的內涵，這裏面有各類各樣的說法，核心是信息化與工業化兩化融合背景下，IT技術加OT技術加互聯網技術，就是工業互聯網，我特別把IT技術和互聯網分開，由於IT技術早於互聯網，OT技術早於IT技術。

這是融合發展的創新產物。這條線上咱們能夠看到，上側是IT，是互聯網發展的軌跡，50年的發展軌跡。下面是OT網絡，是從工業革命2.0開始以後的概念，因此發展得更早。咱們能夠看到，他們在2000年先後出現了融合和交匯的部分，這也是咱們看到的技術發展的趨勢，正在向融合方向邁進。

由於咱們能夠看到從當初的文檔信息到互聯網+，工業從數控、計算機輔助設計與製造，最後成爲了工業互聯網。這裏的工業是IT+OT+互聯網，因而咱們能夠看到，在工業裏面原來是有自動控制，領域專用，物理隔離、肯定性能服務、高可靠、高可用，有合規性操做問題，不考慮蓄意破壞的問題，工業互聯網是人機物互聯，高可用，高可靠，可是服務肯定性有怎麼保證，低時延大鏈接怎麼保證，尤爲是高可信數據安全怎麼保證？若是沒有這一條。所以，工業互聯網安全問題，也屬於網絡空間安全範疇，漏洞後門的危害可能比傳統互聯網大，咱們看一下它的演進趨勢，三個網在一個企業內部，有一個企業信息網，有一個工業控制網，還有外部的互聯網，工業控制網裏面儘管存在着漏洞後門問題，由於它是物理隔離的，若是要遵照這個規則，外來的攻擊一般不可達。因此除非人爲操做失誤，系統安全是基本可控的，因此咱們說人爲操做失誤是最大的安全隱患，在OT的狀況下。

企業信息網漏洞後門問題一樣存在，可是物理隔離使之很難被利用，除非有內鬼經過不合規操做，利用U盤，把攻擊代碼植入企業信息網內，可是基本上仍是安全的。因此所以，內鬼是企業網最主要的安全威脅。

再來看互聯網，互聯網的問題你們很清楚，它的核心問題就是基於漏洞後門的未知攻擊是最難防範的安全，也是目前最大的安全威脅，沒有之一。在這種狀況下咱們看到，企業內部面向三個網有融合了，首先是兩化融合的須要，使企業信息化不可避免地要與工業控制網絡實現互聯互通，網關成爲剛需的同時，網間物理隔離再也不能被確保，也就是供給可達性的問題，工廠內信息信息化和工業控制網經過了網關進行了鏈接。

隨着全球化、互聯網+的時代到來，信息孤島的情況沒法適應生產和管理模式的轉變，鏈接互聯網成爲剛需，泛在化的安全威脅隨之而來，突出問題就是攻擊可達性，使得企業網和工業控制網內原生的漏洞後門問題凸顯，包括防火牆、網關、附加安全設施、自身的軟件代碼問題。也就是說，原來的企業網不是安全的，有內生安全缺陷，有大量的漏洞和後門，就像奧巴馬跟習主席說的同樣。奧巴馬說大家這些東西我動動手腳大家就完了，因此咱們在三峽的檢查中發現有2000多漏洞。

因此我從三級網絡結構來說，互聯網有現場級、車間級、工廠級，大量的信息技術的東西，因爲通了，攻擊可達性達成了，原生的漏洞和後門問題將成爲新的攻擊可利用的資源。因此僅靠自身安全性都沒法保證的防火牆、身份認證、合規性檢查等附加型的或者外掛式的軟硬件的防禦措施，有些甚至會影響服務的肯定性，難以有效應對基於軟硬件將來漏洞後門等的不肯定威脅，因此一看到工業系統的時候，我真的是很震驚，可是也沒有什麼好震驚的，由於原來是一個生活在一個隔離圈裏的人，是一個無菌房間。

如今忽然暴露在充滿細菌的環境下，這是很天然的一個狀況，對於咱們來講很驚訝。尤爲是在全球化時代下，怎麼去解決這些問題？特別是分佈在全球的分工的協做，分佈在全球的上下游企業件的協做，分佈在全球的企業分支、雲端服務、移動辦公，包括支撐工廠運行的運營環境，物流、水電汽暖、金融，全球化的接入需求每個節點都暴露在充滿各類安全威脅的網絡空間環境下，大量成功攻擊案例代表，邊界防禦模式已經沒法再延續物理隔離的奇蹟了。因此，谷歌提出了零信任架構，就是從邊界防禦到重點防禦的轉變，核心思想是基於用戶身份受管設備的動態多輪認證，和基於實時指紋與用戶歷史行爲的打分機制，包括精準化、層次化的資源訪問控制，架構是一種網絡部署方式，從邊界防禦到重點防禦。可是，零信任架構依然面臨着嚴峻的安全挑戰，好比說這些設施惟一身份標識的各類數據庫，3U問題一樣存在，一旦數據庫被攻陷，零信任架構就會崩塌。一樣的道理，訪問控制引擎中的未知漏洞後門，一旦被攻擊者成功利用，訪問受權控制功能就可能被旁路或者繞過。如何應對基於訪問控制引擎和認證數據庫未知漏洞後門的不肯定攻擊？零信任架構自身不可能給出滿意答案。在全球化、大規模應用部署致使了網絡物理邊界的不肯定。

咱們能夠看到，在一個工廠，IT、OT扁平化的融合網絡，當鏈接的網絡設備激增咱們看到設備接入種類繁多，有線、無線等接入方式的靈活，在這種狀況下咱們能夠看到，網絡扁平化的演進與泛在化的接入需求致使了邏輯邊界模糊化。在這樣的狀況下，物理邊界的不肯定，加上邏輯邊界的模糊化，接入方式的多樣化，加上設備數量的規模化，漏洞後門資源極大豐富，基於軟硬件代碼缺陷的攻擊就成爲了最大的安全威脅，因此說，爲何更加嚴峻？對安全毫無知識的領域要去面對那麼複雜的互聯網環境，不嚴峻是不可能的。

咱們該怎麼辦？導入擬態理論和構造，就是廣義魯棒控制和內生安全，是IT的新技術。內生安全缺陷要經過內生安全功能來克服，用8122來描述一下擬態。針對一個前提，就是防範將來漏洞後門等不肯定威脅，基於一個公理，相對正確的公理，依據一個發現，熵不減系統能穩定抵抗未知攻擊，借鑑兩種理論，可靠性理論與自動控制理論，發明一種構造，動態異構冗餘構造，咱們導入一種機制，叫作擬態假裝機制，造成一種效益，測不許效應。

得到一種功能，內生安全功能，達到了一種效果，融合現有安全技術能夠指數量級提高防護增益，實現兩個目標，歸一化處理傳統安全和非傳統安全問題，得到了廣義魯棒控制的屬性，因此擬態防護不只僅是防護技術，應該是一個內生的構造技術，咱們叫作廣義控制技術，產生的效果是內生安全效果，就是系統設計出來的時候就有這個，而不是靠你加防火牆才能夠解決的問題。

能夠提供一種在不依賴攻擊者先驗知識和行爲特徵信息狀況下，將網絡空間不肯定安全威脅問題，歸一化爲可靠性與魯棒控制理論和技術可以解決的問題。咱們知道可靠性和魯棒控制理論發展得至關成熟，把這個不肯定威脅問題歸一化，這個解決問題創建在堅實的理論基礎上。

這是擬態構造的模型，這個發行裏面很簡單，中間是各類執行體，外層是擬態框，對基於反饋函數的控制器，咱們能夠賦予各類算法，就像控制OT裏面的話，賦予不一樣的控制率，控制效果就不一樣。在這種狀況下，導入這類機制就可使擬態構造產生一種相似於擬態假裝的機制，這個圖很著名，這是擬態章魚，若是我不說你們可能不知道這是章魚，可是這個章魚所表現出的形態是各類各樣的。

在這種狀況下咱們又構造了一個基於一致性判別，可迭代收斂的反饋控制場景，咱們將單一場景變換到多維場景將靜態場景變換到動態場景將同構場景變換到異構場景，將開環場景變換到閉環場景，極大的加強了內外勾結、協同做弊的難度。因此造成了一種效益，我叫作測不許效應。得到了一種功能叫作內生安全功能。

它的指數量級提高了攻擊門檻任何利用個性化漏洞後門的攻擊在機理上無效。任何試錯或盲攻擊都將致使當前防護場景改變，也就是說任何協同攻擊即使成功也很難穩定地維持和重複再現，某種意義上宣判了基於軟硬件代碼整個漏洞後門的攻擊理論和方法的終結。咱們給了一個可視化的表達，最左邊是異構庫，生成異構執行體，經過調度，來提供服務，而後經過策略裁決，獲得一個結果，這個動態是基於裁決的動態，不是盲目的動態。

在這種狀況下，咱們可以把傳統和非傳統安全問題，經過擬態構造，變換爲一個擬態界內同時出現多數一致性錯誤的機率問題，這個能夠經過量化控制來調整。因此咱們導入基於擬態假裝的策略的反饋控制函數，就可以有效地阻止試錯式的協同或非協同攻擊，使得攻擊效果沒法評估，攻擊經驗難以繼承，攻擊場景難以復現。得到的廣義魯棒控制的屬性，可以防範已知的未知風險，也能防範不肯定風險，也能抑制隨機性差模和共模故障產生的擾動，它是用系統架構技術知足高可靠、高可信、高可用一體化的應用要求，這是工業互聯網的必須的性質。

我介紹一下擬態技術的狀態，擬態防護是可量化設計、可驗證度量的。因此對於不肯定性威脅的防護和感知能力，是能夠設計的，可以顯著地增長攻擊者的成本和代價，具備獨特的內生安全效應，可以適應全球化產業生態環境，咱們不使用美國人的東西，由於它是構造形東西作的，能夠天然繼承或融合信息技術和安全技術成果，具備全生命週期高性價比優點，不須要天天殺毒，這些在擬態裏就不是什麼事了，每一年有一個例檢就能夠了。因此擬態的防護，可靠性、可用性、抗攻擊型可量化設計，咱們藉助可靠性驗證理論和注入測試方法定量檢定，全球迄今尚沒有一種ICT或者CPS或者IT產品，能夠利用白盒實驗進行安全性測試和度量咱們知道可靠性技術須要經過白盒驗證，而不是用黑盒測試。

應該說，擬態技術顛覆了基於目標對象軟硬件漏洞後門等暗功能的攻擊理論和方法，抵消了技術和市場先行者在網安領域的戰略優點，好比美國人在這一方面具備安置後門和漏洞的優點，這種在擬態是蕩然無存的，因此改變了網絡空間遊戲規則。咱們如今已經產生了各類交換機、陸游及、網關、文件系統，大概有10餘類20多種擬態構造產品，涉及IT、ICT、CPS多個領域，實踐證實，產品性能穩定可靠，技術具備普適性，費效比顯著。

在工信部的指導下，從去年1月份開始了系列化的構造設備的提供和驗證。目前全部的設備已經獲得了全面驗證，產生了一個PB的數據，工信部起範了示範試點工程做爲驗收。咱們對工業互聯網的各類部件，咱們要賦予一種內生安全，咱們提出了以工業互聯網擬態化的技術體系，我稱之爲擬態之樹，就像曹書記說的5G之花，如今是擬態之樹。

從土壤層分、樹根、樹幹、樹枝、樹葉、果實，每個層面都有完整的生態，而不是靠一兩件法寶解決，而是一個生態。咱們能夠看到，在這樣的生態下，工業互聯網擬態產品的佈局很是豐富，從下面的芯片、設備、模組，均可以作。因此富有吸引力的產業前景和五巨大的市場容量，足夠寬廣的技術與產品創新空間，賦予工業互聯網軟硬件產品不可或缺的內生安全基因，所以咱們有可能在引領全球OT和IT技術和產業發展的新潮流。在這種狀況下我強調一點，擬態構造的案與軟硬構件的多樣性呈指數關係，從技術上解決了開放性與安全性統一問題，回答了習總書記提出的一體兩翼、雙輪驅動的抓手問題。

去年5月份成立了擬態技術產業聯盟，會員已經達到了100多家，但願咱們實現換道超車，我本人是理事長，因此有願意參加的均可以來報名，謝謝。

 

 本文來源：中國信息產業網