国产一级a片免费看高清,亚洲熟女中文字幕在线视频,黄三级高清在线播放,免费黄色视频在线看

大量的網(wǎng)絡(luò)安全事件表明，網(wǎng)絡(luò)空間絕大部分安全威脅都是由人為攻擊這個外因，通過目標(biāo)對象自身存在的漏洞后門這個“內(nèi)生安全問題”之內(nèi)因的相互作用而形成的。遺憾的是，迄今為止，傳統(tǒng)的網(wǎng)絡(luò)安全思維模式和技術(shù)路線很少能跳出“盡力而為、問題歸零”的慣性思維，挖漏洞、打補丁、封門補漏、查毒殺馬乃至設(shè)蜜罐、布沙箱，層層疊疊的附加式防護措施，包括內(nèi)置層次化的檢測構(gòu)造方式（借鑒生物學(xué)的內(nèi)共生思想），在引入安全功能的同時不可避免地會引入新的內(nèi)生安全隱患。怎樣才能破解基于內(nèi)生安全問題的不確定威脅影響，是既需要重大理論創(chuàng)新又需要重大技術(shù)發(fā)明才能解決的科學(xué)技術(shù)難題。

本文從“一切事物都是自在的矛盾、任何事物有利必有弊”的哲學(xué)原理出發(fā)，分析了信息系統(tǒng)“內(nèi)生安全問題”存在的必然性，給出了網(wǎng)絡(luò)空間內(nèi)生安全問題的概念、特征，指出內(nèi)生安全問題作為自在矛盾的一方，在理論和工程層面都不可能徹底消除，需要開發(fā)或利用系統(tǒng)元構(gòu)造（算法）自身的“內(nèi)源性安全效應(yīng)”，或者形成“內(nèi)生的安全體制機制”才能有效規(guī)避或化解由自在矛盾引發(fā)的安全風(fēng)險。本文給出了期望的內(nèi)生安全的體制機制定義和技術(shù)特征，并在可靠性理論與方法的啟示下，通過“相對正確公理”的再發(fā)現(xiàn)，在香農(nóng)信道編碼糾錯理論基礎(chǔ)上創(chuàng)立了編碼信道理論，發(fā)明了動態(tài)異構(gòu)冗余架構(gòu)（DHR），闡述了DHR架構(gòu)能夠歸一化地處理傳統(tǒng)可靠性問題與非傳統(tǒng)網(wǎng)絡(luò)安全問題的原理。

（一）內(nèi)生安全問題的定義和內(nèi)涵

信息世界網(wǎng)絡(luò)空間與現(xiàn)實世界物理空間一樣有著相同的哲學(xué)本質(zhì)，如同德國哲學(xué)大師黑格爾所說的那樣“一切事物都是自在（內(nèi)生）的矛盾，矛盾是一切運動和生命力的根源”。矛盾的同一性是事物存在和發(fā)展的前提，且互為發(fā)展條件。矛盾的斗爭性則會促進矛盾雙方此消彼長，造成雙方力量的發(fā)展不平衡，為對立面的轉(zhuǎn)化和事物質(zhì)變創(chuàng)造條件。以信息技術(shù)為例：大數(shù)據(jù)技術(shù)能夠根據(jù)算法和數(shù)據(jù)樣本發(fā)現(xiàn)未知的規(guī)律或特征，而蓄意污染數(shù)據(jù)樣本、惡意觸發(fā)算法缺陷也能使人們誤入歧途；區(qū)塊鏈技術(shù)開辟了無中心記賬方式的新紀元，51%的共識機制卻不能避免市場占有率大于51%的COTS級軟硬件產(chǎn)品中的漏洞后門問題。

當(dāng)代計算技術(shù)的發(fā)展使人類步入了輝煌的信息時代，但是既有的計算技術(shù)本身的安全缺陷也使得網(wǎng)絡(luò)空間充滿風(fēng)險和不確定威脅。由此可見，內(nèi)生安全問題與內(nèi)生安全機制是同一系統(tǒng)構(gòu)造或算法在不同應(yīng)用目標(biāo)、不同使用場景、不同技術(shù)條件下的不同形態(tài)表現(xiàn)，符合矛盾的對立統(tǒng)一規(guī)律。網(wǎng)絡(luò)世界也概莫能外，一個軟硬件構(gòu)造或算法除本征（元）功能之外，總存在著伴生/衍生的顯式副作用或隱式暗功能，如果其中的一些副作用或暗功能被某種自然或人為因素觸發(fā)，影響到本征功能的正確表達，則稱這類副作用和暗功能為網(wǎng)絡(luò)空間“內(nèi)生安全問題”。

內(nèi)生安全問題可以進一步抽象為兩類問題。一類是狹義內(nèi)生安全問題，特指一個軟硬件實體除了設(shè)計的本征或元功能之外，總存在包括副作用、脆弱性、自然失效等因素在內(nèi)的顯式或隱式表達的非期望功能；另一類是廣義內(nèi)生安全問題，專指在狹義內(nèi)生安全問題之上，還包括蓄意讓最終用戶不可見的設(shè)計功能，或所有未向使用者明確聲明或披露過的軟硬件隱匿功能，例如刻意設(shè)計的前門、后門、陷門等“暗功能”問題。

（二）內(nèi)生安全問題的特性

由內(nèi)生安全問題的定義和內(nèi)涵，可以歸納總結(jié)出內(nèi)生安全問題所具有的特性。

1. 存在的必然性

漏洞和后門總是時不時被人們發(fā)現(xiàn)，從未間斷過。根據(jù)統(tǒng)計規(guī)律，漏洞的數(shù)量與代碼數(shù)量存在一定的比例關(guān)系，隨系統(tǒng)復(fù)雜性的增加和代碼數(shù)量的增大，漏洞數(shù)量也隨之增加。同時，由于全球化經(jīng)濟的發(fā)展和產(chǎn)業(yè)分工的專門化、精細化，集成創(chuàng)新或制造成為普遍的生產(chǎn)組織模式，各種產(chǎn)品的設(shè)計鏈、工具鏈、生產(chǎn)鏈、配套鏈、服務(wù)鏈等供應(yīng)鏈條越來越長，涉及的范圍和環(huán)節(jié)越來越多，這給后門的預(yù)埋植入提供了眾多機會。上述這些非主觀因素引入的軟硬件代碼漏洞（陷門）或人為預(yù)埋進入信息系統(tǒng)的后門，不論從矛盾的自在性、技術(shù)發(fā)展的階段性還是從利益博弈角度來解釋，其出現(xiàn)都是必然的，且難以從根本上避免。

2. 呈現(xiàn)的偶然性

縱觀整個漏洞被發(fā)現(xiàn)的歷史，雖然時不時有漏洞被發(fā)現(xiàn)，但是每個漏洞在什么時候被發(fā)現(xiàn)，是怎么被發(fā)現(xiàn)的，都有其偶然性，是一個無規(guī)律的現(xiàn)象。從認識論關(guān)于“事物總是可以被認識的”觀點出發(fā)，漏洞的存在和發(fā)現(xiàn)都屬于必然事件，但是具體在什么時間、什么系統(tǒng)上和以什么樣的方式呈現(xiàn)出來卻是偶然的。這其中既有對漏洞認識的技術(shù)階段性或時代局限性問題，也有對復(fù)雜代碼完備性檢查的理論方法和技術(shù)能力問題。

3. 認知的時空特性

漏洞是客觀存在的，但是漏洞的發(fā)現(xiàn)則具有時空屬性，需要隨著實踐認知不斷積累到一定程度才能使漏洞呈現(xiàn)出來。今天認為安全的系統(tǒng)，明天未必安全；“我”認為安全的系統(tǒng)，在“他”眼里未必安全；在環(huán)境A里面安全的系統(tǒng)，放到B環(huán)境中未必安全。這就是漏洞因認知而呈現(xiàn)的時空差異。

4. 威脅的不確定性

在經(jīng)濟學(xué)中，美國人富蘭克·奈特區(qū)分了風(fēng)險與不確定性的關(guān)系：風(fēng)險是一種人們可知其概率分布的不確定性，但是人們可以根據(jù)過去推測未來的可能性；而不確定性則表示人們根本無法預(yù)知沒有發(fā)生過的將來事件。不難看出，“內(nèi)生安全問題”可能引發(fā)兩類安全威脅，一是顯著影響目標(biāo)對象本征功能或元功能的可靠性、可信性和可用性，二是非法獲得或侵犯他人隱私信息與數(shù)據(jù)資源。由于“內(nèi)生安全問題”的性質(zhì)所致，上述兩類安全威脅的發(fā)生均不可預(yù)知，屬于不確定性范疇中的未知威脅。

從更加一般的意義上說，由于人類技術(shù)發(fā)展和認知水平的階段性特征導(dǎo)致軟硬件設(shè)計脆弱性或漏洞問題不可能徹底避免也不可能窮盡或徹查，加之全球化時代，開放式產(chǎn)業(yè)生態(tài)環(huán)境，開源協(xié)同技術(shù)模式和“你中有我、我中有你”的產(chǎn)業(yè)鏈?zhǔn)沟密浻布箝T問題不可能完全杜絕，因此迄今為止，對基于內(nèi)生安全問題的不確定性威脅之防御，除了用附加型安全技術(shù)盡力而為地阻斷來自攻擊表面的擾動影響之外，幾乎沒有可量化設(shè)計、可驗證度量的有效安全防御方法或技術(shù)手段，即使采取類似加密認證、可信計算等“底線防御”措施，也往往會因為宿主系統(tǒng)自身的內(nèi)生安全問題而被攻擊者“旁路或短路”。

（一）變換問題場景和解題思路

基于“網(wǎng)絡(luò)空間絕大部分安全威脅都是由人為攻擊這個外因，通過目標(biāo)對象自身存在的'內(nèi)生安全問題’之內(nèi)因相互作用而形成的”認知，一個直觀的推論就是，欲徹底解除網(wǎng)絡(luò)空間安全威脅就必須徹底排除其內(nèi)生的安全問題，因為外因只能通過內(nèi)因起作用。然而，理論研究和工程實踐告訴我們，內(nèi)生安全問題是自在性矛盾，不可能“徹底消除”。首先，在全球化大趨勢下，開放式、協(xié)作化的創(chuàng)新鏈和產(chǎn)業(yè)鏈正成為人類技術(shù)開發(fā)、現(xiàn)代社會生產(chǎn)活動的基本模式，僅憑一國之力幾乎不可能做到技術(shù)鏈、供應(yīng)鏈層面的徹底自主可控與安全可信；其次，軟硬件設(shè)計缺陷導(dǎo)致的漏洞問題，目前在理論和技術(shù)上尚無有效的應(yīng)對辦法，試圖從根本上杜絕此類問題也違背人類認知和科技發(fā)展階段性之客觀規(guī)律。這意味著無論從理論上、技術(shù)上還是經(jīng)濟上，都不可能完全保證網(wǎng)絡(luò)空間構(gòu)成環(huán)境無內(nèi)生安全問題，即“無毒無菌”幾乎是安全領(lǐng)域不可能實現(xiàn)的愿景。

基于上述分析，一個很自然的推論，就是如何變換問題場景和解題思路，在網(wǎng)絡(luò)空間“有毒帶菌”的條件下，實現(xiàn)有安全保障的“沙灘建樓”，緩解“已知的未知”風(fēng)險和“未知的未知”威脅挑戰(zhàn)。這需要跳出傳統(tǒng)架構(gòu)下“亡羊補牢”附加型修復(fù)式防御思維定式，使得信息裝備的安全性不再過度依賴元件、器件、組件或個體形態(tài)軟硬件設(shè)計、制作、運行和管理環(huán)節(jié)的自主可控程度與安全可信水平，也就是要找到賦予信息系統(tǒng)基礎(chǔ)構(gòu)造內(nèi)源性安全功能或內(nèi)生性安全機制的技術(shù)途徑，在一定程度或約束條件下能夠?qū)捜蒈浻矘?gòu)件內(nèi)生安全問題及其影響，使本征功能無論對隨機性故障還是網(wǎng)絡(luò)攻擊都有很好的穩(wěn)定魯棒性和品質(zhì)魯棒性。

（二）生物免疫學(xué)的啟迪

生物學(xué)的知識告訴我們，人類通過遺傳特性獲得的與生俱來的非特異性免疫，對絕大多數(shù)入侵病原微生物都能作出“無特異性清除”反應(yīng)，屬于一種“面”防御。科學(xué)研究表明，自然界的病原微生物總是在不斷地變異，是什么因素保證非特異性免疫僅靠生物遺傳信息，機體就能夠?qū)ΜF(xiàn)實世界變化著的各種入侵病原微生物具有非特異性選擇清除的功能；什么情況下、需要何種條件、通過什么樣的方式才能激活特異性免疫機制；遺傳信息具有相對的穩(wěn)定性但在生物機體全生命周期內(nèi)是否需要更新，以及何時更新，怎樣更新；特異性免疫（屬于“點”防御）的記憶效應(yīng)如何及怎樣才能影響非特異性免疫的遺傳信息等。

由此產(chǎn)生的啟迪意義，就是我們能否在軟硬件裝置或系統(tǒng)中，也設(shè)計出一種類似脊椎動物免疫機理的融合式防御能力，以便對“基于目標(biāo)對象內(nèi)生安全問題的未知攻擊活動產(chǎn)生沒有特異性選擇的清除功能”，并能適時觸發(fā)類似特異性免疫機制那樣的點防御功能。由此作者以為，這種源于目標(biāo)對象自身構(gòu)造機理的防御功能，用內(nèi)生安全的概念來定義，最恰當(dāng)不過。

（三）網(wǎng)絡(luò)空間內(nèi)生安全

所謂內(nèi)生安全是指具有內(nèi)生或內(nèi)源性安全功效的構(gòu)造或算法及其體制機制。按字面意思，內(nèi)生就是靠自身因素而不是外部因素得到的內(nèi)源性效應(yīng)。內(nèi)生安全就是利用系統(tǒng)的架構(gòu)、算法、機制、場景等內(nèi)在因素獲得的安全功能或?qū)傩裕?，脊椎動物的非特異性免疫和特異性免疫學(xué)習(xí)機制就是一種內(nèi)生安全功能。內(nèi)生安全應(yīng)該具有的體制機制和技術(shù)特征如下：

1. 期望的內(nèi)生安全體制

（1）內(nèi)生安全體制應(yīng)當(dāng)基于開放的組織架構(gòu)，不排除架構(gòu)、模塊和構(gòu)件中包含任何的內(nèi)生安全問題；

（2）內(nèi)生安全體制應(yīng)當(dāng)基于一體化的融合構(gòu)造，能同時提供高可靠、高可信、高可用的使用功能；

（3）內(nèi)生安全體制應(yīng)當(dāng)能夠充分發(fā)揮多樣性、隨機性和動態(tài)性防御要素的綜合效應(yīng)；

（4）內(nèi)生安全體制應(yīng)當(dāng)同時具有異構(gòu)、冗余、動態(tài)、裁決和反饋控制之構(gòu)造要素；

（5）內(nèi)生安全體制應(yīng)當(dāng)能夠自然的接納傳統(tǒng)安全防護技術(shù)或其他技術(shù)的使用并可獲得指數(shù)量級的防御增益；

（6）內(nèi)生安全體制應(yīng)當(dāng)具有普適性應(yīng)用意義。

2. 期望的內(nèi)生安全機制

（1）內(nèi)生安全機制與廣義不確定擾動應(yīng)屬于人-機、機-機、機-人博弈關(guān)系；

（2）內(nèi)生安全機制應(yīng)當(dāng)可以條件管控或抑制廣義不確定擾動造成的負面影響；

（3）內(nèi)生安全機制的有效性應(yīng)當(dāng)不依賴（但可以融合）關(guān)于攻擊者的先驗知識或附加、內(nèi)置、內(nèi)共生的其他安全措施或技術(shù)手段；

（4）內(nèi)生安全機制應(yīng)當(dāng)能以融合方式為目標(biāo)對象提供一體化的高可靠、高可信、高可用的使用性能；

（5）內(nèi)生安全機制導(dǎo)致的廣義安全性應(yīng)當(dāng)具有可量化設(shè)計、可驗證度量的穩(wěn)定魯棒性和品質(zhì)魯棒性；

（6）內(nèi)生安全機制的使用效能應(yīng)當(dāng)與運維管理者的技術(shù)能力和過往的經(jīng)驗弱相關(guān)或不相關(guān)。

3. 期望的技術(shù)特征

（1）內(nèi)生安全應(yīng)當(dāng)是基于目標(biāo)對象基礎(chǔ)構(gòu)造或算法的內(nèi)源性安全功能，具有與脊椎生物非特異性和特異性免疫機制類似的“點面融合”式防御特點，與目標(biāo)對象本征或元功能具有構(gòu)造層面的不可分割性；

（2）內(nèi)生安全功效應(yīng)當(dāng)不依賴攻擊者先驗知識和行為特征信息，對獨立的攻擊資源、攻擊技術(shù)、攻擊方法形成的“差模攻擊效應(yīng)”應(yīng)當(dāng)具有天然的抑制功效。換言之，凡是基于0-Day性質(zhì)的漏洞后門、病毒木馬等網(wǎng)絡(luò)攻擊，內(nèi)生安全功能可使之在機理上無效；

（3）突破內(nèi)生安全防御除社會工程學(xué)的手段外，只能通過時空一致性的精準(zhǔn)協(xié)同攻擊才有“共模逃逸”的可能，但首先要克服時空非一致性的“測不準(zhǔn)效應(yīng)”，然后需逾越“基于策略裁決的異構(gòu)冗余目標(biāo)反饋調(diào)度迭代機制”，其次必須解決共模逃逸的穩(wěn)定維持問題；

（4）內(nèi)生安全功能應(yīng)當(dāng)能夠歸一化地解決傳統(tǒng)可靠性問題和基于目標(biāo)對象的網(wǎng)絡(luò)安全威脅問題；

（5）理論上，“差模逃逸”不可能發(fā)生，“共模逃逸”屬于可量化設(shè)計的小概率或極小概率事件，“即使攻擊成功也可能只此一次”，在內(nèi)生安全環(huán)境內(nèi)的攻擊行動或成果都不具有穩(wěn)定魯棒性和品質(zhì)魯棒性。

（一）可靠性問題的啟示

作者在長期的研究和探索中發(fā)現(xiàn)，可靠性問題與網(wǎng)絡(luò)安全問題雖屬兩個領(lǐng)域且擾動因素不同，前者以隨機性擾動為主要表現(xiàn)形態(tài)，而后者則完全由攻擊者人為行為所致。但也存在許多相似甚至相同的理論與技術(shù)問題，相關(guān)的理論方法和體制機制應(yīng)當(dāng)具有“他山之石可以攻玉”的相互借鑒意義。

我們知道，可靠性領(lǐng)域最具挑戰(zhàn)性的問題是如何應(yīng)對系統(tǒng)的不確定性故障或失效。涉及兩個基本問題：一是如何應(yīng)對由無源或有源器件或零部件物理性錯誤或故障導(dǎo)致的不確定失效問題，二是怎樣才能避免由未能發(fā)現(xiàn)的軟硬件設(shè)計缺陷或錯誤導(dǎo)致的不確定失效問題。盡管故障或失效產(chǎn)生的機理和影響程度不同，但是共同的特征都是故障或失效發(fā)生的時間、部位、性質(zhì)和結(jié)果等都不確定。換言之，可靠性技術(shù)同樣需要克服相關(guān)領(lǐng)域內(nèi)生安全問題導(dǎo)致的不確定錯誤、故障乃至失效。

（二）“相對正確公理”的再發(fā)現(xiàn)

“相對正確公理”（也有研究者稱之為共識機制）是指“人人都存在這樣或那樣的缺點，但極少出現(xiàn)獨立完成同樣任務(wù)時，多數(shù)人在同一個地點、同一時間、犯完全一樣錯誤的情形”。相對正確公理在可靠性工程領(lǐng)域的成功應(yīng)用，是20世紀70年代首先在飛行控制器領(lǐng)域提出的非相似余度構(gòu)造（dissimilar redundant structure, DRS），其抽象模型如圖1所示?；谠摌?gòu)造的目標(biāo)系統(tǒng)在一定的前提或約束條件下，即使其軟硬構(gòu)件存在分布形式各異的隨機性故障，或者存在未知設(shè)計缺陷或錯誤導(dǎo)致的統(tǒng)計意義上的不確定失效，都可以被多模表決機制變換為能用概率表達的差?；蚬材Ｊ录?，從而使我們不僅能通過提高或改善材料、構(gòu)件質(zhì)量的方式提高系統(tǒng)可靠性，也能通過系統(tǒng)工程技術(shù)的創(chuàng)新來顯著增強系統(tǒng)的可靠性與可用性。

圖1. DRS架構(gòu)的抽象模型，其中，A_i (i = 1, 2, …, m)表示第i個異構(gòu)執(zhí)行體，m表示異構(gòu)執(zhí)行體的數(shù)量。

就目標(biāo)對象內(nèi)生安全問題的不確定威脅而言，DRS構(gòu)造從某種意義上說也具有與敵我識別作用相同或相似的功效。盡管不確定威脅的攻擊效果對于功能等價的異構(gòu)冗余個體而言往往不是概率問題，但是這種攻擊事件在群體層面的反映通常會以差模形態(tài)呈現(xiàn)，并具有隨機性質(zhì)的概率屬性。換言之，在給定的約束條件下，不確定的個體表現(xiàn)可以被相對正確公理變換為群體層面的概率問題。在小尺度空間上，基于DRS構(gòu)造的目標(biāo)對象，能夠抑制包括未知的人為攻擊在內(nèi)的廣義不確定擾動，且具有可設(shè)計標(biāo)定、驗證度量的品質(zhì)魯棒性。

（三）動態(tài)異構(gòu)冗余架構(gòu)

進一步研究不難看出，盡管基于DRS構(gòu)造的目標(biāo)對象能夠抑制包括未知的人為攻擊在內(nèi)的廣義不確定擾動，但DRS架構(gòu)內(nèi)各執(zhí)行體的運行環(huán)境以及相關(guān)漏洞后門等的可利用條件是靜態(tài)確定的，且執(zhí)行體的并行部署方式通常也不會改變攻擊表面的可達性，因而，對DRS的攻擊成功經(jīng)驗具有可繼承性，方法具有可復(fù)現(xiàn)性，攻擊效果具有可持續(xù)利用價值。換言之，DRS架構(gòu)的靜態(tài)性、確定性和相似性在非傳統(tǒng)安全領(lǐng)域成為構(gòu)造或算法層面的基因缺陷，其抗攻擊性與可靠性不具備穩(wěn)定魯棒性。

作者研究發(fā)現(xiàn)，從信息熵角度觀察，攻防雙方實際上是圍繞防御方初始信息熵的增減或維持展開的博弈。DRS構(gòu)造的容侵屬性之所以缺乏時間穩(wěn)定性是因為隨著針對性嘗試攻擊或試錯式攻擊的持續(xù)進行，構(gòu)造內(nèi)的初始信息熵因為沒有任何的自維持機制只能作熵減少運動，直至初始信息熵低至攻擊鏈能夠可靠地發(fā)揮期望的作用，構(gòu)造的本征功能或防御功效徹底喪失為止。

不難推論，如果能在DRS架構(gòu)中導(dǎo)入初始信息熵不減（或熵平衡）機制就能使其容侵屬性具有一定程度的魯棒性。例如，添加動態(tài)、隨機、多樣、重構(gòu)或加密認證、入侵檢測、入侵預(yù)防等傳統(tǒng)防御元素，或?qū)氩呗圆脹Q、控制律反饋、可迭代收斂的魯棒控制機制等，理論上應(yīng)當(dāng)能夠改變DRS運行環(huán)境的靜態(tài)性、確定性和相似性在非傳統(tǒng)安全領(lǐng)域的基因缺陷。期望這種經(jīng)“基因工程”再造后的控制構(gòu)造和運行機制，由于具有初始信息熵不減（包括熵平衡）特性，因而無論在容侵還是容錯方面都應(yīng)該具有可量化設(shè)計、可驗證度量的穩(wěn)定魯棒性和品質(zhì)魯棒性。

作者將這種創(chuàng)新的技術(shù)構(gòu)造命名為“動態(tài)異構(gòu)冗余架構(gòu)”（Dynamic Heterogeneous Redundancy, DHR）。DHR架構(gòu)抽象模型如圖2所示。

圖2. DHR架構(gòu)的抽象模型，其中，n表示異構(gòu)執(zhí)行體的數(shù)量。

DHR架構(gòu)的核心思想是：依據(jù)“構(gòu)造決定安全”的公知，在保證本征功能集不變條件下，導(dǎo)入基于多模裁決的策略調(diào)度和多維動態(tài)重構(gòu)魯棒控制機制，賦予運行環(huán)境動態(tài)可重組、軟件可定義、算法可重構(gòu)的功能屬性，形成攻擊者視角下的測不準(zhǔn)效應(yīng)，使目標(biāo)運行場景在抑制廣義不確定擾動方面具備可迭代收斂的動態(tài)性、隨機性、多樣性。

同時，嚴格隔離執(zhí)行體之間的協(xié)同途徑或盡可能地消除攻擊者可資利用的同步、共享機制，最大限度地發(fā)揮基于動態(tài)異構(gòu)冗余環(huán)境、非合作模式、多模裁決對蓄意利用內(nèi)生安全問題的不確定威脅的規(guī)避或瓦解作用，顯著提升軟硬件差模故障或隨機性失效的容忍度。換言之，期望通過DHR架構(gòu)獲得多位一體的內(nèi)生安全功能，既能有效抑制基于目標(biāo)對象內(nèi)生安全問題的非配合或差模攻擊擾動，又能保證即使出現(xiàn)協(xié)同攻擊逃逸情況仍能夠控制模型攝動范圍在給定的閾值之內(nèi)；不僅能顯著增加攻擊鏈的不確定性，還能充分增強包括高可靠、高可用、高可信一體化機制在內(nèi)的廣義魯棒控制服務(wù)或應(yīng)用性能；期望能顯著弱化非相似余度苛刻的異構(gòu)性設(shè)計要求，使得DHR構(gòu)造能夠成為具有廣泛應(yīng)用前景的新型使能技術(shù)。有關(guān)DHR的基本原理、典型與非典型構(gòu)造、技術(shù)目標(biāo)與典型功效、安全性量化分析的相關(guān)論述參見參考文獻。

（四）DHR架構(gòu)的內(nèi)生安全特性

DHR從組織結(jié)構(gòu)、運行模式、制度安排等方面具備內(nèi)生安全體制需要的全部要素，在目標(biāo)對象中運用DHR的過程就是為其建立內(nèi)生安全體制的過程，具體表現(xiàn)在如下幾個方面。

（1）DHR是完全開放的組織架構(gòu)，允許架構(gòu)內(nèi)的軟硬模塊或構(gòu)件中包含任何的內(nèi)生安全問題，即可以在任何“有毒帶菌”場景下可靠的發(fā)揮期望的作用；

（2）DHR是一體化的融合構(gòu)造，能同時提供高可靠、高可信、高可用的使用功能。不僅能解決傳統(tǒng)的功能安全問題還能管控非傳統(tǒng)安全問題；

（3）DHR架構(gòu)能夠綜合使用多樣性、隨機性和動態(tài)性之防御要素，形成內(nèi)源性的測不準(zhǔn)效應(yīng)和難以窺探的“防御迷霧”；

（4）DHR架構(gòu)本身是由異構(gòu)、冗余、動態(tài)、裁決和反饋控制五大環(huán)節(jié)組成，能最大限度地發(fā)揮“動態(tài)、多樣、隨機”防御三要素的協(xié)同效應(yīng)；

（5）DHR架構(gòu)能夠自然地接納傳統(tǒng)安全防護技術(shù)或其他技術(shù)的使用并可獲得指數(shù)量級的防御增益；

（6）DHR架構(gòu)對所有軟硬件系統(tǒng)具有普適性應(yīng)用意義。

此外，基于DHR架構(gòu)、功能、相關(guān)策略等形成的協(xié)同關(guān)系造就了一種具有獨特優(yōu)勢的內(nèi)源性安全機制，具體表現(xiàn)在如下幾個方面：

（1）DHR安全機制形成的測不準(zhǔn)防御迷霧正是為了管控或抑制基于目標(biāo)對象內(nèi)生安全問題的廣義不確定擾動，屬于典型的人-機博弈關(guān)系，如果導(dǎo)入人工智能和大數(shù)據(jù)等后臺處理功能完全可以在人-機、機-機、機-人博弈中占據(jù)優(yōu)勢；

（2）DHR安全機制可以條件管控或抑制針對目標(biāo)對象的廣義不確定擾動，但不可能完全杜絕共模逃逸現(xiàn)象的發(fā)生，盡管這種逃逸屬于可量化控制的極小概率事件；

（3）DHR安全機制的有效性不依賴任何先驗知識或附加、內(nèi)置、內(nèi)共生的其他安全措施或技術(shù)手段，但可以融合使用相關(guān)技術(shù)成果指數(shù)量級地提升安全增益；

（4）DHR安全機制能用同一技術(shù)架構(gòu)以融合方式為目標(biāo)對象提供一體化的高可靠、高可信、高可用的使用性能；

（5）DHR安全機制形成的安全效應(yīng)可通過可靠性驗證理論中的“白盒注入”測試法檢定，并具有可量化設(shè)計、可驗證度量的穩(wěn)定魯棒性和品質(zhì)魯棒性；

（6）DHR安全機制的使用效能與運維管理者的技術(shù)能力和過往的經(jīng)驗弱相關(guān)或不相關(guān)，具有全生命周期難以比擬的效費比優(yōu)勢。

需要鄭重聲明的是，DHR只是網(wǎng)絡(luò)空間內(nèi)生安全體制機制的一種而不是全部。

（五）DHR架構(gòu)編碼信道模型

1949年香農(nóng)提出著名的信道編碼定理，奠定了現(xiàn)代通信特別是糾錯編碼的理論基礎(chǔ)。香農(nóng)第二定理（有噪信道編碼定理）的目的是在無記憶信道引入隨機噪聲的情況下，通過在傳輸?shù)南⒅刑砑右粋€適當(dāng)設(shè)計的冗余，然后在接收器處使用該冗余來重建原始消息，最終完成消息的正常傳遞。該定理雖然僅是存在性的，但對通信的指導(dǎo)意義十分明顯，它給通信工作者指出了進行可靠通信的新方向和新途徑，糾錯編碼正是在該定理指導(dǎo)下發(fā)展起來的。DHR構(gòu)造的內(nèi)生安全機制也可以描述為如何在一個存在非隨機噪聲的可重構(gòu)有記憶信道上正確地處理和傳輸信息的問題。作者認為，對于網(wǎng)絡(luò)攻擊所導(dǎo)致的信息處理和傳輸錯誤與可靠性錯誤與通信噪聲錯誤等的性質(zhì)類似，都可以采用糾錯編碼思路進行解決。但與經(jīng)典香農(nóng)通信傳輸模型中的無記憶信道假設(shè)不同，DHR可以抽象為一種有處理能力的可重構(gòu)有記憶信道。與香農(nóng)假設(shè)的隨機噪聲不同，網(wǎng)絡(luò)攻擊具有明顯的非隨機性，可以抽象為非隨機噪聲，這里將隨機通信噪聲、隨機物理失效、人為攻擊噪聲等統(tǒng)一稱為廣義不確定擾動。DHR構(gòu)造等效傳輸信道模型和香農(nóng)傳輸信道模型如圖3和圖4所示。

圖3. DHR構(gòu)造等價傳輸信道模型，其中，P表示通道函數(shù)，n'表示元信道的數(shù)量，n'與圖2中的n具有相似的含義。

圖4. 香農(nóng)傳輸信道模型。

如果從香農(nóng)的冗余編碼理論視之，DHR結(jié)構(gòu)在時空上可以展開為一組基于動態(tài)異構(gòu)冗余方式的“編碼結(jié)構(gòu)”（coding-structure）之集合，目的是為了對抗與信道噪聲類似的隨機或非隨機的“結(jié)構(gòu)擾動噪聲”（structure disturbances noise, SDN）的影響。但是，香農(nóng)信道編碼理論的分析對象是“隨機無記憶信道”，而DHR的異構(gòu)冗余迭代防御場景則相當(dāng)于“隨機或非隨機的有記憶信道”。因此，不能直接用香農(nóng)理論及方法來量化分析DHR構(gòu)造的安全性或廣義魯棒性，需要從信道編碼理論發(fā)展出一種“編碼信道”理論（coding channel theory, CCT），以便能對DHR的“編碼結(jié)構(gòu)”體制機制在抑制“結(jié)構(gòu)擾動噪聲”方面的性能進行量化分析。而編碼信道理論是否成立的關(guān)鍵是相關(guān)存在定理的證明，需要從理論上闡明在廣義擾動條件下，針對特定離散有記憶信道，如何構(gòu)造合適的信道與編碼來提供正確服務(wù)的問題。所謂“正確”的概念就是采用適當(dāng)?shù)木幋a與譯碼步驟，使得在具有內(nèi)生安全屬性的系統(tǒng)架構(gòu)內(nèi)，當(dāng)存在隨機或人為加性干擾時信息傳遞和處理的誤差足夠小。簡而言之，編碼信道理論是由內(nèi)生安全構(gòu)造數(shù)學(xué)模型和兩個存在定理及相關(guān)定義、引理及數(shù)學(xué)證明構(gòu)成，涵蓋且應(yīng)當(dāng)涵蓋香農(nóng)第二定理的內(nèi)容。

（六）DHR架構(gòu)編碼信道數(shù)學(xué)模型

假定攻擊以速率λ (λ > 0)到達，以及假定存在以下三類單個執(zhí)行體被攻擊成功的概率P_s(t)與時間t的數(shù)學(xué)表達式：

式中，T_s表示干擾到達的時間；p表示部署差模元信道的概率，首次以概率p部署差模元信道沒有任何危害。

可以證明，動態(tài)異構(gòu)冗余與反饋記憶消除信道構(gòu)造方案使得編碼信道結(jié)構(gòu)與元信道記憶具有不確定性，保證了系統(tǒng)失效的隨機性。

（七）編碼信道存在定理

將編碼信道內(nèi)具備同等功能和性能的子信道稱為元信道，元信道的噪聲隨機到達（在內(nèi)生安全問題中表現(xiàn)為未知的漏洞后門），對于任意隨機噪聲，信道輸出出錯的概率P_e<1。加之信道的無記憶性，對于任意時刻t的隨機噪聲，使信道輸出出錯的概率P_e (t)<1。因此，在隨機噪聲無記憶信道條件下，編碼信道中n'個元信道構(gòu)造滿足香農(nóng)第二定理：信道噪聲隨機且信道n'次擴展無記憶條件的約束前提。

針對輸入X的樣本空間為x = {0, 1}，輸出響應(yīng)Y的樣本空間為y = {0, 1}。

1. 編碼信道存在第一定理

噪聲（擾動）隨機到達，若編碼信息傳輸率R < C，其中，C表示離散無記憶信道的信道容量，當(dāng)存在無記憶元信道n'足夠大的編碼信道，總可以在輸入集合找到個碼字組成一個碼集合M=2^n'R，其中，n'表示碼長，M表示異構(gòu)元信道組合的總數(shù)，其與圖1中的m含義相似。在一定譯碼規(guī)則下，可使信道輸出錯誤概率P(t)≤ε，其中，ε表示任意小正數(shù)。

在隨機噪聲無記憶信道下，編碼信道噪聲隨機，構(gòu)造的元信道均為無記憶信道。香農(nóng)第二定理要求信道進行n'次無記憶擴展，各擴展信道的噪聲隨機，均為無記憶信道。因此，隨機噪聲無記憶信道下編碼信道存在第一定理與香農(nóng)第二定理滿足條件等同。

2. 編碼信道存在第二定理

噪聲（擾動）非隨機到達，動態(tài)異構(gòu)冗余與反饋消記憶構(gòu)造后的離散有記憶編碼信道的信道容量C，?_t>0,C(t)∈[C_s,C₀]，其中，C_s表示穩(wěn)態(tài)信道容量，C₀表示初始狀態(tài)信道容量。若t時刻編碼信息傳輸率R(t)<C(t)，則只要碼長與編碼元信道構(gòu)造數(shù)n'足夠大，總可以在輸入集合找到M=2^n'R個碼字組成一個碼集合。在一定譯碼規(guī)則下，可使信道輸出錯誤概率P_e (t)≤ε，其中，ε表示任意小的正數(shù)。

基于目標(biāo)對象內(nèi)生安全問題的攻擊理論和方法是造成當(dāng)前網(wǎng)絡(luò)空間泛在化安全威脅的最主要原因之一，雖然內(nèi)生安全問題不可避免，但由此帶來的安全威脅影響應(yīng)當(dāng)可以通過內(nèi)生安全的體制機制設(shè)法規(guī)避或化解（網(wǎng)絡(luò)空間擬態(tài)防御就是這一機理的成功應(yīng)用），這不僅涉及網(wǎng)絡(luò)空間安全防御思想與觀念的轉(zhuǎn)變，更關(guān)系到信息技術(shù)（IT）、信息通信技術(shù)（ICT）、信息物理系統(tǒng)（CPS）、工業(yè)控制系統(tǒng)（ICS）等領(lǐng)域安全理論與產(chǎn)品技術(shù)的跨越式發(fā)展，也為眾多學(xué)科拓展了新的研究方向。

本文分析了破解網(wǎng)絡(luò)空間內(nèi)生安全問題的思路和方法，提出了網(wǎng)絡(luò)空間內(nèi)生安全的概念和技術(shù)特征，介紹了具有內(nèi)生安全特性的DHR架構(gòu)的產(chǎn)生過程及其核心思想。作者相信，網(wǎng)絡(luò)空間內(nèi)生安全必將成為新一代軟硬件產(chǎn)品的賦能技術(shù)，這將使得從軟硬件產(chǎn)品源頭開始治理網(wǎng)絡(luò)空間安全秩序、打造安全可信的人類網(wǎng)絡(luò)命運共同體成為可能。

注：本文內(nèi)容呈現(xiàn)略有調(diào)整，若需可查看原文。

改編原文：

Jiangxing Wu.Cyberspace Endogenous Safety and Security[J].Engineering,2022,15(8):179-185.