尊敬的鄭院士、曹書記、張秘書長，各位學(xué)術(shù)界的同仁們，很高興在第一屆工業(yè)互聯(lián)網(wǎng)學(xué)術(shù)專題論壇上發(fā)言。我今天想談的問題是工業(yè)互聯(lián)網(wǎng)，這個(gè)概念很熱，前景也很美好，很誘人。但是我認(rèn)為工業(yè)互聯(lián)網(wǎng)的安全挑戰(zhàn)更嚴(yán)峻，從某種意義上來說，一個(gè)沒有完全保證的工業(yè)互聯(lián)網(wǎng)，是不會有什么美好前景的。

　　我今天想談一下工業(yè)互聯(lián)網(wǎng)的安全有什么共性的解決方案。首先，工業(yè)互聯(lián)網(wǎng)也是網(wǎng)絡(luò)空間Cyberspace的一部分，因此對Cyberspace目前的這樣一種安全問題的本源性認(rèn)知就變得非常重要了。就是到底安全的問題，它的本源問題是什么，這樣的現(xiàn)象有很多。

　　我歸納為四個(gè)本源性認(rèn)知，第一個(gè)問題就是軟硬構(gòu)件，不管是OT還是IT，或者是OT加IT，軟硬件構(gòu)件的設(shè)計(jì)缺陷導(dǎo)致的安全漏洞不可避免。因?yàn)槿祟惪茖W(xué)技術(shù)發(fā)展和認(rèn)知水平的階段性特征導(dǎo)致的，所以漏洞問題不可能徹底避免，是因?yàn)檫@個(gè)原因，與是否擁有自主知識產(chǎn)權(quán)和國產(chǎn)化程度弱相關(guān)。

　　第二，信息技術(shù)產(chǎn)品生態(tài)圈中存在的軟硬件后門無法杜絕，這又是什么原因？是因?yàn)槿蚧瘯r(shí)代，開放式的產(chǎn)業(yè)生態(tài)環(huán)境，開源的技術(shù)模式和你中有我，我中有你的產(chǎn)業(yè)鏈，造成了軟硬件后門問題不可能完全杜絕。只要不能掌握整個(gè)生態(tài)圈，即便你擁有自主知識產(chǎn)權(quán)也不能完全解決問題，這不是自主知識產(chǎn)權(quán)就可以解決的問題。

　　第三，現(xiàn)階段人類科技人類尚不能徹查漏洞后門問題，就一般意義而言，窮盡和徹查目標(biāo)系統(tǒng)軟硬件代碼問題，在可預(yù)見的將來，依然是難以克服的科技難題，我們不能也不可能構(gòu)建一個(gè)無毒無菌絕對安全的理想場景，工業(yè)互聯(lián)網(wǎng)也如此。

　　第四，信息產(chǎn)品安全質(zhì)量尚無有效的控制辦法，比如說一塊幾萬乃至上百億晶體管的集成電路，幾萬乃至上億行代碼的軟件版本，一個(gè)復(fù)雜的信息系統(tǒng)，一個(gè)工業(yè)控制裝置，只要存在一個(gè)漏洞，或者植入一個(gè)后門，就可能導(dǎo)致整個(gè)信息系統(tǒng)乃至所有相同的設(shè)施都遭殃。

　　因此，軟硬件產(chǎn)品安全質(zhì)量因?yàn)闊o法從源頭控制與保障，導(dǎo)致Cyberspace快速膨脹過程中，基本安全問題呈幾何級數(shù)擴(kuò)散，網(wǎng)絡(luò)空間生態(tài)圈陷入了循環(huán)污染的狀態(tài)，這是必然結(jié)果。于是我們就知道了，為什么Cyberspace空間安全問題越來越多，因?yàn)樾畔⒒@個(gè)美女打開了網(wǎng)絡(luò)安全的魔盒。

　　基于這四個(gè)本源性認(rèn)知，我們可以有四個(gè)重要推論，第一，凡是采用資源共享機(jī)制和層次化垂直處理構(gòu)造的系統(tǒng)，其服務(wù)的可信性都無法自證。也就是說，底層或者低層的漏洞后門、病毒木馬可能導(dǎo)致上層安全措施失效，包括加密。第二的一個(gè)復(fù)雜系統(tǒng)，附加式安全措施通常不能有效防范目標(biāo)對象或者主系統(tǒng)當(dāng)中存在的問題。就是外部的警衛(wèi)不知道無法管控目標(biāo)對象內(nèi)部發(fā)生的安全問題。第三，基于攻擊者先驗(yàn)知識和行為特征的防護(hù)技術(shù)，無法實(shí)時(shí)應(yīng)對基于未知漏洞、未知后門的未知威脅，我叫做3U問題。于是，亡羊補(bǔ)牢的態(tài)勢不可能避免，代價(jià)高昂不說，還不一定能夠補(bǔ)牢。

　　    第四個(gè)問題只要不走旁門外道，前門攻擊總是可以設(shè)防，我可以增強(qiáng)密碼，我可以增強(qiáng)刷臉的識別度，只要不走旁門外道，漏洞后門就是走旁門外道的。所以我們說，傳統(tǒng)安全技術(shù)應(yīng)對3U威脅存在著基因缺陷，右邊的圖很漂亮，里面是硬件，然后是服務(wù)與應(yīng)用，還有安全模型，但是每一層我們都可以提出左邊的三個(gè)問題，就是存在著未知的軟硬件的漏洞，是不是存在預(yù)設(shè)的軟硬件后門？是不是存在著短板效應(yīng)？這樣的一個(gè)問題，無論是被保護(hù)對象，還是安全守護(hù)者，自身都無法回答這些問題。一個(gè)360的安全衛(wèi)士，他沒有漏洞嗎？他沒有后門嗎？我想，無論是誰都不能回答各問題。所以缺乏有效的感知認(rèn)知就無法對不確定威脅實(shí)施有效防御。

　　這是我們對前面Cyberspace問題的基本認(rèn)知，實(shí)際上也是我們對工業(yè)互聯(lián)網(wǎng)安全的基本認(rèn)知。于是，工業(yè)互聯(lián)網(wǎng)存在著更為嚴(yán)峻的安全威脅，如果說我們現(xiàn)在的消費(fèi)互聯(lián)網(wǎng)是對人，人還是有很大的抗干擾能力盡管有受騙上當(dāng)?shù)男袨?。但是機(jī)器幾乎是沒有太多的認(rèn)知的，所以不僅是受騙上當(dāng)，任何一個(gè)指令都會做。

　　我們首先看工業(yè)互聯(lián)網(wǎng)的內(nèi)涵，這里面有各種各樣的說法，核心是信息化與工業(yè)化兩化融合背景下，IT技術(shù)加OT技術(shù)加互聯(lián)網(wǎng)技術(shù)，就是工業(yè)互聯(lián)網(wǎng)，我特別把IT技術(shù)和互聯(lián)網(wǎng)分開，因?yàn)镮T技術(shù)早于互聯(lián)網(wǎng)，OT技術(shù)早于IT技術(shù)。

　　這是融合發(fā)展的創(chuàng)新產(chǎn)物。這條線上我們可以看到，上側(cè)是IT，是互聯(lián)網(wǎng)發(fā)展的軌跡，50年的發(fā)展軌跡。下面是OT網(wǎng)絡(luò)，是從工業(yè)革命2.0開始之后的概念，所以發(fā)展得更早。我們可以看到，他們在2000年前后出現(xiàn)了融合和交匯的部分，這也是我們看到的技術(shù)發(fā)展的趨勢，正在向融合方向邁進(jìn)。

　　因?yàn)槲覀兛梢钥吹綇漠?dāng)初的文檔信息到互聯(lián)網(wǎng)+，工業(yè)從數(shù)控、計(jì)算機(jī)輔助設(shè)計(jì)與制造，最后成為了工業(yè)互聯(lián)網(wǎng)。這里的工業(yè)是IT+OT+互聯(lián)網(wǎng)，于是我們可以看到，在工業(yè)里面原來是有自動控制，領(lǐng)域?qū)Ｓ?，物理隔離、確定性能服務(wù)、高可靠、高可用，有合規(guī)性操作問題，不考慮蓄意破壞的問題，工業(yè)互聯(lián)網(wǎng)是人機(jī)物互聯(lián)，高可用，高可靠，但是服務(wù)確定性有怎么保證，低時(shí)延大連接怎么保證，尤其是高可信數(shù)據(jù)安全怎么保證？如果沒有這一條。因此，工業(yè)互聯(lián)網(wǎng)安全問題，也屬于網(wǎng)絡(luò)空間安全范疇，漏洞后門的危害可能比傳統(tǒng)互聯(lián)網(wǎng)大，我們看一下它的演進(jìn)趨勢，三個(gè)網(wǎng)在一個(gè)企業(yè)內(nèi)部，有一個(gè)企業(yè)信息網(wǎng)，有一個(gè)工業(yè)控制網(wǎng)，還有外部的互聯(lián)網(wǎng)，工業(yè)控制網(wǎng)里面盡管存在著漏洞后門問題，因?yàn)樗俏锢砀綦x的，如果要遵守這個(gè)規(guī)則，外來的攻擊通常不可達(dá)。所以除非人為操作失誤，系統(tǒng)安全是基本可控的，所以我們說人為操作失誤是最大的安全隱患，在OT的情況下。

　　企業(yè)信息網(wǎng)漏洞后門問題同樣存在，但是物理隔離使之很難被利用，除非有內(nèi)鬼通過不合規(guī)操作，利用U盤，把攻擊代碼植入企業(yè)信息網(wǎng)內(nèi)，但是基本上還是安全的。所以因此，內(nèi)鬼是企業(yè)網(wǎng)最主要的安全威脅。

　　再來看互聯(lián)網(wǎng)，互聯(lián)網(wǎng)的問題大家很清楚，它的核心問題就是基于漏洞后門的未知攻擊是最難防范的安全，也是目前最大的安全威脅，沒有之一。在這種情況下我們看到，企業(yè)內(nèi)部面向三個(gè)網(wǎng)有融合了，首先是兩化融合的需要，使企業(yè)信息化不可避免地要與工業(yè)控制網(wǎng)絡(luò)實(shí)現(xiàn)互聯(lián)互通，網(wǎng)關(guān)成為剛需的同時(shí)，網(wǎng)間物理隔離不再能被確保，也就是供給可達(dá)性的問題，工廠內(nèi)信息信息化和工業(yè)控制網(wǎng)通過了網(wǎng)關(guān)進(jìn)行了連接。

　　隨著全球化、互聯(lián)網(wǎng)+的時(shí)代到來，信息孤島的狀況無法適應(yīng)生產(chǎn)和管理模式的轉(zhuǎn)變，連接互聯(lián)網(wǎng)成為剛需，泛在化的安全威脅隨之而來，突出問題就是攻擊可達(dá)性，使得企業(yè)網(wǎng)和工業(yè)控制網(wǎng)內(nèi)原生的漏洞后門問題凸顯，包括防火墻、網(wǎng)關(guān)、附加安全設(shè)施、自身的軟件代碼問題。也就是說，原來的企業(yè)網(wǎng)不是安全的，有內(nèi)生安全缺陷，有大量的漏洞和后門，就像奧巴馬跟習(xí)主席說的一樣。奧巴馬說你們這些東西我動動手腳你們就完了，所以我們在三峽的檢查中發(fā)現(xiàn)有2000多漏洞。

　　所以我從三級網(wǎng)絡(luò)結(jié)構(gòu)來講，互聯(lián)網(wǎng)有現(xiàn)場級、車間級、工廠級，大量的信息技術(shù)的東西，由于通了，攻擊可達(dá)性達(dá)成了，原生的漏洞和后門問題將成為新的攻擊可利用的資源。所以僅靠自身安全性都無法保證的防火墻、身份認(rèn)證、合規(guī)性檢查等附加型的或者外掛式的軟硬件的防護(hù)措施，有些甚至?xí)绊懛?wù)的確定性，難以有效應(yīng)對基于軟硬件未來漏洞后門等的不確定威脅，所以一看到工業(yè)系統(tǒng)的時(shí)候，我真的是很震驚，但是也沒有什么好震驚的，因?yàn)樵瓉硎且粋€(gè)生活在一個(gè)隔離圈里的人，是一個(gè)無菌房間。

　　現(xiàn)在突然暴露在充滿細(xì)菌的環(huán)境下，這是很自然的一個(gè)情況，對于我們來說很驚訝。尤其是在全球化時(shí)代下，怎么去解決這些問題？特別是分布在全球的分工的協(xié)作，分布在全球的上下游企業(yè)件的協(xié)作，分布在全球的企業(yè)分支、云端服務(wù)、移動辦公，包括支撐工廠運(yùn)行的運(yùn)營環(huán)境，物流、水電汽暖、金融，全球化的接入需求每一個(gè)節(jié)點(diǎn)都暴露在充滿各種安全威脅的網(wǎng)絡(luò)空間環(huán)境下，大量成功攻擊案例表明，邊界防護(hù)模式已經(jīng)無法再延續(xù)物理隔離的奇跡了。所以，谷歌提出了零信任架構(gòu)，就是從邊界防護(hù)到重點(diǎn)防護(hù)的轉(zhuǎn)變，核心思想是基于用戶身份受管設(shè)備的動態(tài)多輪認(rèn)證，和基于實(shí)時(shí)指紋與用戶歷史行為的打分機(jī)制，包括精準(zhǔn)化、層次化的資源訪問控制，架構(gòu)是一種網(wǎng)絡(luò)部署方式，從邊界防護(hù)到重點(diǎn)防護(hù)。但是，零信任架構(gòu)依然面臨著嚴(yán)峻的安全挑戰(zhàn)，比如說這些設(shè)施唯一身份標(biāo)識的各種數(shù)據(jù)庫，3U問題同樣存在，一旦數(shù)據(jù)庫被攻陷，零信任架構(gòu)就會崩塌。同樣的道理，訪問控制引擎中的未知漏洞后門，一旦被攻擊者成功利用，訪問授權(quán)控制功能就可能被旁路或者繞過。如何應(yīng)對基于訪問控制引擎和認(rèn)證數(shù)據(jù)庫未知漏洞后門的不確定攻擊？零信任架構(gòu)自身不可能給出滿意答案。在全球化、大規(guī)模應(yīng)用部署導(dǎo)致了網(wǎng)絡(luò)物理邊界的不確定。

　　    我們可以看到，在一個(gè)工廠，IT、OT扁平化的融合網(wǎng)絡(luò)，當(dāng)連接的網(wǎng)絡(luò)設(shè)備激增我們看到設(shè)備接入種類繁多，有線、無線等接入方式的靈活，在這種情況下我們可以看到，網(wǎng)絡(luò)扁平化的演進(jìn)與泛在化的接入需求導(dǎo)致了邏輯邊界模糊化。在這樣的情況下，物理邊界的不確定，加上邏輯邊界的模糊化，接入方式的多樣化，加上設(shè)備數(shù)量的規(guī)模化，漏洞后門資源極大豐富，基于軟硬件代碼缺陷的攻擊就成為了最大的安全威脅，所以說，為什么更加嚴(yán)峻？對安全毫無知識的領(lǐng)域要去面對那么復(fù)雜的互聯(lián)網(wǎng)環(huán)境，不嚴(yán)峻是不可能的。

　　我們該怎么辦？導(dǎo)入擬態(tài)理論和構(gòu)造，就是廣義魯棒控制和內(nèi)生安全，是IT的新技術(shù)。內(nèi)生安全缺陷要通過內(nèi)生安全功能來克服，用8122來描述一下擬態(tài)。針對一個(gè)前提，就是防范未來漏洞后門等不確定威脅，基于一個(gè)公理，相對正確的公理，依據(jù)一個(gè)發(fā)現(xiàn)，熵不減系統(tǒng)能穩(wěn)定抵抗未知攻擊，借鑒兩種理論，可靠性理論與自動控制理論，發(fā)明一種構(gòu)造，動態(tài)異構(gòu)冗余構(gòu)造，我們導(dǎo)入一種機(jī)制，叫做擬態(tài)偽裝機(jī)制，形成一種效益，測不準(zhǔn)效應(yīng)。

　　獲得一種功能，內(nèi)生安全功能，達(dá)到了一種效果，融合現(xiàn)有安全技術(shù)可以指數(shù)量級提升防御增益，實(shí)現(xiàn)兩個(gè)目標(biāo)，歸一化處理傳統(tǒng)安全和非傳統(tǒng)安全問題，獲得了廣義魯棒控制的屬性，所以擬態(tài)防御不僅僅是防御技術(shù)，應(yīng)該是一個(gè)內(nèi)生的構(gòu)造技術(shù)，我們叫做廣義控制技術(shù)，產(chǎn)生的效果是內(nèi)生安全效果，就是系統(tǒng)設(shè)計(jì)出來的時(shí)候就有這個(gè)，而不是靠你加防火墻才可以解決的問題。

　　可以提供一種在不依賴攻擊者先驗(yàn)知識和行為特征信息情況下，將網(wǎng)絡(luò)空間不確定安全威脅問題，歸一化為可靠性與魯棒控制理論和技術(shù)能夠解決的問題。我們知道可靠性和魯棒控制理論發(fā)展得相當(dāng)成熟，把這個(gè)不確定威脅問題歸一化，這個(gè)解決問題建立在堅(jiān)實(shí)的理論基礎(chǔ)上。

　　這是擬態(tài)構(gòu)造的模型，這個(gè)發(fā)行里面很簡單，中間是各種執(zhí)行體，外層是擬態(tài)框，對基于反饋函數(shù)的控制器，我們可以賦予各種算法，就像控制OT里面的話，賦予不同的控制率，控制效果就不同。在這種情況下，導(dǎo)入這類機(jī)制就可以使擬態(tài)構(gòu)造產(chǎn)生一種類似于擬態(tài)偽裝的機(jī)制，這個(gè)圖很著名，這是擬態(tài)章魚，如果我不說大家可能不知道這是章魚，但是這個(gè)章魚所表現(xiàn)出的形態(tài)是各種各樣的。

　　在這種情況下我們又構(gòu)造了一個(gè)基于一致性判別，可迭代收斂的反饋控制場景，我們將單一場景變換到多維場景將靜態(tài)場景變換到動態(tài)場景將同構(gòu)場景變換到異構(gòu)場景，將開環(huán)場景變換到閉環(huán)場景，極大的增強(qiáng)了內(nèi)外勾結(jié)、協(xié)同作弊的難度。所以形成了一種效益，我叫做測不準(zhǔn)效應(yīng)。獲得了一種功能叫做內(nèi)生安全功能。

　　它的指數(shù)量級提升了攻擊門檻任何利用個(gè)性化漏洞后門的攻擊在機(jī)理上無效。任何試錯(cuò)或盲攻擊都將導(dǎo)致當(dāng)前防御場景改變，也就是說任何協(xié)同攻擊即便成功也很難穩(wěn)定地維持和重復(fù)再現(xiàn)，某種意義上宣判了基于軟硬件代碼整個(gè)漏洞后門的攻擊理論和方法的終結(jié)。我們給了一個(gè)可視化的表達(dá)，最左邊是異構(gòu)庫，生成異構(gòu)執(zhí)行體，通過調(diào)度，來提供服務(wù)，然后通過策略裁決，得到一個(gè)結(jié)果，這個(gè)動態(tài)是基于裁決的動態(tài)，不是盲目的動態(tài)。

　　在這種情況下，我們能夠把傳統(tǒng)和非傳統(tǒng)安全問題，通過擬態(tài)構(gòu)造，變換為一個(gè)擬態(tài)界內(nèi)同時(shí)出現(xiàn)多數(shù)一致性錯(cuò)誤的概率問題，這個(gè)可以通過量化控制來調(diào)整。所以我們導(dǎo)入基于擬態(tài)偽裝的策略的反饋控制函數(shù)，就能夠有效地阻止試錯(cuò)式的協(xié)同或非協(xié)同攻擊，使得攻擊效果無法評估，攻擊經(jīng)驗(yàn)難以繼承，攻擊場景難以復(fù)現(xiàn)。獲得的廣義魯棒控制的屬性，能夠防范已知的未知風(fēng)險(xiǎn)，也能防范不確定風(fēng)險(xiǎn)，也能抑制隨機(jī)性差模和共模故障產(chǎn)生的擾動，它是用系統(tǒng)架構(gòu)技術(shù)滿足高可靠、高可信、高可用一體化的應(yīng)用要求，這是工業(yè)互聯(lián)網(wǎng)的必須的性質(zhì)。

　　    我介紹一下擬態(tài)技術(shù)的狀態(tài)，擬態(tài)防御是可量化設(shè)計(jì)、可驗(yàn)證度量的。所以對于不確定性威脅的防御和感知能力，是可以設(shè)計(jì)的，能夠顯著地增加攻擊者的成本和代價(jià)，具有獨(dú)特的內(nèi)生安全效應(yīng)，能夠適應(yīng)全球化產(chǎn)業(yè)生態(tài)環(huán)境，我們不使用美國人的東西，因?yàn)樗菢?gòu)造形東西做的，可以自然繼承或融合信息技術(shù)和安全技術(shù)成果，具有全生命周期高性價(jià)比優(yōu)勢，不需要每天殺毒，這些在擬態(tài)里就不是什么事了，每年有一個(gè)例檢就可以了。所以擬態(tài)的防御，可靠性、可用性、抗攻擊型可量化設(shè)計(jì)，我們借助可靠性驗(yàn)證理論和注入測試方法定量檢定，全球迄今尚沒有一種ICT或者CPS或者IT產(chǎn)品，可以利用白盒實(shí)驗(yàn)進(jìn)行安全性測試和度量我們知道可靠性技術(shù)需要通過白盒驗(yàn)證，而不是用黑盒測試。

　　應(yīng)該說，擬態(tài)技術(shù)顛覆了基于目標(biāo)對象軟硬件漏洞后門等暗功能的攻擊理論和方法，抵消了技術(shù)和市場先行者在網(wǎng)安領(lǐng)域的戰(zhàn)略優(yōu)勢，比如美國人在這一方面具有安置后門和漏洞的優(yōu)勢，這種在擬態(tài)是蕩然無存的，所以改變了網(wǎng)絡(luò)空間游戲規(guī)則。我們現(xiàn)在已經(jīng)產(chǎn)生了各種交換機(jī)、陸游及、網(wǎng)關(guān)、文件系統(tǒng)，大概有10余類20多種擬態(tài)構(gòu)造產(chǎn)品，涉及IT、ICT、CPS多個(gè)領(lǐng)域，實(shí)踐證明，產(chǎn)品性能穩(wěn)定可靠，技術(shù)具有普適性，費(fèi)效比顯著。

　　在工信部的指導(dǎo)下，從去年1月份開始了系列化的構(gòu)造設(shè)備的提供和驗(yàn)證。目前所有的設(shè)備已經(jīng)得到了全面驗(yàn)證，產(chǎn)生了一個(gè)PB的數(shù)據(jù)，工信部起范了示范試點(diǎn)工程作為驗(yàn)收。我們對工業(yè)互聯(lián)網(wǎng)的各種部件，我們要賦予一種內(nèi)生安全，我們提出了以工業(yè)互聯(lián)網(wǎng)擬態(tài)化的技術(shù)體系，我稱之為擬態(tài)之樹，就像曹書記說的5G之花，現(xiàn)在是擬態(tài)之樹。

　　從土壤層分、樹根、樹干、樹枝、樹葉、果實(shí)，每一個(gè)層面都有完整的生態(tài)，而不是靠一兩件法寶解決，而是一個(gè)生態(tài)。我們可以看到，在這樣的生態(tài)下，工業(yè)互聯(lián)網(wǎng)擬態(tài)產(chǎn)品的布局非常豐富，從下面的芯片、設(shè)備、模組，都可以做。所以富有吸引力的產(chǎn)業(yè)前景和五巨大的市場容量，足夠?qū)拸V的技術(shù)與產(chǎn)品創(chuàng)新空間，賦予工業(yè)互聯(lián)網(wǎng)軟硬件產(chǎn)品不可或缺的內(nèi)生安全基因，因此我們有可能在引領(lǐng)全球OT和IT技術(shù)和產(chǎn)業(yè)發(fā)展的新潮流。在這種情況下我強(qiáng)調(diào)一點(diǎn)，擬態(tài)構(gòu)造的案與軟硬構(gòu)件的多樣性呈指數(shù)關(guān)系，從技術(shù)上解決了開放性與安全性統(tǒng)一問題，回答了習(xí)總書記提出的一體兩翼、雙輪驅(qū)動的抓手問題。

　　去年5月份成立了擬態(tài)技術(shù)產(chǎn)業(yè)聯(lián)盟，會員已經(jīng)達(dá)到了100多家，希望我們實(shí)現(xiàn)換道超車，我本人是理事長，所以有愿意參加的都可以來報(bào)名，謝謝。