本书系统阐述了网络内生安全问题的矛盾性质和期望的内生安全构造、机制、特征，提出了基于动态性（D）、多样性（V）和冗余性（R）为顶点的“未知威胁防御不可能三角”的通用三元解构模型；定性分析了当前主流安全技术不能防范未知安全威胁的本质原因；指出DVR完全交集存在化解内生安全问题的可能；进而推导出内生安全存在性定理，从理论层面回答了内生安全为什么能有效防范DHR架构内广义功能安全问题的机理：架构赋能应用实例表明，内生安全赋能网络弹性工程不仅具有必要性，而且具有普适性。 本书可供网络弹性工程、信息技术、网络安全、工业控制、信息物理系统、智能网络汽车等领域或行业科技人员及普通高校教师、研究生阅读参考。

第1章 网络空间内生安全问题
　　每当人们在尽情享受数字化、网络化、智能化技术给现代社会带来全新生活与工作感受的同时，网络空间安全问题却成为挥之不去的幽灵，时时刻刻威胁着数字世界的基本秩序和规则，毫无底线地践踏着人类社会的共同价值观和行为准则。人们在惴惴不安的焦虑和莫名其妙的恐惧中，一直纠结地思量这一切究竟是什么原因所致，为什么“兵来将挡，水来土掩”的“祖传战法”或基于全维感知、精准打击的现代防御战法都不再有效了，即使实施大纵深部署的防御阵地乃至采用“零信任架构”的技术部署，仍然时不时地被那些“鬼魅般”的网络黑客当作“秀肌肉”或随意登台表演的“竞技场”。特别是，当今主流的、建立在先验知识和各种知识库基础之上的安全防御技术路线，“封门补漏”的补丁方法论和“尽力而为、保镖式服务”的实践规范所构成的网络安全防御范式，越来越无力应对基于数字设施未知漏洞后门等的高级可持续网络攻击(Advanced Persistent Threat， APT)。换言之，如何防范已跨越了当前网络安全防御范式边界条件之“未知的”人为攻击，已成为数字社会信息物理系统(Cyber-Physical Systems， CPS)发展不得不正视的严峻挑战。
　　网络时代有一个非常奇葩又熟视无睹的现象，这就是所有数字设备或信息物理系统设计都“选择性地无视”网络安全问题，至少在与本征功能鲁棒性或功能弹性强相关的设计中，完全没有考虑未知网络攻击可能造成的破坏性影响。致使市场上销售的所有软硬件产品，包括声称为“网络安全守护神”的各种“外挂”或附加式安全产品，从来不会给出与其网络安全品质相关的技术指标，甚至连起码的警示性提示都没有。好像网络安全问题就如同信息安全问题那样，只是用户使用中的隐私信息或服务功能保护措施不到位的缘故，与数字产品本身的设计与制造质量完全无关，因而软硬件生产厂家完全不必为产品全生命周期内可能发生的有形或无形(乃至财产和生命)损失承担任何法律意义上的责任，最多是在事后发布一些免费的软件补丁或承诺在后续升级版本中加以改进等。更为荒谬的是，人类沉醉于各种数字产品带来神奇体验的同时，似乎已然接受了这种没有网络安全品质的承诺，需要用户自掏腰包解决数字设施“保镖服务”的现状。网络攻击问题早已成为盘旋于“人机物”深度融合世界中“挥之不去的幽灵”。我们不禁要问 “保镖式防护”的网络安全技术路线为什么迄今为止都无法逆转这一令人沮丧的网络安全态势？究其原因，作者认为，长久以来，人们并未认识到网络空间安全问题在很大程度上是由于信息技术固有的内生性或内源性(Endogenous)矛盾所致。按照辩证唯物主义的观点，矛盾可以演进转化或和解，有可能达成对立统一关系但绝不可能彻底消除，试图用打补丁(Patch)或附加防护的方式分割处理内生性安全矛盾，注定无法达到穷尽诸如软硬件设计缺陷或Bug 等网络安全问题的目的。为此，根据矛盾性质，我们将网络安全问题，划分为内生安全问题域和非内生安全问题域，前者属于内源性矛盾问题域，包括共性与个性两个问题子域，如图1.1所示。
　　图1.1 网络空间安全问题域
　　共性问题一般涉及面大、影响范围广，通常需要寻找普适解，而个性问题往往需要研究特殊解。例如，软硬件代码设计缺陷(漏洞)或通过供应链植入后门、陷门等就属于共性问题，亟待普适性的解决方案；而基于神经网络算法的人工智能，结果的不可解释性、不可预判性和不可推理性则属于个性化问题，需要特殊的解决办法。本书将主要关注内生性矛盾导致的网络安全问题，重点讨论如何从理论和技术层面演进转化或和解网络内生安全共性矛盾，并在给定条件下达成对立统一关系。
　　1.1 内生安全问题一般概念
　　德国哲学大师黑格尔曾经说过，“一切事物本身都自在地是矛盾的，而矛盾则是一切运动和生命力的根源[1]”。从一般哲学意义上讲：自然界或人工系统中不存在逻辑或数学意义上的“当且仅当的功能”，即不存在没有矛盾或缺陷的事物；从经典可靠性和传统功能弹性理论出发：没有一个人工设计与制造的物理或逻辑实体是“完美无缺”的，总会出现例外的情况，有限的设计规则及其链式组合不足以应对各种事先无法预计的例外，在各种干扰或扰动因素作用下，其全生命周期内总存在不同前提、不同程度的功能失效问题[2]。因此，任何事物，如果在本征功能外还存在不良(或非期望)的副作用或未知的未知(unknown unknown)暗功能，或者一个系统或模型内存在由构造决定的互为依存又有矛盾关系的“内生或内源性因素”问题，称为内生安全问题[3](Endogenous Safety Problem， ESP)。故而，网络安全问题又可以划分为结构性和非结构性安全问题两个域，如图1.2所示。
　　图1.2结构性与非结构性问题分类
　　按照唯物辩证主义的对立统一观点，内生安全问题本质上是事物内部两个或多个对立面之间互相依赖又互相排斥关系的外部表现，是事物自身不可分割的一部分[4]。由此可知，内生安全问题是结构性矛盾决定，不可能割裂处理更不可能从根本上被消除，只能不断演进转化或和解(通常所谓的矛盾解决，并非说矛盾与它的对立面就不存在了，而是说它们在和解中存在或者以一种对立统一的关系呈现)。例如，通过技术和工艺的不断改良可以逐步减少但不可能完全内生安全赋能网络弹性工程避免燃煤、燃油发电碳排放量仍然超过大自然循环净化能力的问题，如果将化石燃料发电转化为核能发电可从根本上解决碳排放对大气层污染问题，但核废料的深井或大洋海沟填埋处理造成的核物质泄漏污染又会成为新的环境问题。
　　同理，为了保证网络信息的机密性、可用性和完整性，数字加密认证就成为不可或缺的技术措施，然而这也会给数字资源及相关服务的便利使用带来诸多不便，尤其是对有记忆性缺陷的人群或者上了年纪的老年人相关使用或操作界面就显得非常不友好。再比如，智能手机能为人们在电话通信、互联网浏览、在线观赏视频节目、电子游戏、旅行导航或者网络购物、电子支付等方面带来极大便利，但是网络安全问题也会带来敏感信息泄露或私有财产方面的损失。需要强调的是，任何矛盾的演进转化或和解过程一定是要付出额外代价的。例如，用风能、太阳能等可再生能源取代化石燃料或核能发电，大气、地表或海洋污染矛盾就会转化为利用这些能源必须配置代价高昂的复杂电力存储和智能送配电系统的技术经济性及网络安全问题；网络物理隔离技术虽然使我们可以切断(事实上很难实现完美切断)有隐私或功能保护要求的专用网络与外网的物理或逻辑连接，但是也会给信息或数据使用带来严重的“孤岛效应”，等等。只不过与主要矛盾转化或和解的效果相比，只要利远大于弊，相关投入和代价就是可接受的。例如，为了防止网络攻击，人们愿意在自己的终端或服务器上增加防火墙、入侵检测、“杀毒灭马”或加密认证等附加安全防护设施类的投资，并能承受相关安全产品全生命周期内的维护升级服务费用。再比如，智能网联汽车，具有一体化解决功能安全和网络安全交织问题[5]的产品市场销售价，肯定要高于没有相关功能保障的产品，但是它能给用户带来后者所不具备的驾驶或乘坐安全感。
　　总之，内生安全问题的哲学本质是目标对象的结构性矛盾所致，事物的多面性决定了内生安全问题存在的必然性和普遍性。从图1.1 可知，诸如“飞来横祸”等未构成内在矛盾关系的事件，就不属于内生安全问题范畴。正如，化石燃料造成大气污染是内生安全问题，但燃煤电站与核辐射或核污染之间却不存在结构性矛盾。
　　需要强调的是，无论内生安全问题与非内生安全问题还是结构性矛盾与非结构性矛盾之间绝非毫无关联。实际上存在局部与全局性问题关系或者主要与次要矛盾的关系，尤其是问题前提或目标对象发生变化时，两者间还存在转化关系。譬如，就地球环境全局而言，无论是化石燃料还是核燃料发电都存在不同性质、不同程度的污染，即便是水力发电或者是太阳能、风能发电都会给局部生态环境带来短期甚至长期的负面影响。
　　1.2内生安全问题基本特征
　　1)矛盾普遍性
　　事物除了本征功能外，还存在衍生、派生、显式表达的矛盾性功能。即矛盾双方一定是相互依赖的，且矛盾一方的存在和发展前提必须是矛盾另一方也存在相应的变化，彼此互为依赖，互为前提。例如，核能发电就存在核泄漏和核废料处理等显式、矛盾性的内生安全问题。此外，从普遍而不是个别意义上说，内生安全问题属于构造性矛盾，存在不可分割关系，对立统一是其必然表达。譬如，智能手机内的软硬件设计缺陷只能在大规模或长期的使用过程中，逐渐暴露，演进式解决，没有办法一劳永逸地消除。因此，我们在对待网络安全问题时，一定要分析事物的矛盾性质，研究主次矛盾的存在条件及可能的转化关系，科学地认识和处理之，以避免陷入事倍功半的困境。
　　2)潜在危害性
　　常言道“明枪易躲暗箭难防”。显式表达的问题尚有可能采取一些预先性的防范或规避措施，但隐式表达的内生安全矛盾往往因其隐匿性和未知属性而更具威胁或破坏性。例如，药品显式副作用无论是否具有毒性，产品说明书通常可以告知，但无法给出任何潜在毒副作用的信息。再比如，开源软硬件自身是否存在漏洞后门、可信计算的可信根是否可信、机密计算平台是否属于“受信任执行环境(Trusted Executive Environment， TEE)”等网络安全领域的“灵魂拷问”问题都属于潜在威胁或破坏的范畴。
　　3)多重表现性
　　如同所有矛盾问题一样，内生安全问题既有个性化表现，也有共性化表达，更有混合方式的呈现(如图1.3 所示)。在不同场景或前提下总存在主要与次要矛盾、结构性或非结构性矛盾、全局性和局部性矛盾等区别。个性化问题属于局部问题，是否存在特殊解，往往需要具体问题具体分析，但共性化问题倘若长期找不到普适性的通解将导致严重的全局性影响。
　　图1.3内生安全问题多重性
　　4)外部作用性
　　内生安全问题是内在的结构性或构造性矛盾，通常需要在外部触发因素成立情况下才可能导致内生安全问题产生实质性的不良后果，即只有“两个巴掌才能拍得响”。哲学层面的诠释是：“内因是事物的变化根源，外因是事物变化的条件，外因通过内因起作用”[4]。煤炭燃烧过程中肯定会产生二氧化碳气体，但是如果没有点燃因素和氧气助燃等外部条件影响，煤炭本身不会自动释放出二氧化碳气体。同理，未知的软硬件设计缺陷，如果没有外部因素扰动或出现设计与测试集之外的事件驱动，缺陷本身不会自动成为预期功能之外的故障。换言之，内生安全问题与安全事件之间并非存在必然联系。
　　1.3 网络空间内生安全问题
　　众所周知，数学家艾伦 麦席森 图灵提出了一种抽象计算模型—图灵机，回答了什么是可计算问题，数学家约翰 冯 诺依曼提出了存储程序体系结构解决了“如何控制程序走向的计算问题”，随后一代又一代的计算机科学家与工程师们都致力于如何提高计算可靠性、处理性能和降低使用门槛、改善人机功效的研究与实践，而微电子科学与工艺的进步则开创了人类社会数字化、计算机化、网络化和智能化的新时代，生生创建出一个基于计算机控制的、无所不在的网络空间—Cyberspace。然而，计算机体系构造或内源性的安全问题被科技与产业界“长期选择性地忽视”，近些年发现的熔断(Meltdown)、幽灵(Specter)、骑士(VoltJockey)硬件漏洞更令人尴尬，这类涉及计算机经典架构的设计缺陷似乎不太可能用纯软件的方法来完美补救。而尽管人们很早就认识到软件设计的脆弱性问题并为之进行了不懈努力，但至今也没有找到理想的解决途径。内生安全问题的概念指出，任何给定或设计的功能总存在显式的副作用或隐式的暗功能(如图1.4所示)。
　　当下主流的基于知识库积淀的感知型防御或者基于主动探测的积极防御等手段，都旨在
　　通过“尽力而为，亡羊补牢”的技术路线，达成“知其然并知其所以然”的防御目标。即便
　　是基于移动目标原理的动态防御(Moving Target Defense， MTD)和基于加密认证的积极防护措施，也从未考虑过基于“构造决定安全”的系统工程技术路线，即利用目标对象内在的
　　图1.4 伴生的副作用和暗功能

第1章 网络空间内生安全问题 1
1.1 内生安全问题一般概念 3
1.2 内生安全问题基本特征 5
1.3 网络空间内生安全问题 6
1.3.1 漏洞后门相关概念 8
1.3.2 漏洞后门基本性质 9
1.3.3 漏洞的基本问题 20
1.3.4 漏洞后门威胁 24
1.3.5 内生安全问题举例 36
1.4 网络内生安全共性问题 37
1.4.1 共性问题定义 37
1.4.2 共性问题成因 38
1.4.3 共性问题基本性质 40
1.5 广义功能安全问题 42
1.5.1 广义功能安全问题定义 42
1.5.2 广义功能安全问题特点 43
1.5.3 广义功能安全问题挑战 47
1.5.4 广义功能安全定义 48
1.6 网络空间内生安全问题防御难题 49
1.6.1 高可持续威胁攻击难以抵御 49
1.6.2 不确定的未知威胁无法预知 51
1.6.3 传统的“围堵修补”作用有限 53
1.7 本章小结 57
参考文献 58
第2章 网络内生安全防御愿景 63
2.1 当前安全防御范式问题 65
2.1.1 范式概念 65
2.1.2 网络安全范式分类 66
2.1.3 防御范式亟待变革 68
2.2 未知威胁防御不可能三角 70
2.2.1 克鲁格曼不可能三角 70
2.2.2 布鲁尔不可能三角 71
2.2.3 网络安全防御三要素 73
2.2.4 不完全交集原理 76
2.2.5 现有安全技术IIP 分析举例 78
2.3 网络空间内生安全防御愿景 80
2.3.1 期望的内生安全构造 81
2.3.2 期望的内生安全机制 81
2.3.3 期望的内生安全特征 82
2.4 网络内生安全防御范式 83
2.4.1 前提与约束条件 83
2.4.2 思维视角变换 86
2.4.3 方法论创新 87
2.4.4 更新实践规范 87
2.4.5 拒止试错攻击 88
2.5 本章小结 89
参考文献 90
第3章 网络内生安全原理与构造 92
3.1 DVR 完全交集性质猜想 93
3.2 内生安全存在性与DVR 变换 94
3.3 从异构冗余导出DVR 变换构造 95
3.3.1 相对正确公理与非相似余度架构 96
3.3.2 非相似余度架构抗未知攻击定性分析 97
3.3.3 启迪与发现 99
3.3.4 发现反馈控制可使DVR 完全相交 100
3.3.5 发现DVR 变换构造 102
3.4 内生安全结构编码存在性原理 103
3.4.1 内生安全结构编码概念 105
3.4.2 内生安全防御数学模型 107
3.4.3 内生安全结构编码存在性定理 110
3.4.4 策略裁决反馈控制与共模扰动 112
3.5 动态异构冗余构造DHR 115
3.5.1 DHR 架构前提条件 115
3.5.2 DHR 架构与工作原理 115
3.5.3 DHR 构造攻击表面 120
3.5.4 滤波器效应与双盲表达 123
3.6 基于密码学的内生安全性分析 124
3.6.1 完美保密的启示 124
3.6.2 一个猜想 126
3.6.3 完美本征功能安全 127
3.6.4 DHR 系统是PIFS 系统的条件及证明 133
3.6.5 DHR 相对正确策略裁决机制的信息论机理 137
3.6.6 关于猜想的证明分析 138
3.7 DHR 架构工程技术效应 141
3.7.1 降维变换广义功能安全问题 141
3.7.2 局部动态异构冗余 141
3.7.3 策略裁决机制 143
3.7.4 熵不减与不确定性 144
3.7.5 拟态伪装迷雾 144
3.7.6 颠覆试错攻击理论前提 146
3.7.7 代码注入新挑战 146
3.7.8 自然融合附加式安全技术 147
3.7.9 安全质量可设计可度量 148
3.7.10 内生安全可信执行环境 149
3.8 受限应用 151
3.9 应用软件后门问题 155
3.10 改变网络游戏规则 156
3.11 内生安全功能白盒测试 158
3.12 促进多样化生态发展 163
3.13 本章小结 165
参考文献 166
第4章 功能安全与网络弹性简介 168
4.1 功能安全回顾与发展 168
4.2 功能安全基本概念 170
4.2.1 功能安全定义 170
4.2.2 属性与区别 172
4.2.3 功能安全演进 173
4.3 功能安全基本内涵 175
4.3.1 基于风险的安全 175
4.3.2 分级表示的安全 176
4.3.3 全生命周期的安全 177
4.3.4 体系化管理的安全 179
4.4 功能安全技术概述 179
4.4.1 安全完整性技术 179
4.4.2 随机硬件失效与系统失效 184
4.5 功能安全发展趋势 184
4.5.1 行业安全的个性化 184
4.5.2 安全相关系统的复杂化 185
4.5.3 对立与统一的深入化 186
4.5.4 安全相关系统的弹性化 187
4.6 网络弹性基本概念 188
4.6.1 网络弹性概念由来 189
4.6.2 网络弹性的内涵 190
4.7 网络弹性工程框架 192
4.7.1 网络弹性目的 193
4.7.2 网络弹性目标 194
4.7.3 网络弹性策略和设计原则 197
4.7.4 网络弹性技术 200
4.7.5 网络弹性构造方案 203
4.7.6 系统全生命周期中的网络弹性 205
4.7.7 网络弹性应用领域 207
4.8 网络弹性分析评估 210
4.8.1 网络弹性分析 210
4.8.2 网络弹性静态评估 211
4.8.3 网络弹性攻防评估 214
4.9 现有网络弹性的挑战与不足 215
4.9.1 回避未知攻击的思维视角存在重大硬缺陷 215
4.9.2 缺乏架构统领的工程体系存在重大硬问题 217
4.9.3 欠缺核心能力度量的评估存在重大硬挑战 221
4.10 本章小结 222
参考文献 223
第5章 内生安全赋能网络弹性工程框架 227
5.1 内生安全赋能网络弹性概述 227
5.1.1 新思维视角 227
5.1.2 新理论基础 230
5.1.3 新系统架构 233
5.1.4 新评价机制 235
5.2 内生安全赋能网络弹性目的能力增量 238
5.2.1 见所未见 241
5.2.2 拒止试错 245
5.2.3 止损复原 246
5.2.4 迭代升级 247
5.3 内生安全赋能网络弹性工程技术 248
5.3.1 技术之树 248
5.3.2 根技术 249
5.3.3 枝技术 250
5.3.4 叶技术 252
5.4 内生安全赋能网络弹性设计原则 255
5.4.1 防御要地设置原则 255
5.4.2 未知威胁分析原则 256
5.4.3 系统架构应用原则 257
5.4.4 安全技术协同原则 258
5.4.5 策略裁决反馈原则 261
5.5 本章小结 268
参考文献 269
第6章 内生安全赋能网络弹性度量评估 271
6.1 内生安全架构赋能网络弹性评估新视角 271
6.1.1 现有网络弹性评估视角 271
6.1.2 基于系统架构的网络弹性评估视角 273
6.2 基于系统架构的网络弹性评估体系 274
6.2.1 评估框架 274
6.2.2 度量指标 279
6.2.3 系统架构评分 282
6.3 评估方法 284
6.3.1 概述 284
6.3.2 静态评估 287
6.3.3 对抗评估 291
6.3.4 破坏性评估 293
6.4 本章小结 297
参考文献 298
第7章 内生安全赋能典型领域工程应用 299
7.1 内生安全工程构造基线 299
7.2 内生安全赋能网络通信 300
7.2.1 内生安全路由交换设备 300
7.2.2 内生安全网络控制系统 309
7.3 内生安全赋能云计算 315
7.3.1 云计算与云原生 315
7.3.2 威胁分析 317
7.3.3 设计思路 319
7.3.4 架构设计 320
7.3.5 系统实践 322
7.4 内生安全赋能车联网系统 327
7.4.1 T-BOX 威胁分析 327
7.4.2 设计思路 330
7.4.3 系统架构设计 332
7.4.4 功能单元设计 335
7.4.5 可行性与安全性分析 342
7.4.6 攻防实例 343
7.5 内生安全赋能工业控制系统 347
7.5.1 威胁分析 347
7.5.2 设计思路 349
7.5.3 系统架构设计 350
7.5.4 功能单元设计 353
7.5.5 安全实践 357
7.6 本章小结 360
参考文献 361
第8章 内生安全赋能新兴领域探索 363
8.1 无线内生安全通信 363
8.1.1 无线通信发展范式 363
8.1.2 无线内生安全问题 368
8.1.3 无线内生安全属性与架构 369
8.1.4 无线内生系统和机制的设想 372
8.1.5 无线内生安全功能与技术 374
8.1.6 无线内生安全性能分析 376
8.2 内生安全赋能人工智能 379
8.2.1 人工智能应用系统简介 379
8.2.2 人工智能应用系统面临的安全威胁分析 380
8.2.3 人工智能内生安全防御框架设计 383
8.2.4 人工智能内生安全实验 386
8.3 内生安全芯片性能分析 396
8.3.1 内生安全芯片简介 396
8.3.2 内生安全芯片在软错误率评估中优势的不确定性 397
8.3.3 基于马尔可夫模型定量分析芯片安全性能 398
8.3.4 不同架构芯片的抗粒子翻转能力仿真与分析 404
8.4 本章小结 407
参考文献 407
附录 412