內生安全賦能網絡彈性的構想、方法與策略

鄔江興 ，鄒宏 ，薛向陽 ，張帆 ，尚玉婷

（1. 復旦大學大數據研究院，上海 200433；2. 國家數字交換系統工程技術研究中心，鄭州 450002）

一、前言

隨著全球數字化、智能化轉型加速，人類社會的運轉更多借助于數字基礎設施，平衡數字生態系統發展和網絡安全風險成為各國關注的熱點問題。在突破網絡空間安全問題的過程中，確保網絡絕對安全、“問題歸零”是不現實的，研究并建設具有彈性的網絡空間成為當務之急。構建彈性的網絡空間，一方面可以減少安全失陷，另一方面可以緩解因安全失陷造成的危害并從中快速恢復[1]，提高網絡空間的安全韌性。

近年來，以美國、歐盟、英國為代表的發達國家和地區提出并推動了網絡彈性工程建設，力求構建“可信賴”的數字系統，形成應對高級持續性威脅（APT）的可靠能力。然而，這一網絡彈性工程缺乏基礎理論創新，多沿用在系統構建之后通過滲透測試等手段對系統進行反復修改進而實現目標能力的技術路線；缺乏一體化保障信息物理系統網絡安全和功能安全的能力，在感知并抵御“未知的未知”網絡攻擊、保證關鍵業務的持續可信運行、對網絡安全性能進行可量化設計與可驗證度量等方面存在短板，致使在實際應用中難以充分發揮預期作用。

本文針對數字生態系統底層驅動范式轉型的新態勢，分析國際現有網絡彈性工程的應用進展，提出以“結構決定安全”的內生安全理論賦能網絡彈性的總體構想，分析其工作機理，給出相應的技術路線、技術體系和技術運用方法，以期彌補現有網絡彈性工程的缺陷，為賦能具備網絡彈性的新一代關鍵基礎設施提供支持。

二、網絡彈性、網絡彈性工程的概念

（一）彈性

彈性（Resilience/Resiliency，也可譯為“韌性”）是力學、生態學中的一個專業術語。彈性的定義為系統在持續遭受內外部擾動影響時仍能以接近平衡的狀態進行運轉的能力[2]。生態彈性描述的是生態系統在受到外部干擾時表現出的持久性和復原力[3]，關乎系統如何吸納變動和干預以維持群體 / 狀態變量間的穩定關系。因此，生態彈性指生態系統能夠保持其活躍的穩定狀態，而非指保持其種群的靜態穩定[4,5]。彈性概念引導人們轉向系統性思維，著重理解問題的本質和根源，是一種促進可持續發展的重要工具[6]。近年來，隨著網絡威脅愈演愈烈，在系統工程、信息技術和計算機網絡領域也逐漸引入了彈性概念[7,8]。

（二）網絡彈性與網絡彈性工程

2010年，美國MITRE研究所發表了網絡彈性領域的相關研究[1]，認為在網絡安全領域實現100%保護的想法不僅不現實，而且會導致一種錯誤的安全感；應更注意保護任務關鍵功能的連續性，考慮在防護失效的情況下，通過采取補償措施以確保在遭受攻擊的情況下仍能夠達成任務。針對于此，網絡彈性架構設想包括保護 / 威懾、檢測 / 監測、遏制 / 隔離、維護 / 恢復、自適應進化5個目標，實現網絡彈性目標的關鍵技術涵蓋多樣性、冗余、完整性、隔離 / 分段 / 遏制、檢測 / 監測、最小特權、非持久化、分布式與移動目標防御、自適應管理與響應、隨機化與不可預測性、欺騙等方面。自此，網絡彈性作為一種新的安全理念開始受到政府和業界的高度重視[9]。

2011年9月，美國MITRE研究所發布了網絡彈性工程框架，從系統工程視角將彈性工程、網絡安全和任務保證工程的交叉點界定為網絡彈性工程（見圖1）[10]。2011年10月，美國卡內基梅隆大學計算機應急響應小組（CERT）發布了一套信息安全領域的彈性管理模型（CERT-RMM）[11]。2021年，美國國家標準與技術研究院（NIST）正式發布《開發網絡彈性系統——一種系統安全工程方法》（NIST SP 800-160V2R1），成為網絡彈性領域首個重要技術文件[12]。NIST將網絡彈性定義為：擁有網絡資源的實體所具備的對各種不利條件、壓力、攻擊或損害的預防、抵御、恢復和適應能力。網絡彈性具有5個主要特征：聚焦任務或業務功能、聚焦APT攻擊的影響、假設環境不斷變化、假設對手必將攻破系統、假設對手長期存在于系統或組織中。網絡彈性可以同時針對來自網絡和非網絡的對抗與非對抗威脅。網絡彈性與網絡安全的關系如圖2所示。網絡彈性是網絡安全向縱深發展的重要一步，可以化被動為主動，側重事前設計和強固網絡系統的承受力、吸收力和恢復力，有助于更好地應對“未知的未知”威脅[13]。

圖1 網絡彈性工程框架

圖2 網絡彈性與網絡安全的關系

三、國際網絡彈性工程的應用進展

（一）網絡彈性工程的政策驅動

1. 美國

美國在《國土安全戰略》（2007年）中將網絡彈性作為支撐國土安全綜合方案的三大關鍵概念之一，在2010年發布的《國家安全戰略》和2011年公布的第8號總統政策指令中呼吁提高美國的網絡彈性，在2018年發布的《國家網絡戰略》中提出了提升國家信息和信息系統的安全與彈性的目標。自此，網絡彈性在美國由單一領域內的網絡安全能力構建上升至國家網絡安全戰略層面。2019年，美國國土安全部和國務院聯合發布《關鍵基礎設施安全和彈性指南》，總結了提高關鍵基礎設施安全和彈性的方法。2022年，美國制定《國家安全戰略》《國防安全戰略》，強調為關鍵基礎設施制定標準以快速提高網絡彈性，并建立快速應對攻擊的集體能力。沿續彈性設計的技術思路，2023年美國提出了“設計安全”“默認安全”的概念，強調將安全措施“內置”為體系結構和設計的基本部分；相應地，網絡安全責任從應用服務側向制造側轉移。此戰略風向還見于美國發布的《2023國家網絡安全戰略》，圍繞建立可防御、有彈性的數字生態系統提出了具體的策略與措施以推進“制造側安全”。

2. 歐盟

歐盟自2008年起，發布了多份增強網絡彈性的政策文件，著力推動網絡彈性由概念走向落地應用，如《改善公共電子通信網絡的彈性》（2008年）、《通信網絡彈性規范化存在的差距》（2009年）、《啟用和管理網絡端對端彈性》（2011年）、《網絡與服務彈性的測量標準和架構》（2011年）、《向著網絡安全邁進》（2012年）等。此外，歐盟還注重網絡彈性立法工作，提出了《數字運營彈性法案》《網絡彈性法案》（CRA），要求歐盟境內銷售的可聯網數字化設備和軟件在全生命周期內都必須滿足強制性安全標準和透明度要求，對網絡攻擊具有彈性。歐盟已于2023年11月30日就CRA技術層面議題達成一致，將提交歐洲議會和歐盟理事會審議。

3. 英國

英國將網絡彈性列為國家網絡戰略的重要支柱之一，于2022年發布了《國家網絡戰略2022》《國防網絡彈性戰略》和《2022—2030政府網絡安全戰略——建立一個具有網絡彈性的公共部門》等政策文件。其中，《國防網絡彈性戰略》明確提出了建立國防彈性網絡體系的愿景和具體任務及目標，同時呼吁盡快推進網絡彈性立法。

（二）網絡彈性工程的戰略考量

一是強化制造供應側安全。2023年，美國、澳大利亞、加拿大、英國、德國、荷蘭等國家聯合發布了《向平衡網絡安全風險轉變：基于設計與默認安全的方法和原則》，強調將安全作為包含數字元素產品的核心能力，貫穿產品設計過程，而非僅僅作為產品的一項技術特性，要求實現產品開箱即可抵御普遍存在的攻擊[14]。同年，美國發布《2023國家網絡安全戰略》，提出通過立法，將安全責任轉移到產品提供者，倒逼軟硬件制造商承擔網絡安全責任。這表明美國、歐洲等發達國家和地區已認識到即使最先進的網絡安全技術也不能做到防止所有漏洞，需要在軟硬件實體上采取合理的預防措施來保護其應用和服務安全，促使軟硬件供應商履行對消費者、企業、關鍵基礎設施的安全責任和義務，從而推動市場提供更安全的產品和服務。

二是采取“小院高墻”的方式保護本土產業。近年來，世界主要經濟體在在科技和數字領域的戰略競爭持續深入。美國作為全球數字經濟的領導者，為保持強國地位，持續升級在高新技術領域、特別是數字產業的競爭策略，加強自身技術保護，通過持續的改革和投入以保持競爭優勢。歐盟在數字經濟和互聯網領域的發展雖然較為一般，但在以德國、法國為代表的傳統技術強國的努力下，積極通過立法保護“數字安全”，并征收“數字稅”，在保護本土企業的同時推動境內企業在技術、管理、運維等方面進行整合，形成新的技術優勢，實現產業升級。

三是提高網絡和數字安全準入門檻以保證自身安全。近年來，美國、歐洲等發達國家和地區的關鍵基礎設施供應商遭受網絡攻擊的頻次增加。歐盟雖出臺多部涉及數字化產品的法律，但遭受網絡攻擊的現象仍愈演愈烈，約有60%以上的設備處于監管盲區，只有50%的相關公司對網絡攻擊采取了保護措施。為確保整體安全、防范“黑天鵝事件”，采用更有效力的網絡風險評估和管理策略尤為重要，而其核心即是網絡彈性。為此，歐盟重視從立法層面進行干預，提供可操作、可評估的標準加以指導。

四是增強在網絡空間、數字空間的話語權。在全球數字化轉型的趨勢下，一個國家和地區如果能率先提出數據要素流通或數字安全保障方面的有效方案，就有可能影響其他國家，引領全球風向。美國、歐盟等發達國家和地區希望依靠先行優勢，在筑牢數字經濟安全基石方面占據主導優勢，搶占話語權。歐盟在2018年發布《一般數據保護條例》，提高了在全球數據治理中的影響力，獲得了遠超數字經濟體量的話語權。自此，歐盟通過網絡彈性立法等工作，希望搶占未來國際規則制定先機，將“歐盟模式”推向世界。

（三）網絡彈性工程的發展困境

一是難以應對網絡空間“未知的未知”安全威脅?，F有網絡彈性工程框架主要基于先驗知識對關鍵任務及其業務流程的順利執行進行保障，其思路是通過對業務功能和性能異常的感知，觸發保護及恢復機制[15]。但是，對于未知網絡攻擊，因缺少先驗知識可能無法感知相關異常，致使難以保障關鍵業務系統承載平臺的安全性和關鍵業務系統的可信性，更無法達成“使命確?！钡暮诵哪繕薣16]。雖然現有的網絡彈性工程框架設定了“假設資源會失陷”的原則，給出了面對未知威脅應采取的策略，指出了存在無法檢測未知威脅的可能性[17]，但目前給出的解決思路僅限于被動的失陷影響分析，未能給出主動的應對方法。

二是網絡彈性工程框架缺乏頂層設計。自網絡彈性概念及其工程框架提出以來，實現網絡彈性始終是研究重點。網絡彈性工程框架應能抵御攻擊，受到攻擊時繼續提供基本服務，被攻擊后能快速恢復功能。迄今為止，滿足上述要求的網絡彈性工程框架尚未形成。網絡彈性工程的框架設計是需要解決的五大硬核問題之一[18]，但研究進展有限[19]。網絡彈性度越強，網絡可生存能力就越強[20,21]，但是由于沒有統領性的網絡彈性工程框架，目前無法實施有效統一的抵抗網絡安全威脅策略。

三是網絡彈性評估缺乏科學度量方法[22]。美國、歐洲等國家和地區雖高度重視網絡彈性評估，但始終未能解決“數字化產品”安全性能驗證度量這一世界性難題，無法給出安全性能量化驗證的技術指標[23]。美國國防部提出了網絡彈性存在三大挑戰：系統具備良好網絡彈性的判定標準，不同系統之間網絡彈性的比較，系統網絡彈性核心能力的評估。這些挑戰性問題懸而未決致使網絡彈性工程及網絡彈性法案難以落地。究其原因主要是：存在評估復雜性與重大核心能力指標選取關系問題[24]；評估度量結果的可比性存在較大挑戰，度量值對度量評估環境很敏感；難以評估系統的可塑性和涌現性，由于網絡安全 / 信息安全、功能安全和彈性是系統的涌現特性，難以從該系統的各構成模塊的行為特性中推導出來。

四、內生安全賦能網絡彈性的機理分析

針對網絡彈性工程發展面臨的挑戰，本文基于內生安全理論提出了一種新的動態異構冗余架構（DHR），可以有效抑制“未知的未知”網絡威脅，同時給出了體系化的工程框架，可為解決安全性可量化設計與可驗證度量難題提供技術路徑。內生安全理論的內涵是以“結構決定安全”的系統工程論為指導，以“構造加密雙盲理論”為基礎，以安全性可量化設計、可驗證度量為實踐規范，允許在“有毒帶菌”的環境下確保數字技術裝備或系統的網絡彈性。

（一）內生安全問題是網絡空間安全的本源

從網絡空間的現象觀察可知，一個確定功能的網絡系統總是存在著顯式“副作用”或隱式“暗功能”。從網絡空間的工程實踐經驗可知，無法獲得一個沒有伴生或衍生功能的純粹功能。從一般哲學意義上看，自然界或人工系統中不存在邏輯意義上的“當且僅當的功能”，即不存在沒有矛盾的事物[25]。如果一個軟硬件實體的“暗功能”和“副作用”能被某種因素觸發而影響到其預設功能，則稱其為該系統的內生安全問題[26]。

內生安全問題具有4個基本特征。① 內生安全問題屬于元功能或本征功能的已知 / 未知效應；② 內生安全問題涉及的功能與元功能是同一構造上的負面形態表達，所有工程技術上的努力只可能降低負面功能的影響而不可能將其完全消除；③ 內生安全問題是內因，通常需要外因觸發才可能導致內生安全風險或安全威脅；④ 內生安全問題與內生安全功能同為自身構造或算法的內源性表達，后者是借助構造本身的作用或效應以盡量降低前者受到外部因素擾動時的不良影響。

（二）內生安全問題不能消除只能轉化

內生安全問題只可能演進、轉化或和解，而不可能徹底消除[26]。人類技術發展和認知水平的階段性特點決定了軟硬件設計必然存在脆弱性或漏洞問題；全球化時代、開放式產業生態系統、開源協同技術模式和交織的的產業鏈分工，決定了軟硬件后門問題不可能杜絕。因此，任何有違矛盾同一性和斗爭性的安全技術發展路線以及試圖窮盡漏洞后門等問題的工程技術方法或措施，在哲學層面勢必會陷入邏輯悖論[27]。

傳統的網絡安全技術范式建立在“盡力而為、問題歸零”的慣性思維之上，布設多層附加式的防護措施，如內置層次化的檢測與外置后臺處理的體系構造，但在構建安全功能的同時不可避免地會引入新的內生安全隱患[28]。即使網絡空間的加密認證措施、加密算法很完備，也不能保證實現算法的軟硬件中沒有內生安全問題。因此，為有條件規避或控制基于內生安全問題的不確定威脅影響，亟需重大理論創新、重大技術發明予以解決。

（三）內生安全開辟網絡空間防御新范式

大量網絡安全事件表明，網絡空間安全威脅多是因人為攻擊目標對象自身存在的內生安全問題形成的。網絡空間因為廣泛存在內生的且共性的安全問題，攻擊者只要能找到合適的攻擊面及可利用的軟硬件資源，就可以建立起有效的攻擊鏈，進而構成安全威脅或破壞。當網絡攻擊不可達或漏洞后門無法注入攻擊代碼時，內生安全共性問題通常不會自動成為網絡安全事件[27]。顯然，若要徹底解除網絡空間安全威脅或破壞，必須設法阻斷內部和外部之間的連接關系。

DHR架構是一種具有內生安全屬性的系統架構，在非相似余度構造[28,29]上導入基于策略裁決的動態反饋控制和運行環境結構加密等新機制[30,31]，具有擬態偽裝迷霧、熵不減與不確定效應[27]、廣義功能安全問題降維求解、涌現性安全增益和結構編碼 / 環境加密等特點?；趦壬踩残詥栴}的廣義不確定攝動或擾動能被DHR構造的內生安全機制變換為構造內的差?；蚬材_動問題，理論上所有差模擾動都能被動態屏蔽（或糾錯），這使得攻擊者無法識別目標、攻擊效果難以評估、攻擊經驗無法繼承、攻擊場景難以復現[26]。2018年以來，連續舉辦了5屆“擬態防御國際精英挑戰賽”，邀請全球12個國家數百支頂尖白帽黑客戰隊，對具有內生安全功能的成套網絡設備和工業控制系統進行了千萬次量級的“白盒注入”式眾測攻擊。實踐證明，內生安全理論與方法能夠一體化地提升數字產品的功能安全和網絡安全水平，可以從根本上扭轉當前網絡空間“易攻難守”的戰略頹勢，可為未來網絡空間提供可信可靠的新一代關鍵基礎設施“安全底座”。

（四）內生安全“雙盲效應”能夠解決網絡彈性應對未知攻擊的難題

DHR架構提供了一種用密碼學基本原理詮釋內生安全機理的新視角。在解決網絡安全問題時，可以借鑒完美保密理念[32]，探索一種內生的“完美安全”系統，即使在系統缺陷對于攻擊者單向透明，而防御者在沒有任何有關攻擊者能力、攻擊方式、缺陷樣式和攻擊效果等先驗或后驗知識的前提下，使攻擊者在攻擊時面臨的認知困境最大化（即隨機性最大化）、獲得的缺陷樣式信息最小化，從而最大程度地確保本征功能的實現。DHR架構可以實現以下四方面目標：① 將形式多樣、種類繁多、不斷發展的功能安全、網絡安全以及信息安全三重交織的問題影響映射成動態異構冗余空間內以差?；蚬材７绞奖磉_的安全事件；② 將工程實現復雜度高的全局靜態異構冗余轉變為具有技術經濟性優勢的局部動態異構冗余；③ 將無法區別差模與有感共模的大數表決機制替換為基于策略性、多參量的迭代裁決；④ 將“問題歸零”“打補丁”的處理機制轉變為屏蔽或糾錯輸出狀態，采用問題場景時空遷移和安全矛盾性質變換等問題規避策略。作為一種對本征功能無需“解密”處理、對非期望功能進行結構編碼（或加密）的“雙盲”處理模式（防御者在不依賴先驗知識的條件下，通過對構造內的廣義功能安全問題進行“構造加密”，實現對攻擊的“盲屏蔽”；攻擊者雖然已知系統內部缺陷集合和載體等條件，卻無法從攻擊輸入、輸出中獲得有用信息，難以找出“盲試錯”、窮舉攻擊之外更好的攻擊方式[33]）。DHR架構有望達成網絡彈性工程所期望的目標和愿景。

五、內生安全賦能網絡彈性的構想與方法

（一）內生安全賦能網絡彈性的構想

內生安全賦能的網絡彈性除了可實現NIST提出的網絡彈性工程目標外，還能實現預防、抵御、恢復和適應等目標，有效抑制事前、事中、事后階段中的“已知的未知”“未知的未知”的網絡威脅或攻擊；通過功能安全確保向網絡安全、功能安全（乃至信息安全）一體化防護領域遷移，從關注自然因素影響的傳統彈性工程向包括人為攻擊在內的網絡彈性工程拓展，在全生命周期內對抗APT。

1. 既定目標：賦能網絡彈性

內生安全可以增強網絡彈性在預防、抵御、恢復、適應4個既定目標維度上的能力。在預防方面，可實現對于未知威脅的感知發現；在抵御方面，可提供對網絡攻擊及隨機故障的一體化抵御能力，特別是在抵御人為攻擊方面，可有效應對基于0-day/n-day漏洞、預置后門（陷門）的網絡攻擊，發現并拒止APT類的持續不斷試錯攻擊；在恢復方面，可利用異構資源池提供的組件資源，快速進行故障組件的替換和系統重構，迅速恢復服務能力；在適應方面，通過智能的策略裁決與執行體調度，實現類似生物體對環境變化的自適應能力，進一步學習后可以形成新的策略。

2. 基本特性

（1）具有1+1＞2的網絡攻擊感知靈敏度

傳統網絡安全的多樣性、冗余性僅能提供資源備份、替補修復的能力[34,35]，而內生安全能夠通過功能等價異構冗余配置的策略裁決提供對“未知的未知”網絡攻擊的感知能力。同時，內生安全技術中的策略裁決也兼具對任務 / 業務功能性能指標的感知能力，將傳統網絡彈性的任務 / 業務運行狀態感知和基于內生安全機理的未知攻擊感知無縫銜接，以達成對“見所未見”的感知能力。

（2）具備網絡攻擊面的微縮效應

內生安全技術打破了傳統多樣性、冗余性技術會增加網絡攻擊面的“常規認知”，通過固有的結構加密特征和“雙盲效應”顯著縮小了攻擊面，加之固有的迷惑性、欺騙性等對抗性網絡彈性機制，可以將自然因素的威脅管控和人為攻擊的網絡彈性等技術融合在一起，接納和發揮傳統“無法自證清白”的“網絡安全保鏢”技術帶來的異構性網絡彈性增益，實現系統廣義功能安全性的可量化設計和可驗證度量。

（3）實現“系統大于部分之和”的網絡安全效應和網絡彈性

內生安全技術架構基于開放的體系接口，具有模塊化、松耦合和高效內聚的系統結構，支持全球商用現成品或技術（COTS）供應鏈級部件和產品使用，不苛求軟硬構件本身存在的內生安全共性問題，具備“系統大于部件之和”的網絡安全與彈性，使先進性與可信性、開放性與安全性的矛盾能在DHR架構基礎上得到良好平衡。

（二）內生安全賦能網絡彈性的方法

目前，國際上公認的網絡彈性工程方法存在回避未知威脅問題、沒有形成聚合多種技術的技術框架、缺乏安全性度量能力等技術瓶頸[36]，而內生安全可以解決這三大難題。內生安全賦能網絡彈性的方法具體如下。

1. 圍繞重要目標構建受信任執行環境

美國《國家網絡空間戰略》（2023年）提出，致力于創建一個基于信任的“網絡中的網絡”，推動網絡防御者采取集體同步行動，保護關鍵基礎設施。構建“網絡中的網絡”可視作要地防御的重要方法，其內涵是針對信息系統內發揮重要功能、攻擊成本較低、容易受攻擊的代碼 / 模塊 / 組件等關鍵部位，投入較為完善的防護設計、較多的防護成本進行重點保護，而針對信息系統內其他部分投入相對較少，以此達到整體安全且成本可控效果的防御方式。通過要地防御，可有效降低網絡彈性工程構建的成本，以最小代價實現網絡彈性的增益最大化。內生安全機理在具體的系統應用實現時需遵循“隘口設防、要地防御”的原則，即在系統設計時明確需要優先保護的資源 / 功能，并將其視為防御要地，有目標地創建受信任執行環境（TEE），對任何潛在的破壞都要關注對抗性。TEE所包含的資源和功能模塊需要盡可能納入到擬態防御界內。也就是說，不可信的或供應鏈安全性無法保證而功能等價的異構部件（也可能是“黑盒”部件），只要按照DHR架構組裝，也可以構成自主可控、安全可信的TEE平臺。

2. 建構多樣化的軟硬件體系架構

理論上，如果兩個執行體之間的差異性足夠大，則可以保證任意一種獨立的攻擊方法對于兩個異構執行體是極難同時生效的。因此，系統架構中的執行體多樣性越強、差異性越大，整體異構性和冗余性越強，調節自身組成方式應對外界擾動或破壞的能力就越強，調節自身組成方式保持正常工作效能的能力就越強[37]，對于已知 / 未知安全威脅的防御就越全面、越高效，對網絡彈性的賦能效果就越突出。DHR架構可應用于系統的各個層次，覆蓋基礎硬件到頂層應用，采用系統控制方法和體系化構造原則指導擬態防御實現機制，可獲得高性價比的可靠性和抗攻擊性。① 在基礎硬件層面，可采用不同中央處理器指令集的COTS級處理器產品，包括但不限于X86、進階精簡指令集機器（ARM）系列處理器和國產自主處理器等。② 在操作系統層面，可采用不同體系結構的操作系統產品，包括但不限于國際主流的Windows系列、各個Linux的發行版本、國產自主的操作系統產品及其相關支撐環境的軟 / 硬件產品等。③ 在虛擬化層面，針對各類網絡設備和應用系統運行所依賴的虛擬化環境，可采用不同的虛擬化技術實現，包括但不限于鍵盤、視頻或鼠標直連（KVM），應用容器引擎（Docker），開放源代碼虛擬機監視器（Xen），威睿虛擬化軟件（VMware）等。

3. 協同運用多種安全技術

綜合運用多種安全策略和技術應對未來的網絡攻擊，是提高網絡彈性的重要方法[38]。DHR架構賦能數字產品創造了“供給側”新需求，同質異構產品市場不再是排他性的“零和博弈”，多樣化的附加式安全產品能夠為DHR架構系統帶來指數量級的安全增益；DHR架構的賦能作用反饋市場并帶來更為強勁的開放性（阻止泛化網絡安全壁壘的趨勢）、互補性和多元化動力，為同類非同源產品提供了廣闊的市場生存空間[28]。不同層次的安全技術均可以在DHR框架下進行協同處理，通過安全技術的多樣性、動態性和冗余性實現DHR架構系統在廣義不確定性擾動下的彈性賦能，從而獲得穩定的網絡彈性。以蜜罐技術為例，即使同屬蜜罐系列的產品，由于采用的技術方案不同也會導致攻擊鏈實現上的差異。如果在DHR運行環境內差異化地部署多個非同源的蜜罐產品，即使攻擊者具備成功識別并繞過某種蜜罐產品的能力，但因為無法獲得非配合條件下的協同攻擊能力，DHR架構依然能通過差模感知機制有效抑制攻擊。

4. 增強網絡彈性的可量化特性

通過評估差距推動實體網絡整體安全態勢增強，是網絡彈性的重要目標[39]。但是，信息系統或數字產品除了可靠性，其網絡安全性尚無法給出可量化的設計指標與可驗證度量的測評方法。換言之，正因為數字產品“網絡安全性無法量化”仍然是世界性難題，所以軟硬件產品制造側通常選擇性地忽視網絡安全質量[33]。內生安全理論和方法可以將“未知的未知”安全問題轉變為“已知的未知”安全問題，將無法量化控制的問題轉換為基于可控概率的問題，將內生安全共性問題轉變為經典可靠性理論與自動控制技術可以管控的事務，為網絡空間防御提供了改變游戲規則的革命性技術[26]。DHR架構獨有的內生安全特性和結構加密效應決定了“已知的未知”/“未知的未知”攻擊、隨機性攝動 / 不確定擾動、非人為影響 / 蓄意行為所致的安全問題，只要在其架構內表現為可感知的差模性質擾動，就可以得到有效抑制，并通過廣義功能安全性開展可量化設計、可驗證度量?；诜抡鎸嶒?，用穩態可用概率、可靠度、首次故障前平均時間和降級概率刻畫目標架構的可靠性，展示了DHR架構的穩定魯棒性和品質魯棒性（見表1）。DHR構造理論能夠破解數字系統或控制裝置的內生安全共性問題，使從制造側管控基于數字技術的相關領域產品安全缺陷成為可能；漏洞后門將失去戰略性作用，隱匿漏洞、設置后門不再具有潛在攻擊意義[33]，從而使任何通過漏洞 / 后門技術獲得戰略優勢的努力成為徒勞之舉。

表1 非冗余、非相似余度和DHR架構系統的可靠性度量

六、推進中國特色網絡彈性工程的若干建議

內生安全理論和方法開辟了網絡空間安全新的技術范式，創立了廣義功能安全問題防御新視角，提出了基于動態異構冗余架構的賦能方法，建構出可量化設計、可驗證度量的內生安全工程實踐規范，為發展具有構造性增益的網絡彈性工程、筑牢國家網絡空間安全屏障開拓了新的技術路線。

（一）加快技術創新，抵消發達國家網絡彈性工程的組合效應

發達國家在推進網絡彈性工程方面使用了“組合拳”方式，在制定500多項彈性具體標準的同時，全面加強對漏洞等戰略資源的管控。美國于2022年5月發布了針對網絡安全領域新的出口管制規定《信息安全控制：網絡安全物項》，強化了對漏洞披露的管制和漏洞檢測分析技術的限制。歐盟也推出了《協同漏洞披露策略》，傾向借鑒美國的做法。這些政策文件的出臺，其根本目的是切斷與我國在漏洞資源方面的分享渠道，使我國高技術企業無法獲得與國際同步的漏洞檢測能力、將我國數字產品排除在網絡彈性工程之外，試圖把我國變成全球網絡的“洼地”。技術問題的解決需要用創新技術來應對，要堅持“以技術對技術”的基本方略。為此，應積極推動網絡空間內生安全技術的應用，用內生安全賦能網絡彈性，使我國數字產品、信息產業的網絡安全能力不再強依賴于漏洞 / 后門、先驗知識，以開辟一條自主創新、自立自強的新路徑，突破發達國家構建的網絡安全領域技術壁壘。

（二）推動建立中國特色網絡彈性政策法規體系

近年來，為維護網絡設施和網絡服務安全，我國出臺了多項網絡安全相關法規，如《中華人民共和國網絡安全法》規范了網絡的使用和運維，《中華人民共和國數據安全法》規范了公民的數據處理活動，《中華人民共和國個人信息保護法》對個人使用網絡的隱私保護提出了明確要求。但是，我國仍然缺少對數字產品的全流程規范性法律約束，尤其是缺乏對數字產品軟 / 硬件制造商、供應商的網絡安全責任約束。建議借鑒美國、歐洲等國家和地區在推動網絡彈性方面的立法經驗，建立具有中國特色的網絡彈性法規體系，堅持應用服務側和制造供應側網絡安全同等重要，明確數字技術產品功能安全和網絡安全的法律底線。

（三）建立相應監管體系，明確網絡安全責任邊界

彈性設計要求在非數字、數字系統的全生命周期中都融入網絡安全風險假設和風險規避策略。建議設立專門的機構或指定現有部門機構對數字產品開發全生命周期的網絡彈性予以要求；進行高效監督管理，明確各方網絡安全責任；將設計安全、開箱即用的默認安全作為新一代數字產品的質量規范和準入條件，杜絕網絡安全質量沒有保證的軟硬件產品流入市場，堅決清除國家數字化建設中的“暗功能”。數字產品網絡安全質量監管部門的職責應包括對新開發數字產品進行備案、網絡彈性評估、審批、準入等，把控數字產品的準入門檻，對數字產品的網絡安全質量進行可量化的評估；同時，把握好監督管理的靈活度，在維護網絡安全、規范數據安全的同時，鼓勵制造商進行產品創新，實現管理與激勵的創造性平衡。

（四）建立可量化、可驗證、具有公信力的測試評價體系

我國已在南京、杭州、上海、鄭州建立了網絡空間內生安全的測試平臺，可以針對網絡核心設備、智能網聯設備、數字化產品開展網絡安全與功能安全的一體化測試評估，精準標定產品網絡彈性的質量。建議國家主管部門制定衡量網絡彈性性能的通用指標，建立統分結合的國家級測評機構體系，通過構建“內生安全系數”定量描述網絡彈性，為網絡彈性的評估提供可執行、可量化的標準，為我國數字化產業“走出去”提供有國際公信力的質量保證。

（五）采取市場化金融手段，多路徑助力網絡彈性實施

網絡彈性對數字產品提出了新的安全要求，也增加了企業（尤其是中小企業）的合規成本和開發難度。建議利用市場化手段激發各相關主體的活力，包括網絡安全公司、保險公司，共同參與網絡彈性工程建設，形成良好的行業生態。金融保險機構在網絡安全功能可定制、安全指標可度量的基礎上，為符合網絡彈性標準的產品提供保險服務，提供包含工具、方案與損失賠償在內的保險產品；在賠償責任方面，為數字產品可能發生的網絡安全問題提供經濟兜底和風險分散，為具有內生安全屬性的數字產品提供信用擔保，助力相關技術的快速應用。

致謝

張為華、趙星、湯海波對稿件撰寫提供了寶貴意見，朱瑩、林陳威、陳佳浠為稿件成文提供了直接幫助，謹致謝意。

利益沖突聲明

本文作者在此聲明彼此之間不存在任何利益沖突或財務沖突。

Received date:November 17, 2023; Revised date: December 6, 2023

Corresponding author:Zou Hong is the deputy dean from the Institute of Big Data, Fudan University. His major research field is cyberspace security. E-mail: hongzou@fudan.edu.cn.

Funding project:National Key R&D Program of China (2022YFB3102 901); Chinese Academy of Engineering project “Strategic Studies on Becoming A Strong Cyber Power Guided by the New Development Philosophy” (2022-HYZD-02)