2.5.5　緩解暗涌現性對安全系統動力學的沖擊和影響

如果把安全看作系統的涌現性，那么設計者有意埋設的后門或者無意造成的漏洞所引發的安全問題可以視作“暗涌現性”的一種。之所以稱之為“暗涌現性”，是因為這種涌現現象從宏觀上看具有存在但不顯著的特點，且可以被人為操縱，例如插入的代碼或者制造的漏洞使系統出現了新的“不安全”特性，而這種特性又不易被察覺。由于暗涌現性的存在，安全系統動力學的諸多特征和假設前提遭到破壞，比如結構狀態和發展規律必須考慮廣義不確定擾動，安全系統協同的無序向有序轉化的機理和條件，都要充分考慮建立廣義的不穩定性原理等。抑制“廣義不確定擾動”的功能也可以稱為“廣義魯棒控制構造”。

1.從構造入手，改變階段連續性假設的不合理性

在攻防對抗的過程中，攻擊者會刻意制造“暗涌現性”，這對基于傳統事件致因的安全系統動力學的因果反饋和控制結構造成了沖擊。安全系統動力學從安全系統內部組成要素互為因果的反饋特點來尋找其結構（子系統）的關聯關系、功能的實現方法、系統的演化規律，而不是用外部的干擾或隨機事件來說明系統的行為特征。基于特征的防御往往以攻擊者能力不再提升或者有限提升作為假設。在很長時間里，歸納方式一直是獲取知識的重要方法，但休謨指出歸納法的謬誤：即使所有前提都正確，結果也可能錯的。歸納法的致命錯誤是它的隱含前提就是未來需要繼續和過去一樣，但這在邏輯上無法證明。APT難以檢測的原因也在于此，攻擊者的能力總在防御者的可控范圍之外。一旦前提錯誤、歸納法失效，就像拿著舊地圖，無法駛入新航道。應對威脅就要拋開原有的假設，考慮內生安全機制。

系統需要具有與生俱來的結構魯棒性，才能增強系統應對未知威脅的本質安全能力。

2.從安全約束入手，應對過程模型的不一致性

相比單純的機械連接控制，機電控制的引入、網絡化與數字化的改造使操作者能夠基于控制過程狀態的圖像在更遠的位置控制過程，而不再是直接感知過程的狀態。在監控畫面上，操作者看到的是“視圖”而不是“現場”。但是，在控制室的操作界面上看到的反饋操作成功不一定是真正的成功，因為這可能只是視圖的更新，甚至是惡意代碼提供的假象。由于“視圖拒絕”“視圖操縱”“控制操縱”等攻擊類型層出不窮，造成系統的安全約束和控制行為無法準確直達執行部件。眾所周知，有效的控制以過程狀態模型為基礎，但在內外因的作用下，安全系統會隨時間演化和變化，控制過程模型和實際過程狀態之間會產生不一致。在網絡邊界日益模糊化的今天，當“物理聯鎖”變成“邏輯聯鎖”，“真實人”變成“網絡人”，那么控制的本質安全問題就轉換成“事故人”可能造成未知致因的事故這種極端條件下的魯棒性分析問題。為了避免這類危害，必須基于系統論思想，在安全框架中引入相應的機制和方法，加強安全約束的有效執行。