2.5.5　缓解暗涌现性对安全系统动力学的冲击和影响

如果把安全看作系统的涌现性，那么设计者有意埋设的后门或者无意造成的漏洞所引发的安全问题可以视作“暗涌现性”的一种。之所以称之为“暗涌现性”，是因为这种涌现现象从宏观上看具有存在但不显著的特点，且可以被人为操纵，例如插入的代码或者制造的漏洞使系统出现了新的“不安全”特性，而这种特性又不易被察觉。由于暗涌现性的存在，安全系统动力学的诸多特征和假设前提遭到破坏，比如结构状态和发展规律必须考虑广义不确定扰动，安全系统协同的无序向有序转化的机理和条件，都要充分考虑建立广义的不稳定性原理等。抑制“广义不确定扰动”的功能也可以称为“广义鲁棒控制构造”。

1.从构造入手，改变阶段连续性假设的不合理性

在攻防对抗的过程中，攻击者会刻意制造“暗涌现性”，这对基于传统事件致因的安全系统动力学的因果反馈和控制结构造成了冲击。安全系统动力学从安全系统内部组成要素互为因果的反馈特点来寻找其结构（子系统）的关联关系、功能的实现方法、系统的演化规律，而不是用外部的干扰或随机事件来说明系统的行为特征。基于特征的防御往往以攻击者能力不再提升或者有限提升作为假设。在很长时间里，归纳方式一直是获取知识的重要方法，但休谟指出归纳法的谬误：即使所有前提都正确，结果也可能错的。归纳法的致命错误是它的隐含前提就是未来需要继续和过去一样，但这在逻辑上无法证明。APT难以检测的原因也在于此，攻击者的能力总在防御者的可控范围之外。一旦前提错误、归纳法失效，就像拿着旧地图，无法驶入新航道。应对威胁就要抛开原有的假设，考虑内生安全机制。

系统需要具有与生俱来的结构鲁棒性，才能增强系统应对未知威胁的本质安全能力。

2.从安全约束入手，应对过程模型的不一致性

相比单纯的机械连接控制，机电控制的引入、网络化与数字化的改造使操作者能够基于控制过程状态的图像在更远的位置控制过程，而不再是直接感知过程的状态。在监控画面上，操作者看到的是“视图”而不是“现场”。但是，在控制室的操作界面上看到的反馈操作成功不一定是真正的成功，因为这可能只是视图的更新，甚至是恶意代码提供的假象。由于“视图拒绝”“视图操纵”“控制操纵”等攻击类型层出不穷，造成系统的安全约束和控制行为无法准确直达执行部件。众所周知，有效的控制以过程状态模型为基础，但在内外因的作用下，安全系统会随时间演化和变化，控制过程模型和实际过程状态之间会产生不一致。在网络边界日益模糊化的今天，当“物理联锁”变成“逻辑联锁”，“真实人”变成“网络人”，那么控制的本质安全问题就转换成“事故人”可能造成未知致因的事故这种极端条件下的鲁棒性分析问题。为了避免这类危害，必须基于系统论思想，在安全框架中引入相应的机制和方法，加强安全约束的有效执行。