這幾天一直在關(guān)注一個微信群:網(wǎng)絡(luò)安全人才教育群,原因很簡單,長沙正在召開高校信息安全專業(yè)建設(shè)與人才培養(yǎng)研討會。雖然沒機會參加這個盛會,但是對此的關(guān)心一點都不差,道理很簡單,百年大計,教育為本。沒有一支各層次完備的人才隊伍,談網(wǎng)絡(luò)空間安全是一句空話。
各位大伽們談了很多重要的觀點,讓人耳目一新。但是,總還是覺得不解渴,經(jīng)過一番深思,現(xiàn)在談一談筆者的想法。
第一,我們得讓學(xué)生們知道,網(wǎng)絡(luò)空間安全是什么?現(xiàn)在這個問題有些模糊,把所有涉及到網(wǎng)絡(luò)空間的安全,都?xì)w為網(wǎng)絡(luò)空間安全,這在社會治理上也許沒什么,但是對于教育來說,就不能忽視了,我是學(xué)物理的,物理學(xué)強調(diào)的概念必須清楚。網(wǎng)絡(luò)空間安全,無非是兩大方面,一方面是網(wǎng)絡(luò)空間本身的安全,另一方面是利用網(wǎng)絡(luò)空間構(gòu)成的各類侵害行為。在學(xué)術(shù)上,如何來定義網(wǎng)絡(luò)空間安全?要不要分個狹義和廣義?作為高校研究的重點,我覺得應(yīng)該是網(wǎng)絡(luò)空間本身的安全。
第二,網(wǎng)絡(luò)空間本身的安全是什么?從入侵者的角度出發(fā),他們一方面想從網(wǎng)絡(luò)的某些節(jié)點,或者是在網(wǎng)絡(luò)傳輸?shù)男诺乐衼慝@取那些本不屬于他們應(yīng)該知道的數(shù)據(jù),另一方面他們想讓網(wǎng)絡(luò)空間出現(xiàn)癱瘓,或者讓某些節(jié)點的功能喪失,或者是某一局部的信息使命不能完成。說到底,就是數(shù)據(jù)的安全和網(wǎng)絡(luò)服務(wù)功能的安全。當(dāng)然,對于一個具體的局部網(wǎng)絡(luò)空間,這些目標(biāo)是要具體化的。這是一條綱,有了這條綱,才能使學(xué)生清楚他們所學(xué)的某一門課程與之的相關(guān)性。
安全說到底就是不允許有非授權(quán)的操作。是Security,是由于共享而導(dǎo)致的(屬于Safety范疇的安全也是存在的,但不是討論的重點),從這個意義上來說,網(wǎng)絡(luò)空間安全是一個管理問題。一個管理問題,必然要有相應(yīng)的管理目標(biāo),相應(yīng)的方法和過程。管理目標(biāo)是明確的,就是要保護數(shù)據(jù)安全和網(wǎng)絡(luò)空間服務(wù)功能的安全,方法則必須優(yōu)先考慮技術(shù),在沒有技術(shù)手段的情況下,還要考慮行政的手段來保證。授權(quán)的操作,應(yīng)該被認(rèn)為是“可信”的,而非授權(quán)的操作當(dāng)然就是“不可信”的。
有了這一點,有助于學(xué)生把書“從厚讀到薄”,便于抽象,物理學(xué)中一個重要的方法就是抽象,如質(zhì)點、電荷等。
第三,對于一個局部的網(wǎng)絡(luò)空間(信息系統(tǒng))來說安全的第一步,是要建立以訪問控制(包括數(shù)據(jù)流控制)為核心的安全子系統(tǒng)或者稱可信計算基(TrustedComputingBase)。就是要建立相應(yīng)的規(guī)則。一定應(yīng)該讓學(xué)生明白,訪問控制的核心地位,其他的安全功能是為訪問控制服務(wù)的,或者是對訪問控制的補充。
所有其他的安全(防范)手段,包括滲透性測試等等,都是為了保證這些規(guī)則能夠被可靠的執(zhí)行而不會被破壞和被繞過。
第四,我們在討論數(shù)據(jù)保護時,肯定要講到的C、I、A問題(CIA,機密性(Confidentiality)、完整性(Integrality)、可用性(Availability)),現(xiàn)在許多教材都談到了這個問題。但是,對他們的討論是不夠的,應(yīng)加上真實性、可控性、可審計性、抗抵賴性等等。筆者還是堅持,需要保護的數(shù)據(jù)安全屬性只有C、I、A。其他的不是不重要,可控性、可審計性、抗抵賴性是對使用數(shù)據(jù)某個主體責(zé)任的確認(rèn),而不是數(shù)據(jù)本身的安全屬性。真實性問題,可認(rèn)為是數(shù)據(jù)安全屬性,但真實性不屬于被“保護”的范疇。
同時,我們還應(yīng)告訴學(xué)生們,C、I、A之間的關(guān)系,1、保密性和完整性,從保護策略上是沖突的;2、保密性和完整性是可用性的基礎(chǔ)。尤其是第2點,在許多教材中并沒有提及,把這三個屬性看成是各自獨立而不相關(guān)是不對的。
第五,我贊同按照醫(yī)學(xué)的體系來研究網(wǎng)絡(luò)空間安全的觀點,在這里筆者想補充的是,我們更應(yīng)該向傳統(tǒng)的中醫(yī)體系學(xué)習(xí)(不是已經(jīng)西化了的中醫(yī)體系),傳統(tǒng)的中醫(yī)體系,一是強調(diào)人是一個整體,存在相生相克。安全也要有一個整體的考慮,而不能只見樹木不見森林。二是要有辯證的思想,辯證必然是動態(tài)的,是要將各類因素都納入統(tǒng)一考慮,同樣要分析相生相克的問題。三是扶正為主的思想,同時考慮到祛邪,中醫(yī)說,正氣存內(nèi),而邪不可干。由于系統(tǒng)存在脆弱性,所以正氣是不足的。
總之,本科四年下來,應(yīng)該讓學(xué)生們對網(wǎng)絡(luò)空間安全有一個整體的,完整的理解,具體的某些技術(shù)和理論的深入探討,可以在研究生階段和博士階段繼續(xù)。
以上是個人的粗見,不怕各位大伽的見笑,也希望拍磚。
作者:陸寶華——知道創(chuàng)宇資深網(wǎng)絡(luò)安全顧問
京公網(wǎng)安備 11010502049343號