我今天講一下未來網絡安全的問題,有人說是美國的CCN-NDN,有人說是美國的面向移動的網絡,有人說是美國的面向服務的網絡,有人說是歐盟的NetIef,不管哪個是我也不知道,我只知道未來網絡是什么不重要,重要的是如何考慮所要做的新的網絡的安全問題,如果做出來的系統(tǒng)不安全的話也沒法使用,在我們來看安全技術是半生技術,信息技術出現(xiàn)在前,安全技術通常伴隨著安全問題的出現(xiàn)而產生,如果不預測安全問題的形態(tài),就無法配置安全措施,Interent的一個重要的教訓就是安全管理滯后,一定要事先把安全因素考慮進去,我提出了五個“四”的法則,一個從四個層面考慮信息安全的問題,物理層,運行層,數(shù)據(jù)層,內容層,第二個是安全的四個基本屬性,可用性,機密性,可鑒別性,可控性,第三個四就是保障信息安全的四個目標,要做安全的網絡,可信的網絡,可靠的網絡,可控的網絡第四個四就是從確保的源頭來保障信息安全,軟件確保,系統(tǒng)確保,服務確保,使命確保。另外一個是保障網絡主權的四項基本權利,獨立權,平等權,自衛(wèi)權,警報權。
第一個就是物理層面表現(xiàn)在能量供給上面,運行安全主要表現(xiàn)在代碼攻擊上面,到了數(shù)據(jù)安全層面,主要是面對數(shù)據(jù)攻擊,另外一個內容安全,從內部的安全來考慮的。我們的安全網絡的抗打擊性如何,未來網絡的設備冗余性如何?是否可熱悲憤,容災,網絡的可生存性如何,是否可剪裁運行,可降級運行。第二個就是網絡設備損毀后的自恢復能力如何,首先就是網絡的去中心化程度如何,我們傳統(tǒng)的中心依存度盡量低,避免認為形成安全瓶頸口,再一個就是自組織的程度如何?網絡的重組能力如何?再一個就是網絡設備是否能被軟致癱?
第二個問題就是運行安全的問題,網絡是否能夠承受拒絕服務攻擊?是否能夠承受住資源的過度消耗?再一個網絡是否能夠被非授權控制,要防止網絡運行系統(tǒng)的安全漏洞被利用能力,第三個就是你的核心設備是否能夠被攻擊?要具有持續(xù)的提供核心功能的能力,再一個網絡路由是否會被劫持?是否會形成錯誤的路由?要防止網絡路徑被非法重定向與錯誤路由污染的能力。再一個網絡尋址服務是否能夠被終止服務?防止尋址服務體系被癱瘓。
關于數(shù)據(jù)安全問題,網絡的運行狀態(tài)是否能夠被欺騙?防止網絡狀態(tài)被偽造,防止網絡路由信息被欺騙。網絡傳輸通道是否能保證數(shù)據(jù)的隱私?要具有防止信息被泄露與被非授權擴散的能力。網絡傳輸通道是否能夠保證數(shù)據(jù)不被篡改?要具有信息不被篡改的能力。網絡身份信息是否能夠被仿冒?要具有身份鑒別的能力。再一個網絡信息傳輸具有防抵賴的能力?
第四個層面就是內容安全層面,首先網絡信息是否能夠被監(jiān)測?具有對網絡信息進行標簽的能力,或者具有授權認知網絡信息的能力,或具有授權發(fā)現(xiàn)隱藏信息的能力。二網絡信息是否能夠被控管?要具有授權過濾指定信息的能力,要具有限制指定信息發(fā)布的能力。三網絡信息是否能夠不被非授權擴散?就是要具有數(shù)字版權保護的能力。再一個網絡系統(tǒng)是否具有被局部隔離的功能?要具有切割非授權介入的子網的能力。
第二個四就是信息安全應關注的四個屬性,可用性,機密性,可控性,可鑒別性,可用性要注意被攻擊的問題,機密性要注意高效的問題,可控性要注意自由的問題,再一個可鑒別性就是隱私的問題。
展開來說,從可用性來說,我們首先要保證網絡的可用性,采取必要的措施,保證網絡處于始終可提供服務的狀態(tài),使得授權用戶可以隨時獲得服務。網絡應該具備一些可靠性,要保證網絡出現(xiàn)故障的概率極小,再一個網絡應該具備穩(wěn)定性,保證網絡不出現(xiàn)可被用戶感知的問題,網絡還應該具備可生存性,保證網絡在極端條件下仍然能夠提供核心服務,盡管其服務質量在下降。再一個就是具備可維護性,這個指在線維護。
從機密角度來說所關心的是網絡的機密性,要保證網絡的機密性就是要確保網絡傳播信息不被非授權者所獲知,要保證網絡信息的實用性,要采取措施,使得網絡加密信息唯一依賴于對應的密鑰。再有要保證網絡信息不會被捕獲,拷貝與擴散,采取屏蔽,隔離措施,防止非授權截獲與傳播信息。再一個保證網絡不能被非法獲得,要采取訪問控制措施,防止非授權訪問信息,再有保證網絡信息不被非法認知,采取加密措施。
第四個是可控性,要保證網絡的可控性,主要的目標是采取措施,使得網絡始終處于授權掌控狀態(tài),可控性要包括具備可追溯性,保證網絡傳播的源頭與目的是可追溯的,再有就是具備可記帳性(可確定性),保證網絡傳播的所有狀態(tài)均可被記錄并保存,再有基礎具備可審計性,保證網絡傳播的所有狀態(tài)具有相關責任主體。再有一個就是可過濾性,保證網絡信息是可被理解的,網絡信息傳播的源頭與目標是可被理解的,指定信息可被過濾的。
關于網絡的可鑒別性,主要是要保證網絡的可鑒別性,保證與網絡傳播相關的信息其真實性是可以被鑒別的,網絡信息應該具備完整性,保證網絡信息的任何篡改都能夠被鑒別出來。網絡的傳輸主體與客體的身份應具備真實性,保證網絡信息傳播的發(fā)放方與接收方的身份是可鑒別的,符合預知的身份。
下一個是信息安全應保障的四個目標,我們要保證是安全的網絡,保護網絡不被致癱,網絡上的攻擊可被有效遏制,網絡上的用戶不被攻擊所困擾,要保證是一個可信的網絡,確保對網絡傳輸?shù)男袨槿耍粋鬏數(shù)男畔⒖杀昏b別,其可信程度可被判定。再一個保證其是可靠的網絡,確保能夠提供有效的服務,不因隨即鼓掌而失效。另外是可控的網絡。
我們從前提假定來說,安全是一個惡人的假定,攻擊是必須的,可信是一個好人的假定,只要是好人就不會有攻擊,可靠是上帝的假定,是隨機的,可控是一個監(jiān)管人的假定,服從約定的形式,攻擊是來自缺陷的概念。做一個比喻,安全就像養(yǎng)猛獸,我們把它當做寵物,肯定不會真的跟它一起睡覺,風險太大了,把它用鏈子拴起來,可信就是好象養(yǎng)寵物狗,可靠就像養(yǎng)一個牲畜,可控就像養(yǎng)孩子。行為類比一下,安全就好象這個人就要闖紅燈,可信就是綠燈行,可靠就是有點黃燈行,可控就是紅燈停。應用原則安全就好象是監(jiān)獄的狀態(tài),可信就是像在辦公室的狀態(tài),可靠就是像是豬圈,可控就是像居家。從立足點來看,安全就是事先保護,可信是事后打擊,可靠是經濟平衡,可控是規(guī)則管制。從應用點來看,安全未知身份,可信是已知身份,可靠是隨機因素,可控自有系統(tǒng)。從追求目標來看,安全追求的是不受傷害的狀態(tài),可信是證明它確是一個好人,可靠是保證盡量不受損失,或者損失不能太大,可控就是掌控一切。從手段來說,安全是以降低風險為目的,可信是依賴歷史,可靠是投保機制,可控是監(jiān)控。從風險來看,安全方面就是資源消耗太大,可信最怕意外變節(jié),可靠是概率損失,可控是失控了。
第四個四就是要四個確保,首先我們從源頭做起,做軟件確保,下一個是系統(tǒng)確保,再高一層就是服務確保,最后一個就是使命確保,整個的安全確保就是從源頭一直到目標,目標為了保護使用者,是這樣的一個層次,需要我們考慮。
怎么考慮呢,首先我們來看軟件確保,要保證網絡協(xié)議是符合預期的,要求網絡協(xié)議的實現(xiàn)在需求,設計,編碼,驗證等環(huán)節(jié)都通過證明或檢驗,再有要保證網絡協(xié)議不存在可利用的漏洞,要求網絡協(xié)議具有自保護特性,即便出現(xiàn)安全漏洞也不會被惡意利用,再一個要保證網絡協(xié)議的實現(xiàn)環(huán)節(jié)是符合規(guī)程的,要設計協(xié)議實現(xiàn)規(guī)程,保證協(xié)議的軟件實現(xiàn)是符合規(guī)程的。最后就是保證網絡協(xié)議軟件的可信性。
第二個層面就是系統(tǒng)確保,要首先保證網絡系統(tǒng)的功能是可預期的,要給出證據(jù)系統(tǒng)以證明網絡系統(tǒng)的形式化方法起到了極其重要的作用,要提高網絡系統(tǒng)沒有漏洞的確信程度,要有網絡系統(tǒng)的自防護能力,使得無論在系統(tǒng)生命周期的任意時刻,即便漏洞作為系統(tǒng)的一部分有意或無意設計或插入的,也不能能夠被利用起來形成攻擊。再一個要保證網絡系統(tǒng)在裝配之后是可信的,可信的軟件還需要可信的接口,以保證系統(tǒng)的可信性,要保證網絡系統(tǒng)的系統(tǒng)工程。
第三個是服務確保,要保證網絡系統(tǒng)能夠提供符合要求的服務性能,要保證通信服務提供商能夠利用策略和過程確保所提供的服務來滿足預先定義的服務質量,要保證網絡系統(tǒng)能夠提供有保證的服務,要具備故障和事件管理,性能管理,探測監(jiān)視,服務質量管理,網絡和服務測試,網絡流量管理,客戶管理,服務等級協(xié)議監(jiān)視等能力。
最高的曾經就是使命確保,要保證網絡系統(tǒng)的自適應性,要能夠適應用戶的需求,盡管網絡本身沒有受到攻擊,也要具備彈性變化的能力,要降低風險,再有就是要保證網絡系統(tǒng)能夠提供有效的服務,武裝網絡系統(tǒng)有多復雜,規(guī)模有多大,要保證始終處于用戶能夠得到服務的狀態(tài)。還要要求網絡系統(tǒng)處于全世界周期工程狀態(tài),要保證網絡系統(tǒng)設計,生產,測試與運行方面,要服從需求工程的要求,持續(xù)支持在線更新。
最后一個就是網絡主權,主權的內涵就是基本權,獨立權,平等權,自衛(wèi)權和管轄權,獨立權就是本國的網絡可以獨立運行,無需受制于他國,平等權就是網絡之間的互聯(lián)互通是以平等協(xié)商的方式來進行,不受管轄制約等。
我說一下獨立全,要確定一國網絡可以獨立存在,現(xiàn)有的互聯(lián)網由于根域名解析體制的緣故,不能夠獨立存在,因此受制于美國,除非根域名解析歸屬一個類似于聯(lián)合國的國際組織管理,域名解析系統(tǒng)的管理權就可以被理解為各國出讓了本國對該系統(tǒng)的管理權而集中在指定的國際組織,同時該國際組織在章程中被各國所認可,各國對該國際組織的運行具有同等的權利。再一個我們說未來網可以考慮類似于路由機制來建立分布式名字服務系統(tǒng),各國的名字服務系統(tǒng)不受制于任何國家以及任何國際組織,可以獨立存在,類似于國家茂盛,可以遵循國際策略,可以多邊協(xié)商,可以雙邊協(xié)商。
第二個是平等權,確保各國的網絡之間可以平等的方式進行互聯(lián)互通,要像民航航線一樣相互對等地開辟互聯(lián)互通的航線,互聯(lián)互通不能成為單方受惠的建設模式,目前的互聯(lián)網的國際介入受制于大的國際運營商,如Sprint公司,因其在國際上具有隆重的地位,致使互聯(lián)網規(guī)模小的國家在介入時往往會受到不平等的待遇,
再一個要確保各國對網絡系統(tǒng)具有不平等的管理權,要保證一國對本國互聯(lián)網的管理不會傷及到其他的國家,現(xiàn)有的互聯(lián)網相互依賴過度,互聯(lián)網強勢國家所制定的政策可能波及其接受服務的國家。
再一個自衛(wèi)權,網域空間已經受到各國所重視,我們都知道美國的三大戰(zhàn)略,核戰(zhàn)略,太空戰(zhàn)略,網域戰(zhàn)略,目前的五大戰(zhàn)場已經是領海領土領空領天,領網絡,已經要保護網絡了,現(xiàn)在要做的系統(tǒng)要確保網絡系統(tǒng)可以處于自我保護之下的,而不是依賴于它國進行保護,不應該有境外系統(tǒng)被攻擊致使本國網絡癱瘓的情況發(fā)生。本國要擁有對網絡攻擊的自衛(wèi)能力的話,一定要擁有隔離能力。
最后一個就是管轄權,首先要擁有對本國網絡系統(tǒng)的管理能力,網絡的接入要能夠實施市場準入機制,非授權子網應該不能夠接入到網絡中,要具備發(fā)現(xiàn)非授權接入網絡的能力,對網絡的接入要能夠事后終止,對于不服從管理業(yè)務應該具有停止服務的能力。現(xiàn)有的系統(tǒng)不具有這樣的能力,例如谷歌退出中國基本上不影響向中國所提供的服務。我們知道國際上面有一個概念是河床與河水的概念,水是沒有主權的概念了,物理社會中國家對河床擁有主權,盡管河水來自上游國家,但上游國家不能輸出被污染的河水。
最后我總結一下,第一個四是內容安全,數(shù)據(jù)安全,運行安全,物理安全,對應的是可控性,機密性,可鑒別性,可用性,就是要建可控的網,可信的網,建安全的網,建可靠的網。要保證我們的安全確保,從軟件確保,到系統(tǒng)確保,服務確保,到使命確保。最后一個網絡主權,獨立權,平等權,自衛(wèi)權,管轄權是跟它們相應對立的,我的報告完了,謝謝。
京公網安備 11010502049343號