【按语】这是一份学习笔记。可供网信界教学、科研、从业人员参考,亦可帮助相关行政管理人员学习专业知识、提高专业水平。
网信安全的科学”是一门新兴、重要、网信领域不可或缺的应用科学,尤其重在实践的“发现”(或证伪)与纠偏,即为避免对问题的误判误导以及对经验的盲目盲从,探索与研究理论和实践的科学规律。促进“网信安全的科学”不断进步(不进则退),不仅必须勇于直面“难题”,而且需要敢于向“难题”亮剑,在攻坚克难中锻炼和培养意志,发挥和丰富智慧。
科学,是反映自然、社会、思维等客观规律的分科,是建立在可重复检验的解释和认识,以及对客观事物的形式、组织等进行逻辑归纳预测的有序知识体系,是系统化和公式化的知识。2021年6月,美国国防部制定“STEM”战略的五年计划, 该战略计划旨在:“通过提供一系列持续机会,以激励、培养和发展 ‘STEM’学科研究和应用的杰出人才,充实未来的国防部专业人员队伍,应对不断变化的国防技术性挑战。”“STEM”,是科学(Science)、技术(Technology)、工程(Engineering)、数学(Mathematics)四门学科英文单词首字母的缩略词;其中,科学在于认识世界、解释自然界的客观规律;技术和工程是在尊重历史现实和自然规律的基础上,解决社会发展过程中遇到的难题;数学则是作为技术与工程的基础性工具。一方面,科学、技术、工程、数学(STEM),代表了不同的基础和素养,使得综合人才队伍形成国家竞争力的核心。另一方面,网信安全领域斗争和竞争的现实证明,没有整体的知识体系,就不可能科学地解决网信安全(Cybersecurity,下同) 所涉及的方方面面问题。应运而生的“网信安全的科学”(Science of Cyberecurity),被界定为是一项持续发展的长期研究工作。为了促进网信安全科学的基础发展,美国国家安全局(NSA)于2014年7月启动“安全的科学”(简称“SOS”)计划,持续至今,得到科研界和产业界的广泛响应。NSA认为:SOS计划对于提升网信安全专业的成熟度以及加固网信攻防(Cyber Offensive and Defensive)的优势不可或缺;在目前阶段应“以实践为引导,寻求探索的方法、创建合理的要素,以支持 SOS”。
一、NSA“安全的科学”计划目前状况概述
4月5日,美国国家安全局(NSA)发布2022年“安全的科学年度报告”。其中提出并定义了“安全的科学”(以及“隐私措施”)的“五个难题”(Hard Problems):这“五个难题”并不是要涵盖网信安全研究的所有挑战,而是需要促进科学进步的五个具体领域,并作为是合作群体建立具有挑战性和批判性研究目标的一种手段,且是建立共同语言的开端,以及评估研究进展的一种方式。这“五个难题”之所以被选定,是因为它们对技术挑战程度具有潜在的现实意义,以及有助于加强科学研究方法和提高测量能力。这“五个难题”的挑战性难以估量,最令人生畏的要素包括:——数据的生成是科学进步的必要条件,但不是充分条件;对这“五个难题”的解决方案可能具有渐进性特征,其中的每一步骤都有可能相应地增加对任务的影响,而令人满意的步骤将趋于整体解决方案,但即便是综合的整体解决方案,仍然可能具有挑战性。NSA及其合作单位提出“安全的科学”五个难题的表述如下:【难题-1】弹性结构(Resilient Architectures):——包括系统静态地抵御攻击的能力,系统在攻击中继续提供基本服务的能力,以及在受到攻击后系统恢复完整功能的速度。——“难题”的重点在于设计、分析和构建各种系统,以能够:⑴抵御攻击;⑵在受到攻击时继续提供基本服务(但可能会降低服务的水准);⑶在攻击之后快速地恢复全部功能。——研究目标是研发系统架构设计和分析的方法,以在面对受损组件时提供所需支援。【难题-2】可扩展性与可组合性( Scalability and Composability):——涉及大规模安全系统的研发和分析,以及如何通过改进组件的安全性以提高系统安全性的研究。——“难题”的重点是以可扩展的方式,研发软件系统的推理方法(reasoning approaches)。——实现可扩展性的方法是通过可组合性,即“推理方法”, 利用每次分析一个组件安全属性的结果,推理整个系统的属性。——研究目标是利用具有已知安全属性的组件,构建系统以及系统级安全属性的推理方法,不必完全重新分析系统组成的组件。【难题-3】政策主导的稳固协同(Policy-Governed Secure Collaboration):——旨在研发科学的基础方法,表达和实施规范性要求和政策,并处理具有不同常规需求的数据,以及不同权限范围的用户之间的数据。——“难题”是关于科学的发展,被作为表达和执行信息处理与隐私保护的规范性要求,以及政策、方法及其基础。——政策方面的主要挑战是:⑴解决信息的不同用途以及对用途的不同期望;⑵涉及跨权限和跨领域的对接。——研究目标是开发一种社会性技术系统架构,该架构可以形成网信安全的社会和技术要素之间的相互作用,包括对规范和政策的表达与推理,实现既定需求的计算协助及预测其复杂性。【难题-4】安全指标与模型(Security Metrics and Models):——解决与网信安全相关属性的测量,并量化一些系统具备这些属性的程度。——“难题”涉及有效测量技术,以量化给定系统满足一组特定安全属性的程度。——挑战包括为已知的环境确定适当的测量指标,执行测量, 分析测量并根据描述性模型分析和解释,了解伴随测量及其分析的不确定性程度。——研究目标是对安全测量指标和模型的研发,以能够预测或确认一个给定网信系统在已知环境中是否(确定性或概率性地)维护预设的一组安全属性。【难题-5】人的行为(Human Behavior):——解决如何处理网信安全中人类行为者的不可预测性和复杂性。——这些参与者包括恶意攻击者、系统用户以及软件和系统的开发人员。——研究目标是对人类行为的模型研发,以便对具有特殊安全属性的系统进行设计、建模和分析。目前,NSA 的研究实验室与一些大学和研究机构的合作,对“五个难题”的研究已取得一些(公开的)阶段性成果。
二、美国国防部为促进“网信安全的科学”调研概述
“JASON”是一个由美国精英科学家组成的独立团体组织, 成立于1960年,拥有30至60名成员;主要为美国军方和政府部门提供科学技术方面(主要是具有敏感性质)的建议。尽管“JASON”的大部分研究都以军事为重点,但是“JASON”也对全球变暖和酸雨的科学进行了早期研究。当前未涉密的研究包括健康信息学、可再生能源和网信战(Cyber Warfare)。2010年11月19日,“JASON”向美国国防部提交了一份主题是“网信安全的科学”(Science of Cybersecurity)专题项目研究报告。其中的结论和建议包括:▲ 网信安全是一门科学。因为网信安全是针对对手的一门科学, 所以会使用并将继续使用许多不同的手段和方法。对于可以预见的未来,网信安全既是对已有(旧的)技术的新攻击,也是对新的技术规范安全防护。▲ 缺失“网信安全的科学”,不仅表现在公布的实验结果方面,而且体现在运用科学的能力方面。目前,对于公布的实验(或经验)研究学习的成果,研究单位和机构,似乎没有研发出一种被普遍接受的方式,以使人们可以复现或复用类似的实验(或经验)工作并有效利用研学结果。▲ 尽管人们普遍认为,满足网信安全的需求尚需要做更多的工作,但是却没有任何人已经具备足够的知识,而所能做的仅仅是应用当前已有的知识。网信安全是可以管理的一个问题,而存在的问题不仅没有得到解决,而且没有得到有效的管理。▲ 由国防部资助的研究中心和项目具有几个引人注目的特点:一是,国防部能够接触到最好的想法和人才。保持非正规的人才和思维关系在科学研究领域尤为重要,因为知识状况和实际情况都在迅速变化。二是,国防部的相关部门可以将工作中心侧重于常见问题的变化和解决。三是,被资助的研究中心和项目有机会利用国防部内的独特资源集合。其中包括,在网战司令部的支持下获取来自内部网络的安全防御数据和经验,与国家安全局(NSA)的信息安全保障计划相辅相成。虽然国防部高级研究计划局(DARPA)也有特定的短期项目,但是这些得到资助的研究中心与 DARPA 项目之间的区别在于,前者(即研究中心)将有望在广泛的主题上取得稳步进展,而不是被局限于革命性的想法或试图解决最新的网信安全危机。▲ 此外,这些得到资助的研究中心中心可以作为与软件行业的连接点,以加速将新想法(甚至旧想法)转化为技术开发人员可以机械式应用的有用工具。▲ 因此,需要一个协调一致的计划,以使研究领域的成果得到更广泛的应用。然而,历史和现实并不令人乐观。有一些非常复杂的方法(如模型测评、类型测评等)可用于评估和推理当前一些系统的安全性,但是至今并没有以开发人员工具的形式得到广泛运用。由民营企业开发这类工具可能没有足够大的应用市场,这就要求国防部在支持未来发展方面发挥更为积极的作用。
三、美国国防部关于“网信安全的科学”问题的概述
上述“JASON”关于“网信安全的科学”研究报告,对美国国防部所提出的一些典型问题(以下简称“问题”)作出了回答:【问题-1】网信安全的研究机构应采用哪些科学理论、实验以及实践要素,以利于在该领域取得重大进展?这将如何使受众群体从中受益?是否存在网信安全研究机构和人员应该采纳的科学的哲学基础?【回答-1】最重要的性质是,构建一组基本概念以及一种共同语言,使得在网信安全领域,可以就这些概念达成共识;由于网信安全是针对对手的科学,目标对手会随着时间而改变,而共同语言和规范化的实验协议将有助于对假设的测评以及对概念的验证;如果就研究的进展达成共识以及对最有希望的未来方向形成更为具体的概念,就可以从网信安全领域中受益;同时,科学的研发必须与“现实环境”(in the wild)的实践相关联,这与医学研究从动物模型试验发展到可能的临床试验的过程相同。【问题-2】网信空间(Cyberspace)中是否有“自然规律”(Law of Nature)可以构成网信安全领域的科学探究基础?是否应该考虑数学抽象或理论构造?【回答-2】不同于物理、化学或生物学,网信安全没有内在的“自然规律”;本质上,网信安全是一门应用科学,以计算机科学的数学结构为基础,例如:自动机理论、复杂性理论和数理逻辑。【问题-3】是否有可重复使用的测量指标,用以衡量系统、网络和任务的网信安全状态?测量理论或实践是否可以被扩展,以提高网信安全能力的量化程度?【回答-3】有许多指标可以被作为是成果而加以利用,例如:为当前入侵检测系统所提供的那些信息指标。但必须理解,任何这类指标都是基于经验的,本质上是统计性的;因而,这些指标不能被应用于尚未明确定义的场景。尤其是,对于还没有观察到(或未知)的事物(如新的攻击方法),这类指标不会产生作用和影响。由于可重复性的测量指标仅适用于信息系统的一般性操作,所以不应该被用于衡量安全等级。测量指标的可重复性取决于在业内实施的协议标准以及对这些标准的遵守。然而,在目前公开的网信安全结果中,可重复性测量指标并不是核心的评判准则。【问题-4】应该如何规划网信安全研究的科学基础?在传统领域中的实验和理论探究在网信安全中是否有效?是否有分析方法和方法论可以提供帮助?它们是什么?【回答-4】完全有理由相信,在传统领域中的实验和理论探究适用于网信安全研究。建立研究方案以实现可重复性实验,应被作为是最高优先级。为此,研究方案应对初始条件、所应对的安全威胁类型以及对实现安全目标的明确含义,提供清晰的描述。【问题-5】传统的科学领域和方法,如复杂性理论、物理学、动力系统理论、网络拓扑、形式方法、数学、社会科学等,是否可以促进网信安全的科学?【回答-5】有几个传统的领域是计算机科学的一部分,过去这些科学领域有助于加深对网信安全的理解,未来对这些科学领域的重视将会使网信安全得到持续改进。——模型检测领域似乎与网信安全特别相关,因为是对给定系统或关键内核所创建的一个安全性模型,然后使用一组明确定义的可能数据输入来测试模型的假设。虽然模型检测的输入空间可能是无穷大,但好处是可以对特定的威胁进行建模与测评。——密码学领域在传统上专注于通信的可证明安全性,并密切关注假设(或设置)的性质。——代码模糊和形态理论的应用也为构建安全代码提供了重要的依据。——对于国防部来说,利用保密作为网信安全防御的一个因素也极具价值。其中一些案例包括使用如上所述的代码模糊、开发专用于国防部的安全产品,以及常态收集和保护尚未被公开共享的网信攻击数据。【问题-6】建模和仿真方法如何有助于网信安全的科学?【回答-6】建模和仿真可以通过多种方式发挥作用。其中,一种是运用现有的计算能力以不断测评在被测系统上运行的安全假设(或设置);另一种是利用虚拟机等概念,提供定义明确的测试平台,以可控的方式探索计算行为以及安全系统受到确定性攻击时的行为。【问题-7】在小型封闭和受控条件下的网信实验,其可重复性是可能的,但能否在整个互联网上扩大规模以产生可重复的结果?能否支持国防部以及情报机关(IC)的互联网子集?【回答-7】现在提出这个问题还为时过早,因为之前的小规模实验结果很少是有组织的。由于其中许多实验不是以可重复性为目标,因此在考虑将重复性实验扩大到受控的广域网或整个互联网之前,重要的是首先评估这些小规模测试平台的效用。【问题-8】为了发展和培育科学探究以形成网信安全的科学,建议采取哪些步骤?建立网信安全的科学群体(社区)需要什么?【回答-8】建立连接学术界、工业界、国家实验室和国防部的跨学科中心,将是朝着(网信安全的科学)方向迈出的重要一步。这些跨学科中心应专注于与国防部需求特别相关的网信安全问题,但也应利用具有重要作用的其他部门的活动,如 DARPA 和 NSA 内的信息保障工作。对于网信安全的科学的所有参与者,必须制定具有共识和学习笔记共同遵守的群体(社区)协议,以便于探究结果的交流和归档。【问题-9】是否有理由相信上述的目标几乎是无法实现的,如果确实如此,为什么?【回答-9】对于实现上述目标,完全有理由期待取得重大进展。首先,必须了解网信安全的科学事业的本质,并区分和描述所针对目标的特点。如果能够制定一种公认的话语方式,就可以完成大量有价值的科学研究。其次,虽然这些科学研究主要是技术性的活动,并不能“解决”既有技术方面也有社会方面的网信安全问题,但是却将大大地促进网信安全的进步。
美国国防部提出的这些问题,经过“JASON”等的探究与分析,已得到自上而下的广泛共识,以至于国家安全局(NSA,暨美军网战司令部)于 2014 年 7 月启动“安全的科学”计划,持续至今。1)NSA“安全的科学”计划中的“五个难题”,依据对其定义和定位以及描述,可以分类归纳为在三个层次上的“难题”(图 1):
【图1 NSA“安全的科学”(SOS)计划中的五个难题及其分类归纳】
显然,这“五个难题”所分布的三个层次,构成了信息环境(即“网信空间”)。因此,即使术语“Cyberspace”(和“Cybersecurity”)仍然被称为是“网络空间”(和“网络安全”),也必须清晰和明确地定义与定位:目标的发现、问题的解决,以及技术的创新与应用的场景。反之,难以避免“刻舟求剑”或“滥竽充数”的状态和状况。2)“安全的科学”发展没有唯一的路径,而是汇聚许多概念和原则的一种“识变、应变、求变”意识和理念,其中的一些概念和原则已成为不断发展和结构化的一个知识体系,并将成为理论。因此,网信安全科学理论需要与科学实践的历史与沿革、经验和教训相结合。尤其是,“数据的生成是科学进步的必要条件,但不是充分条件。”3)不同于自然科学(如物理、化学或生物学等),“网信空间”(和互联网络)是人造的,而不存在“自然规律”,且“统计特性”往往不可复现或复用。因而,“网信安全的科学”是不断地检测假设、评估实验、发现未知、积累知识——即是科学进步的充分条件。
互联网(Internet,下同),从上世纪八十年代诞生,其本质是面向应用的工程与技术;到今天成为“复杂的社会巨系统”,不仅承载了人类文化的变迁,而且被强加了利益化、政治化和武器化的属性。一方面,数据作为战略资产(包括国家安全与个人隐私、能力与知识),竞争和斗争催生了“网信安全的科学”,即一门新的应用科学。另一方面,互联网的“工程”并不等同于“技术”,更不能取代“科学”。事实证明,没有“科学”和“技术”的“工程”,最终可能成为“沙滩上的童话”。正是由于互联网领域的“STEM”(科学、技术、工程、数学)在不同程度上存在“顾此失彼”(以及“舍本逐末”),因而导致我国互联网的整体发展方向以及路线有失偏颇。例如,有专家撰文称:“互联网协议第六版(IPv6)是互联网升级演进的必然趋势、网络技术创新的重要方向、网络强国的基础支撑。”其实,这仅仅是互联网中的一个协议版本,不能被“羽化成仙”。目前,互联网工程任务组(IETF)正在标准化一个新的互联网传输控制协议“QUIC”,基于“UDP”协议,又可以与“TCP”协议相媲美,被认为是具有颠覆性的创新。如果,“QUIC”协议在全球互联网中部署和应用,其作用和影响难以估计。此外,新的“分段路由”(SRv6)协议也在 IETF 的标准化进程中,不仅修改了“IPv6”协议,而且优化了“IPv6”应用的网络性能。“QUIC”和“SRv6”等新网络协议的涌现和推广应用,是“喜”还是“忧”?是进步还是倒退?这是不言自明的。“互联网协议”不是一个、一条、一项或一组“协议”,而是一个“族”(Suite),一个为实现、保障和维护通信网络与互联网络中数据交换而建立的标准或约定的集合族群,其中包含了数以千计的标准和草案、建议和参考的信息(统称“RFC”)。目前,“互联网协议”(包括所有“RFC”)都是由“互联网工程任务组”(IETF)发布,或可以认为,所有“互联网协议”的属性是“工程”,而实现协议标准的代码“协议栈”的属性是组合推动工程的“技术”。“互联网协议第六版(IPv6)”,仅仅是“互联网协议”(族)中网络层的一个协议,不能因为“命名”(IP)而误解为是代表整体的互联网协议,更应注意避免被人为地误导为“唯一公认的下一代互联网商用解决方案”。众所周知,“科学”的发展岂有“唯一”?!如果只是“唯一”,又哪里能有百花齐放的科学的春天?一般而言,互联网是“TCP/IP”架构,不仅是因为 TCP/UDP协议和 IP 协议是“互联网协议”的起源和核心,而且发布的时间最早,具有“原创性”、“权威性”及遗传的“基因”。在数字化的信息环境(暨“网信空间”),美国国家安全局(NSA)实施“安全的科学”(SOS)计划中的“五个难题”,不仅具有典型性和代表性,而且是当前乃至今后相当长时间内竞争和斗争的“支点”。应该深刻地认识和清醒地意识到,“网信安全是一门科学,而且是针对对手的一门科学。”因此,NSA 所提出的“五个难题”具有显著的背景、条件及先发优势。换言之,我们必须认真思考的是:除了这“五个难题”,是否还存在着历史遗留的、过程滋生的、需要直面的、令人生畏的、潜在威胁的其他关键性的已知和未知“难题”(或“沉疴”)!事实和现实不断地警醒我们,“努力实现关键核心技术自主可控”,是促进网信安全进步的必要措施,但不能忽视忽略信息环境(应用基础)的安全保障。例如,“利益”驱动的“商业化”模式所衍生的无差别的“隐式循环”(图2),导致对网络资源和数据资产似有管辖权却没有控制权——如何实现“自主可控”,又如何保障国家的“网络信息安全”和全局性国家安全?!
【图2 在数字化信息环境中的无差别“隐式循环”】
综上,“网信安全的科学”是一门新兴、重要的应用科学,尤其重在实践的“发现”(或证伪)与纠偏,即为避免对问题的误判误导以及对经验的盲目盲从。促进“网信安全的科学”不断进步(不进则退),不仅必须勇于直面“难题”,而且需要敢于向“难题”亮剑;实事求是,不尚空谈;尊重科学,尊重实践;尊重科学规律,尊重实践是检验真理的唯一标准。
(作者:邱实,网络信息安全技术专家;牟承晋,昆仑策研究院高级研究员、中国移动通信联合会国际战略研究中心主任。来源:昆仑策网【原创】修订稿,作者授权首发)
【昆仑策研究院】作为综合性战略研究和咨询服务机构,遵循国家宪法和法律,秉持对国家、对社会、对客户负责,讲真话、讲实话的信条,追崇研究价值的客观性、公正性,旨在聚贤才、集民智、析实情、献明策,为实现中华民族伟大复兴的“中国梦”而奋斗。欢迎您积极参与和投稿。
电子邮箱:[email protected]
更多文章请看《昆仑策网》,网址:
http://www.kunlunce.cn
http://www.kunlunce.net
特别申明:
1、本文只代表作者个人观点,不代表本站观点,仅供大家学习参考;
2、本站属于非营利性网站,如涉及版权和名誉问题,请及时与本站联系,我们将及时做相应处理;
3、欢迎各位网友光临阅览,文明上网,依法守规,IP可查。