【按語】這是一份學習筆記。可供網信界教學、科研、從業人員參考,亦可幫助相關行政管理人員學習專業知識、提高專業水平。
網信安全的科學”是一門新興、重要、網信領域不可或缺的應用科學,尤其重在實踐的“發現”(或證偽)與糾偏,即為避免對問題的誤判誤導以及對經驗的盲目盲從,探索與研究理論和實踐的科學規律。促進“網信安全的科學”不斷進步(不進則退),不僅必須勇于直面“難題”,而且需要敢于向“難題”亮劍,在攻堅克難中鍛煉和培養意志,發揮和豐富智慧。
科學,是反映自然、社會、思維等客觀規律的分科,是建立在可重復檢驗的解釋和認識,以及對客觀事物的形式、組織等進行邏輯歸納預測的有序知識體系,是系統化和公式化的知識。2021年6月,美國國防部制定“STEM”戰略的五年計劃, 該戰略計劃旨在:“通過提供一系列持續機會,以激勵、培養和發展 ‘STEM’學科研究和應用的杰出人才,充實未來的國防部專業人員隊伍,應對不斷變化的國防技術性挑戰。”“STEM”,是科學(Science)、技術(Technology)、工程(Engineering)、數學(Mathematics)四門學科英文單詞首字母的縮略詞;其中,科學在于認識世界、解釋自然界的客觀規律;技術和工程是在尊重歷史現實和自然規律的基礎上,解決社會發展過程中遇到的難題;數學則是作為技術與工程的基礎性工具。一方面,科學、技術、工程、數學(STEM),代表了不同的基礎和素養,使得綜合人才隊伍形成國家競爭力的核心。另一方面,網信安全領域斗爭和競爭的現實證明,沒有整體的知識體系,就不可能科學地解決網信安全(Cybersecurity,下同) 所涉及的方方面面問題。應運而生的“網信安全的科學”(Science of Cyberecurity),被界定為是一項持續發展的長期研究工作。為了促進網信安全科學的基礎發展,美國國家安全局(NSA)于2014年7月啟動“安全的科學”(簡稱“SOS”)計劃,持續至今,得到科研界和產業界的廣泛響應。NSA認為:SOS計劃對于提升網信安全專業的成熟度以及加固網信攻防(Cyber Offensive and Defensive)的優勢不可或缺;在目前階段應“以實踐為引導,尋求探索的方法、創建合理的要素,以支持 SOS”。
一、NSA“安全的科學”計劃目前狀況概述
4月5日,美國國家安全局(NSA)發布2022年“安全的科學年度報告”。其中提出并定義了“安全的科學”(以及“隱私措施”)的“五個難題”(Hard Problems):這“五個難題”并不是要涵蓋網信安全研究的所有挑戰,而是需要促進科學進步的五個具體領域,并作為是合作群體建立具有挑戰性和批判性研究目標的一種手段,且是建立共同語言的開端,以及評估研究進展的一種方式。這“五個難題”之所以被選定,是因為它們對技術挑戰程度具有潛在的現實意義,以及有助于加強科學研究方法和提高測量能力。這“五個難題”的挑戰性難以估量,最令人生畏的要素包括:——數據的生成是科學進步的必要條件,但不是充分條件;對這“五個難題”的解決方案可能具有漸進性特征,其中的每一步驟都有可能相應地增加對任務的影響,而令人滿意的步驟將趨于整體解決方案,但即便是綜合的整體解決方案,仍然可能具有挑戰性。NSA及其合作單位提出“安全的科學”五個難題的表述如下:【難題-1】彈性結構(Resilient Architectures):——包括系統靜態地抵御攻擊的能力,系統在攻擊中繼續提供基本服務的能力,以及在受到攻擊后系統恢復完整功能的速度。——“難題”的重點在于設計、分析和構建各種系統,以能夠:⑴抵御攻擊;⑵在受到攻擊時繼續提供基本服務(但可能會降低服務的水準);⑶在攻擊之后快速地恢復全部功能。——研究目標是研發系統架構設計和分析的方法,以在面對受損組件時提供所需支援。【難題-2】可擴展性與可組合性( Scalability and Composability):——涉及大規模安全系統的研發和分析,以及如何通過改進組件的安全性以提高系統安全性的研究。——“難題”的重點是以可擴展的方式,研發軟件系統的推理方法(reasoning approaches)。——實現可擴展性的方法是通過可組合性,即“推理方法”, 利用每次分析一個組件安全屬性的結果,推理整個系統的屬性。——研究目標是利用具有已知安全屬性的組件,構建系統以及系統級安全屬性的推理方法,不必完全重新分析系統組成的組件。【難題-3】政策主導的穩固協同(Policy-Governed Secure Collaboration):——旨在研發科學的基礎方法,表達和實施規范性要求和政策,并處理具有不同常規需求的數據,以及不同權限范圍的用戶之間的數據。——“難題”是關于科學的發展,被作為表達和執行信息處理與隱私保護的規范性要求,以及政策、方法及其基礎。——政策方面的主要挑戰是:⑴解決信息的不同用途以及對用途的不同期望;⑵涉及跨權限和跨領域的對接。——研究目標是開發一種社會性技術系統架構,該架構可以形成網信安全的社會和技術要素之間的相互作用,包括對規范和政策的表達與推理,實現既定需求的計算協助及預測其復雜性。【難題-4】安全指標與模型(Security Metrics and Models):——解決與網信安全相關屬性的測量,并量化一些系統具備這些屬性的程度。——“難題”涉及有效測量技術,以量化給定系統滿足一組特定安全屬性的程度。——挑戰包括為已知的環境確定適當的測量指標,執行測量, 分析測量并根據描述性模型分析和解釋,了解伴隨測量及其分析的不確定性程度。——研究目標是對安全測量指標和模型的研發,以能夠預測或確認一個給定網信系統在已知環境中是否(確定性或概率性地)維護預設的一組安全屬性。【難題-5】人的行為(Human Behavior):——解決如何處理網信安全中人類行為者的不可預測性和復雜性。——這些參與者包括惡意攻擊者、系統用戶以及軟件和系統的開發人員。——研究目標是對人類行為的模型研發,以便對具有特殊安全屬性的系統進行設計、建模和分析。目前,NSA 的研究實驗室與一些大學和研究機構的合作,對“五個難題”的研究已取得一些(公開的)階段性成果。
二、美國國防部為促進“網信安全的科學”調研概述
“JASON”是一個由美國精英科學家組成的獨立團體組織, 成立于1960年,擁有30至60名成員;主要為美國軍方和政府部門提供科學技術方面(主要是具有敏感性質)的建議。盡管“JASON”的大部分研究都以軍事為重點,但是“JASON”也對全球變暖和酸雨的科學進行了早期研究。當前未涉密的研究包括健康信息學、可再生能源和網信戰(Cyber Warfare)。2010年11月19日,“JASON”向美國國防部提交了一份主題是“網信安全的科學”(Science of Cybersecurity)專題項目研究報告。其中的結論和建議包括:▲ 網信安全是一門科學。因為網信安全是針對對手的一門科學, 所以會使用并將繼續使用許多不同的手段和方法。對于可以預見的未來,網信安全既是對已有(舊的)技術的新攻擊,也是對新的技術規范安全防護。▲ 缺失“網信安全的科學”,不僅表現在公布的實驗結果方面,而且體現在運用科學的能力方面。目前,對于公布的實驗(或經驗)研究學習的成果,研究單位和機構,似乎沒有研發出一種被普遍接受的方式,以使人們可以復現或復用類似的實驗(或經驗)工作并有效利用研學結果。▲ 盡管人們普遍認為,滿足網信安全的需求尚需要做更多的工作,但是卻沒有任何人已經具備足夠的知識,而所能做的僅僅是應用當前已有的知識。網信安全是可以管理的一個問題,而存在的問題不僅沒有得到解決,而且沒有得到有效的管理。▲ 由國防部資助的研究中心和項目具有幾個引人注目的特點:一是,國防部能夠接觸到最好的想法和人才。保持非正規的人才和思維關系在科學研究領域尤為重要,因為知識狀況和實際情況都在迅速變化。二是,國防部的相關部門可以將工作中心側重于常見問題的變化和解決。三是,被資助的研究中心和項目有機會利用國防部內的獨特資源集合。其中包括,在網戰司令部的支持下獲取來自內部網絡的安全防御數據和經驗,與國家安全局(NSA)的信息安全保障計劃相輔相成。雖然國防部高級研究計劃局(DARPA)也有特定的短期項目,但是這些得到資助的研究中心與 DARPA 項目之間的區別在于,前者(即研究中心)將有望在廣泛的主題上取得穩步進展,而不是被局限于革命性的想法或試圖解決最新的網信安全危機。▲ 此外,這些得到資助的研究中心中心可以作為與軟件行業的連接點,以加速將新想法(甚至舊想法)轉化為技術開發人員可以機械式應用的有用工具。▲ 因此,需要一個協調一致的計劃,以使研究領域的成果得到更廣泛的應用。然而,歷史和現實并不令人樂觀。有一些非常復雜的方法(如模型測評、類型測評等)可用于評估和推理當前一些系統的安全性,但是至今并沒有以開發人員工具的形式得到廣泛運用。由民營企業開發這類工具可能沒有足夠大的應用市場,這就要求國防部在支持未來發展方面發揮更為積極的作用。
三、美國國防部關于“網信安全的科學”問題的概述
上述“JASON”關于“網信安全的科學”研究報告,對美國國防部所提出的一些典型問題(以下簡稱“問題”)作出了回答:【問題-1】網信安全的研究機構應采用哪些科學理論、實驗以及實踐要素,以利于在該領域取得重大進展?這將如何使受眾群體從中受益?是否存在網信安全研究機構和人員應該采納的科學的哲學基礎?【回答-1】最重要的性質是,構建一組基本概念以及一種共同語言,使得在網信安全領域,可以就這些概念達成共識;由于網信安全是針對對手的科學,目標對手會隨著時間而改變,而共同語言和規范化的實驗協議將有助于對假設的測評以及對概念的驗證;如果就研究的進展達成共識以及對最有希望的未來方向形成更為具體的概念,就可以從網信安全領域中受益;同時,科學的研發必須與“現實環境”(in the wild)的實踐相關聯,這與醫學研究從動物模型試驗發展到可能的臨床試驗的過程相同。【問題-2】網信空間(Cyberspace)中是否有“自然規律”(Law of Nature)可以構成網信安全領域的科學探究基礎?是否應該考慮數學抽象或理論構造?【回答-2】不同于物理、化學或生物學,網信安全沒有內在的“自然規律”;本質上,網信安全是一門應用科學,以計算機科學的數學結構為基礎,例如:自動機理論、復雜性理論和數理邏輯。【問題-3】是否有可重復使用的測量指標,用以衡量系統、網絡和任務的網信安全狀態?測量理論或實踐是否可以被擴展,以提高網信安全能力的量化程度?【回答-3】有許多指標可以被作為是成果而加以利用,例如:為當前入侵檢測系統所提供的那些信息指標。但必須理解,任何這類指標都是基于經驗的,本質上是統計性的;因而,這些指標不能被應用于尚未明確定義的場景。尤其是,對于還沒有觀察到(或未知)的事物(如新的攻擊方法),這類指標不會產生作用和影響。由于可重復性的測量指標僅適用于信息系統的一般性操作,所以不應該被用于衡量安全等級。測量指標的可重復性取決于在業內實施的協議標準以及對這些標準的遵守。然而,在目前公開的網信安全結果中,可重復性測量指標并不是核心的評判準則。【問題-4】應該如何規劃網信安全研究的科學基礎?在傳統領域中的實驗和理論探究在網信安全中是否有效?是否有分析方法和方法論可以提供幫助?它們是什么?【回答-4】完全有理由相信,在傳統領域中的實驗和理論探究適用于網信安全研究。建立研究方案以實現可重復性實驗,應被作為是最高優先級。為此,研究方案應對初始條件、所應對的安全威脅類型以及對實現安全目標的明確含義,提供清晰的描述。【問題-5】傳統的科學領域和方法,如復雜性理論、物理學、動力系統理論、網絡拓撲、形式方法、數學、社會科學等,是否可以促進網信安全的科學?【回答-5】有幾個傳統的領域是計算機科學的一部分,過去這些科學領域有助于加深對網信安全的理解,未來對這些科學領域的重視將會使網信安全得到持續改進。——模型檢測領域似乎與網信安全特別相關,因為是對給定系統或關鍵內核所創建的一個安全性模型,然后使用一組明確定義的可能數據輸入來測試模型的假設。雖然模型檢測的輸入空間可能是無窮大,但好處是可以對特定的威脅進行建模與測評。——密碼學領域在傳統上專注于通信的可證明安全性,并密切關注假設(或設置)的性質。——代碼模糊和形態理論的應用也為構建安全代碼提供了重要的依據。——對于國防部來說,利用保密作為網信安全防御的一個因素也極具價值。其中一些案例包括使用如上所述的代碼模糊、開發專用于國防部的安全產品,以及常態收集和保護尚未被公開共享的網信攻擊數據。【問題-6】建模和仿真方法如何有助于網信安全的科學?【回答-6】建模和仿真可以通過多種方式發揮作用。其中,一種是運用現有的計算能力以不斷測評在被測系統上運行的安全假設(或設置);另一種是利用虛擬機等概念,提供定義明確的測試平臺,以可控的方式探索計算行為以及安全系統受到確定性攻擊時的行為。【問題-7】在小型封閉和受控條件下的網信實驗,其可重復性是可能的,但能否在整個互聯網上擴大規模以產生可重復的結果?能否支持國防部以及情報機關(IC)的互聯網子集?【回答-7】現在提出這個問題還為時過早,因為之前的小規模實驗結果很少是有組織的。由于其中許多實驗不是以可重復性為目標,因此在考慮將重復性實驗擴大到受控的廣域網或整個互聯網之前,重要的是首先評估這些小規模測試平臺的效用。【問題-8】為了發展和培育科學探究以形成網信安全的科學,建議采取哪些步驟?建立網信安全的科學群體(社區)需要什么?【回答-8】建立連接學術界、工業界、國家實驗室和國防部的跨學科中心,將是朝著(網信安全的科學)方向邁出的重要一步。這些跨學科中心應專注于與國防部需求特別相關的網信安全問題,但也應利用具有重要作用的其他部門的活動,如 DARPA 和 NSA 內的信息保障工作。對于網信安全的科學的所有參與者,必須制定具有共識和學習筆記共同遵守的群體(社區)協議,以便于探究結果的交流和歸檔。【問題-9】是否有理由相信上述的目標幾乎是無法實現的,如果確實如此,為什么?【回答-9】對于實現上述目標,完全有理由期待取得重大進展。首先,必須了解網信安全的科學事業的本質,并區分和描述所針對目標的特點。如果能夠制定一種公認的話語方式,就可以完成大量有價值的科學研究。其次,雖然這些科學研究主要是技術性的活動,并不能“解決”既有技術方面也有社會方面的網信安全問題,但是卻將大大地促進網信安全的進步。
美國國防部提出的這些問題,經過“JASON”等的探究與分析,已得到自上而下的廣泛共識,以至于國家安全局(NSA,暨美軍網戰司令部)于 2014 年 7 月啟動“安全的科學”計劃,持續至今。1)NSA“安全的科學”計劃中的“五個難題”,依據對其定義和定位以及描述,可以分類歸納為在三個層次上的“難題”(圖 1):
【圖1 NSA“安全的科學”(SOS)計劃中的五個難題及其分類歸納】
顯然,這“五個難題”所分布的三個層次,構成了信息環境(即“網信空間”)。因此,即使術語“Cyberspace”(和“Cybersecurity”)仍然被稱為是“網絡空間”(和“網絡安全”),也必須清晰和明確地定義與定位:目標的發現、問題的解決,以及技術的創新與應用的場景。反之,難以避免“刻舟求劍”或“濫竽充數”的狀態和狀況。2)“安全的科學”發展沒有唯一的路徑,而是匯聚許多概念和原則的一種“識變、應變、求變”意識和理念,其中的一些概念和原則已成為不斷發展和結構化的一個知識體系,并將成為理論。因此,網信安全科學理論需要與科學實踐的歷史與沿革、經驗和教訓相結合。尤其是,“數據的生成是科學進步的必要條件,但不是充分條件。”3)不同于自然科學(如物理、化學或生物學等),“網信空間”(和互聯網絡)是人造的,而不存在“自然規律”,且“統計特性”往往不可復現或復用。因而,“網信安全的科學”是不斷地檢測假設、評估實驗、發現未知、積累知識——即是科學進步的充分條件。
互聯網(Internet,下同),從上世紀八十年代誕生,其本質是面向應用的工程與技術;到今天成為“復雜的社會巨系統”,不僅承載了人類文化的變遷,而且被強加了利益化、政治化和武器化的屬性。一方面,數據作為戰略資產(包括國家安全與個人隱私、能力與知識),競爭和斗爭催生了“網信安全的科學”,即一門新的應用科學。另一方面,互聯網的“工程”并不等同于“技術”,更不能取代“科學”。事實證明,沒有“科學”和“技術”的“工程”,最終可能成為“沙灘上的童話”。正是由于互聯網領域的“STEM”(科學、技術、工程、數學)在不同程度上存在“顧此失彼”(以及“舍本逐末”),因而導致我國互聯網的整體發展方向以及路線有失偏頗。例如,有專家撰文稱:“互聯網協議第六版(IPv6)是互聯網升級演進的必然趨勢、網絡技術創新的重要方向、網絡強國的基礎支撐。”其實,這僅僅是互聯網中的一個協議版本,不能被“羽化成仙”。目前,互聯網工程任務組(IETF)正在標準化一個新的互聯網傳輸控制協議“QUIC”,基于“UDP”協議,又可以與“TCP”協議相媲美,被認為是具有顛覆性的創新。如果,“QUIC”協議在全球互聯網中部署和應用,其作用和影響難以估計。此外,新的“分段路由”(SRv6)協議也在 IETF 的標準化進程中,不僅修改了“IPv6”協議,而且優化了“IPv6”應用的網絡性能。“QUIC”和“SRv6”等新網絡協議的涌現和推廣應用,是“喜”還是“憂”?是進步還是倒退?這是不言自明的。“互聯網協議”不是一個、一條、一項或一組“協議”,而是一個“族”(Suite),一個為實現、保障和維護通信網絡與互聯網絡中數據交換而建立的標準或約定的集合族群,其中包含了數以千計的標準和草案、建議和參考的信息(統稱“RFC”)。目前,“互聯網協議”(包括所有“RFC”)都是由“互聯網工程任務組”(IETF)發布,或可以認為,所有“互聯網協議”的屬性是“工程”,而實現協議標準的代碼“協議棧”的屬性是組合推動工程的“技術”。“互聯網協議第六版(IPv6)”,僅僅是“互聯網協議”(族)中網絡層的一個協議,不能因為“命名”(IP)而誤解為是代表整體的互聯網協議,更應注意避免被人為地誤導為“唯一公認的下一代互聯網商用解決方案”。眾所周知,“科學”的發展豈有“唯一”?!如果只是“唯一”,又哪里能有百花齊放的科學的春天?一般而言,互聯網是“TCP/IP”架構,不僅是因為 TCP/UDP協議和 IP 協議是“互聯網協議”的起源和核心,而且發布的時間最早,具有“原創性”、“權威性”及遺傳的“基因”。在數字化的信息環境(暨“網信空間”),美國國家安全局(NSA)實施“安全的科學”(SOS)計劃中的“五個難題”,不僅具有典型性和代表性,而且是當前乃至今后相當長時間內競爭和斗爭的“支點”。應該深刻地認識和清醒地意識到,“網信安全是一門科學,而且是針對對手的一門科學。”因此,NSA 所提出的“五個難題”具有顯著的背景、條件及先發優勢。換言之,我們必須認真思考的是:除了這“五個難題”,是否還存在著歷史遺留的、過程滋生的、需要直面的、令人生畏的、潛在威脅的其他關鍵性的已知和未知“難題”(或“沉疴”)!事實和現實不斷地警醒我們,“努力實現關鍵核心技術自主可控”,是促進網信安全進步的必要措施,但不能忽視忽略信息環境(應用基礎)的安全保障。例如,“利益”驅動的“商業化”模式所衍生的無差別的“隱式循環”(圖2),導致對網絡資源和數據資產似有管轄權卻沒有控制權——如何實現“自主可控”,又如何保障國家的“網絡信息安全”和全局性國家安全?!
【圖2 在數字化信息環境中的無差別“隱式循環”】
綜上,“網信安全的科學”是一門新興、重要的應用科學,尤其重在實踐的“發現”(或證偽)與糾偏,即為避免對問題的誤判誤導以及對經驗的盲目盲從。促進“網信安全的科學”不斷進步(不進則退),不僅必須勇于直面“難題”,而且需要敢于向“難題”亮劍;實事求是,不尚空談;尊重科學,尊重實踐;尊重科學規律,尊重實踐是檢驗真理的唯一標準。
(作者:邱實,網絡信息安全技術專家;牟承晉,昆侖策研究院高級研究員、中國移動通信聯合會國際戰略研究中心主任。來源:昆侖策網【原創】修訂稿,作者授權首發)
【昆侖策研究院】作為綜合性戰略研究和咨詢服務機構,遵循國家憲法和法律,秉持對國家、對社會、對客戶負責,講真話、講實話的信條,追崇研究價值的客觀性、公正性,旨在聚賢才、集民智、析實情、獻明策,為實現中華民族偉大復興的“中國夢”而奮斗。歡迎您積極參與和投稿。
電子郵箱:gy121302@163.com
更多文章請看《昆侖策網》,網址:
http://www.kunlunce.cn
http://www.jqdstudio.net
特別申明:
1、本文只代表作者個人觀點,不代表本站觀點,僅供大家學習參考;
2、本站屬于非營利性網站,如涉及版權和名譽問題,請及時與本站聯系,我們將及時做相應處理;
3、歡迎各位網友光臨閱覽,文明上網,依法守規,IP可查。
