南相浩 先生
在一次对付流氓软件的国际研讨会上,一位国际上著名的安全专家给出了这样的判断:今后10年内,不可能出现“银弹”。由此也引发了关于“银弹”的讨论,很多信息安全专家们纷纷发表了自己关于“银弹”的观点。随后的2005年,美国总统信息技术委员会提交给布什的一份报告,印证了这位安全专家的判断。在这份名为《网际安全——优先项目危机》的报告中,第一次明确提出建立可信系统的新概念,提出十大优先发展的科研项目,如认证技术、基础通信协议、软件安全工程、整体安全、网括与公众网相连接的专用网。 信息安全的服务手段主要是打补丁、堵漏洞等被动防护型安全,而网际安全则是为公众提供可信服务的主动管理型安全手段。 信息安全所有安全协议的出发点是基于人们的好意,总是从主体是可信的前提假设下推理(如BAN逻辑),证明客体的真实性,而网际安全的出发点则是“互相怀疑”(mutualsuspicious)为原则,要求首先证明主体的可信性(如可信逻辑),进而建立可信系统。 这里说的可信系统中的“可信”,英文中是使动词trusting,而不是被动词trusted,其含义很明确。美国总统信息技术顾问委员会的报告提出trusting系统可由可信的(trusted)或不可信(untrusted)部件构成。但“可信”在中文中就不好区分使动和被动,容易产生歧义,于是有些人把研究重点放在了系统自身的可信性上。系统本身的可信性固然很重要,但更为重要的是能否提供可信服务,其实提供可信服务是最终目的。 新一代信息安全的主要目标是构建可信系统,为公众提供可信服务。如果物理世界和虚拟世界的主要活动都是可信的,那么这个社会才能稳定、才能诚信、才能和谐。不然到处是欺骗、冒充、假货泛滥,没有诚信可言,那么社会公众是不会满意的,进而会引发社会的不稳定现象。所以,美国总统信息技术顾问委员会的报告,正式提出可信系统以“互相怀疑”为原则,是符合“和平和发展是主流”这个时代特点的。 CIOI:你为什么认为信息安全已经过时,将会被网际安全这个全新的发展方向所取代呢? 南相浩:我们都认同这样一个趋势,信息发展的目标是开放的,互联网也是越来越开放的一个平台。尽管以前是点对点的通信,但现在的计算机网所有的终端都是开放的,开放是发展的主流。但是,信息安全所坚持的自主防御的结果会产生什么现象呢?信息孤岛!本应该开放的互联网被防火墙、防病毒软件等等搞成了一个个封闭的“小团体”,这完全违背了计算机网络开放的目标,是一种倒退,自然也就跟不上发展的潮流。 信息安全讲究的是对抗,但是计算机网络发展到今天,已经不再提对抗了。过去讲网络对抗的敌人是谁,谁都不知道,现在已经明确了,敌人就是流氓软件。但是,这已经不是国与国的关系了,大家需要合作共同来抵御,这就不能依靠对抗了,要求我们必须回到技术上,用技术的手段去解决这个共同的敌人。 CIOI:对安全的这种重新定义,是否意味着在未来,计算机安全领域现有的这些产品都将被淘汰,甚至导致安全厂商的重新洗牌? 南相浩:在《网际安全——优先项目危机》这份报告中,已经对已有的安全产品给予了全面否定,这是一个不得不面对的发展方向。 CIOI:但是,从国际上主流安全厂商所倡导的安全理念和技术来看,几乎看不到安全将向网际安全的方向发展,是因为他们还没有意识到这种变化吗? 南相浩:并不能说他们没有意识到这种变化,但这里面更多的是商业利益的问题。如果他们承认网际安全这个新趋势,那么现有的这么多产品该怎么办?这也可以解释网际安全的概念出来之后,为什么会不断受到各方面的抵制,因为会涉及到多方面的利害关系。当然,也有一些明智的安全厂商正在往网际安全的方向转。顺应发展潮流的新东西的生命力是很强的,也是不可逆转的。 CIOI:制约网际安全被接受还有一个重要的原因,就是技术实现路线的模糊。美国人提出了“网际安全”,同时也声称没有“银弹”,而你是怎么找到这个“银弹”,最终让网际安全从理论成为现实的呢? 南相浩:网际安全,以主动管理为特征,最核心的要求是建立可信系统。在前面提到的《网际安全——优先项目危机》的报告中,提出以建立可信系统为目标的十大优先发展任务,如鉴别技术、基础通信协议、软件安全工程、整体安全和网上犯罪学等。将鉴别技术作为头等任务列出来,说明美国人已经认识到鉴别技术的重要性,同时也说明鉴别技术还没有得到解决。所以他们才会做出“可信系统很复杂,没有银弹”这样的判断。 为了弄清这个“银弹”,首先需要研究一下标识及标识的性质。任何实体都有自己的标识,如人有人名,用户有用户名,设备有设备名(编号或序列号),数据有数据名,软件(进程)有软件(进程)名等等。同一个用户,在邮件通信时以邮件地址作为自己的标识,在打电话时以手机号作为自己的标识,在存取款时以银行账号作为自己的标识等等。实体标识可分为用户标识、通信标签标识、软件标签标识、地址标识、号码标识、账号标识、印章标识等。 标识具有惟一性和独立性,每一个标识区别于另一个标识。因此,当实体基于标识分类的时候,在不同分类之间仍然保持独立性。例如地址类标识和电话号码类标识之间,互为独立、互不渗透。标识之间的独立性和基于标识分类的各类不同实体之间的独立性,为整体安全提供了简捷的安全模型。
