弗雷德·科恩：科學(xué)地構(gòu)建全球信息標(biāo)準(zhǔn)

弗雷德·科恩：科學(xué)地構(gòu)建全球信息標(biāo)準(zhǔn)

人們需要一種源自于政府、企業(yè)、專家等各方力量的保護(hù)，信息安全防護(hù)技術(shù)還并不是一門確定性的科學(xué)，它是理性頭腦下的藝術(shù)，像煉金術(shù)一樣，需要通過(guò)不斷的實(shí)踐調(diào)整。

在過(guò)去的70年間，信息世界發(fā)生了很大的改變，計(jì)算機(jī)逐漸成為我們生活中不可或缺的組成部分。但實(shí)際，信息安全的科學(xué)理論自上世紀(jì)80年代以來(lái)， 就一直沒(méi)有新的重大發(fā)展。

人們需要一種源自于政府、企業(yè)、專家等各方力量的保護(hù)，信息安全防護(hù)技術(shù)還并不是一門確定性的科學(xué)，它是理性頭腦下的藝術(shù)，像煉金術(shù)一樣，需要通過(guò)不斷的實(shí)踐調(diào)整。信息安全技術(shù)迫切需要重大的革新，這是一個(gè)世界性的課題。重新構(gòu)筑一套完整的理論體系可能需要很長(zhǎng)的時(shí)間，而制定合理的實(shí)踐標(biāo)準(zhǔn)（ Standard of Practice ，SoP）卻是可行的，而且很多實(shí)踐標(biāo)準(zhǔn)實(shí)際上正在被廣泛地使用。

實(shí)踐標(biāo)準(zhǔn)可以推動(dòng)理論體系的發(fā)展，而理論體系又可以指導(dǎo)實(shí)踐標(biāo)準(zhǔn)的改進(jìn)。本次演講將主要對(duì)實(shí)踐標(biāo)準(zhǔn)與理論體系之間的互動(dòng)過(guò)程進(jìn)行深入的闡述和分析，這一過(guò)程也需要我們共同的參與和努力。

計(jì)算機(jī)病毒之父 弗雷德·科恩

信息保護(hù)是一門藝術(shù)

如今“計(jì)算機(jī)安全”已經(jīng)成為一種有價(jià)值的商業(yè)活動(dòng)。賺錢一直是商業(yè)的主要目的。但是我們要考慮，如果廠商把安全服務(wù)做得太好，讓客戶感覺不到威脅的存在，客戶也就不再需要安全服務(wù)；但反之，如果廠商把安全服務(wù)做得不好，那么客戶為什么還要花錢去購(gòu)買它呢？我們?cè)撛鯓酉蛳M(fèi)者推銷安全軟件？這里有三個(gè)問(wèn)題：恐懼、不確定性和懷疑，即FUD。

“F”恐懼就是壞事即將發(fā)生，或者它已經(jīng)在別人身上發(fā)生了；“U”不確定性 ，如何知道自己是安全的，誰(shuí)是你的守護(hù)者；“D”懷疑，不僅你本身存在這個(gè)問(wèn)題，即便是NSA（美國(guó)國(guó)家安全局）也不能保住你的秘密。比如我們購(gòu)買每個(gè)產(chǎn)品，有的商家會(huì)這樣宣傳：快來(lái)使用我們的產(chǎn)品吧，絕對(duì)保障你的安全，NSA都已經(jīng)在使用我們的產(chǎn)品了。但是現(xiàn)實(shí)是我們?cè)陔娔X安全方面還存在很多不確定性。所以，可以看到，F(xiàn)UD是人們普遍面臨的一個(gè)問(wèn)題，也是我們現(xiàn)實(shí)面臨的問(wèn)題。

無(wú)知并不等于幸福。政府更傾向于攻擊而不是防御，政府機(jī)構(gòu)往往把更多的精力用于研究如何入侵并獲取情報(bào)，他們認(rèn)為最好的防御就是進(jìn)攻，包括對(duì)情報(bào)的需求超過(guò)了對(duì)安全操作的需求。這樣就造成對(duì)于自身網(wǎng)絡(luò)系統(tǒng)的安全防護(hù)明顯投入不足。但恰恰在此同時(shí)，支撐政府工作的各種公共基礎(chǔ)設(shè)施已經(jīng)開始越來(lái)越多地接入網(wǎng)絡(luò)，比如水、食品、燃料、 電力等系統(tǒng)，并且非常依賴于網(wǎng)絡(luò)所提供的信息支持。

有關(guān)安全防護(hù)的一些經(jīng)驗(yàn)法則，比如應(yīng)該定期更改密碼，安全防護(hù)措施越多，安全防護(hù)效果就會(huì)好等等。但是，絕大多數(shù)的經(jīng)驗(yàn)法則并沒(méi)有多少理論依據(jù)，定期更改密碼實(shí)際上是二戰(zhàn)時(shí)期使用的安全策略，而安全措施越多越好的概念則完全是一種主觀認(rèn)識(shí)，沒(méi)有任何客觀依據(jù)。同時(shí)，絕大多數(shù)的安全概念也并非來(lái)自于理論基礎(chǔ)，比如概率風(fēng)險(xiǎn)評(píng)估（PRA）在安全領(lǐng)域很少被使用。我們認(rèn)為信息保護(hù)更多的是一種科學(xué)的方式，而現(xiàn)實(shí)是我們需要更多的測(cè)試，絕大多數(shù)的安全概念并不是理論，而是實(shí)踐中有沒(méi)有更好的發(fā)揮作用的方法。很好的一個(gè)例子就是科學(xué)法則并沒(méi)有真正的奏效。

為什么要這樣做呢？我們應(yīng)該考慮合理性的決策。但是應(yīng)該如何選擇，怎樣進(jìn)行決策，選擇什么樣的因素用于決策才是明智的？選擇項(xiàng)是不是有限呢？又為什么選定這些條件因素，或者在什么場(chǎng)景下做出選擇？這些都是合理性決策需要考慮的因素。這也是我們基本的運(yùn)營(yíng)方式。

那么，怎樣決策才是科學(xué)的？現(xiàn)實(shí)情況是目前還沒(méi)有完全科學(xué)的決策，但將來(lái)很有可能會(huì)有。比如，我們有很多組織擁有成熟的模型，可以有助于減少錯(cuò)誤和遺漏。同時(shí)，保密性是我們的目的，透明度是我們進(jìn)行決策設(shè)計(jì)時(shí)的一個(gè)重要測(cè)量因子，所以需要進(jìn)行更加科學(xué)和多元的研究，來(lái)修正系統(tǒng)防護(hù)中的錯(cuò)誤和遺漏的盲點(diǎn)。

如何進(jìn)行科學(xué)研究來(lái)明確這些方面呢？這就是我們現(xiàn)在面臨的問(wèn)題。目前所謂標(biāo)準(zhǔn)化的決策過(guò)程并不是真正完美的，你可以直接下載一些標(biāo)準(zhǔn)化的流程進(jìn)行隱私保護(hù)，也可以直接閱讀和使用它的操作方法，但這并不是所謂的真正標(biāo)準(zhǔn)或者萬(wàn)無(wú)一失措施。在安全體系也是如此，有了防火墻并不能解決一切襲擊問(wèn)題。所以要做的就是要找到這個(gè)病毒的基本數(shù)據(jù)庫(kù)，然后發(fā)現(xiàn)問(wèn)題，基于現(xiàn)在的問(wèn)題使用同樣的一種機(jī)器語(yǔ)言來(lái)解決這些問(wèn)題，要找到的答案必須是合理的，我們必須要有專家來(lái)做出決策。所以，要更加系統(tǒng)化地來(lái)操作這樣的流程。

現(xiàn)在談?wù)剬?shí)踐標(biāo)準(zhǔn)SoP。我們可以運(yùn)用實(shí)踐標(biāo)準(zhǔn)幫助專家進(jìn)行分析， 通過(guò)提出一系列合理全面的問(wèn)題 ，將這些問(wèn)題用特定邏輯語(yǔ)言進(jìn)行標(biāo)準(zhǔn)化描述，再用預(yù)先定義的決策邏輯進(jìn)行決策，同時(shí)在基準(zhǔn)情況下允許存在一定的偏差。當(dāng)實(shí)踐標(biāo)準(zhǔn)有效時(shí)，我們就開始使用；當(dāng)實(shí)踐標(biāo)準(zhǔn)無(wú)效時(shí)，我們會(huì)適時(shí)調(diào)整與更新。

理論體系的構(gòu)筑

理論體系的構(gòu)筑實(shí)際包括三個(gè)環(huán)節(jié)，即理論、實(shí)驗(yàn)、反饋三個(gè)階段。

如今，在信息保護(hù)領(lǐng)域并不存在成熟的理論，但也有一些例外，如在四十年代時(shí)就存在的一些信息流控制元素、密碼學(xué)元素以及病毒和惡意軟件元素等。但所有這些元素的作用都很有限，密碼學(xué)理論在很大程度上忽略了現(xiàn)實(shí)狀況，而信息流控制的方法幾乎沒(méi)有被使用，病毒和惡意軟件理論在很大程度上只是規(guī)定了哪些事情不可以做。所以還有很多問(wèn)題需要研究，比如流程控制中需要更多的信息才能更好地控制運(yùn)作流程，而SoP恰好為我們的探索實(shí)踐提供了出發(fā)點(diǎn)。

網(wǎng)絡(luò)安全的科學(xué)包含因果、測(cè)試、驗(yàn)錯(cuò)、調(diào)整四個(gè)環(huán)節(jié)。科學(xué)的一個(gè)機(jī)制實(shí)際上就是因果，通過(guò)一定的機(jī)制施加影響，這是后續(xù)進(jìn)行的基礎(chǔ)。科學(xué)理論需要進(jìn)行實(shí)驗(yàn)的驗(yàn)證，實(shí)驗(yàn)?zāi)軌蜃C明一個(gè)理論是否正確，但對(duì)于普遍規(guī)律，實(shí)驗(yàn)并不能證明理論的正確性。當(dāng)一個(gè)理論被推翻時(shí)，我們就會(huì)對(duì)理論做出調(diào)整。比如地平論即是一項(xiàng)科學(xué)理論，四五百年前人們認(rèn)為地球是平的，但麥哲倫的環(huán)球旅行證明了該理論是錯(cuò)誤的。

以拒絕服務(wù)DoS為例，如何去解決拒絕服務(wù)的問(wèn)題呢？據(jù)我所知，韋伯斯特大學(xué)在此方面有一些研究，在這所大學(xué)的實(shí)驗(yàn)室可以實(shí)現(xiàn)這種拒絕服務(wù)，幫助我們完成科學(xué)實(shí)驗(yàn)。拒絕服務(wù)的出現(xiàn)是由網(wǎng)絡(luò)資源消耗殆盡最后導(dǎo)致合法的用戶請(qǐng)求無(wú)法通過(guò)造成的，這其實(shí)就是一條理論，但我們必須對(duì)該理論進(jìn)行科學(xué)的驗(yàn)證。

在驗(yàn)證過(guò)程中，通過(guò)將一些資源隔離出來(lái)，比如CPU空間、磁盤空間、內(nèi)存空間、進(jìn)程中條目、連入端口、網(wǎng)絡(luò)帶寬等。通過(guò)隔離一種特定的資源，并給資源設(shè)定一個(gè)上限，利用大規(guī)模的消耗資源來(lái)衡量系統(tǒng)性能；同時(shí)不斷增加對(duì)資源的消耗，并實(shí)時(shí)評(píng)估系統(tǒng)性能。當(dāng)有限資源消耗到臨界值，超過(guò)拐點(diǎn)便會(huì)出現(xiàn)拒接服務(wù)。這樣就確認(rèn)了該理論的正確性。

在實(shí)驗(yàn)中，我們需要了解被度量的這些實(shí)驗(yàn)現(xiàn)象得到正確響應(yīng)所花費(fèi)的時(shí)間，實(shí)驗(yàn)的結(jié)果是必須要知道如何測(cè)量實(shí)驗(yàn)結(jié)果。可以通過(guò)幾臺(tái)計(jì)算機(jī)持續(xù)進(jìn)行拒絕服務(wù)的測(cè)試，直到服務(wù)被拒絕，然后我們就會(huì)提出一個(gè)問(wèn)題，究竟實(shí)驗(yàn)和理論是否一致，我們希望能夠進(jìn)行科學(xué)的測(cè)量。

科學(xué)的實(shí)驗(yàn)不能只進(jìn)行參數(shù)的實(shí)驗(yàn)，還需要反饋。當(dāng)?shù)玫綄?shí)驗(yàn)結(jié)果后，要更新方程式，以更接近事實(shí)，并嘗試用更大范圍的取值來(lái)探索實(shí)驗(yàn)空間。在識(shí)別會(huì)影響實(shí)驗(yàn)的環(huán)境參數(shù)時(shí)，要保持更新，以控制更多的環(huán)境因素；還要識(shí)別可觀測(cè)性和精度/準(zhǔn)確率的限制，并保持更新，估計(jì)傳感器的極限，以制造更好的傳感器，同時(shí)更新實(shí)驗(yàn)方法。如果該理論被證實(shí)是錯(cuò)誤時(shí)，需要更新該理論，讓其他人從中獲益。

SOP的更新

那么，如何進(jìn)行實(shí)踐標(biāo)準(zhǔn)的更新呢。對(duì)于實(shí)踐標(biāo)準(zhǔn)來(lái)說(shuō)有一百多個(gè)不同的元素，比如關(guān)于在資源耗盡方面的拒絕服務(wù)，科學(xué)更多的是告訴我們DDoS是怎么回事以及如何減輕影響。我們要如何適用這些實(shí)驗(yàn)結(jié)果呢？可以通過(guò)更新SoP來(lái)反映最新的科學(xué)成果，也可以通過(guò)科學(xué)結(jié)果來(lái)進(jìn)一步改進(jìn)SoP，并通過(guò)重復(fù)使用SoP來(lái)適應(yīng)保護(hù)。而當(dāng)SoP提出新的問(wèn)題后，可以通過(guò)科學(xué)實(shí)驗(yàn)來(lái)回答這些問(wèn)題。

以專門針對(duì)審閱管理和檔案管理（ARM）文獻(xiàn)的一些實(shí)踐為例，我們對(duì)于標(biāo)準(zhǔn)實(shí)踐進(jìn)行了更新，然后創(chuàng)建專用于ARM的SoP（ARM-SoP ），對(duì)它進(jìn)行對(duì)等社區(qū)的相互評(píng)審。我們希望能夠把SoP應(yīng)用到全球已存在的ARM實(shí)體中，并將對(duì)全世界30多個(gè)不同的檔案進(jìn)行查看，對(duì)比目前的實(shí)踐和ARM-SoP的機(jī)械作法，了解到底誰(shuí)對(duì)于審閱管理和檔案管理真正有用。評(píng)價(jià)ARM-SoP是否是合理的、謹(jǐn)慎的，如果不適用將對(duì)它進(jìn)行修改，如果能夠適用，人們可以在ARM系統(tǒng)里做更多的實(shí)踐。我們將會(huì)對(duì)比成果，并進(jìn)行長(zhǎng)時(shí)間的研究，另外也會(huì)根據(jù)評(píng)論改寫SoP，最后會(huì)將結(jié)果發(fā)表在因特網(wǎng)上，這樣全世界的人們都可以來(lái)閱讀，我們希望所有人能夠獲得這樣的成果，然后在ARM中使用這個(gè)最佳實(shí)踐。而該研究的結(jié)果等于是在更新SoP，讓SoP幫助我們反映最新的科學(xué)成果。

（本文根據(jù)弗雷德·科恩在2014互聯(lián)網(wǎng)安全大會(huì)上的報(bào)告整理而成，整理：楊燕婷）