方濱興：未來網(wǎng)絡(luò)的安全問題

北京郵電大學(xué)校長，中國工程院院士方濱興

　　通信世界網(wǎng)(CWW)11月11日消息 為推動(dòng)我國未來網(wǎng)絡(luò)技術(shù)的發(fā)展與創(chuàng)新研究，營造一個(gè)“政產(chǎn)學(xué)研用”各方面共同推動(dòng)、共同參與的公共平臺，分享研究經(jīng)驗(yàn)與成果，探討未來網(wǎng)絡(luò)發(fā)展路線，中國工程院與南京市人民政府于2011年11月11日共同舉辦“2011中國未來網(wǎng)絡(luò)發(fā)展與創(chuàng)新論壇”。

　　演講全文：

　　方濱興：我今天講一下未來網(wǎng)絡(luò)安全的問題，有人說是美國的CCN-NDN，有人說是美國的面向移動(dòng)的網(wǎng)絡(luò)，有人說是美國的面向服務(wù)的網(wǎng)絡(luò)，有人說是歐盟的NetIef，不管哪個(gè)是我也不知道，我只知道未來網(wǎng)絡(luò)是什么不重要，重要的是如何考慮所要做的新的網(wǎng)絡(luò)的安全問題，如果做出來的系統(tǒng)不安全的話也沒法使用，在我們來看安全技術(shù)是半生技術(shù)，信息技術(shù)出現(xiàn)在前，安全技術(shù)通常伴隨著安全問題的出現(xiàn)而產(chǎn)生，如果不預(yù)測安全問題的形態(tài)，就無法配置安全措施，Interent的一個(gè)重要的教訓(xùn)就是安全管理滯后，一定要事先把安全因素考慮進(jìn)去，我提出了五個(gè)“四”的法則，一個(gè)從四個(gè)層面考慮信息安全的問題，物理層，運(yùn)行層，數(shù)據(jù)層，內(nèi)容層，第二個(gè)是安全的四個(gè)基本屬性，可用性，機(jī)密性，可鑒別性，可控性，第三個(gè)四就是保障信息安全的四個(gè)目標(biāo)，要做安全的網(wǎng)絡(luò)，可信的網(wǎng)絡(luò)，可靠的網(wǎng)絡(luò)，可控的網(wǎng)絡(luò)第四個(gè)四就是從確保的源頭來保障信息安全，軟件確保，系統(tǒng)確保，服務(wù)確保，使命確保。另外一個(gè)是保障網(wǎng)絡(luò)主權(quán)的四項(xiàng)基本權(quán)利，獨(dú)立權(quán)，平等權(quán)，自衛(wèi)權(quán)，警報(bào)權(quán)。

　　第一個(gè)就是物理層面表現(xiàn)在能量供給上面，運(yùn)行安全主要表現(xiàn)在代碼攻擊上面，到了數(shù)據(jù)安全層面，主要是面對數(shù)據(jù)攻擊，另外一個(gè)內(nèi)容安全，從內(nèi)部的安全來考慮的。我們的安全網(wǎng)絡(luò)的抗打擊性如何，未來網(wǎng)絡(luò)的設(shè)備冗余性如何？是否可熱悲憤，容災(zāi)，網(wǎng)絡(luò)的可生存性如何，是否可剪裁運(yùn)行，可降級運(yùn)行。第二個(gè)就是網(wǎng)絡(luò)設(shè)備損毀后的自恢復(fù)能力如何，首先就是網(wǎng)絡(luò)的去中心化程度如何，我們傳統(tǒng)的中心依存度盡量低，避免認(rèn)為形成安全瓶頸口，再一個(gè)就是自組織的程度如何？網(wǎng)絡(luò)的重組能力如何？再一個(gè)就是網(wǎng)絡(luò)設(shè)備是否能被軟致癱？

　　第二個(gè)問題就是運(yùn)行安全的問題，網(wǎng)絡(luò)是否能夠承受拒絕服務(wù)攻擊？是否能夠承受住資源的過度消耗？再一個(gè)網(wǎng)絡(luò)是否能夠被非授權(quán)控制，要防止網(wǎng)絡(luò)運(yùn)行系統(tǒng)的安全漏洞被利用能力，第三個(gè)就是你的核心設(shè)備是否能夠被攻擊？要具有持續(xù)的提供核心功能的能力，再一個(gè)網(wǎng)絡(luò)路由是否會被劫持？是否會形成錯(cuò)誤的路由？要防止網(wǎng)絡(luò)路徑被非法重定向與錯(cuò)誤路由污染的能力。再一個(gè)網(wǎng)絡(luò)尋址服務(wù)是否能夠被終止服務(wù)？防止尋址服務(wù)體系被癱瘓。

　　關(guān)于數(shù)據(jù)安全問題，網(wǎng)絡(luò)的運(yùn)行狀態(tài)是否能夠被欺騙？防止網(wǎng)絡(luò)狀態(tài)被偽造，防止網(wǎng)絡(luò)路由信息被欺騙。網(wǎng)絡(luò)傳輸通道是否能保證數(shù)據(jù)的隱私？要具有防止信息被泄露與被非授權(quán)擴(kuò)散的能力。網(wǎng)絡(luò)傳輸通道是否能夠保證數(shù)據(jù)不被篡改？要具有信息不被篡改的能力。網(wǎng)絡(luò)身份信息是否能夠被仿冒？要具有身份鑒別的能力。再一個(gè)網(wǎng)絡(luò)信息傳輸具有防抵賴的能力？

　　第四個(gè)層面就是內(nèi)容安全層面，首先網(wǎng)絡(luò)信息是否能夠被監(jiān)測？具有對網(wǎng)絡(luò)信息進(jìn)行標(biāo)簽的能力，或者具有授權(quán)認(rèn)知網(wǎng)絡(luò)信息的能力，或具有授權(quán)發(fā)現(xiàn)隱藏信息的能力。二網(wǎng)絡(luò)信息是否能夠被控管？要具有授權(quán)過濾指定信息的能力，要具有限制指定信息發(fā)布的能力。三網(wǎng)絡(luò)信息是否能夠不被非授權(quán)擴(kuò)散？就是要具有數(shù)字版權(quán)保護(hù)的能力。再一個(gè)網(wǎng)絡(luò)系統(tǒng)是否具有被局部隔離的功能？要具有切割非授權(quán)介入的子網(wǎng)的能力。

　　第二個(gè)四就是信息安全應(yīng)關(guān)注的四個(gè)屬性，可用性，機(jī)密性，可控性，可鑒別性，可用性要注意被攻擊的問題，機(jī)密性要注意高效的問題，可控性要注意自由的問題，再一個(gè)可鑒別性就是隱私的問題。

　　展開來說，從可用性來說，我們首先要保證網(wǎng)絡(luò)的可用性，采取必要的措施，保證網(wǎng)絡(luò)處于始終可提供服務(wù)的狀態(tài)，使得授權(quán)用戶可以隨時(shí)獲得服務(wù)。網(wǎng)絡(luò)應(yīng)該具備一些可靠性，要保證網(wǎng)絡(luò)出現(xiàn)故障的概率極小，再一個(gè)網(wǎng)絡(luò)應(yīng)該具備穩(wěn)定性，保證網(wǎng)絡(luò)不出現(xiàn)可被用戶感知的問題，網(wǎng)絡(luò)還應(yīng)該具備可生存性，保證網(wǎng)絡(luò)在極端條件下仍然能夠提供核心服務(wù)，盡管其服務(wù)質(zhì)量在下降。再一個(gè)就是具備可維護(hù)性，這個(gè)指在線維護(hù)。

　　從機(jī)密角度來說所關(guān)心的是網(wǎng)絡(luò)的機(jī)密性，要保證網(wǎng)絡(luò)的機(jī)密性就是要確保網(wǎng)絡(luò)傳播信息不被非授權(quán)者所獲知，要保證網(wǎng)絡(luò)信息的實(shí)用性，要采取措施，使得網(wǎng)絡(luò)加密信息唯一依賴于對應(yīng)的密鑰。再有要保證網(wǎng)絡(luò)信息不會被捕獲，拷貝與擴(kuò)散，采取屏蔽，隔離措施，防止非授權(quán)截獲與傳播信息。再一個(gè)保證網(wǎng)絡(luò)不能被非法獲得，要采取訪問控制措施，防止非授權(quán)訪問信息，再有保證網(wǎng)絡(luò)信息不被非法認(rèn)知，采取加密措施。

　　第四個(gè)是可控性，要保證網(wǎng)絡(luò)的可控性，主要的目標(biāo)是采取措施，使得網(wǎng)絡(luò)始終處于授權(quán)掌控狀態(tài)，可控性要包括具備可追溯性，保證網(wǎng)絡(luò)傳播的源頭與目的是可追溯的，再有就是具備可記帳性(可確定性)，保證網(wǎng)絡(luò)傳播的所有狀態(tài)均可被記錄并保存，再有基礎(chǔ)具備可審計(jì)性，保證網(wǎng)絡(luò)傳播的所有狀態(tài)具有相關(guān)責(zé)任主體。再有一個(gè)就是可過濾性，保證網(wǎng)絡(luò)信息是可被理解的，網(wǎng)絡(luò)信息傳播的源頭與目標(biāo)是可被理解的，指定信息可被過濾的。

　　關(guān)于網(wǎng)絡(luò)的可鑒別性，主要是要保證網(wǎng)絡(luò)的可鑒別性，保證與網(wǎng)絡(luò)傳播相關(guān)的信息其真實(shí)性是可以被鑒別的，網(wǎng)絡(luò)信息應(yīng)該具備完整性，保證網(wǎng)絡(luò)信息的任何篡改都能夠被鑒別出來。網(wǎng)絡(luò)的傳輸主體與客體的身份應(yīng)具備真實(shí)性，保證網(wǎng)絡(luò)信息傳播的發(fā)放方與接收方的身份是可鑒別的，符合預(yù)知的身份。

　　下一個(gè)是信息安全應(yīng)保障的四個(gè)目標(biāo)，我們要保證是安全的網(wǎng)絡(luò)，保護(hù)網(wǎng)絡(luò)不被致癱，網(wǎng)絡(luò)上的攻擊可被有效遏制，網(wǎng)絡(luò)上的用戶不被攻擊所困擾，要保證是一個(gè)可信的網(wǎng)絡(luò)，確保對網(wǎng)絡(luò)傳輸?shù)男袨槿耍�被傳輸�(shù)男畔⒖杀昏b別，其可信程度可被判定。再一個(gè)保證其是可靠的網(wǎng)絡(luò)，確保能夠提供有效的服務(wù)，不因隨即鼓掌而失效。另外是可控的網(wǎng)絡(luò)。

　　我們從前提假定來說，安全是一個(gè)惡人的假定，攻擊是必須的，可信是一個(gè)好人的假定，只要是好人就不會有攻擊，可靠是上帝的假定，是隨機(jī)的，可控是一個(gè)監(jiān)管人的假定，服從約定的形式，攻擊是來自缺陷的概念。做一個(gè)比喻，安全就像養(yǎng)猛獸，我們把它當(dāng)做寵物，肯定不會真的跟它一起睡覺，風(fēng)險(xiǎn)太大了，把它用鏈子拴起來，可信就是好象養(yǎng)寵物狗，可靠就像養(yǎng)一個(gè)牲畜，可控就像養(yǎng)孩子。行為類比一下，安全就好象這個(gè)人就要闖紅燈，可信就是綠燈行，可靠就是有點(diǎn)黃燈行，可控就是紅燈停。應(yīng)用原則安全就好象是監(jiān)獄的狀態(tài)，可信就是像在辦公室的狀態(tài)，可靠就是像是豬圈，可控就是像居家。從立足點(diǎn)來看，安全就是事先保護(hù)，可信是事后打擊，可靠是經(jīng)濟(jì)平衡，可控是規(guī)則管制。從應(yīng)用點(diǎn)來看，安全未知身份，可信是已知身份，可靠是隨機(jī)因素，可控自有系統(tǒng)。從追求目標(biāo)來看，安全追求的是不受傷害的狀態(tài)，可信是證明它確是一個(gè)好人，可靠是保證盡量不受損失，或者損失不能太大，可控就是掌控一切。從手段來說，安全是以降低風(fēng)險(xiǎn)為目的，可信是依賴歷史，可靠是投保機(jī)制，可控是監(jiān)控。從風(fēng)險(xiǎn)來看，安全方面就是資源消耗太大，可信最怕意外變節(jié)，可靠是概率損失，可控是失控了。

　　第四個(gè)四就是要四個(gè)確保，首先我們從源頭做起，做軟件確保，下一個(gè)是系統(tǒng)確保，再高一層就是服務(wù)確保，最后一個(gè)就是使命確保，整個(gè)的安全確保就是從源頭一直到目標(biāo)，目標(biāo)為了保護(hù)使用者，是這樣的一個(gè)層次，需要我們考慮。

　　怎么考慮呢，首先我們來看軟件確保，要保證網(wǎng)絡(luò)協(xié)議是符合預(yù)期的，要求網(wǎng)絡(luò)協(xié)議的實(shí)現(xiàn)在需求，設(shè)計(jì)，編碼，驗(yàn)證等環(huán)節(jié)都通過證明或檢驗(yàn)，再有要保證網(wǎng)絡(luò)協(xié)議不存在可利用的漏洞，要求網(wǎng)絡(luò)協(xié)議具有自保護(hù)特性，即便出現(xiàn)安全漏洞也不會被惡意利用，再一個(gè)要保證網(wǎng)絡(luò)協(xié)議的實(shí)現(xiàn)環(huán)節(jié)是符合規(guī)程的，要設(shè)計(jì)協(xié)議實(shí)現(xiàn)規(guī)程，保證協(xié)議的軟件實(shí)現(xiàn)是符合規(guī)程的。最后就是保證網(wǎng)絡(luò)協(xié)議軟件的可信性。

　　第二個(gè)層面就是系統(tǒng)確保，要首先保證網(wǎng)絡(luò)系統(tǒng)的功能是可預(yù)期的，要給出證據(jù)系統(tǒng)以證明網(wǎng)絡(luò)系統(tǒng)的形式化方法起到了極其重要的作用，要提高網(wǎng)絡(luò)系統(tǒng)沒有漏洞的確信程度，要有網(wǎng)絡(luò)系統(tǒng)的自防護(hù)能力，使得無論在系統(tǒng)生命周期的任意時(shí)刻，即便漏洞作為系統(tǒng)的一部分有意或無意設(shè)計(jì)或插入的，也不能能夠被利用起來形成攻擊。再一個(gè)要保證網(wǎng)絡(luò)系統(tǒng)在裝配之后是可信的，可信的軟件還需要可信的接口，以保證系統(tǒng)的可信性，要保證網(wǎng)絡(luò)系統(tǒng)的系統(tǒng)工程。

　　第三個(gè)是服務(wù)確保，要保證網(wǎng)絡(luò)系統(tǒng)能夠提供符合要求的服務(wù)性能，要保證通信服務(wù)提供商能夠利用策略和過程確保所提供的服務(wù)來滿足預(yù)先定義的服務(wù)質(zhì)量，要保證網(wǎng)絡(luò)系統(tǒng)能夠提供有保證的服務(wù)，要具備故障和事件管理，性能管理，探測監(jiān)視，服務(wù)質(zhì)量管理，網(wǎng)絡(luò)和服務(wù)測試，網(wǎng)絡(luò)流量管理，客戶管理，服務(wù)等級協(xié)議監(jiān)視等能力。

　　最高的曾經(jīng)就是使命確保，要保證網(wǎng)絡(luò)系統(tǒng)的自適應(yīng)性，要能夠適應(yīng)用戶的需求，盡管網(wǎng)絡(luò)本身沒有受到攻擊，也要具備彈性變化的能力，要降低風(fēng)險(xiǎn)，再有就是要保證網(wǎng)絡(luò)系統(tǒng)能夠提供有效的服務(wù)，武裝網(wǎng)絡(luò)系統(tǒng)有多復(fù)雜，規(guī)模有多大，要保證始終處于用戶能夠得到服務(wù)的狀態(tài)。還要要求網(wǎng)絡(luò)系統(tǒng)處于全世界周期工程狀態(tài)，要保證網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)，生產(chǎn)，測試與運(yùn)行方面，要服從需求工程的要求，持續(xù)支持在線更新。

　　最后一個(gè)就是網(wǎng)絡(luò)主權(quán)，主權(quán)的內(nèi)涵就是基本權(quán)，獨(dú)立權(quán)，平等權(quán)，自衛(wèi)權(quán)和管轄權(quán)，獨(dú)立權(quán)就是本國的網(wǎng)絡(luò)可以獨(dú)立運(yùn)行，無需受制于他國，平等權(quán)就是網(wǎng)絡(luò)之間的互聯(lián)互通是以平等協(xié)商的方式來進(jìn)行，不受管轄制約等。

　　我說一下獨(dú)立全，要確定一國網(wǎng)絡(luò)可以獨(dú)立存在，現(xiàn)有的互聯(lián)網(wǎng)由于根域名解析體制的緣故，不能夠獨(dú)立存在，因此受制于美國，除非根域名解析歸屬一個(gè)類似于聯(lián)合國的國際組織管理，域名解析系統(tǒng)的管理權(quán)就可以被理解為各國出讓了本國對該系統(tǒng)的管理權(quán)而集中在指定的國際組織，同時(shí)該國際組織在章程中被各國所認(rèn)可，各國對該國際組織的運(yùn)行具有同等的權(quán)利。再一個(gè)我們說未來網(wǎng)可以考慮類似于路由機(jī)制來建立分布式名字服務(wù)系統(tǒng)，各國的名字服務(wù)系統(tǒng)不受制于任何國家以及任何國際組織，可以獨(dú)立存在，類似于國家茂盛，可以遵循國際策略，可以多邊協(xié)商，可以雙邊協(xié)商。

　　第二個(gè)是平等權(quán)，確保各國的網(wǎng)絡(luò)之間可以平等的方式進(jìn)行互聯(lián)互通，要像民航航線一樣相互對等地開辟互聯(lián)互通的航線，互聯(lián)互通不能成為單方受惠的建設(shè)模式，目前的互聯(lián)網(wǎng)的國際介入受制于大的國際運(yùn)營商，如Sprint公司，因其在國際上具有隆重的地位，致使互聯(lián)網(wǎng)規(guī)模小的國家在介入時(shí)往往會受到不平等的待遇，

　　再一個(gè)要確保各國對網(wǎng)絡(luò)系統(tǒng)具有不平等的管理權(quán)，要保證一國對本國互聯(lián)網(wǎng)的管理不會傷及到其他的國家，現(xiàn)有的互聯(lián)網(wǎng)相互依賴過度，互聯(lián)網(wǎng)強(qiáng)勢國家所制定的政策可能波及其接受服務(wù)的國家。

　　再一個(gè)自衛(wèi)權(quán)，網(wǎng)域空間已經(jīng)受到各國所重視，我們都知道美國的三大戰(zhàn)略，核戰(zhàn)略，太空戰(zhàn)略，網(wǎng)域戰(zhàn)略，目前的五大戰(zhàn)場已經(jīng)是領(lǐng)海領(lǐng)土領(lǐng)空領(lǐng)天，領(lǐng)網(wǎng)絡(luò)，已經(jīng)要保護(hù)網(wǎng)絡(luò)了，現(xiàn)在要做的系統(tǒng)要確保網(wǎng)絡(luò)系統(tǒng)可以處于自我保護(hù)之下的，而不是依賴于它國進(jìn)行保護(hù)，不應(yīng)該有境外系統(tǒng)被攻擊致使本國網(wǎng)絡(luò)癱瘓的情況發(fā)生。本國要擁有對網(wǎng)絡(luò)攻擊的自衛(wèi)能力的話，一定要擁有隔離能力。

　　最后一個(gè)就是管轄權(quán)，首先要擁有對本國網(wǎng)絡(luò)系統(tǒng)的管理能力，網(wǎng)絡(luò)的接入要能夠?qū)嵤┦袌鰷?zhǔn)入機(jī)制，非授權(quán)子網(wǎng)應(yīng)該不能夠接入到網(wǎng)絡(luò)中，要具備發(fā)現(xiàn)非授權(quán)接入網(wǎng)絡(luò)的能力，對網(wǎng)絡(luò)的接入要能夠事后終止，對于不服從管理業(yè)務(wù)應(yīng)該具有停止服務(wù)的能力�，F(xiàn)有的系統(tǒng)不具有這樣的能力，例如谷歌退出中國基本上不影響向中國所提供的服務(wù)。我們知道國際上面有一個(gè)概念是河床與河水的概念，水是沒有主權(quán)的概念了，物理社會中國家對河床擁有主權(quán)，盡管河水來自上游國家，但上游國家不能輸出被污染的河水。

　　最后我總結(jié)一下，第一個(gè)四是內(nèi)容安全，數(shù)據(jù)安全，運(yùn)行安全，物理安全，對應(yīng)的是可控性，機(jī)密性，可鑒別性，可用性，就是要建可控的網(wǎng)，可信的網(wǎng)，建安全的網(wǎng)，建可靠的網(wǎng)。要保證我們的安全確保，從軟件確保，到系統(tǒng)確保，服務(wù)確保，到使命確保。最后一個(gè)網(wǎng)絡(luò)主權(quán)，獨(dú)立權(quán)，平等權(quán)，自衛(wèi)權(quán)，管轄權(quán)是跟它們相應(yīng)對立的，我的報(bào)告完了，謝謝。