弗雷德·科恩：科學(xué)地構(gòu)建全球信息標(biāo)準(zhǔn)

弗雷德·科恩：科學(xué)地構(gòu)建全球信息標(biāo)準(zhǔn)

人們需要一種源自于政府、企業(yè)、專家等各方力量的保護(hù)，信息安全防護(hù)技術(shù)還并不是一門確定性的科學(xué)，它是理性頭腦下的藝術(shù)，像煉金術(shù)一樣，需要通過不斷的實踐調(diào)整。

在過去的70年間，信息世界發(fā)生了很大的改變，計算機逐漸成為我們生活中不可或缺的組成部分。但實際，信息安全的科學(xué)理論自上世紀(jì)80年代以來， 就一直沒有新的重大發(fā)展。

人們需要一種源自于政府、企業(yè)、專家等各方力量的保護(hù)，信息安全防護(hù)技術(shù)還并不是一門確定性的科學(xué)，它是理性頭腦下的藝術(shù)，像煉金術(shù)一樣，需要通過不斷的實踐調(diào)整。信息安全技術(shù)迫切需要重大的革新，這是一個世界性的課題。重新構(gòu)筑一套完整的理論體系可能需要很長的時間，而制定合理的實踐標(biāo)準(zhǔn)（ Standard of Practice ，SoP）卻是可行的，而且很多實踐標(biāo)準(zhǔn)實際上正在被廣泛地使用。

實踐標(biāo)準(zhǔn)可以推動理論體系的發(fā)展，而理論體系又可以指導(dǎo)實踐標(biāo)準(zhǔn)的改進(jìn)。本次演講將主要對實踐標(biāo)準(zhǔn)與理論體系之間的互動過程進(jìn)行深入的闡述和分析，這一過程也需要我們共同的參與和努力。

計算機病毒之父 弗雷德·科恩

信息保護(hù)是一門藝術(shù)

如今“計算機安全”已經(jīng)成為一種有價值的商業(yè)活動。賺錢一直是商業(yè)的主要目的。但是我們要考慮，如果廠商把安全服務(wù)做得太好，讓客戶感覺不到威脅的存在，客戶也就不再需要安全服務(wù)；但反之，如果廠商把安全服務(wù)做得不好，那么客戶為什么還要花錢去購買它呢？我們該怎樣向消費者推銷安全軟件？這里有三個問題：恐懼、不確定性和懷疑，即FUD。

“F”恐懼就是壞事即將發(fā)生，或者它已經(jīng)在別人身上發(fā)生了；“U”不確定性 ，如何知道自己是安全的，誰是你的守護(hù)者；“D”懷疑，不僅你本身存在這個問題，即便是NSA（美國國家安全局）也不能保住你的秘密。比如我們購買每個產(chǎn)品，有的商家會這樣宣傳：快來使用我們的產(chǎn)品吧，絕對保障你的安全，NSA都已經(jīng)在使用我們的產(chǎn)品了。但是現(xiàn)實是我們在電腦安全方面還存在很多不確定性。所以，可以看到，F(xiàn)UD是人們普遍面臨的一個問題，也是我們現(xiàn)實面臨的問題。

無知并不等于幸福。政府更傾向于攻擊而不是防御，政府機構(gòu)往往把更多的精力用于研究如何入侵并獲取情報，他們認(rèn)為最好的防御就是進(jìn)攻，包括對情報的需求超過了對安全操作的需求。這樣就造成對于自身網(wǎng)絡(luò)系統(tǒng)的安全防護(hù)明顯投入不足。但恰恰在此同時，支撐政府工作的各種公共基礎(chǔ)設(shè)施已經(jīng)開始越來越多地接入網(wǎng)絡(luò)，比如水、食品、燃料、 電力等系統(tǒng)，并且非常依賴于網(wǎng)絡(luò)所提供的信息支持。

有關(guān)安全防護(hù)的一些經(jīng)驗法則，比如應(yīng)該定期更改密碼，安全防護(hù)措施越多，安全防護(hù)效果就會好等等。但是，絕大多數(shù)的經(jīng)驗法則并沒有多少理論依據(jù)，定期更改密碼實際上是二戰(zhàn)時期使用的安全策略，而安全措施越多越好的概念則完全是一種主觀認(rèn)識，沒有任何客觀依據(jù)。同時，絕大多數(shù)的安全概念也并非來自于理論基礎(chǔ)，比如概率風(fēng)險評估（PRA）在安全領(lǐng)域很少被使用。我們認(rèn)為信息保護(hù)更多的是一種科學(xué)的方式，而現(xiàn)實是我們需要更多的測試，絕大多數(shù)的安全概念并不是理論，而是實踐中有沒有更好的發(fā)揮作用的方法。很好的一個例子就是科學(xué)法則并沒有真正的奏效。

為什么要這樣做呢？我們應(yīng)該考慮合理性的決策。但是應(yīng)該如何選擇，怎樣進(jìn)行決策，選擇什么樣的因素用于決策才是明智的？選擇項是不是有限呢？又為什么選定這些條件因素，或者在什么場景下做出選擇？這些都是合理性決策需要考慮的因素。這也是我們基本的運營方式。

那么，怎樣決策才是科學(xué)的？現(xiàn)實情況是目前還沒有完全科學(xué)的決策，但將來很有可能會有。比如，我們有很多組織擁有成熟的模型，可以有助于減少錯誤和遺漏。同時，保密性是我們的目的，透明度是我們進(jìn)行決策設(shè)計時的一個重要測量因子，所以需要進(jìn)行更加科學(xué)和多元的研究，來修正系統(tǒng)防護(hù)中的錯誤和遺漏的盲點。

如何進(jìn)行科學(xué)研究來明確這些方面呢？這就是我們現(xiàn)在面臨的問題。目前所謂標(biāo)準(zhǔn)化的決策過程并不是真正完美的，你可以直接下載一些標(biāo)準(zhǔn)化的流程進(jìn)行隱私保護(hù)，也可以直接閱讀和使用它的操作方法，但這并不是所謂的真正標(biāo)準(zhǔn)或者萬無一失措施。在安全體系也是如此，有了防火墻并不能解決一切襲擊問題。所以要做的就是要找到這個病毒的基本數(shù)據(jù)庫，然后發(fā)現(xiàn)問題，基于現(xiàn)在的問題使用同樣的一種機器語言來解決這些問題，要找到的答案必須是合理的，我們必須要有專家來做出決策。所以，要更加系統(tǒng)化地來操作這樣的流程。

現(xiàn)在談?wù)剬嵺`標(biāo)準(zhǔn)SoP。我們可以運用實踐標(biāo)準(zhǔn)幫助專家進(jìn)行分析， 通過提出一系列合理全面的問題 ，將這些問題用特定邏輯語言進(jìn)行標(biāo)準(zhǔn)化描述，再用預(yù)先定義的決策邏輯進(jìn)行決策，同時在基準(zhǔn)情況下允許存在一定的偏差。當(dāng)實踐標(biāo)準(zhǔn)有效時，我們就開始使用；當(dāng)實踐標(biāo)準(zhǔn)無效時，我們會適時調(diào)整與更新。

理論體系的構(gòu)筑

理論體系的構(gòu)筑實際包括三個環(huán)節(jié)，即理論、實驗、反饋三個階段。

如今，在信息保護(hù)領(lǐng)域并不存在成熟的理論，但也有一些例外，如在四十年代時就存在的一些信息流控制元素、密碼學(xué)元素以及病毒和惡意軟件元素等。但所有這些元素的作用都很有限，密碼學(xué)理論在很大程度上忽略了現(xiàn)實狀況，而信息流控制的方法幾乎沒有被使用，病毒和惡意軟件理論在很大程度上只是規(guī)定了哪些事情不可以做。所以還有很多問題需要研究，比如流程控制中需要更多的信息才能更好地控制運作流程，而SoP恰好為我們的探索實踐提供了出發(fā)點。

網(wǎng)絡(luò)安全的科學(xué)包含因果、測試、驗錯、調(diào)整四個環(huán)節(jié)?？茖W(xué)的一個機制實際上就是因果，通過一定的機制施加影響，這是后續(xù)進(jìn)行的基礎(chǔ)。科學(xué)理論需要進(jìn)行實驗的驗證，實驗?zāi)軌蜃C明一個理論是否正確，但對于普遍規(guī)律，實驗并不能證明理論的正確性。當(dāng)一個理論被推翻時，我們就會對理論做出調(diào)整。比如地平論即是一項科學(xué)理論，四五百年前人們認(rèn)為地球是平的，但麥哲倫的環(huán)球旅行證明了該理論是錯誤的。

以拒絕服務(wù)DoS為例，如何去解決拒絕服務(wù)的問題呢？據(jù)我所知，韋伯斯特大學(xué)在此方面有一些研究，在這所大學(xué)的實驗室可以實現(xiàn)這種拒絕服務(wù)，幫助我們完成科學(xué)實驗。拒絕服務(wù)的出現(xiàn)是由網(wǎng)絡(luò)資源消耗殆盡最后導(dǎo)致合法的用戶請求無法通過造成的，這其實就是一條理論，但我們必須對該理論進(jìn)行科學(xué)的驗證。

在驗證過程中，通過將一些資源隔離出來，比如CPU空間、磁盤空間、內(nèi)存空間、進(jìn)程中條目、連入端口、網(wǎng)絡(luò)帶寬等。通過隔離一種特定的資源，并給資源設(shè)定一個上限，利用大規(guī)模的消耗資源來衡量系統(tǒng)性能；同時不斷增加對資源的消耗，并實時評估系統(tǒng)性能。當(dāng)有限資源消耗到臨界值，超過拐點便會出現(xiàn)拒接服務(wù)。這樣就確認(rèn)了該理論的正確性。

在實驗中，我們需要了解被度量的這些實驗現(xiàn)象得到正確響應(yīng)所花費的時間，實驗的結(jié)果是必須要知道如何測量實驗結(jié)果。可以通過幾臺計算機持續(xù)進(jìn)行拒絕服務(wù)的測試，直到服務(wù)被拒絕，然后我們就會提出一個問題，究竟實驗和理論是否一致，我們希望能夠進(jìn)行科學(xué)的測量。

科學(xué)的實驗不能只進(jìn)行參數(shù)的實驗，還需要反饋。當(dāng)?shù)玫綄嶒灲Y(jié)果后，要更新方程式，以更接近事實，并嘗試用更大范圍的取值來探索實驗空間。在識別會影響實驗的環(huán)境參數(shù)時，要保持更新，以控制更多的環(huán)境因素；還要識別可觀測性和精度/準(zhǔn)確率的限制，并保持更新，估計傳感器的極限，以制造更好的傳感器，同時更新實驗方法。如果該理論被證實是錯誤時，需要更新該理論，讓其他人從中獲益。

SOP的更新

那么，如何進(jìn)行實踐標(biāo)準(zhǔn)的更新呢。對于實踐標(biāo)準(zhǔn)來說有一百多個不同的元素，比如關(guān)于在資源耗盡方面的拒絕服務(wù)，科學(xué)更多的是告訴我們DDoS是怎么回事以及如何減輕影響。我們要如何適用這些實驗結(jié)果呢？可以通過更新SoP來反映最新的科學(xué)成果，也可以通過科學(xué)結(jié)果來進(jìn)一步改進(jìn)SoP，并通過重復(fù)使用SoP來適應(yīng)保護(hù)。而當(dāng)SoP提出新的問題后，可以通過科學(xué)實驗來回答這些問題。

以專門針對審閱管理和檔案管理（ARM）文獻(xiàn)的一些實踐為例，我們對于標(biāo)準(zhǔn)實踐進(jìn)行了更新，然后創(chuàng)建專用于ARM的SoP（ARM-SoP ），對它進(jìn)行對等社區(qū)的相互評審。我們希望能夠把SoP應(yīng)用到全球已存在的ARM實體中，并將對全世界30多個不同的檔案進(jìn)行查看，對比目前的實踐和ARM-SoP的機械作法，了解到底誰對于審閱管理和檔案管理真正有用。評價ARM-SoP是否是合理的、謹(jǐn)慎的，如果不適用將對它進(jìn)行修改，如果能夠適用，人們可以在ARM系統(tǒng)里做更多的實踐。我們將會對比成果，并進(jìn)行長時間的研究，另外也會根據(jù)評論改寫SoP，最后會將結(jié)果發(fā)表在因特網(wǎng)上，這樣全世界的人們都可以來閱讀，我們希望所有人能夠獲得這樣的成果，然后在ARM中使用這個最佳實踐。而該研究的結(jié)果等于是在更新SoP，讓SoP幫助我們反映最新的科學(xué)成果。

（本文根據(jù)弗雷德·科恩在2014互聯(lián)網(wǎng)安全大會上的報告整理而成，整理：楊燕婷）