方滨兴：未来网络的安全问题

北京邮电大学校长，中国工程院院士方滨兴　　通信世界网(CWW)11月11日消息 为推动我国未来网络技术的发展与创新研究，营造一个“政产学研用”各方面共同推动、共同参与的公共平台，分享研究经验与成果，探讨未来网络发展路线，中国工程院与南京市人民政府于2011年11月11日共同举办“2011中国未来网络发展与创新论坛”。　　演讲全文：　　方滨兴：我今天讲一下未来网络安全的问题，有人说是美国的CCN-NDN，有人说是美国的面向移动的网络，有人说是美国的面向服务的网络，有人说是欧盟的NetIef，不管哪个是我也不知道，我只知道未来网络是什么不重要，重要的是如何考虑所要做的新的网络的安全问题，如果做出来的系统不安全的话也没法使用，在我们来看安全技术是半生技术，信息技术出现在前，安全技术通常伴随着安全问题的出现而产生，如果不预测安全问题的形态，就无法配置安全措施，Interent的一个重要的教训就是安全管理滞后，一定要事先把安全因素考虑进去，我提出了五个“四”的法则，一个从四个层面考虑信息安全的问题，物理层，运行层，数据层，内容层，第二个是安全的四个基本属性，可用性，机密性，可鉴别性，可控性，第三个四就是保障信息安全的四个目标，要做安全的网络，可信的网络，可靠的网络，可控的网络第四个四就是从确保的源头来保障信息安全，软件确保，系统确保，服务确保，使命确保。另外一个是保障网络主权的四项基本权利，独立权，平等权，自卫权，警报权。　　第一个就是物理层面表现在能量供给上面，运行安全主要表现在代码攻击上面，到了数据安全层面，主要是面对数据攻击，另外一个内容安全，从内部的安全来考虑的。我们的安全网络的抗打击性如何，未来网络的设备冗余性如何？是否可热悲愤，容灾，网络的可生存性如何，是否可剪裁运行，可降级运行。第二个就是网络设备损毁后的自恢复能力如何，首先就是网络的去中心化程度如何，我们传统的中心依存度尽量低，避免认为形成安全瓶颈口，再一个就是自组织的程度如何？网络的重组能力如何？再一个就是网络设备是否能被软致瘫？　　第二个问题就是运行安全的问题，网络是否能够承受拒绝服务攻击？是否能够承受住资源的过度消耗？再一个网络是否能够被非授权控制，要防止网络运行系统的安全漏洞被利用能力，第三个就是你的核心设备是否能够被攻击？要具有持续的提供核心功能的能力，再一个网络路由是否会被劫持？是否会形成错误的路由？要防止网络路径被非法重定向与错误路由污染的能力。再一个网络寻址服务是否能够被终止服务？防止寻址服务体系被瘫痪。　　关于数据安全问题，网络的运行状态是否能够被欺骗？防止网络状态被伪造，防止网络路由信息被欺骗。网络传输通道是否能保证数据的隐私？要具有防止信息被泄露与被非授权扩散的能力。网络传输通道是否能够保证数据不被篡改？要具有信息不被篡改的能力。网络身份信息是否能够被仿冒？要具有身份鉴别的能力。再一个网络信息传输具有防抵赖的能力？　　第四个层面就是内容安全层面，首先网络信息是否能够被监测？具有对网络信息进行标签的能力，或者具有授权认知网络信息的能力，或具有授权发现隐藏信息的能力。二网络信息是否能够被控管？要具有授权过滤指定信息的能力，要具有限制指定信息发布的能力。三网络信息是否能够不被非授权扩散？就是要具有数字
版权保护的能力。再一个网络系统是否具有被局部隔离的功能？要具有切割非授权介入的子网的能力。　　第二个四就是信息安全应关注的四个属性，可用性，机密性，可控性，可鉴别性，可用性要注意被攻击的问题，机密性要注意高效的问题，可控性要注意自由的问题，再一个可鉴别性就是隐私的问题。　　展开来说，从可用性来说，我们首先要保证网络的可用性，采取必要的措施，保证网络处于始终可提供服务的状态，使得授权用户可以随时获得服务。网络应该具备一些可靠性，要保证网络出现故障的概率极小，再一个网络应该具备稳定性，保证网络不出现可被用户感知的问题，网络还应该具备可生存性，保证网络在极端条件下仍然能够提供核心服务，尽管其服务质量在下降。再一个就是具备可维护性，这个指在线维护。　　从机密角度来说所关心的是网络的机密性，要保证网络的机密性就是要确保网络传播信息不被非授权者所获知，要保证网络信息的实用性，要采取措施，使得网络加密信息唯一依赖于对应的密钥。再有要保证网络信息不会被捕获，拷贝与扩散，采取屏蔽，隔离措施，防止非授权截获与传播信息。再一个保证网络不能被非法获得，要采取访问控制措施，防止非授权访问信息，再有保证网络信息不被非法认知，采取加密措施。　　第四个是可控性，要保证网络的可控性，主要的目标是采取措施，使得网络始终处于授权掌控状态，可控性要包括具备可追溯性，保证网络传播的源头与目的是可追溯的，再有就是具备可记帐性(可确定性)，保证网络传播的所有状态均可被记录并保存，再有基础具备可审计性，保证网络传播的所有状态具有相关责任主体。再有一个就是可过滤性，保证网络信息是可被理解的，网络信息传播的源头与目标是可被理解的，指定信息可被过滤的。　　关于网络的可鉴别性，主要是要保证网络的可鉴别性，保证与网络传播相关的信息其真实性是可以被鉴别的，网络信息应该具备完整性，保证网络信息的任何篡改都能够被鉴别出来。网络的传输主体与客体的身份应具备真实性，保证网络信息传播的发放方与接收方的身份是可鉴别的，符合预知的身份。　　下一个是信息安全应保障的四个目标，我们要保证是安全的网络，保护网络不被致瘫，网络上的攻击可被有效遏制，网络上的用户不被攻击所困扰，要保证是一个可信的网络，确保对网络传输的行为人，被传输的信息可被鉴别，其可信程度可被判定。再一个保证其是可靠的网络，确保能够提供有效的服务，不因随即鼓掌而失效。另外是可控的网络。　　我们从前提假定来说，安全是一个恶人的假定，攻击是必须的，可信是一个好人的假定，只要是好人就不会有攻击，可靠是上帝的假定，是随机的，可控是一个监管人的假定，服从约定的形式，攻击是来自缺陷的概念。做一个比喻，安全就像养猛兽，我们把它当做宠物，肯定不会真的跟它一起睡觉，风险太大了，把它用链子拴起来，可信就是好象养宠物狗，可靠就像养一个牲畜，可控就像养孩子。行为类比一下，安全就好象这个人就要闯红灯，可信就是绿灯行，可靠就是有点黄灯行，可控就是红灯停。应用原则安全就好象是监狱的状态，可信就是像在办公室的状态，可靠就是像是猪圈，可控就是像居家。从立足点来看，安全就是事先保护，可信是事后打击，可靠是经济平衡，可控是规则管制。从应用点来看，安全未知身份，可信是已知身份，可靠是随机因素，可控自有系统。从追求目标来看，安全追求的是不受伤害的状态，可信是证明它确是一个好人，可靠是保证尽量不受损失，或者损失不能太大，可控就是掌控一切。从手段来说，安全是以降低风险为目的，可信是依赖历史，可靠是投保机制，可控是监控。从风险来看，安全方面就是资源消耗太大，可信最怕意外变节，可靠是概率损失，可控是失控了。　　第四个四就是要四个确保，首先我们从源头做起，做软件确保，下一个是系统确保，再高一层就是服务确保，最后一个就是使命确保，整个的安全确保就是从源头一直到目标，目标为了保护使用者，是这样的一个层次，需要我们考虑。　　怎么考虑呢，首先我们来看软件确保，要保证网络协议是符合预期的，要求网络协议的实现在需求，设计，编码，验证等环节都通过证明或检验，再有要保证网络协议不存在可利用的漏洞，要求网络协议具有自保护特性，即便出现安全漏洞也不会被恶意利用，再一个要保证网络协议的实现环节是符合规程的，要设计协议实现规程，保证协议的软件实现是符合规程的。最后就是保证网络协议软件的可信性。　　第二个层面就是系统确保，要首先保证网络系统的功能是可预期的，要给出证据系统以证明网络系统的形式化方法起到了极其重要的作用，要提高网络系统没有漏洞的确信程度，要有网络系统的自防护能力，使得无论在系统生命周期的任意时刻，即便漏洞作为系统的一部分有意或无意设计或插入的，也不能能够被利用起来形成攻击。再一个要保证网络系统在装配之后是可信的，可信的软件还需要可信的接口，以保证系统的可信性，要保证网络系统的系统工程。　　第三个是服务确保，要保证网络系统能够提供符合要求的服务性能，要保证通信服务提供商能够利用策略和过程确保所提供的服务来满足预先定义的服务质量，要保证网络系统能够提供有保证的服务，要具备故障和事件管理，性能管理，探测监视，服务质量管理，网络和服务测试，网络流量管理，客户管理，服务等级协议监视等能力。　　最高的曾经就是使命确保，要保证网络系统的自适应性，要能够适应用户的需求，尽管网络本身没有受到攻击，也要具备弹性变化的能力，要降低风险，再有就是要保证网络系统能够提供有效的服务，武装网络系统有多复杂，规模有多大，要保证始终处于用户能够得到服务的状态。还要要求网络系统处于全世界周期工程状态，要保证网络系统设计，生产，测试与运行方面，要服从需求工程的要求，持续支持在线更新。　　最后一个就是网络主权，主权的内涵就是基本权，独立权，平等权，自卫权和管辖权，独立权就是本国的网络可以独立运行，无需受制于他国，平等权就是网络之间的互联互通是以平等协商的方式来进行，不受管辖制约等。　　我说一下独立全，要确定一国网络可以独立存在，现有的互联网由于根域名解析体制的缘故，不能够独立存在，因此受制于美国，除非根域名解析归属一个类似于联合国的国际组织管理，域名解析系统的管理权就可以被理解为各国出让了本国对该系统的管理权而集中在指定的国际组织，同时该国际组织在章程中被各国所认可，各国对该国际组织的运行具有同等的权利。再一个我们说未来网可以考虑类似于路由机制来建立分布式名字服务系统，各国的名字服务系统不受制于任何国家以及任何国际组织，可以独立存在，类似于国家茂盛，可以遵循国际策略，可以多边协商，可以双边协商。　　第二个是平等权，确保各国的网络之间可以平等的方式进行互联互通，要像民航航线一样相互对等地开辟互联互通的航线，互联互通不能成为单方受惠的建设模式，目前的互联网的国际介入受制于大的国际运营商，如Sprint公司，因其在国际上具有隆重的地位，致使互联网规模小的国家在介入时往往会受到不平等的待遇，　　再一个要确保各国对网络系统具有不平等的管理权，要保证一国对本国互联网的管理不会伤及到其他的国家，现有的互联网相互依赖过度，互联网强势国家所制定的政策可能波及其接受服务的国家。　　再一个自卫权，网域空间已经受到各国所重视，我们都知道美国的三大战略，核战略，太空战略，网域战略，目前的五大战场已经是领海领土领空领天，领网络，已经要保护网络了，现在要做的系统要确保网络系统可以处于自我保护之下的，而不是依赖于它国进行保护，不应该有境外系统被攻击致使本国网络瘫痪的情况发生。本国要拥有对网络攻击的自卫能力的话，一定要拥有隔离能力。　　最后一个就是管辖权，首先要拥有对本国网络系统的管理能力，网络的接入要能够实施市场准入机制，非授权子网应该不能够接入到网络中，要具备发现非授权接入网络的能力，对网络的接入要能够事后终止，对于不服从管理业务应该具有停止服务的能力。现有的系统不具有这样的能力，例如谷歌退出中国基本上不影响向中国所提供的服务。我们知道国际上面有一个概念是河床与河水的概念，水是没有主权的概念了，物理社会中国家对河床拥有主权，尽管河水来自上游国家，但上游国家不能输出被污染的河水。　　最后我总结一下，第一个四是内容安全，数据安全，运行安全，物理安全，对应的是可控性，机密性，可鉴别性，可用性，就是要建可控的网，可信的网，建安全的网，建可靠的网。要保证我们的安全确保，从软件确保，到系统确保，服务确保，到使命确保。最后一个网络主权，独立权，平等权，自卫权，管辖权是跟
它们相应对立的，我的报告完了，谢谢。