從互聯網到(dào)網絡空間
二十世紀後期有兩項最重大(dà)的(de)戰略工程,由美國(guó)人(rén)發起并且實施的(de),全球都因此受惠,一(yī / yì /yí)個(gè)是(shì)星球大(dà)戰計劃,另一(yī / yì /yí)個(gè),就(jiù)是(shì)互聯網計劃,互聯網逐步發展、影響了(le/liǎo)社會的(de)各個(gè)方面。
互聯網的(de)核心是(shì)它的(de)體系結構,網絡層承上(shàng)啓下,保證全網通達,是(shì)體系結構的(de)核心。互聯網之(zhī)所以(yǐ)打敗其它的(de)網絡體系機構,形成獨樹一(yī / yì /yí)幟的(de)體系結構,最重要(yào / yāo)的(de)是(shì)在(zài)網絡層發揮了(le/liǎo)重要(yào / yāo)作用。互聯網最大(dà)的(de)特點就(jiù)是(shì),它是(shì)一(yī / yì /yí)種無連接數據交換技術,可以(yǐ)包容幾乎所有的(de)通訊和(hé / huò)網絡技術,所有的(de)網絡技術和(hé / huò)通訊技術都可以(yǐ)爲(wéi / wèi)它所用。第二,對上(shàng)層的(de)由用戶提供豐富多彩的(de)網絡應用,才使得互聯網有今天的(de)繁榮。
當然,互聯網在(zài)發展中還有一(yī / yì /yí)個(gè)非常重要(yào / yāo)的(de)特點,那就(jiù)是(shì),它是(shì)一(yī / yì /yí)個(gè)不(bù)斷演進和(hé / huò)發展的(de)過程。互聯網在(zài)演進和(hé / huò)發展的(de)過程中,不(bù)斷地(dì / de)解決存在(zài)的(de)問題,其中可擴展性、安全性、高性能、移動性、實時(shí)性,是(shì)互聯網要(yào / yāo)分别解決的(de)具體問題。互聯網的(de)安全問題,在(zài)整個(gè)互聯網發展的(de)曆程當中越來(lái)越重要(yào / yāo),雖然不(bù)斷地(dì / de)優化不(bù)斷地(dì / de)解決各類問題,然而(ér),直至今天仍有諸多挑戰。
爲(wéi / wèi)了(le/liǎo)解決這(zhè)些挑戰,互聯網安全研究者可以(yǐ)從三個(gè)方面來(lái)開展研究:第一(yī / yì /yí),建設大(dà)規模的(de)示範工程,由示範工程來(lái)驗證和(hé / huò)實驗新技術的(de)正确性。新技術經過一(yī / yì /yí)定的(de)規模和(hé / huò)一(yī / yì /yí)定的(de)驗證以(yǐ)後,才能進入現網;第二,網絡的(de)核心裝備。互聯網的(de)交換路由設備,不(bù)斷超越摩爾定律,超大(dà)容量的(de)路由系統将進一(yī / yì /yí)步爲(wéi / wèi)IP網絡的(de)演進加速;第三,路由控制。互聯網最大(dà)的(de)難題是(shì)它要(yào / yāo)滿足所有需求,現在(zài)的(de)互聯網是(shì)爲(wéi / wèi)了(le/liǎo)達到(dào)平衡的(de)一(yī / yì /yí)個(gè)産物,并實現更大(dà)範圍内的(de)互聯互通,這(zhè)就(jiù)是(shì)梅特卡夫法則,隻有形成規模才有價值。
以(yǐ)上(shàng)三個(gè)方面是(shì)研究互聯網和(hé / huò)互聯網安全,或者說(shuō)網絡空間的(de)一(yī / yì /yí)個(gè)核心内容。
網絡空間的(de)出(chū)現和(hé / huò)基本内涵
網絡空間是(shì)怎麽産生的(de)?1991年9月号《科學美國(guó)人(rén)》出(chū)版《通信、計算機和(hé / huò)網絡》專刊,第一(yī / yì /yí)次出(chū)現"網絡空間Cyberspace",什麽是(shì)Cyberspace(網絡空間)?美國(guó)國(guó)家安全54号總統令和(hé / huò)國(guó)土安全23号總統令對Cyberspace的(de)定義是(shì):"連接各種信息技術的(de)網絡,包括互聯網、各種電信網、各種計算機系統,及各類關鍵工業中的(de)各種嵌入式處理器和(hé / huò)控制器。在(zài)使用該術語時(shí)還應該涉及虛拟信息環境,以(yǐ)及人(rén)和(hé / huò)人(rén)間的(de)相互影響。"
關于(yú)Cyberspace的(de)基礎設施,是(shì)非常大(dà)的(de)範圍。底層爲(wéi / wèi)CyberInfrastructure,即基礎設施,包括了(le/liǎo)現在(zài)的(de)互聯網,也(yě)包括控制系統,計算機的(de)硬件和(hé / huò)軟件,以(yǐ)及各種服務。在(zài)此之(zhī)上(shàng),是(shì)物理的(de)Infrastructure,包括光纖通訊,各種通訊技術以(yǐ)及上(shàng)層各種各樣的(de)應用技術。
在(zài)這(zhè)個(gè)架構中,我們可以(yǐ)看到(dào),互聯網是(shì)網絡空間重要(yào / yāo)的(de)基礎設施。互聯網本身是(shì)計算機科學發展起來(lái)的(de),就(jiù)是(shì)用計算機聯網形成的(de),所以(yǐ)互聯網計算機是(shì)Cyberspace最基本的(de)元素。但是(shì)在(zài)這(zhè)個(gè)基礎之(zhī)上(shàng),又向高層發展。
最近兩年提出(chū)的(de)互聯網+是(shì)另一(yī / yì /yí)個(gè)層次的(de)問題,有金融、有能源、有工業等等,互聯網+才是(shì)互聯網向網絡空間擴展最重要(yào / yāo)的(de)一(yī / yì /yí)個(gè)動作。在(zài)政府工作報告的(de)文件裏,互聯網+的(de)定義是(shì),把互聯網創新成果與經濟社會各領域深度融合,推動技術進步、效力提升和(hé / huò)組織變革,提升實力經濟的(de)創新力和(hé / huò)生産力,形成更廣泛的(de)一(yī / yì /yí)個(gè)互聯網基礎設施和(hé / huò)創新要(yào / yāo)素的(de)經濟社會發展的(de)新形态。這(zhè)是(shì)它的(de)确切定義,它與網絡空間的(de)定義是(shì)非常吻合的(de)。
網絡空間安全面臨的(de)主要(yào / yāo)挑戰和(hé / huò)特點
互聯網的(de)規模越來(lái)越大(dà),網絡空間安全的(de)挑戰是(shì)非常明顯的(de)。
第一(yī / yì /yí),它是(shì)整體性的(de),不(bù)可分割的(de),許多網絡威脅涉及網絡空間的(de)各個(gè)方面,計算系統方面、網絡方面、應用方面等等。
第二,網絡空間安全的(de)問題越來(lái)越動态了(le/liǎo),已經不(bù)是(shì)靜态的(de)了(le/liǎo)。網絡本身的(de)管理就(jiù)是(shì)一(yī / yì /yí)個(gè)巨大(dà)的(de)難題,很多網絡故障是(shì)不(bù)能重現的(de),網絡安全上(shàng)更是(shì)難上(shàng)加難。所以(yǐ)很多網絡空間安全的(de)事件是(shì)動态發生的(de),很多時(shí)候是(shì)不(bù)能重複的(de),這(zhè)爲(wéi / wèi)解決這(zhè)些問題帶來(lái)極大(dà)的(de)挑戰。
第三,網絡本身是(shì)越開放越大(dà),其價值就(jiù)越高。而(ér)從解決安全問題角度來(lái)說(shuō),越小越封閉是(shì)越好解決,然而(ér)網絡安全事件一(yī / yì /yí)定是(shì)發生在(zài)開放環境下,不(bù)是(shì)發生在(zài)封閉環境下的(de),因此難以(yǐ)跟蹤,難以(yǐ)溯源,這(zhè)給解決問題帶來(lái)極大(dà)挑戰。
第四,整個(gè)網絡的(de)安全要(yào / yāo)有高成本的(de)投入,任何解決方案都是(shì)相對的(de),在(zài)相對成本的(de)情況下,如何盡可能讓它安全,是(shì)另外一(yī / yì /yí)個(gè)需要(yào / yāo)平衡的(de)問題。
第五,許多網絡安全問題具備共性,是(shì)共通的(de),不(bù)是(shì)孤立的(de)。這(zhè)是(shì)全球化的(de)問題,是(shì)共性的(de)問題多,國(guó)際化的(de)東西多,關聯性的(de)東西多。
以(yǐ)上(shàng)這(zhè)些挑戰使得網絡空間安全錯綜複雜。總的(de)來(lái)說(shuō),還有幾個(gè)方面的(de)研究值得關注。
第一(yī / yì /yí),網絡源地(dì / de)址驗證的(de)問題。這(zhè)是(shì)互聯網技術長期沒有解決的(de)問題,或者說(shuō)沒有很好解決的(de)問題。在(zài)互聯網中,所有傳輸的(de)數據,是(shì)根據目的(de)地(dì / de)來(lái)進行路由選擇,對源地(dì / de)址是(shì)不(bù)認證的(de),這(zhè)種機制使得可以(yǐ)假冒,可以(yǐ)仿照,劫持,帶來(lái)的(de)安全問題是(shì)巨大(dà)的(de)。
第二,大(dà)規模的(de)攻擊,域名的(de)劫持和(hé / huò)假冒,路由的(de)劫持和(hé / huò)假冒。這(zhè)些問題在(zài)互聯網中每天都在(zài)發生。還有其它典型的(de)安全挑戰,如數據的(de)完整性、身份認證,不(bù)可抵賴、保密、防護攻擊,當然這(zhè)隻涉及網絡本身的(de)安全問題,不(bù)涉及内容的(de)鑒别,不(bù)涉及密碼學,是(shì)由互聯網技術本身引起的(de)安全問題。
國(guó)家設立網絡空間安全一(yī / yì /yí)級學科
2014年的(de)網絡安全和(hé / huò)國(guó)家信息化工作中,國(guó)家明确提出(chū),要(yào / yāo)設立網絡空間安全系學科,要(yào / yāo)系統地(dì / de)培養高層次的(de)人(rén)才。2014年6月,國(guó)家成立網絡空間安全一(yī / yì /yí)級學科的(de)論證工作組,經過三四個(gè)月完成了(le/liǎo)初步的(de)論證報告,經過半年多的(de)征求意見,最後報告大(dà)概分爲(wéi / wèi)八個(gè)部分,簡單回顧一(yī / yì /yí)下前幾個(gè)部分。
第一(yī / yì /yí),基本概念。明确研究對象是(shì)網絡空間安全。研究網絡空間中的(de)安全威脅和(hé / huò)防護問題,包括基礎設施、信息系統的(de)安全和(hé / huò)可信,以(yǐ)及相關信息的(de)保密性、完整性、可用性、真實性和(hé / huò)可控性等相關理論和(hé / huò)技術。
第二,設置網絡空間安全一(yī / yì /yí)級學科的(de)必要(yào / yāo)性和(hé / huò)可行性。
從曆史上(shàng)看,信息學科,就(jiù)是(shì)一(yī / yì /yí)個(gè)不(bù)斷地(dì / de)像樹一(yī / yì /yí)樣分支成長的(de)一(yī / yì /yí)個(gè)狀态。
以(yǐ)清華大(dà)學爲(wéi / wèi)例,1956年,設立了(le/liǎo)計算機專業,至今整整六十年,計算機系的(de)第一(yī / yì /yí)任系主任鍾士模先生是(shì)1947年的(de)MIT的(de)電機系畢業的(de),當時(shí)是(shì)電機系的(de)教授。1958年成立自控系,自控系有兩個(gè)專業,自控專業和(hé / huò)計算機專業,1997年又産生了(le/liǎo)電子(zǐ)科學技術信息與通信控制工程兩個(gè)專業;2011年,又産生了(le/liǎo)軟件工程的(de)一(yī / yì /yí)級學科。
在(zài)論證報告中,明确成立網絡空間安全一(yī / yì /yí)級學科之(zhī)後,将逐步形成相對獨立、自成體系的(de)理論、知識基礎和(hé / huò)研究方法;可歸屬的(de)主要(yào / yāo)二級學科方向有:基礎理論、密碼學、系統安全、網絡安全、應用安全。
從國(guó)際上(shàng)看,美國(guó)很早就(jiù)已經有相關的(de)網絡空間安全的(de)教育課程計劃,美國(guó)聯邦政府制定了(le/liǎo)網絡空間安全教育計劃(NICE),涉及20個(gè)聯邦政府部門;美國(guó)國(guó)家安全局NSA委托CMU設立"信息安全保障教育和(hé / huò)學術教育中心",建立學士、碩士到(dào)博士的(de)教育體系。目前,國(guó)際約60所大(dà)學有網絡空間安全的(de)碩士學位,包括牛津大(dà)學、倫敦大(dà)學、南加州大(dà)學、新澤西理工等名校。在(zài)我國(guó),網絡空間安全學科已經有了(le/liǎo)一(yī / yì /yí)定的(de)基礎。2013年以(yǐ)前,國(guó)家教育部已經批準了(le/liǎo)96所大(dà)學設置信息安全專業,還有電子(zǐ)對抗的(de)保密管理專業等。
第三,二級學科方向的(de)關系。五個(gè)方向的(de)相互關系,這(zhè)是(shì)比較重要(yào / yāo)的(de)。安全基礎爲(wéi / wèi)其他(tā)方向的(de)研究提供理論、架構和(hé / huò)方法學指導;密碼學及應用是(shì)爲(wéi / wèi)系統/網絡/應用安全提供密碼安全機制;系統安全保證網絡空間中的(de)單元計算系統的(de)安全;網絡安全保證網絡自身和(hé / huò)傳輸信息的(de)安全;應用安全保證大(dà)型應用系統的(de)安全,也(yě)是(shì)安全的(de)綜合應用。
1.安全基礎。包括安全數學理論、安全體系結構、博弈理論制訂和(hé / huò)策略、标準和(hé / huò)評測以(yǐ)及人(rén)的(de)安全行爲(wéi / wèi)和(hé / huò)管理等。包括法律問題,傳播上(shàng)的(de)一(yī / yì /yí)些問題,都歸在(zài)這(zhè)個(gè)專業。
2.密碼學。密碼學不(bù)但包括傳統的(de)密碼學,也(yě)包括新的(de)密碼學發展,如量子(zǐ)密碼和(hé / huò)信息密碼等等。
3.系統安全。把計算系統的(de)安全獨立成章,成爲(wéi / wèi)一(yī / yì /yí)個(gè)方向,從芯片到(dào)硬件和(hé / huò)物理環境的(de)安全,以(yǐ)及系統軟件的(de)安全,惡意代碼分析和(hé / huò)防護都是(shì)和(hé / huò)系統有關的(de)。
4.網絡安全。通訊基礎設施和(hé / huò)物理環境的(de)安全,互聯網基礎設施的(de)安全,以(yǐ)及互聯網絡管理的(de)安全,網絡防護與主動防禦。
5.應用安全。包括了(le/liǎo)關鍵應用系統安全,物聯網和(hé / huò)工業控制的(de)安全,以(yǐ)及社會網絡的(de)安全,網絡信息内容的(de)安全,數據安全與隐私保護等等。
6.學科理論體系的(de)梳理。有網絡空間安全的(de)理論,系統安全理論、網絡安全理論,密碼理論,以(yǐ)及網絡空間安全應用等等。
7.知識體系的(de)梳理。
8.對需求分析進行了(le/liǎo)分析。近些年來(lái),國(guó)家對于(yú)網絡安全人(rén)才的(de)急需,尤其是(shì)高層次人(rén)才更加急需。
9.和(hé / huò)相近方面的(de)關系,網絡空間安全一(yī / yì /yí)級學科和(hé / huò)五個(gè)方面相關:數學、控制、軟件工程、信息通訊和(hé / huò)計算機科學技術。
2015年6月17日,國(guó)務院正式批複了(le/liǎo)一(yī / yì /yí)級學科的(de)設置,2016年1月28日,國(guó)家批準了(le/liǎo)首批29家一(yī / yì /yí)級學科和(hé / huò)博士點的(de)單位。今年将産生中國(guó)曆史上(shàng)網絡空間安全的(de)第一(yī / yì /yí)批博士生。
發展網絡空間安全的(de)若幹思考
第一(yī / yì /yí),認識非常重要(yào / yāo),有時(shí)候認識往往落後于(yú)我們的(de)行動,更大(dà)規模、更大(dà)範圍的(de)人(rén)們對這(zhè)件事情高度認識和(hé / huò)統一(yī / yì /yí),是(shì)很重要(yào / yāo)的(de)一(yī / yì /yí)個(gè)因素。
第二,在(zài)發展網絡空間安全的(de)時(shí)候一(yī / yì /yí)定要(yào / yāo)抓住和(hé / huò)安全相關的(de)基礎研究,和(hé / huò)核心技術相關的(de)工作。也(yě)就(jiù)是(shì)說(shuō),信息安全問題應該明确是(shì)負載在(zài)核心技術之(zhī)上(shàng)的(de),如果對核心技術不(bù)了(le/liǎo)解,不(bù)掌握,在(zài)網絡空間安全問題上(shàng),是(shì)沒有話語權的(de),包括互聯網系統應用,都存在(zài)着類似的(de)問題。
第三,目前網絡本身的(de)安全問題是(shì)比較突出(chū)的(de),它正在(zài)向IPv6的(de)新一(yī / yì /yí)代網絡演進,要(yào / yāo)抓住IPv6下一(yī / yì /yí)代互聯網發展的(de)機遇,實現跨越式發展。
第四,網絡安全是(shì)個(gè)軍民融合,非常具有鮮明特點的(de)工作。在(zài)美國(guó)已經被大(dà)量證實,中國(guó)也(yě)應該走這(zhè)條路。
第五,網絡空間安全人(rén)才,特别是(shì)高層次人(rén)才的(de)培養應當引起足夠的(de)重視。
(來(lái)源:《中國(guó)教育網絡》微信公衆号 本文根據中國(guó)工程院院士、清華大(dà)學教授吳建平在(zài)4月22日清華大(dà)學"網絡安全研究學術論壇"上(shàng)的(de)報告整理,未經本人(rén)審閱)