如果我们把信息安全比作喷发的火山,那么作为火山岩浆动力支撑的,应该是那些沉浸在底层涌动着的信息安全理论研究。由于这些年信息安全在全社会显得过于炽热,因而那些潜伏在底层的信息安全理论研究反而不为人们所知,甚至受到人们的忽视。
信息安全的阶段性假说
信息安全的理论问题是一个复杂的问题,表现在纯技术理论和综合战略理论等诸多方面。
在二十世纪的大部份时间,人们认为信息安全就是通信保密,针对专业化的攻击手段,采用的保护措施就是加密,把密码算法的强度做够就行了。什么是安全的?胜过攻击就是安全的。这个时期被称为通信保密(COMSEC)时代,其标志是1949年Shannon发表的《保密通信的信息理论》。这个时期的理论是建立在香农的《信息论》理论基础之上的。到了二十世纪九十年代前后,随着信息的发展和互联网的兴起,人们逐步意识到数字化信息除了有保密性的需要外,还有信息的完整性、信息和信息系统的可用性需求,因此明确提出了信息安全就是要保证信息的保密性、完整性和可用性。这一时期被描述为网络和信息安全阶段,其最基础的构件是CIA模型。详细划分的话又可前后两个区分,先是INFOSEC时期,其标志是1977年美国国家标准局公布的国家数据加密标准(DES)和1983年美国国防部公布的可信计算机系统评价准则(TCSEC)。此后从九十年代后期开始,信息安全在原来的概念上增加了信息和系统的可控性、信息行为的不可否认性要求,同时,人们也开始认识到安全的概念已经不局限于信息的保护,人们需要的是对整个信息和信息系统的保护和防御,包括对信息系统的保护、检测、反应和恢复能力,除了要重视提高安全预警能力、系统的入侵检测能力,系统的事件反应能力和系统遭到入侵引起破坏的快速快速恢复能力。安全表现为系统的安全,在这个阶段,主要面对的是威胁。什么是安全?能够应对这些威胁就是安全的。网络和信息安全以完整性策略为主,所用的基本技术是防火墙、VPN加密隧道、IDS入侵检测、防病毒等,因此其基础技术是防护技术。网络属于公共设施,一般不划分等级,只有采取了防护措施或没有采取防护措施之分,如:以防火墙保护的称SIPRNET,而没有防火墙保护的称NIPRNET等。
现在,信息安全已经进入了一个全新时期,有人把它称为网络化社会的集体安全阶段,信息安全也常常为信息保障取而代之。对这一从优的描述现在看来还不够完全统一,如区别于传统的加密、身份认证、访问控制、防火墙、安全路由等技术,美国人提出的信息保障概念强调信息系统整个生命周期的防御和恢复,同时安全问题的出现和解决方案也超越了纯技术范畴。由此形成了包括预警、保护、检测、反应和恢复五个环节的信息保障概念,即信息保障的WPDRR模型,它以美国国家安全局制定的《信息保障技术框架》(IATF)为标志,其核心思想是深层防御战略(Defense in Depth),它采用一个层次化的、多样性的安全措施为保障用户信息及信息系统的安全人、技术和操作是三个主要核心因素,包括了主机、网络、系统边界和支撑性基础设施等多个网络环节之中如何实现预警、保护、检测、反应和恢复(WPDRR)这五个安全内容。
也有人反现代信息安全表述为一个综合利用了数学、物理、管理、通信和计算机等诸多学科成果的交叉学科领域,是物理安全、网络安全、数据安全、信息内容安全、信息基础设施安全与公共信息安全、国家信息安全的总和。
最近,美国总统咨询委员会的一份紧急报告中认为,现在信息安全已进入网络世界的安全阶段(Cyber security)。南湘浩教授在《新一代安全》一文中强调,网络世界安全的最基本需求是赖于可信性建立的秩序。网络世界安全的基本构件可以用C3MSE来概括:即certification(认证)、control(控制)、confrontation(对抗)、management(管理)、supervision(监察)和emergency(应急)等六个方面。
吴世忠研究员最近提出了网络化社会的安全概念。他认为在整个技术社会化的时期,安全体现为一种集体的安全,它针对的是风险。面对不断出现的复杂情况和问题,原有的理论已经很难作出令人满意的回答,因而信息安全的发燕尾服迫切呼唤新的安全理论。
理论必须避免浮躁
在回顾信息安全界的前辈们所做的工作时,翟起滨教授深有感慨地说:在商用密码还没有沸沸扬扬的时候,也就是上世纪七八十年代,国内的一引起研究机构,由于一些特殊部门的需要,集中了一批科学家做了一些深层次的、比较前沿的密码理论研究,而且这些理论者是有的放矢,取得了一些研究成果和理论文章,这些前辈们所做的工作在国际上是一流的。李国杰院士在中国信息科学技术发展概论中也指出,我国科技工作者完全自主地研究实现了我国的信息密码算法与体系,密码学研究已进入国际前列。信息安全国家重点实验室等单位在信息安全、密码学研究等方面已取得一系列重大成果。代数方法是研究现代密码系统的重要方法之一,我国学者主要利用代数方法对密码问题进行了深刻刻划,这些成果对认证码、序列密码和公钥的设计和分析提供了重要的理论。
进入上世纪九十年代,一些国家信息安全的重大专项相继出台。“十五”期间开始实施的国家自然科学基金中将信息安全列为首批启动的四个重大研究计划之一;国家科技部“863计划从九十年代后期开始设立信息安全战略专家组,此后又反信息安全作为信息技术领域下面的四个主题之一;国家重点基础研究发展计划(“973计划”)中也有专门针对信息安全与编码理论的部分;科技部于2002年正式启动的总投入经费50多他元的12个重大科技专项,其信息安全即为其中一项。此外还有一些其他的国家项目陆续问世,这些国家项目的一个侧重点就在于鼓励和扶持信息安全的理论与技术研究。
但是综合来看,我们国家的信息安全研究与先进国家差距还是很大的。吕述望教授告诉记者,我们的第一个密码学讲义一直到上世纪六十年代后期才出现。这些年,我国学者在国际学术会议上很少有影响力的论文发表,分散在科研院所、院校和国家信息安全重点实验室、工程研究中民诉力量,加上一些企业的三发力量和民间的一些研究者,也许从总的从数上并不少,但实力还是比较薄弱。支年册东大学的王小云教授在国际密码学会议上发表的MD5的碰撞研究曾引起了国际范围的轰动,但这种局面只是少有的个案。
翟起滨教授强调,目前我们的研究界普遍比较浮躁,不能沉下心来认真做学问,所发表的论文更多地是对国外一些现成理论的重新“编辑集成”,属于原创的东西很少,甚至非常罕见。丁时孙先生有一次在演讲中指出,我们的论文有95%以上都应该扔在垃圾篓里。我们的一些学术会议也存在走过场的现象。另一种现象就是,研究严重地脱离实际,搞浮夸,重学历,讲等级。他特别举了一人例子:国际密码学专家Berson先生在国外的名片上只有简单的“ANAGRAM实验室主任”这一个头衔,而在中国,他们名片上除此之外就加上了“国际密码研究学会院士、前主席,IEEE信息安全委员会前主席,剑桥大学数学院士,博士教授”等一大堆令人目眩的头衔和荣誉称号。他说,在中国办好这样,要不然人家会不以为然的,因为他在中国所见到的名片上都是写得密密麻麻的。
理论超越从何做起
实际上,上述问题并非信息安全界所独有。问题的另一个重要的地方在于,我们现在的信息安全界过去一直在实践层面上做文章,真正的信息安全理论可以说还是一个空缺。这是从理论问题比较深层次的角度来考虑的。在对先贤们所做的工作和现状进行了回顾和分析以后,我们又回到了前面提出的三个理论核心问题上来:什么是安全?谁的安全?如何提供安全?这些问题的回答决定着我们需要的是什么样的理论这一关键,因为它涉及到信息安全的本源问题。在香家之后,后人做了很多努力,尤其在欧美有大量的信息安全理论研究专家,从微观宏观方面进行研究,比如说重要的机构——美国国防部,包括欧洲的经合组织,社会性的研究所,包括我们国家在内都在研究。坦率地讲,信息安全的理论问题在国际上也是一样的,也很难讲有一个完事的理论,只是说国外走得超前一些。这些理论还要包括一些原理、原则,包括名种名样的模型(实现安全的手段),还有标准(追求最佳的实践),指标和度量等等。
吴世忠研究员强调指出,安全性理论的研究,不论中国也好、外国也好,它和战略与对策的研究关联性极大。为什么要从战略上来研究呢,就是因为信息安全已经变为信体安全现在理论的研究,如果不从信息安全的本源上作研究,是很难谈得上有什么建树的,不过是验证一些东西,破解一引起东西而已。现在我们考虑解决信息安全问题一定要融合经济学、社会学、伦理学、政治学等各方面的因素进行研究,就像我们研究环境问题一样。为什么何德全院士提出用复杂巨系统理论综合研究呢,因为它是集体的安全了,和政治安全、经济安全、文化安全一样,这类安全都不是单一的学科能够解决的,一定是在一个大的背景下异型的。如果我们不能跳出这个圈子,就把它的位置摆错了。为什么讲理论研究和战略研究、对策研究关联性极强呢,这是因为现在战略研究、对策研究的兴起是对传统的理论研究的超越,这是历史性的超越,是在批判基础上的超越。
吴世忠认为,信息安全的核心理论问题有很多种表现形式,而这些安全的表现形式恰恰是整个社会发展以及每一个国家政府或技术研究界都必须回答的一些问题。这也是作为任何一种集体安全都要研究的,作为一种科学理论需要回答的。比如在网络化的社会里而如何谋求到公共的安全、合作的安全、综合的安全、相互依存的安全。现在信息安全是事关信息化社会的安全,所以它是个集体的安全,它绝不是指某一个具体的安全。我们下面所谈的、社会上谈的都是企业的安全,做个防火墙就完了。安全产业的发展因为缺乏理论的引导,几大件做完就感到没什么做头了。坦率地讲,从通信保密、信息安全、系统安全以后,在网络化社会的安全阶段,技术仅仅是微乎其微的一个因素,它是状误况、风险和成本的综合体。到目前为止,国内对这种信息安全理论的思索基本上还没有,还只是在实践的层面上徘徊。尽管国际上也在提这个问题,但即便是美国商界也缺乏这个东西,这是个全球性的问题。
微观的实践突不破原来的那些个理论。对于信息安全为什么变成了信息安全保障的问题,这是一个很大的理论转变,但很多人没回答清楚。信息安全的经济模型是什么,社会模型是什么,做理论研究就要把它的相互关系讲清楚,就像社会学把人当作社会的人,经济学把人当作经济的人一样,当前的信息安全一定要把安全和社会紧密结合,把它放在一个集体安全的范围去考虑。保障是一种集体化行为,是一种社会化行为,所以现在的信息安全绝不是单纯的技术行为,否则就很难适应现实的需要,也很难有所突破和超越。现在理论界是急需做这方面探索的时候了。
理论之树长青
信息安全的理论问题是一个形而上学的问题,研究者既需要有科学发展的战略眼光,也需要有沉湎于科学研究的踏实态度。
现在信息安全正在经历一个重要的发展时期,大量的信息安全实践为理论研究提供了丰富和充足的素材,为信息安全理论研究创造了实现创新的前提条件。人们期待着信息安全理论能够在此基础上实现突破,能够走出理论滞后于实践、理论脱离实践的误区,引导信息安全走向健康和可持续的发展的轨道。马克思曾经说过:“理论一经掌握群众,也会变成物质力量。理论只要说服人,就能掌握群众;理论只要彻底,就能说服人。”纵观西方科学发展历程,由于理论研究推动和促进技术和社会发展的例子不胜枚举。19世纪中叶,英国的亚当斯和法国的勒威耶通过天体力学知识和天文观测资料,成功地推算了出了太阳系中的第八颗行星——海王星的轨道、质量和当时的位置。依据这一推算,柏林天文台的人员用望远镜只用了30分钟就发现了这一新的行星。为此,人们把这颗行星称之为从笔尖上发现的行星,并称这一发现是“各次行星的发现中最为辉煌的一次”,因为过去所有行星的发现还都是通过肉眼在茫茫太空中漫无边际的探索中偶然所得。
如果我们的信息安全界在理论上不能创新,只怕也会像在无边的太空中搜寻新星一样积效甚微。为此,我们的理论界有责任和义务承担起时代赋予的重任。让信息安全的理论之树长青,使信息安全大厦能够经得起未来狂风巨浪的冲击。
早在两百年前思想家歌德就曾说过:——由于理论自身的艰深和枯燥,研究它的人若非出于喜爱,且耐得住寂寞。痛下苦功,鲜有蹶然而成气候的。早期的通信保密和信息安全理论研究因为特殊的时代背景,很少对外公布,很多人的工作终其一生也不为人们所知。现在的情况与过去相比,发生了巨大的变化。信息交换已从特殊部门的需要迅速扩展为一种社会化的需要,信息安全的功能也随之面目一新。而且令人始料不及的是,由于现代社会信息技术已成为时代宠儿,信息安全也自然而然地与大行其道的IT业一样承载着时代的辉煌和荣耀。就连那些过去习惯于隐姓埋名的信息安全专家们,也被各种信息安全会议纠缠不休,不仅大受尊宠,而且应接不暇。
现在的问题早已不再是信息安全如何受到重视的问题,而是在它表面繁荣的掩盖下,存在着哪些危机,这些危机在多大程度上将阻碍信息安全的发展。我们曾经探讨过信息安全产业存在的问题。在目前的市场上,企业做来做去还是那几样东西,且有数据表明,现在的威胁不但未减还呈上升的趋势。不见树木?在接下来的时间里企业究竟该如何发展,存在着很多的困惑。很显然,理论上的苍白,必然带来实践上的盲目。信息安全理论和实践这一哲学范畴目前存在着尖锐的矛盾冲突。
这么多年来,我们的信息安全可以说一直是在实践当中探索,很少触及到信息安全理论问题。这是因为信息安全本身所面临的问题都是从现实中产生出来的问题,而在高速发展的社会环境下,大家来不及做深入的理论思考,只好通过实践来探索,按照头痛医头、脚痛医脚的模式,采用技术的方法来解决安全问题。这种实践有两个来源,一是我们自己的传统,即原来的通信保密,另一个是国外的来源,即把国外的一些东西拿过来套用。可以说,目前的实践已大大超前于理论发展的速度,从而形成严重的倒位。
正是因为信息安全本身的问题发生了显著变化,原有的理论难以给出满意的回答,在这种情况下,发展了的信息安全理论需要就显得尤为重要和迫切。托马斯-库恩在科学革命的范式中说得很清楚:新的理论能否出来,一定要有实践变化的促因。实践的变化必然引出新理论。那么这些理论需要而且必须回答的核心的问题实际上是三个问题:什么是安全?谁的安全?如何提供安全?