我的位置 首页  >  新闻动态  >  国内新闻

安络科技CEO谢朝霞:创造安全新作用

来源:科技成果转化中心时间:2018-09-15
      

在安全理论的殿堂里,中国古代的安全大师们往往都是那些杰出的军事家、政治家。这些人用自己的成败生死来揭示安全的规律。其中,诸葛亮就是一位为安全事业付出了全部的大师。

当初,诸葛亮所在的蜀国易守难攻。李白的《蜀道难》也有言:“蜀道之难,难于上青天”。但是,诸葛亮在前后两篇《出师表》中,却表现出了强烈的忧患意识。他认识到,偏安于一隅是最大的不安全,不北伐就是坐以待毙。这个“以攻为守”的思想在当时还是很先进的。但是,到了最后,北伐还是没有成功,只留下“鞠躬尽瘁死而后已”的传说。这是因为当时四川盆地缺乏发展后劲,支撑不了诸葛亮下那么大一盘棋。这个故事告诉我们,发展与安全不是一对矛盾,而是相辅相成的。因此,解决安全问题,一定要把发展纳入进来统筹考虑。怎样才能兼顾安全和发展呢?我认为,创新是解决网络安全的总办法,可以兼顾安全和发展。

现在,计算机已经变得相当复杂,成为现代工业创新的登峰造极之作,是人类有史以来创造的最精密最复杂的仪器,没有之一。计算机软硬件及语言,形成了与生俱来的层次化体系。这个结构就像造物主之手,通过进化把计算机技术不断推向极致。不过,现在的人只管使用,很少有人去关心那些最本质最底层的工作原理。

从网络到底层的运作是这样的:我们通过浏览器看到的网站,是通过访问一个IP协议地址和这个地址的80端口在交换数据包。这个网站内容提供的服务,就是该网站服务器上的一个网络服务(web server)程序提供的。再往下,是网络驱动程序、网卡驱动程序。这些驱动程序又是建立在操作系统上面。操作系统再往下走,就是CPU、内存条、硬盘、网卡的芯片固件程序。固件程序再往下走,是各种封装好的大规模集成电路,而这些大规模集成电路又是建立在各种二级管、三级管的并联、串联小电路上。到了最底层,是电效应、磁效应、光效应,比如电荷守恒定律和电流效应,巨磁电阻原理和磁效应这些物理效应和原理。

从上述描述看,计算机技术最底层的本质来自电流的接通和断路,通过1和0的调用,形成最基本的程序和记忆。通过反复对这些电子效应的递归调用,形成了更高阶的功能和更多封装的细节。而且,每一步往上走的封装和抽象都是创新。现在,电子消费品、计算机网络产品,都建立在这样的封装、调用和组合上。

我们的结论是:创新不是无中生有,其本质是对技术自身的递归调用和编程,是对技术元素自身的组合和集成。我们可以把创新理解成技术元素的化学作用。底层技术是无机化学,高阶技术是高分子有机化学。

这个结论对网络安全有什么启发呢?通过计算机网络层次体系架构可以看到,攻击者最初也是要从网络应用层寻找机会,进入到系统层,其目标往往是数据库和文件。为了能够长久获得这些资源,攻击者需要在物理层、系统层和应用层等各个层面隐藏起来。在任何一个层次,我们都有对付攻击者的手段和办法,把这些技术元素进行合理组合、封装和集成,就是网络安全的创新。

网络安全需求的本质是什么呢?需求代表要获得某种东西。网络安全需求的本质无外乎获得。真正的需求无外乎获得物质体验和精神满足。追回损失是物质体验;减少痛苦和麻烦、让人有面子,抓到犯罪嫌疑人,是精神体验。网络安全要围绕这些获得体验研究用户的需求。从这个意义上说,满足用户需求要做加法,靠的就是创新,甚至可以说,网络安全需求的本质,是创新。

如果用另外一种方式表达到底哪些是网络安全需求的话,可以说,凡是可以通过网络对公民安全、社会安全和国家安全进行侵害的违法行为,都是网络安全要面对的需求。因此,网络安全需求的内容,都写在法律法规里,尤其是在《刑法》中。《刑法》中共有469个罪名,其中的130个罪名的行为可以借助或通过网络实施。从这个意义上讲,网络安全行业还有很多人都停留在非法侵入计算机信息系统罪、非法获取计算机信息系统数据罪和非法控制计算机信息系统罪等少数几个罪名。去年,网络安全行业产值中,超过60%的收入是来自对这几个罪名的防范所产生的价值。在网络空间战场,要攻防兼备。但是,保障安全比发动攻击难。制定防守方针,对攻击者发动攻击,实现战场前移,这是解决问题的总办法。但是,围绕积极防御战略,需要解决远程取证、网络对抗这些手段的合法性问题。

网络安全技术创新怎样实现?从来没见任何一本网络安全技术的书籍不谈网络攻击。因此,网络攻击技术本身是网络安全技术不可分割的一部分,也是网络安全人员不能不掌握的能力。只有对网络攻防所有的技术元素全面掌握了,才算得上一个合格的网安团队。

攻防四象限想表达的是,所谓的知己知彼的安全解决方案,还是不全面的,只考虑了一三两个象限。然而,攻防元素表想表达的是,攻击手段和防守手段都是安全元素,但是,攻击手段远远比安全手段活跃,防守手段远远没有攻击手段多。其中,安全产品没有安全漏洞多。

对攻击方而言,进攻技术元素的组合十分自由,十分方便。对防守方而言,安全元素的组合却不是那么容易和方便。攻击永远比安全自由度大。值得一提的是,是攻防双方都要经常用到的能力。此外,防守方如果能越界使用攻击方的技术,攻击方能越界使用防守方的技术,双方的能力都能得到大大增强。

网络安全技术的发展已经有近30年的历史,但是,安全技术的创新并不多。如果我们把攻防两端割裂来看,会发现,攻击技术的创新速度比防守技术来得快。这是一种狭隘的理解。实际上,网络安全从来都不缺乏创新。技术是中性的,攻击技术的创新同样属于网络安全,只有防守技术的网络安全是片面的。未来,网络安全技术创新应该立足于最活跃攻防技术元素的调用和组合,通过创新的化学反应创造网安技术的新作用,这些新作用包括网络空间治理技术、舆情治理技术、隐私保护技术和知识产权保护技术等。

如何利用好网络安全所有的技术元素呢?这就需要把各种碎片化的攻防技术封装起来,形成标准零部件,再逐步建立层次化模块化的体系结构,形成一套能不断促进技术进化的现代网络安全工业体系。另外,人工智能技术怎样和网络安全技术融合、法律如何与网安技术结合等问题,以及由此形成更多的新作用、新体验等,值得思考。



文章来源:中国信息安全



       (科技成果转化中心供稿)