2024年12月28日 星期六

弗雷德•科恩:科学构建全球信息安全标准

  • 发布时间:2014-09-24 12:11:40  来源:中国网财经  作者:佚名  责任编辑:王磊


计算机病毒之父、弗雷德科恩公司首席执行官弗雷德•科恩

  中国网财经9月24日讯 9月24日至25日,亚太信息安全领域最权威的年度峰会——2014中国互联网安全大会(ISC 2014)在北京国家会议中心召开。

  大会由360互联网安全中心与互联网协会网络与信息安全工作委员会主办,国家计算机网络应急技术处理协调中心(CNCERT/CC)、中国信息安全测评中心、国家计算机病毒应急处理中心和中国互联网协会作为指导单位。

  ISC 2014大会主题为“互联世界,安全第一”,聚焦在互联网时代、大数据背景下的信息安全所面临的全新挑战和问题,峰会深入探讨了智慧城市、互联网金融、数字医疗、可穿戴计算等业界关心的问题。

  在今天上午召开的“产业领袖峰会”上,计算机病毒之父、弗雷德科恩公司首席执行官弗雷德•科恩做“Developing a Global Standard of Practice Supported by the Science of Information Protection”主题演讲。

  以下为科恩演讲全文:

  大家好!今天我们要阐述的话题是如何构建全球信息标准,我们如何通过科学的构建这样一个系统。这是我的一个摘要,大家可以在互联网上阅读,有中文版的PPT,大家现在在网上可以直接看到英文版的PPT。这里我要谈的是信息保护的艺术,合理决策,还会讲一下实践标准SOP的更新、思考和探讨。首先谈一下,我们恐惧和不确定性的怀疑的问题,我们简称为FUD。

  为了更好的理解为什么要说FUD,所有的业务都是为了赚钱,我们的计算机业务和电子商务都是为了赚钱,我们要了解赚钱是商业的主要目的,当然我们还要考虑到你是否能够安全的运营,如果不能安全服务和供给我们就会觉得受到了威胁。反之,我们不能做到很好的安全服务,谁会来购买你的产品呢?当然我们还要考虑的就是,我们怎么样向消费者推销我们的安全软件,这里有三个问题:恐惧、不确定性和怀疑的问题。

  恐惧就是坏事即将发生在你身上,已经在别人的身上发生过了,不确定性是你怎么知道自己是安全的,谁在看护你,第三是怀疑,不仅是你本身存在这个问题,即使是国家安全局也不能保证你的秘密。比如我购买每个产品,但是在美国你说相信我们吧,因为我们可以保证你的安全,但是你要知道现在我们在电脑安全方面是有很多不确定性的。所以,经常会有商家会说快来使用我们的产品,用了你就安全了,国家安全局都已经使用我们的产品了。所以,我们可以看到这个FUD就是人们普遍面临的一个问题,那也是我们现实面临的一个问题。

  无知并不等于幸福,很多的政府更倾向于攻击胜于防御,其实这是一个现实。它包括用于攻击的费用和用于防守的费用,哪个更多呢?其实攻击的费用更多一些,因为他们要收集情报,而且还要用于反间谍的费用会很高,最好的防御他们认为就是进攻,包括对情报的需求超过了对安全操作的需求。比如水的攻击、食品、燃料、电力等系统,这会在大量的基础设施之上,我们现在处于信息社会,计划年代,这些设施越来越依赖于信息系统,那么这些系统越来越依赖于电脑。

  我个人的观点,信息保护就是一门艺术,就像炼金术一样,信息保护更像一门艺术而不是基于科学进行的。比如说一个月40天,90天我们就会改一次密码,就像炼金术一样,安全防护的经验法则和概念就是这样,定期更改密码,安全防护措施也会越来越多,我个人的观点,我们认为更多是一个科学的方式,而是我们需要更多的测试,绝大多数的安全概念并不是理论,而是实践中我们有没有更好发挥作用的方法。很好的一个例子就是我的科学法则并没有真正的奏效。

  为什么要这样做呢?我们应该考虑合理性的决策,我们首先要知道百分之百的组织做的决策是什么样的?有什么样的选择?是不是选择项有限呢?也就是说你不能从零到一百确认你的电脑被袭击到底是处在什么样的阶段或比例,所以用于决策的因素只限于事实,这是很有限的,你必须要基于你在什么地方或者在什么样的情况下来做出明智的决定。你为什么要做出这样的选择,这是需要决定的,这是你具体的情境,你要做这些或者做那些,还包括一些基本的基础。这就是我们基本的运营方式。

  什么样的决策是科学的,目前没有,这是目前的状态,但将来很有可能会有,将来我们可能会让它奏效。例子就是说我们有很多的组织,他们有成熟的模型,他们认为可以有助于减少错误和遗漏,比如说我们有了电脑,并不代表能够保护你的安全和秘密,不是说有了电脑就是有秘密了,但是我们知道经常有了电脑还会有一些漏洞,很多人还会获取你的秘密,你的目的是什么?当然是希望能够有安全性,让其他人无法获得,这样的话我们就需要更成熟的模型帮助我们减少错误。最根本的一个属性就是能够减少这样一种所谓的透明性。

  保密性也是我们的目的,所谓的透明度其实是我们的进行决策设计时的一个重要的测量因子,所以我们需要进行更加科学和多元的研究,来进行修正,那就是在系统防护中是否有错误和遗漏的盲点,我们如何进行科学研究来明确这些方面呢?这就是我们现在面临的问题。我们现在所谓标准化的决策过程并不是真正完美的,你可以直接去下载一些标准化的流程,进行秘密保护,你可以直接阅读和使用它的操作方法,但并不是真正所谓的标准或者是万无一失的。比如现在我们有2700多人在使用这样的标准,我们就认为它是非常好的标准,比如在医疗体系当中也是一样的,很多人不会看看你的肩膀就知道你的问题,在安全体系也是一样,你进行所谓的诊断,你有了防火墙就可以解决这种袭击问题。但我们知道有了防火墙一样还会有病毒来解密或者是来打击这个防火墙。所以我们现在要做的事情就是要找到这个病毒的基本的数据库,然后问一些问题,基于我们现在的问题来使用同样的一种机器语言来解决这些问题。所以,我们要找到的这些答案一定是要合理的,我们必须要有专家来做出决策。所以,我们要更加有系统化的来操作这样一个流程。当我们为使用者来工作的时候,我们要进行调整。

  这是一个图片,那就是我们现在所谓的实践标准SoP。最上面是我们的业务如何操作的,大家可以看到我们如何做出决策。因为我们要预防的根本目的就是让我们的业务能够成功、顺利、流畅地运行,因为我们希望我们的业务能够成功运行,所以我们需要有这样一个标准,所以最上层就是我们要理解我们的业务。接下来就是左上角,我们的职责就是要进行保护,我们需要一些技术进行保护,你要理解你的职责,为什么要有这样的职责,这样你才能有非常合理的方式进行保护,你会有风险管理方式,能够把你的职责做出保护的决定,你要理解是什么,你要在操作的时候理清你的职责和功能所在,包括有些人会影响到其他人来做一些决策,那么这些人我们首先要分析,然后才去分析其他人做出什么样的举措,然后做出应对的反馈意见。

  当然我们还要进行架构的管控,技术的安全架构是我们要考虑的第三个层面,比如我们要考虑问责制的问题,以及我们如何获得信息的问题,如何做出信任的决策,我们为什么要信任他们,为什么要信任这个组织,是因为他们有长期合作的经验吗?历史吗?为什么?一旦我们理解了为什么才能做出决定。

  这里你做出决策是取决于你组织的能力、还是成熟度,如果你是很高风险就是红色这块,我们建议你就不要这么去操作,不管你做什么可能都是高风险的,那么这种情况下我们会让你更加谨慎。这样的话,你要做一些事情,看看是不是对你的组织有益,但是我认为你首先要了解这样做是不是合宜高风险的情况,当然还要考虑中等风险和低等风险的时候。我再次回到这个幻灯片,我还是相信科学,因为我之前有一个很好的对话,就是很多人对一些哲学,比我对哲学的理解要更多,因为我只是一个科学家,所以你必须要了解到一些实验能够带来的一些经验和标准,这样的话你才能够确保你做的是有依可循。

  如果你看我们现在做的一些案例,你可以了解很多的理论,他们都强调我们为什么要这么做的原因。我们这么做是因为其他人以前做过,当然还有一些其他的元素,也是我们觉得有很多数学方面的理论支持。比如在四十年代的时候,就会有一些信息流控制元素,还包括密码学元素,以及科恩实验表明的一些恶意软件的元素,还包括一些其他例外的情况。所以,我们认为现在即使我们的信息保护理论并不存在成熟的理论,我们听到过一些理论,但离我们现在的拓扑学和实践的情况并不能一一匹配,所以现在存在很多的错误,很多的错误都是实际存在着,都是在数学演算的时候存在着的,所以我们有很多问题需要研究,我们还需要更多的信息,比如流程控制中需要更多的信息才能更好的控制我们的运程的标程的流程,所以我们的探索实践是一个标准的出发点。

  现在很多都是关于恶意软件和病毒的,几千个、上万个。但是很少有理论告诉你什么是可用的,所以有很多理论,但你肯定要做一些研究,无论别人曾经告诉你哪些不好用,但总比没有好。还有其他的一些因素也是具有它的局限性。为了能够获得足够的信息来进行保护,我们必须要进行一百多个不同领域的理论的进展,这里我们不要说有更多的领域了,我们要明白怎么进行人力资源管理,我们知道如何管理库存或者是管理工作流,我们需要理解如何能够更好的控制信息以及使用,我们需要去理解如何去降低我们的这种脆弱度,我们需要了解怎样进行转移,等等几百个我们还不能理解的领域,为了把这个工作做好,我们必须把刚才说到的这些内容都得到良好的理解才行。

  所以,科学之下的一个机制实际上就是英国,通过一定的机制和原因可以产生影响,这是一个后续的基础。如果你需要一个科学的理论,必须要经过实验,我必须要做一个实验,这个实验的结果能证明一个理论是错误的,那么另外一个角度,就说明这个理论可能是对,也可能是错的,但我们知道,我们只能来证明如果出现不能用的这种情况下,这个理论才能是错的,这就是基本科学的一个理论。

  实验能够证明一个理论是错误的,但对于普遍的规律来说,实验并不能证明理论的正确性。当我们不知道如何来测量某些事物的时候,我们对于数字暂时没有能够从科学角度来证实的一些方法。另一点,当我们发现一个理论被推翻的时候,我们就会对理论做出调整或者尝试其他的一些理论。我这里给大家举一个例子,这是一个科学的理论——地平论。大家有多少人认为地球是平的,请大家举手?没有人这么想吧,为什么呢?400多年、500多年前所有人都认为地球是平的,之所以现在我们不认为地球是平的了,就是麦哲伦进行了环球履行,这已经被证实了,地球不是平的。在这之后没有人认为地球是平的,原因是这个理论有实践被证明是错误的。科学有证实世界是圆的,看起来也不是真,因为它也不是完全的圆,它还有一些椭圆,所以也要不断的调整我们的理论,我们现在得到的结果就更加的正确。但我肯定,不会有人去真的担心地球是圆的还是平的,因为大多数的这些建筑盖在这些圆的地球上,你也是可以把地给平好了,就可以盖大楼。

  这里我们再谈一下关于拒绝服务。问题在于我们怎么做呢,我们如何去解决拒绝服务的问题,这里我们的理论据我所知,Webster大学在这个方面有一些研究,Webster大学有一些研究和合作,你可以做这种拒绝服务,那么在sblve里面有一些拒绝服务的,为了帮助我们能够实现这种科学实验。拒绝服务的理论,也就是DoS的一个理论,就是资源枯竭造成拒绝服务。比如说,有这么多的资源,我用太多了,到最后就不剩下太多了,那么我的资源要耗尽了,这时候服务就会被拒绝,这也不算是某种程度的理论,应该是显而易见的,但是它就是一项理论。我们有不同的资源,所以,随着我们使用不同的资源,计算机就越来越慢,我们再去用服务就会被停止。这里是有一个线性资源使用的增长,直到性能和资源耗尽。我们必须对这个理论用一些科学的方法进行验证,我们在进行验证的时候要把一些资源鼓励出来,比如CPU时间、磁盘空间、内存空间、介质中的条目等等,对它进行隔离,我们可能一次有一百多个进程,一百多个进程中一次只用一个进程,两个三个四个,依次进行下去,来看看整个性能是不是下降了。我们用到101的时候可能所有东西就停止了,如果这样的话就确认了我们这样一个理论。 我们也用其他的资源再来进行验证。我们曾经做过一些实验,而我们发现在某种有限的程度下,它是有道理的,它不是一个完美的理论,但还是能够找到一些不同因素之间的互动。

  所以,我们在Webster大学,这是一所全球性大学,他们在五大洲都有课程,在中国有课程,在北京、哈尔滨和上海。所以一些商学院的学生可以去Webster大学学习一些课程然后回到中国。我们希望能够建立一个网络安全项目,同时也是希望能够是全球性的。我告诉过大家,这是科学实验条件比较简单,大家可以看到这个图片,我们这里是怎么做的呢?我们想看一下我们被度量的一些实验现象等到正确响应花费的时间,实验的结果是我们必须要知道如何测量实验结果,这样两个计算机,三个计算机,持续下去进行拒绝服务的测试,直到服务被拒绝,然后我们就会问一个问题。到底实验和理论是不是一致,我们希望能够进行科学的测量。在大学里面与一些研究生一起做这样一些研究,那就是说我们不见得以前真正尝试过这样一些问题的解决,对一些专业的学校来讲,他们不是真的自己去进行问题的解决,一般都是把问题提出来让学生去解决。这是一个实验室的任务,学生是不是能够找出自己的资源有哪些,然后做一些实验,然后进行单独的测试,进行组合的度量去看一下他们之间是不是相连的,能够建立一个预测的方程,然后为这个方程来找到一个参数,看一下这个等式是不是能够成立,如果不成的话再做出一个方程。我曾经有一些学生,他们在进行服务方程的验证是非常强的,我们这个结果甚至都可以发布给全世界。

  现在回到科学问题,我们在科学中不能只做参数的实验,我们需要反馈,在这个等式之后需要有一些反馈,要了解到对参数的控制,在更加复杂的环境中是不是可以使用,这些理论的更新,然后把结果进行公布,让其他人从中获益。下面我想给大家谈一下如何进行标准实践的实现。对于实践标准来讲有一百多个不同的元素,其中有一些是关于在资源耗尽方面的服务拒绝,这是比较细的内容,更多的告诉我们像DDoS的理论,我们知道如何减轻影响,我们知道如何实验的结果,我们要知道这些等式是不是可以用,取得我们的成功,如果我们找到更好的等式之后,我们必须要有数学方面的一些验证,但有时候出现问题的时候,我们提出一些问题,对这个理论进行证实。另外我们利用SoP把它进行科学化的扩展,但要更加广义的进行。

  因为整个标准实践是和我们之前的大学进行合作,我相信和中国也有合作,相信在中国的档案中也能查到一些实验的结果,中国作为一个代表方开始参与到全球研究中,就有来自30多个国家的专家来一起进行档案的管理,像政府的还有私营部门的。我们从标准的实践当中拿出很多公司多年以来的最佳实践,然后开始进行审阅管理和档案管理文献。基于我们的文献研究基础上,我们发现在计算机安全理念会存在一些问题,比如在透明度方面,之前我已经给大家提过了,如果你把所有的计算机安全文档都读一下,然后读一下这些标准的话,我并不认为你能找到任何关于透明度作为保护定义的这种论述,但它已经变得非常重要了。

  我们现在需要记录的系统是透明的,这样所有人对这个系统才会是信任的。我们现在考虑了透明度方面的问题,我们又从计算机安全的角度把透明度放了进来。但同时通过应用计算机安全到审阅档案管理里面,我们可以做更好的这种档案管理。我们可以把所有的计算机安全内容都融合在内,通过来增加对于档案的管理和保护,我们也增加了一些在信息保护方面的内容。

  我们对于标准实践进行了更新,专门针对档案管理的一些实践,然后对它进行这种相互的评审。希望能够应用SoP到全球已存的ARM实体中,所以下一个星期三我们将会做第一次的档案管理,我们将会把这个标准实践应用在这个档案之中,我们将会对全世界30多个不同的档案进行实践,看一下到底谁对于审阅管理和档案管理真正有用。如果不适用的话我们将会对它进行修改,如果确实能用的话,人们可以在ARM系统里做更好的实践,我们这些都是可以得到验证的。在下周之后我们将会对比成果,将会和研究生进行两个月的研究,可能还有另外的三年要继续研究,另外我们也会根据评论改写SoP,最后会发表在因特网上,全世界大家都可以来读,我们希望所有的人能够获得这样一个结果,来在ARM里使用这样一个最佳实践。

  这样一个研究的结果等于是更新、SoP,让SoP帮助我们反映最新的科学成果。这里有一个完全不同的例子,就是我们如何把科学和服务结合在一起,比如说保险业人们可以将风险和网络攻击进行转换,比如你可以安装一些防火墙,可以购买保险,让别人替你来做担保,这里在保险公司会面临一个问题,我应该收多少保费,我可以给你支付的保额又是多少。RISCO是一家保险公司,它开始提供网络安全保险,有很多的公司也开始和它共同担保,他们的声誉非常好,只要你花得钱够多都可以进行保险,他们还曾经对几十亿美元的卫星发射进行过保险,如果发射失败的话将会赔付20亿美元,后来发射成功了,所以这家公司从发射当中挣了10亿美元,但如果发射失败他们就要损失20亿美元,所以他们通过这种系统的方式来进行网络安全的保险。

  我们怎么做呢?我们和他们进行合作,我们应用刚才说的SoP评估放在网络保险中,我们也不知道能不能用,我们只能做科学的,我们也不知道未来有怎样的变化,我们只能进行最大的努力。这有一个最大的目标,当你买了这个保险后,你必须告诉保险公司你在做什么,你在采用的这种保障是什么样的。就像你想买车险的话,必须要告诉保险公司你的车是什么状况,可能在北京你的保费是要付更多,因为北京开车不太安全,如果是一些比较安全的地方,保费就会比较安全一些。你必须要告诉他们你在哪儿开车,是什么样子,另外是你的年龄,如果你是年轻人的话可能比老人支付的保费要多一些,因为老人可能开车更慢一些,我现在就开车更慢了。但我觉得你可以看得慢一些,这样就不会有太多的事故也不会对你伤害很大。

  之所以保险公司要了解,就是知道我比年轻人需要赔付的机率更小一些,因为有保险公司信息的这些报告,它就获得了一些信息。我想问一下,到底有多少在座的人了解在自己组织内部保护失败的一些情况,如果你知道的话请举手?如果你们知道在你们公司如果有安全问题存在的话,你知道有多少?没有人知道。这就是问题所在,因为你不知道风险保障能不能成功,你怎么能够改善呢?至少在现在很多组织了解他们自身的一些情况,但是暂时没有进行这种信息的分享,因为我们想保证它是一些保密的信息,肯定是有商业方面的原因的,但是你必须作为保险公司来讲需要知道这些内容,保险公司是需要进行几千个公司的保险,他们有足够的几千个公司关于这些问题的信息,看看他们是怎么做的,然后出现了一些什么问题的信息。

  现在我们就有潜力能够了解到这些保障措施出现了哪些问题,找到哪些保障措施是能够成功的,这是一个非常新的概念。现在人们有时候抱怨,决策者没有找到一个好的理由花钱,这个问题就在于为什么。我告诉大家我认为的原因是什么?这个原因在于没有人能够向别人去解释为什么这是一个好的投资,如果你告诉别人说,我想花一些钱做广告,他们可以说我每花在广告上的一美元都必须带给我两美元的销售,这样我能挣30美分,我才能够花10亿去做广告。如果你告诉他们安全方面的问题,他们就会说为什么我要花钱去做安全保障呢?你的答案是说,因为怕会出现一些问题,但他的答案是我不想付这个钱。假设你可以说,保险公司说了,如果我们用这一项措施的话,它可以花1亿美元,每年在保险当中要花5千万,当我知道我花了这些钱,每年都会就这项具体的保护技术挣钱的话,那可能他们就会做出他们的商业决定了。这不是基于担心或者恐惧,它是真的有实实在在的钱。所以,保险完全改变了整个事情的状况,也就是说如果你没有足够的信息获得数据的话,你就没有办法能够应对这些情况,公司对你来说其实就应该有足够的信息,然后再应对这个情况,你应该知道哪个保护措施是能够奏效的,以及在什么样的情况下是奏效的,这个改变其实就是要通过实践转化成一种科学,再通过工程学的方式能够让我们更好地做出保护的决策,不仅对每个公司,对每个保险还是对整个科学界都是一样的。因为我们认为科学也是存在很多的竞争者,每个人都在从长期的科学研究过程中彼此的竞争。所以,我们可以看到,企业可能会失利或者是亏损,所以,它要不断做出应对,去改进来适应新的不断变化的情境,当然还要不断的回到市场中做更好的应对。

  最后我还是想和大家讨论一下,我们能做些什么。我做了我能做的事情,我来到中国,鼓励大家和我们一起合作,我也想和在座的各位合作,我不是让你们所有人都飞到美国和我们合作。我想让大家做的事情,就是能够从SoP当中学到一些经验教训,告诉我们它错在哪里?可能我已经老了,但是并不代表说我就是对的。告诉我你新的想法是什么,告诉我你有没有更好更新的做法,中国这种做法不是说你有一个新的方法,而是我要通过科学的测试来找到好的想法,也就是说你要科学实验来证实你是对的,我是错的,你要跟我展示你是对的,我是错的,这样的话我们会使用网络的一些方法来验证你的科学假设,因为我是在我的环境进行假设的,你在你的环境里进行假设,我们可以互相的复制,然后我们还可以竞争,来看一下你的方法是不是错误的,然后我们去印证说现在的标准可以进行调整,我们从而找到更好的方式来进行操作。当然我们希望你公布你的科学结果,这样你有保障你的安全的方法,大家都知道你在说什么,然后会邀请你到华盛顿告诉他们怎么操作。

  所以我所说的参与不仅仅是说我个人,参与我们,那就是参与我们,跟我们在UBC一起合作,参与我们的项目。当然,在这里我们也知道在中国我们也有一些合作方,我要找到一些方式来进行合作,共同的开发一个新的全球范围内的新方法,来获得更好的信息保护的措施。我们当然也会和Webster大学来共同研究,来获得一些实验的工具,来获得一些培训,我们知道很多中国工程师都离开中国到非洲、到美国,那么我很遗憾有这样的一个外流的情况,但你要问你自己,这对中国是不是好的事情,我们可以有几千上万的学生,很多人他们都犯了错误。我觉得中国有很多的学生,他们其实犯错也是有好处的,能够从错误中学习,能够向全世界学习,所以,你们所做的事情,那就是能够和世界进行分享,分享你们的作为,以及提供最好的做法。

  我的方法,其实我不知道在中国是否奏效,但你们可以测试一下,在中国的网络环境是否可以进行,那你可以有一个风险库,这样有一些金融模型,把一些信息结合在一起,在中国进行测试。全世界可能我们都有相关相似的做法,另外一个就是把美国的一些SoP翻译成中国的SoP,这只是翻译工作比较容易,当然你就是进行复制,每个人是不是在全还都说中文呢?这也是一个新的考验。所以,你们帮助我们来进行证实,我们去进行更新,更新中文的版本,当然你也可以和我们分享最好的一些最佳实践,我们也可以和你们分享,这样我们可以共同做到最佳。

  我想感谢大家的聆听,应该说这次中国之行非常棒,我非常高兴来到中国,我在这里喝了啤酒,这里的啤酒非常棒,我飞过去只是为了喝啤酒。我在这里过得非常棒,谢谢大家。

  • 股票名称 最新价 涨跌幅