把握信息安全发展方向

南相浩

目前，信息安全正经历着重大的变化。如果不了解已发生的变化，不调整策略，我们的工作就会偏离轨道，甚至迷失前进的方向。我国信息安全工作已搞了十几年，应该有经验教训，深入而广泛的探讨是必要的。必须承认信息安全走了一段弯路，这也许是历史必然经历的过程。根据美国的讨论和我们的研究表明，信息安全在发展战略、技术路线、管理体制上确实存在着不少问题。在这一方面美国人比我们做的好，至少它不用笼统的肯定来掩盖缺点和问题。 一、各发展阶段的特点

信息安全经历了三个重要发展时期：一是80年代的专用网时期，二是90年代的互联网时期，三是21世纪由信息安全到网络安全的转变时期。各时期都有明确的特点和与之相适应的技术路线和策略。

（1）专用网时期。由于专用网（计算机网）是封闭网，因此以等级划分、强制保护为主要策略。计算机网的特点是通过节点打通（开放）了各终端，第一次实现了计算机终端之间的交换。这个时期的主要政策可以美国国防部的橘皮书为代表，在交换网络中将人员划分为授权等级、数据划分为秘密等级，将传统的单级管理模式发展为新型的多级控制的管理模式。80年代末，这种先进的管理模式，在我国军事网络中已率先得到实现和应用。

（2）互联网时期。由于互联网是开放网，打通（开放）了网间关系，也打通了各用户之间的关系，第一次实现了用户到用户的个人化通信。这个时期的主要政策以1997年美国总统令PDD63为代表，提出以脆弱性分析为主，依靠全体网民的安全意识，施行自我把握的assurance策略，称“深层次防御战略”。克林顿的assurance策略，打破了过去（政府的）强制性策略，提出了（网民化）自主性策略，以适应互联网互通的个体化通信体制。这是观念上的一次历史性进步。但是美国国防部却发表了《信息自主保障技术框架》一书，提出了“边界保护”和“信息孤岛”的思想，把开放的互联网重新拉回到封闭的专用网，严重偏离了总统令的中心思想。不得不指出，美国国防部的这种倒退的思想，在我国却产生了很大影响。

（3）公众网时期。信息系统已不是单纯的信息系统或网络系统，它与周围的社会结合起来构成了新的空间，这就是网际空间（cyberspace）。2005年美国总统信息技术顾问委员会（PITAC）的《网际安全-优先权危机》的报告提出，网际安全的主要任务是“在危险的世界构建可信系统（trusting system）”，为公众提供可惜服务。信息安全的空间发生了变化，要达到的主要目标也发生了变化，因此，2005年标志着信息安全过渡到网际安全的里程碑。

二、美国对信息安全的看法

在PITAC的《网际安全-优先权危机》的报告中，否定了克林顿PDD63总统令以脆弱性分析为主的信息安全防御战略和为实现这个防御战略而提出的优选发展的十大项目。否定是历史发展的必然，历史总是在否定中前进。

在《网际安全-优先权危机》的报告中对信息安全提出了结论性看法，并提出了非常有意义的观点，值得我们参考和研究，如：堵漏洞、打补丁不是信息安全的解决方案；内、外网的划分只能把本来复杂的事情更加复杂化，无益于问题的解决；军事系统得密集划分不适用于公众网；国防部IATF（信息自主保障技术框架）中“边界保护”、“信息孤岛”等基本思想，背离了总统令的自主保障思想；信息安全所施行的原则是“出于好意”，而网际安全要施行的原则是“互相怀疑”；可信系统很复杂，没有“银弹”。（注：“银弹”指很好的解决方案，根据我们的研究，“银弹”是存在的，因此，准确的表述应为“还没有找到“银弹””）。 三、新的发展方向

在PITAC的《网际安全-优先权危机》中提出了今后的发展方向。美国人的研究结果和我们研究的结果不谋而合。但是，美国是官方的看法，而我国则停留于民间的认识。

（1）主要任务。构建可信系统，建立可信的网络秩序，为公众提供可信服务，从被动防御为主的安全转到主动管理为主的安全。为此，PITAC在几百个项目中遴选出十大优先发展的研究项目。

（2）主要课题。规模化认证技术是首要课题，从以脆弱性分析为主的课题转变到以真实性判别为主的课题。PITAC提出的目标是要解决数十亿规模的认证。

（3）主要原则。网际安全遵循的原则是“互相怀疑”；从“出于好意”的信息安全观转变到主体鉴别为主的新的网际安全观。

（4）主要应用。网际安全时代，主要应用不局限在信息系统本身，而要包括与之相连的所有空间，如通信协议（防止非法接入）、软件工程（保证计算环境的可信性）、整体解决方案、网络管理等于重要国家基础设施相关的领域。 四、历史的际遇

构建可信系统或构建和谐社会都是历史的重大变革。怎样从被动防御型的信息安全转到主动管理型的网际安全，是历史赋予我们的重大任务。要完成这个任务，首先要从对抗、防御、被动挨打的思想模式中摆脱出来，树立合作、竞争、打出去的新思维模式。

（1）新技术。认证系统的发展，促使与之相适应的新技术的出现。如果PKI能解决，美国也不会把规模化认证技术作为今后发展的首要任务提出来。PKI是

靠第三方证明的体制，因此它不满足验证的及时性。现在提出了很多基于标识的公钥体制，即可以自身证明其真实性的新型算法。我国CPK算法不需要第三方证明，同时也不需要在线数据库的支持，进而能满足验证的规模型和及时性。直到目前，国际上同时满足认证的规模型和验证的及时性的算法还只有CPK一种。

（2）新理论。认证技术包括主体认证、客体认证、行为认证，其中最核心的技术是主体认证，这一直是世界性难题。过去由于没有主体认证技术，无法证明主体的真实性，只能采用“出于好意”的原则。现在，作为主体认证的基本技术提出了“标识认证”（identity authentication）理论。标识认证理论能做到在事件发生之前就能判别主体的真实性，使过去无法解决的课题变得迎刃而解了。因此，标识认证技术实际上就是全世界苦苦寻求的“银弹”。如：通信中的非法接入，可以依靠标识鉴别在数据通信发生之前就能判别发方的真实性。

（3）新逻辑。有了标识认证技术，就可以构建“可信逻辑”（trust logic）。以往的逻辑是证明客体真实性的逻辑，即假设主体是可信的前提下证明客体的真实性，称“相信逻辑”（belief logic）。可信逻辑要贯彻“互相怀疑”的原则，不能假设主体是可信的，而要求证明其真实性。以可信计算为例，要依次证明主体真实性、客体真实性、行为真实性。如：如果主体为真，就可以加载；加载后证明数据的真实性，即判断加载得对不对，如果对，则进行行为真实性证明，即执行得对不对。

由此可见，CPK算法、标识认证、可信逻辑为新型可信计算、可信连接、可信交易，并为建立可信的网络秩序打下了良好的技术和理论基础，并开辟了更广泛的创新领域。如：IPv6、无线宽带移动网，sensor网、手机电话等复杂系统的认证，可以采用扁平化（非层次化）的先进技术，很容易实现可信连接。