惠特菲尔德·迪菲:《严峻挑战下网络安全技术的应用和发展》
华盟君引言“8月19日,360ISC网络安全大会在北京雁栖湖会展中心举办,大会以网络站,网络生态为主题邀请世界各地网络安全专家一起讨论,2015年图灵获奖者惠特菲尔德·迪菲给大家讲了非常好的内容,让我们一起来看一下”。
惠特菲尔德·迪菲:
大家早上好,我非常感谢主办方,感谢大家邀请我来到这里。我特别的感谢主持人念我的名字,念我的头衔,我的头衔非常长,我非常喜欢你念这么长的时间,这样可以给我一些时间来做一下准备,给我时间来准备一下我的发言。
我要问一个有意思的问题,谁对网络安全感兴趣呢?我发现习近平主席是对网络安全感兴趣的,他一段时间之前谈到没有网络安全就没有国家安全,没有信息化就不会有现代化,我想这很好的表达了艾维·狄希特先生刚才所谈到的,要去推动我们经济平稳的运行,要取得进展,我们必须要去推动信息的交流,与此同时我们要很好的去利用这些信息,而他的基础就是信任,要去信任我们可以很好的去利用我们自己的信息,我们对自己信息利用的方式要比我们的敌人、攻击对手利用信息方式要更好,要满足我们的利益而不是满足他们的利益。
快速给大家介绍一下我们在讲到的一些基础的历史或基本的事实,到底什么是网络安全?只是这些系统的保护吗?当然他也是非常广的这么一个概念,他也不光只是国家安全,那就意味着你需要进行外敌的对抗,担心自己国家的利益,可能很多人对于这方面是非常热情的。对于网络安全包含了非常多的范围,也包括一些威胁、恐吓以及直接的防守活动。当然它有很多的起源,我给大家稍微解释一下为什么是这样子,最常见的起源是数据通信安全,如何来去保护自己的无线电通信,防止被敌人所干扰,当然它也是来源于一些时代当中,当时我觉得可能有一些比我年轻的人都不记得了,所谓的计算机的共享也就是说进行信息技术的转型,重新用云计算的方式在线,也就是我们如何来进行这样一些计算机数据的共享,另外就是信号的情报,这实际上也可能是属于一个组织或者说是在一些私营组织里面一些大型的机构现在面对的攻击的起源,也就是关于这方面。我们实际上可以看到还包含一些更加广泛的范围,当然还有包括像一些间谍,还有包括一些颠覆活动,一些机构他们可能通过更多的方法来获得信息,这些也属于网络安全的范围。
另外一个非常直接的答案,包括像电子战争,比如像雷达或者雷达信号接收等等,这些也是作为很多的技术方面和一些网络战相关的内容。
最后一点,我们觉得比较相关的领域,除了电子战之外,我们经常会看到的,也就是说能够使得我们的敌手更不容易使用一些电子方法来进行攻击的方式。从集体的角度来讲,网络安全它实际上也是与广泛概念之下的一些网络战当中,实际上有存在着很多的在所谓的和平时代所出现的敌意的破坏活动。
简单给大家介绍一下其中的例子,包括我们的信号情报,这算是美国的一些旧的军方手册里面时常会提到的。所有你在进行无线电通信当中能够找到的情报方面所延伸出来的一些问题,通常都是从你的敌方信号当中,通常是从一战当中就开始存在了,一战是最早在无线电时代所打的一场世界大战,你可以想象一下,很多东西可能是当前互联网时代没法想象的,如果你不使用无线电你又没有办法获得战争的胜利,所以当时有包括像信号截取,信号的利用等等手段,现在基本上从一战当中的情报机构他们通常使用这样的方式,现在我们可以看到很多的一些军方对于信号情报是非常的重视,艾维(前一位演讲嘉宾)他认为情报的崛起,就是他当时讲到的信号通信截取。我们可以看到这样一个传统延续了70多年,70多年信号情报一直都是来进行比如说无线电信号的监听,把听到的内容进行记录,这些并不是要求很多的传输,但是有很多的和后来的互联网的发展有一些相关性,我们之前经常听到过类似的案例,比如说通过监听的方式,或者截取了一些飞机的信号等等,通常都是比较安全的技术可以实现,这里的问题是什么呢?就是说你可以做下来去监听一些内容,实际上有很多灰色的地带,当然你听到的很多东西他并不存在数据集的问题,也不见得你听到的东西都是你想知道的内容,他们保护的也并没有那么严谨,但是无论是大是小,可能它是一些非常小的信号,但是你可以慢慢地有了互联网以后获取对方的数据集,所以从纯被动形式的情报开始向积极形式的情报来去过度,所以这也是为什么对于网络战来讲其中有很多间谍行动,在情报以及间谍当中的一些界限就在这里,差不多是在1990年代左右开始出现了类似的转变,首先就是电信技术的转变,长期以来很多都是属于微波或者卫星以及无线电信号,通常突然之间所有的东西都变化了,每个人手里开始拿手机,包括像网络等等,在中兴来讲他们使用的是光纤,这些都是最大的对于情报信号产生影响的部分,开始来改变了当时的信号拓谱,在21世纪属于非常大的事件,而且有越来越多的对于数据库方面的使用,并且把他们进行了连接,快速的进入到互联网的环境当中,这些也开始出现了一些能够实现网络战的战场,我不断的希望能够来重复我以前讲过的内容,对于安全的核心实际上在于四个方面。
第一方面,你要认识到你了解的一些人,或者你信任的一些人,基本上很多的问题都是,比如说发电相关的,如果有人愿意接受你不信任人的信号,可能有些东西你能识别出来,但是你认识的人你可能很难识别出来。另外你要不断的、持续的来去引荐一些你不认识的人,你需要可证实的方法来向另外一个人传递你的证据,然后来证实你是否认识这个人。最后一点,还是非常重要的,就是你需要有办法能够进行私人的通信,私人通信它是需要能够被你想来理解的人所理解的一些信号,所以说有了这样的一些属性之后,你就可以来去保护和控制你自己的系统了。
对于网络安全来说,网络安全工程,所有的内容都是和工程学相关的,他们都是由一系列的要求,还有现有的技术以及人们实践者的想象共同组成的,可能这里也是有一定的政治或者经济学的介入方法。已经发生的情况,特别是在过去的20年里,我们能够看到有越来越多的影响开始转向我们所说的战斗模式,可能大家能够找到在网络安全方面更好的一个定义,一方面是因为我自己还有我的同事也都是专门就一些防护的措施,他的所谓计算机安全方面的一些努力可能暂时没有取得巨大的成功,但是我们有这样一种感觉,看起来他是显而易见的,可能我们可以做的更好,特别是通过这种动态的安全模式的方式,或者说我们可以在这个过程中,比如说使用原来的一些摄像头或者说一些监控器可能已经发现不到了,我们在整个社会当中,我们是需要去通过一些安全的机构,或者说通过一些方法来解决。最终,我们看到很多人,包括像政策方面的决策者他们可能会处于一个所谓的冷战环境,他们可能把这种威胁恐吓看作是一种非常好的工具,然后觉得合理再去利用它,因为没有人真正的能够理解来保护像中国、美国、俄罗斯这么大体量的国家,他们如果要发起核战你是没有办法自我保护的,唯一是可以进行恐吓,在网络安全方面我觉得我们完全可以做的更好。
所以,到底我们需要的是什么呢?我想这里主要有三个方向。第一个方向是真正的实现了网络安全的转型,我们实际上并没有编程,一点都不夸张,可能从六七十年代就已经有了这样的概念,但是实际上我们在很多的程序当中有很多的证据证实我们可以做的更好,这是一些比较主要的项目,不光是需要很多的研究,同时也是需要很多的培训、实践还有很多的对抗。第二点,通过我整个的一生当中看到计算机对于人们的影响是非常大的,也就是说我们在有的时候是需要有更多的硬件,有专用的硬件,充分利用当前的条件,当然在硬件当中可能在界面方面会存在着一定的局限性。最后一点,我们需要来去改变一些可靠性的基础,实际上这可能是以美国为中心的一种论点,但是在美国,计算机行业仍然还是让人们去相信这是一个年轻的行业,如果你没有办法给他一些优势的话,可能这个行业是会凋零,然后衰败,但是我相信我们需要使用一个十年的计划,我建议应该超过十年的计划,来转向一个比较严格的网络安全要求的方向去转变。为什么我们要做这些事情呢?因为这让我们重新回到了我们刚才讲到的我们所面对的一个严峻的挑战,在我的题目里面就讲到了,我觉得对于每个人来讲,我们可能都是非常支持网络安全的,但是有很多的一些人他们可能会觉得说每个人都是安全的,比如说苹果、微软、亚马逊他们并不希望他们所有的用户都是过于的安全,政府有时候也并不需要公民在各个方面都这么安全,因为针对他们自己他们希望能够获取很多的信息,所以说有时候我们想实现纯的网络安全是存在着一些障碍的。
这里我非常感谢在座的各位,我也期待着能够聆听到大家对于我刚才讲的一些内容的反馈。
好的,谢谢大家。