启明星辰潘柱廷发问——靠什么来实现网络安全的下一代跨越

ZDNET安全频道 05月08日 综合消息： 在第十五届中国信息安全论坛的会场中，有不少网络安全专家，比如启明星辰的潘柱廷，他发问《靠什么来实现网络安全的下一代跨越》，与在场的嘉宾进行了深入的讨论。现场文字整理如下：

 很高兴跟大家分享一下，最近在网络安全的一些思考。

    这个题目说得比较大，做一个下一代跨越的思考，我个人不喜欢NG这个词，NG就是所谓的下一代，当你说不清楚是什么的时候，就用NG来代表。我觉得最好讲清楚NG到底是什么，这是我们做这件事情的一个责任。

    这是我的老生常谈，大家都比较熟悉，所谓三要素风险模型，资产和业务，保障设施和威胁三个方面看所谓的探索。如果说所谓的下一代跨越，整个的业务和IT整个体系也在往下一代跨越，新的威胁会是什么样子，当然延伸到我们的保障体系，在保障体系里面，从我们的看法来说，我认为保障体系应该是有三大类别。一种类别就是基于密码技术的认证加密体系，归根结蒂是密码技术，但是仅仅靠密码技术不够，还有相关的协议、架构等等让密码技术能够有效实施的这些东西。其实有时候既是一个强有力的密码算法，但是整个的一个协议体系有问题，那也是比较麻烦的一件事情，所以这是一个以密码技术为核心，但是它归根结蒂却是密码技术和密码管理技术之中的。

    第二大类是右下角的蓝色的，基于攻防技术的检测储备体系，像防病毒、防火墙基本上都是这类的，我要知道这是不是好的，是我喜欢的还是不喜欢的。检测背后就是一个攻防问题，这是一个攻防技术的核心。

    第三种是基于风险管理思想的体系化构建，比如说27000，就是一个体系化的方法。比如等保，从顶层体系来说，它虽然那两期技术整合在一起的体系，它的不是攻防的思想，也不是密码的思想，是一个体系化的思想。

    去年我用了一个NG的词，下一代的检测技术在哪方面进行发展和变化。比如从应用方面，我把检测技术应用于虚拟化、无线、现在比较危机的工业控制体系，它属于应用领域的新的发展。它的实现技术，能不能实现更强壮，性能更高，这是实现技术。

    还有一个是安全技术本身，关于它的知识问题、行为问题、态势问题，当然还有一些数据。

    这是当时的一个看法。经过半年多，不到一年的思索，也是觉得这个还是不够体系，觉得这个不容易把握住到底下一代的检测技术应该怎么把NG去掉，而找到一个更恰当、更准确的形容词去看我们后面应该怎么做。

    从刚才所说的三要素、资产、威胁和防护措施。我们在防护措施来讲，在等保、分保相关的体系，还包括27000相关的体系化，包括合规性的规则之下，我们已经做了很多的东西，我们一般的企业里面都有基本的保障制度，有一些基本的保障措施，一个保障体系也在实际运行中。其实我们自己知道，其实是不够安全的，即使真的做了等保二级、三级、四级，你心目中是不是达到你的安全要求，这个很难说。

    从业务的角度来说，业务确实是一个大发展，基于价值的这种业务的扩展，不能光靠IT，而是IT产生的价值，通过SAAS进行IT的这种设施，包括整个IT的共享和集约的架构，这里面为代表的是云的数据中心架构、移动计算、无线，不管是3G、4G之类的，还是WIFI之类的，数据运行就是大数据，还有网络化智能，这个一会儿再谈对这个词的理解。

    IT这样一个趋势的发展非常快，实际上自然会带来整个IT体系的价值分布这样的变化，自然会影响到它的威胁和保障措施。而威胁，我认为现在最突出的三类威胁，不讲常规的，比如说一般的恶意代码等等，现在对整个业界从技术挑战和架构挑战最大的，一个是APT，这个大家都在说APT，实际上APT某种程度上来说，A还好办一点的，还是可以对付的，通过黑白技术，通过一些虚拟执行技术可以想办法去做。但是P其实很难的，它如果真是一个持续的，比较弱的、持续的这样一个攻击，确实发现非常难。而T是一个很难的事情，从时间和空间上都有一定的延展，有一定的难度。蔓延性危害，当然最典型的，就是我们很头痛的事情，分布式集约服务中心，这在公网上是一个一直解决不了的大问题，而且它的带宽数会越来越，现在已经到了百G的量级，在这个量级以上去谈分布式集约中心。

    再有一个，我们做安全的人最不愿意面对的，也最经常忽视的，我们安全产品本身有极大的副作用。当我们做一个所谓的网关，都要有单点布障，做一个旁测系统，本身就有一个泄密的可能性的通道。每个做检查扫描，打一个补丁，对安全本身和安全产品本身有极大的副作用，这也是当做一个威胁去看待。

    基于现在的威胁，现在的安全保障体系不足够，它已经做了一部分事情，但是还是不足。最近两年有这样一个所发，所谓的第三极修炼，我们现在大部分比较好的机构基本上完成了第二级修炼的过程，所谓第二类修炼就是基于合规性、体系化的规章制度，能够想象这样的产品，不管是认证加密类产品，还是攻防检测类产品，基本上都有足够的一定量的部署，会形成所谓结构化的安全防护体系，但是这个结构化的安全防护体系是否足够，现在要考虑往上一层，效率型的防护，真正强力的威胁我能不能有办法，并且我安全投入能够投入在一定的地方，能够起作用，这个你怎么知道。

    也就是说，我们要从常规的合规导入到真正面对实战，或者叫做实景的对抗，你是不是觉得真的抗得住跟你匹配的危险攻击。面对一个企业，你要是国家级的攻击，那你死定了。跟你相当的攻击强度和供给范围你是不是能够抗得住，这个从实战的角度去考虑。

    从结构角度来讲，我们的防护体系基本上是静态的防护体系，而且以空间结构为主，为什么叫空间结构，我们的防护基本上是以网络拓扑结构作为安全部署的基准服务开始部署。所以我们原来的防御体系基本上叫做静态的空间结构，我们要变成什么样子，变成一种动态的多维结构，动态包括运维了，以运维运转起来去看。我后来会谈牛顿的角度去看待他的问题，另外是多维的问题，除了空间之外，还要看其他的维度。这些都是最近思考的一些维度，但是这个维度不是一个空间的概念，是一个模糊的概念。

    这些都是思考防御体系和进攻体系的一些维度。

    这里还有一个为什么叫效益，你不可能把这些维度进行覆盖的，没有这种可能性，没有多资源。你要在多维度的环境下，寻找风险最低、成本最低的这样一种体系。成本从IT来讲就是你的计算成本、传输成本、人的理解成本，这些都是你所要付出的成本，你要在这个体系架构中寻找在相关的点上成本比较低的解决方案。

    在整个考虑前面思考的时候，出现了一个新的思考，我们管它叫做全范式，这个词也很宽，但是至少比NG这个词让我喜欢一点，让我至少知道我好像是在做什么。因为NG真的不知道在干什么，所以我不太看好NG，还是要看一个技术出现在市场，能为我们的用户和技术所接受。

    这里所说的全范式，一开始指第一到第四范式。在我们发现已经应用的网络之外，还有新的网络值得我们关注，一会儿再谈这个事情。

    当画这个图的时候，我不知道为什么选择了一个棕色，就把它叫做巧克力的颜色。一会儿会把巧克力的每稍微填一下。

    先说说范式，范式这个词最早来自于库恩在60年代写的一本书，《科学革命的结构》，他谈到所谓范式的说法，如果大家有兴趣，可以大家去看这本书，一个非常哲学的，很有启发的一本书。

    而现在在业界经常说的范式跟库恩说的范式是不太一样的，这个范式来自于GM，他提出了这样一个看法，我们提出的科学实践和科学研究，我们在用什么样的范式进行，几千年以来，我们通过实验、尝试去获得科学的方式，这个就是范式，同文艺复兴开始，我们获得了物理、化学等等这些开始应用之后，我们开始用模型、架构这些去识别我们的这些对象。再后来我们开始做仿真的方式做研究，就像现在做核爆，不需要真正做一个核爆，而是通过计算机模拟仿真的方法。

    第四种，近十年左右的时间，以谷歌这种公司为代表，开始了数据密集型的方式去做科学研究，发现一些我们原先发现不了的事情，这个就是所谓的四个范式。当然比较可惜，GM在最后一个PPT写了关于一个范式之后，他就驾船出海探险，他喜欢驾帆船，然后就失踪了。微软就出了一本书，叫《第四范式、数据密集型科学发现》纪念GM。

    如果用所谓四个范式来看我们常规的安全，我们经常见的安全方式，我只是检测类，先不谈加密类。检测的安全，基本上主要的安全错失都在这个地方，在巧克力的这个地方，所谓的高特征奖项，不管是黑特征还是白特征，都是特征角色这个就是我们现在在主流的，不管是漏洞特征还是病毒特征，还是黑名单、白名单，还是入侵的这样一个攻击特征，特征就是某种模型或者某种结构去分析区别。这个属于第二范式这样一个范畴。

    如果把第二范式往前推，刚才贪污犯修炼的问题，这个今天就不展开。如果大家有很多应用型的企业，希望你们实实在在做事件分析，因为其他的东西都是虚的，只有事件是实的，把事件理清楚，认认真真做整理，可以发现很多有价值的东西，可以从你原来所实现的结果，来反推出原来的过程。你威胁的来源来自谁，他用什么资源，有什么目的等等。这样一个更加完整的对威胁的描述，可以叫威胁场景，可以叫威胁用例，不管用什么词都可以，这样一个完整性的威胁分析，当然会消耗更大，这到一个时候了，可以做一个更高级的修炼。

    刚才说了威胁分析，这是从第一范式到第二范式，我开始做分析，即使没有事件分析，我可以通过渗透和评估来制造事件，去做相应的第一范式这样一个分析。

    四个范式，其实还有一个挺有意思的，我们能够把能够想象的安全设施摆进去。刚才说了大量的检测、病毒、漏洞、攻击等等都属于模型的范式，往左的事件分析，渗透的范式。往右，这个方案从70美金调到了7美金，但是它确实带来了一个对第三范式高度的关注。第三范式是模拟仿真，模拟仿真就是经常说的砂箱、蜜罐或者是虚拟执行，也是它以此上市的主要技术。刚才金山的先生也讲到了类似这样一个技术，什么叫做虚拟执行，虚拟执行是什么，我不通过你的代码形态或者是流量形态去判断你的意图，我是通过你执行的结果来判断你的意图，通过结果来判断你的意图，当然你的执行是在我的虚拟环境下，它实际上是一种仿真技术，它的技术代表就是第三范式，第三范式一个代表性的电影就是这部电影，叫做《预见未来》，尼古拉斯.凯奇主演的电影，虽然算不上是什么大片，但是这个大片表现了什么叫虚拟执行的概念。

    再有一个，第四范式，属于数据密集型的范式。这么密集的数据从哪儿来，其实有很简单的一个思路，通过记忆留下来。你把网络系统存下，你把系统快报存下，你把有能力记忆的全部存下来，成为你的记忆。记忆会产生一个真正所谓的大数据。所以记忆这个词儿非常有意思，记忆的英文词叫MEMORY，还有一个中文词叫存储，一个叫存储，一个叫记忆。一个是哲学的，一个是物理方面的。所以它真正产生背后的价值就是记忆。

    关于记忆的也有一个很漂亮的电影，叫做《源代码》，我们将来如果在第四下工作，我们的检测有可能像源代码的方式采取作用，那个就是第四范式，这是我们追求的所谓数据密集型的，所谓的大数据。将来大数据这个词一定会消失，但是数据密集型的科学发展这样的方法一定会沉淀出来。从1到100，这样从第一范式到第四范式，对第四范式的检测的判定，我们不是把红色的检测拿过来进行检测，我们拿过来可能覆盖比较多的红色部分的黄色部分进行检测。你想更多地检测宏观部分，你就要拿更多的黄色部分过来。我们过去检测，采集来讲，我们后面要用更小的消耗，更小的传输、理解去做这个事情。

    将来如果从安全这个范式可以看到，我们往下分析的虚拟评估，往上是第三范式，虚拟执行。把静态数据变成动态数据，用挖掘的方法进行挖掘，就是数据密集型的一种方法。

    右面是应用特征。

    我们在这里的概念，关于安全的概念是有些须差别的。关于包这个地方，关于攻击漏洞这个东西，我们谈的是好坏的问题，而关于业务的层次不是好坏的问题，其实是价值问题，它是给我增值还是减值，是给我业务价值还是在破坏。当你做业务安排的时候，你还是用包的安排，会有一些偏颇，从安全本身来讲来讲。

    大家看了半天，我这里有一个流，流到底是什么，因为流这个词到底是什么意思。我们这个流的解决方式，到底出了什么样的变化。

    云这个事情，刚才也有很多专家提到了，这个事情是一个绕不过去的概念，必须要说清楚。大家都在做网络安全，网络安全很重要的是网络边界的问题，网络边界消失了，或者网络边界模糊了，云到底给我们改变了什么，云到底改变了网络的什么东西。这里就要问到底什么是网络？

    这不是一个严格的学术技术领域拆分，一谈网络就会想到，是一个静态结构，设备大。还有一个是以流的方式，大家原谅我老在用流，但是没有对流做定义，也会有很多流的方式，比如路由，比如DNS的一个解析，这些方面都有一些重要的环节。再比如包，协议，一层一层的协议。再就具体里面的内容或者一些相关的应用上的操作。这是我们面对网络，这个层次还是比较容易被理解和接受的这样一个东西。

    如果简单做一个比喻，最上层的静态结构好比北京的城区这样的交通结构，路网结构。流好像是地铁这样一个路网关系。包就好像一辆一辆的车。而内容和语义就是车上的人和东西。网络就是这样一个关系给我们创造价值。

    当这些东西云了以后，虚拟化了以后，都改成什么了。虚拟化，服务器虚拟化、应用虚拟化、客户端虚拟化、中间件虚拟化、网络虚拟化，经常我们说的这些虚拟化，特别是网络虚拟化，这里说的网络虚拟化不是网络虚拟化，是网络设备虚拟化，虚拟交换机，这些不是网络虚拟化，是网络设备虚拟化。而真正给我们有一点点网络虚拟化的感觉，是SDN这样的概念，SDN真正做到了一定的网络结构虚拟化。

    所以什么是网络，网络不是那些设备，网络如果借用一本书上写的印象很深，很喜欢这样的一句话，网络的基础理论是图论和博弈论，图论是网络静态结构的基础理论，博弈论是网络上行为关系和互动的基础理论。也就是说，网络是图，离散数学里面的图。

    如果我们看它到底在云和虚拟化，虽然SDN是真正在图、在结构上产生一个虚拟化的东西，我们看整个的云环境到底改变了什么，其实你会发现，比如上面在网络的静态结构上，由于网络设备可以生成，可以弹性生成和迁移，所以改变了网络的结构。比如传输方面，流的方面，SDN将静态结构转变，自然改变了流转关系。但是在包上，不管是虚拟里面的包还是实体里面的包，其实是差别不大的，更不要说里面的内容。我们一直希望应用对下层网络的结构是透明的。实际上换句话说，其实当云和虚拟化改变了网络的时候，它只改变了上面的，没有改变下面的。

    我们就给它起一个名字吧，我管上面叫做流安全，管下面的叫做包安全。我试图起这样一个名字，虽然不是严格的学术和技术上的定义，用包的方法解决了，SDN进行病毒检查，是检查包的问题，但是从哪儿来到哪去，你还要管吗，你都要管，整个问题太大，你让别人管这个事情。

    这个里面就出现对网络的一个全新认识，这是我们原来习惯的，背后的网络是我们的一个拓扑结构，是一个静态的虚拟结构。前面的红色的、蓝色的网络是一个服务关系的网络。我以前经常说，当你把网络的静态结构和业务的流关系都能划清，把它重叠定义起来，你会更好发现网络中的安全要求和问题。而这个时候如果把这个图换一个角度去看，其实这是两层网络。刚才我说网络是什么，网络是图，图是什么，是由节点和连线组成的。我们常规的、习惯的网络是什么，是由社会的节点和社会之间的网络联系组成的，不管这个网线是虚拟的连接还是网线组成的，这是我们一直在操作的一个网络问题。

    但实际上还存在另外一层网络，这层网络的节点是服务端点或者被服务端点，请求服务者或者提供服务者都叫服务端点，联线是他们的服务关系。服务关系具体FISICAL（谐音）会体现为流，就是从一个点流转到另外一个点，把它拓扑化了以后，我不要管它的所谓的具体通过了多少的LINK，我只看他们的关系，这样的FOLLOW，这样的关系，由服务端点和服务连接组成的网络叫做云网络。这个时候考虑云网络中的服务问题，大家都说边界找不到，划的那个圈是不存在的，网络里面的边界是在线上，这根LINK就是边界。但是因为在云环境里面会迁移，这根LINK会迁移，所以边界找不到了。所以如果我们看到服务和流这层网络的时候可以发现，不管这个EQUIPMENT签到哪个HOUSE里面，这个边界是跟着它走，如果你把这个附在FOLLOW上，它是跟着FOLLOW走的。当它变成一个新的HOUSE的时候，因为流过去了，而这个流缺少这样一个安全功能，自然在那个地方有一个新的安全功能在这里。所以你只要有办法把你的安全功能架构在FOLLOW上，不要架构在LINK，就把这个问题解决了。你要把这种流转关系这样一些安全概念放在流这个网络的层次，而不是要在报的安全上面，这个就是所谓的流的这样一个方式。从流的方式，其实流的方式，我们FOLLOW这个词是很熟悉的，这个里面就会看到，所有谈我们，不管包里面的内容，而我只关心从哪儿到哪，它相关的NETAL（谐音）和所谓原数据的分析的时候，你可以做第一范式的分析，第二范式的分析，还可以做第四范式的了解。

    刚才谈到了包这个层次的好坏问题，关于应用是一个价值问题，关于流，只告诉我一个元组，或者我知道你的带宽等等的，我怎么判断你的好坏，判断不了你的好坏，在流这个层次，在做这样一个判断和分析的时候，它不能对单独的流进行判断，不像包，对单独的包或者包的群组是不能判断的，对流是不可能的，对流的判断只能从空间展开的，哪些流在一起的时候，我们发现哪些是不对的，时间上的延展，跟以前不一样的时候，我认为它有点问题，或者是可疑的。所以，这个概念用什么概念更恰当一点，这个概念不是好坏，而是秩序，一个非常非常重要的安全概念，也就是说，从今天开始，安全除了好坏这个概念之外，还有一个重要的概念叫做秩序，就开车加塞，因为我这个人比较讨厌，我其实特喜欢加塞，但是你说我这个人很坏好像也不至于，但是我是打破秩序的。确实很多坏的东西，它也同时是打破秩序，而你看好和坏的成本是很高的，我能不能用一个消耗很低的秩序不秩序做一个相应的判断，当你不守秩序的时候，我可以导入好坏的判断。我可以先做深度的流解析，再做深入的包解析，然后再做应用解析。

    作为全范式的，因为我今天重点讲流安全的一个体会，其实作为一个全范式，它包含的范围还是挺多的，包括刚才讲到的安全场景，讲到了流安全，业务流没有提到，刚才稍微提到一点数据密集型安全检测的这样一个说法，其实有很多很多的全范式这样一种方向都可以去尝试。

    这是我特别喜欢的一幅图，尤其是这两部电影。除了第一范式和第四范式，还有没有其他范式，最后我们胡乱跨越一下，有没有第五范式呢。现在有一个电影叫《超验骇客》，它是表现大数据的，我去看了以后，我觉得它不是表现大数据的，我认为《超验骇客》讲的是第五范式，不同于前面四种范式的方式，我认为是一种网络化智能的一种方式，我把智能散落到网络里面去，形成自组织、自修复、自发展的这样一种方式，我叫网络化智能的方式，也许将来网络安全可能会涉及到这一部分。但是真正到了网络化智能会有一定的风险，我们控制不了的东西，就像电影里面阐述的那样。如果那部电影去看的话，到最后你会发现，《超验骇客》一个人都没上，杀人的反而是人质。

    最后，我也希望用这样一个不成熟的思考，第五范式的网络智能型的这样一种畅想来结束今天的演讲。

    今天我的PPT会放到网上去，如果大家有兴趣可以去找，去下载，也非常欢迎大家跟我和我所在的公司进一步探讨相关的一些更深入的话题。