一般信息系统主要存在以下两个方面的信息安全风险:
(1)数据传输当中的信息安全风险:物联网的信息安全(Internet of things)、Internet、无线网络的信息安全。
(2)节点安全:路由安全、网卡、计算机、服务器、主板(BIOS)、操作系统、数据库、应用软件、中间件。
下面我们对这两方面进行详细描述。
论断1 中国没有互联网。
原因:(1)域名解析控制权隶属美国,上网即出国。(2)美国每时每刻对路由表的优化计算,决定当前包的转发路径(每分钟几十万次对世界上的任何路由器重刷路由表),也就是说美国决定了所有的路由表,只有美国才具有路由广播的权力。(3)路由器由美国授时。
论断2 当前信息安全阵地全局沦陷。
原因:计算领域、存储领域、通信领域的八大金刚,即:Intel、Microsoft、IBM、Google、Oracle、Cisco、Qualcomm、Internet等。
论断3 即使是.cn也不是中国的。
原因:(1).cn的CNNIC (中国网络中心)只有.cn的解析代理权,没有路由广播的权力。(2)没有路由授时权力。
论断4 中国也没有物联网。
原因:物联网的真正的概念应该为Internet of things,是物的Internet,由论断1中国没有互联网,因此本论断成立。
注释:Internet的局限性:
时代局限性:每帧太短、延迟大,物联网、工控的可用性越来越差;
路由器之间没有认证,无法构建可信路径。
未来网络的设计目标:无中心、并行计算、天地一体。
论断5 网络安全理念由所谓的可信第三方演进到网络无好人。
原因:当前很多信息安全问题都是由于所谓的可信第三方引起的。因此网络空间中信息安全的理念,即逻辑基础必须要与时俱进。
在网络无好人的网络安全理念下,很多网络安全技术是脆弱的。
我们有如下论断:
论断6 在病毒木马无处不在的理念下,传统的信息安全技术,即参数控制就失效了。
原因:在病毒木马无处不在的理念下,各种参数控制的过程是透明的,因此是不安全的。
注释:彩虹系列下的基于强制访问控制构成的所谓安全操作系统、数据库,没有安全根。
当时的可信计算也没有现场安全认证的技术支持问题。
相关信息产业:
未来网络、工业控制、智慧城市、物联网、大数据、云计算、三网融合、移动通信网、安全操作系统、安全数据、安全应用软件。
没有与这些相关产业匹配的信息安全技术,这些信息产业,就会是无源之水无本之木。
信息产业的统一信息安全需求:
(1)在病毒木马无处不在条件下给出的信息安全解决方案;
(2)这个信息安全解决方案的计算复杂度应为P问题;
要实现这些信息安全需求,经验上必须为:
(1)被动防御到主动防御,并内置信息安全基因。
(2)参数控制到函数控制,基于可信根推演信息安全,并集成各种信息安全技术。
(3)静态防御到动态防御,放重放(阿里巴巴的芝麻开门)。
(4)NP完全问题到P问题,现场自主信息安全技术支撑(无需传统的可信第三方),减少网络信息传输延迟。
面对这些技术,传统技术还能胜任吗?
传统的信息安全防御技术实际上主要就是人们常说的老三样,即:防火墙、入侵检测、防病毒木马系统。
而这老三样技术都隶属参数控制。
上述老三样技术一方面隶属被动防御技术(先验积累),另一方面又隶属于NP完全问题,因此,对于未知病毒木马查杀可用性差、束手无策。(沈昌祥院士原语:此路不通!)
为研究信息安全技术,我们先梳理一下已有的信息安全的技术。