登录 注册 

欢迎光临维宠宠物导航网!

维宠宠物导航网

153-2012-0258

Industry
产业+

监管 您的位置:首页 > 产业+ > 监管

邱实 牟承晋:网信安全“零信任”与“自查自纠”

2021-07-14 1199 返回列表

2021年2月,美国国防部国防信息系统局(DISA)和国家安全局(NSA)联合发布“零信任参考结构”(Zero Trust Reference Architecture)


根据美国国防部的定义:“参考结构”是有关专题领域的权威信息源,用作为指导和约束多个系统结构和解决方案的范例。


● 该“参考结构”明确:国防部的下一代网信安全架构将“以数据为中心”(Data Centric),并且是基于零信任原则(Zero Trust Principles)


● 该“参考结构”强调:零信任原则用于重新审视和整合现有国防部能力和资源的优先重点,同时保持可用性并最大限度地减少身份验证机制的时间延迟。


● 该“参考结构”指出:零信任依赖于设计一个更为简单、更为安全的架构,而不会妨碍操作性或损害安全性。而传统的边界防御和纵深防御的网信安全策略被一再地证明,在对抗训练有素对手时的作用有限,并且应对内部威胁是无效方法。


● 该“参考结构”旨在:以零信任原则支持国防部“网信战略”和“数字现代化战略”所提出的愿景,即创建“一个更安全、协同、无缝、透明且具有成本效益的信息技术(IT)架构,以从数据中提取可采纳的(Actionable)信息,并确保在面临持续的网信威胁时能够可靠地执行使命和任务。”

 

一、什么是“零信任”原则


“零信任结构”(Zero Trust Architecture,简称ZTA),又被称为是零信任模型(Model)、零信任互联(Networking)、零信任网络(Network),所描述的是一种设计、实施和应用信息通信技术和服务(ICTS)的系统安全及其供应链安全的方法。


“零信任”的理念和概念,不仅历经长期的科学研究和实践检验,而且是在网信空间(Cyberspace,下同)斗争和竞争中的必然产物。


“零信任”原则的基本概念是,在任何情况下都不应给予信息通信技术和服务(ICTS,下同)默认信任,即使是被连接到局域专用网络(如企业局域网),即使应用了“软件定义的边界”(SDP),即使是通过传统“虚拟专用网络”(VPN)的点到点连接,甚至即使是曾经被验证过。


1994年,即是我国公众网络全面接入因特网之年,一项国外专题研究表明:信任的概念超越了诸如伦理、道德、合法、公正和判断的人类因素;因此,在确保计算系统、应用程序和网络安全方面,“零信任”超越了“不信任”。


20多年来,学术界、产业界和一些国家的相关政府部门,对“零信任”网络持续地开展了研究与实践,包括2009年谷歌公司实现的“零信任网络”(Beyond Corp);2019年英国国家网信安全中心(NCSC)发布的“零信任设备安全指南”等。


美国国防和产业界在网信安全(Cybersecurity,下同)领域中自上而下地全面且快速地转型“零信任结构”:


● 2019年7月8日,美国国防部国防创新委员会(DIB)发布一份报告:“通往零信任安全之路”。

► 其中强调,零信任结构(ZTA)能够从根本上改变国防部内部网络之间安全和数据共享的有效性。


● 2019年7月12日,美国国防部发布“数字现代化战略”。

► 其中定义:零信任是网信安全战略的组成部分,是将安全嵌入到体系结构的所有方面,目的是阻止数据泄露。

► 其中指出:实现零信任需要重新思考,如何利用现有基础设施以更简单、更高效的方式设计以改善安全性,同时实现畅通无阻的作战行动。

► 其中要求:国防部首席信息官(CIO)与国防信息系统局(DISA)、美军网战司令部和国家安全局(NSA)共同制定计划和开展行动。


● 2020年3月4日,美军网战司令部司令官/国家安全局局长保罗•中曾根在国会的述职报告中透露:

► 在经过18个月的合作开发,在国防部的通信网络中初步实现了“零信任互联”(Zero Trust Networking)

► 同时构建了相应的工具包,以支持网信特战队(CMF)的“追猎作战行动”(Hunt Forward Operations)

► 非涉密级别的“军民合作”,是提升网战司令部能力的关键,而传统的工作方式过于僵化和缓慢。


● 2020年8月,美国国家标准与技术研究院(NIST)发布“零信任结构”(sp-800-207)。其中明确:

►零信任(ZT)是一个术语,代表网信安全不断发展的一组范式(paradigms),这些范式将基于网络边界的静态安全防御,转移到重点关注于用户、资产和资源。

►零信任结构(ZTA),使运用零信任原则规划工业和企业的基础设施安全及其工作流程。


需要关注和注意的是,“零信任结构”是基于利用现有网络体系结构的加固,与近年来某些我国内专家宣称的所谓“互联网体系结构是互联网核心技术”和“统一网络体系结构是一体化融合的根本”之论(或假说),完全是“两股道上跑的车,走的不是一条路。”


鉴于,直接关系到国家安全与发展的方向和路线,“零信任结构”与“统一网络体系结构”,孰重孰轻、孰是孰非?必须自上而下地厘清、澄清,并应推动形成广泛共识。


众所周知,TCP/IP协议起源于美国国防部于1980年1月制定的标准(RFC761/RFC760);至今美国国防信息系统局(DISA)及国家安全局(NSA)仍在更新和维护IPv6协议。基于开源和开放的TCP/IP协议和协议栈的所谓“统一网络体系结构”的IPv6协议,不知是否包括或将会包括美国国防部更新的IPv6协议?


已知的共识是,移动通信5G技术是未来网络互联发展的路径,也需要直接建网和组网。然而,据称在5G专利中,中国公司仅拥有15.4%的占比,却被打压、排斥和封锁。


有比较才能有鉴别。尽管规模部署IPv6与5G建设都涉及组网及其网络体系结构,并在一定程度上存在“互联互通”,两者所受到美国的“待遇”却大相径庭,其中的过程有目共睹,无须赘述。在此状况下,是以IPv6为“统一网络体系结构”并作为“核心技术”?还是只争朝夕、删繁就简,利用现有网络体系结构创新加固?这应是全面、系统考量的问题以及经得起时间检验和有责任担当的作为,事关国家安全的战略性发展方向和路线,必须严肃、认真地作出适应性和抗衡性的权衡。

 

二、审视“互联网络的有条件访问”原则


曾几何时,“开放、包容、共享”是“同一个世界,同一个互联网(Internet,下同)”的标志。然而,必须清醒地认识(或再认识)到,今天的互联网是有条件的互联互通,是由地缘政治和价值观所驱动的必然趋势,且不以人的主观意志为转移。


一方面,“互联网络的有条件访问”(Conditional Access in Networking)通常用于执行常态操作,诸如允许或阻止对数据交换的访问、控制对网络的访问或是安全威胁防御的集成解决方案。可以明显地看到、直观地感受到,美国的一些网站(又被称为“深网”,Deep Net)拒绝来自中国(IP地址)的访问。


另一方面,特朗普政府制定的“清洁网络”计划,正在以“美国回来了”(America is back)的方式继续扩展和推进。


中国的网络规划和建设何从何去,直接关系到国家安全和数据安全以及管辖权、管理权乃至主权。


基于“零信任结构”原则,通信网络必须具备:

1)有差别的安全防御措施(信源);

2)有等级的安全数据区分(信宿);

3)有规则的安全监管机制(信道)。


显然,在一个泛化的通信网络中不可能运用有差别的“零信任结构”原则,即:国家关键基础设施专用网络必须与公共公众网络(逻辑)隔离。


事实上,“一体化”的重点是指挥和控制以及信息(情报)共享,而绝非是所谓的“统一网络体系结构”,或“互联网体系结构是互联网核心技术”无异于“掩耳盗铃”。


例如,由美军网战司令部负责构建的“统一平台”(又被称为是“网信航母”),是美军各军兵种网络数据的集约,而统一美军的网络体系结构被认定是“不切实际的”(包括两次过渡IPv6的计划)。由2012年2月22日生效的“中产阶级减免税和创造就业机会法”授权构建的美国“国家应急响应专用通信网络”(FirstNet), 是在AT&T移动通信网络的基础上,扩展覆盖全美可互操作的公共安保(Public Safety)宽带网络,并不替代已有的E911应急系统以及“陆地移动无线电”(LMR)系统。


1964年10月16日,中国第一颗原子弹研制成功,不仅打破了核讹诈和核威胁,而且具备了核威慑力。外媒惊呼:中国第一颗原子弹爆炸成功,使得其一夜之间改变了国际地位!


同理,在网信空间的斗争和竞争中,如果没有对等的威慑力,只能是被动的应付(或处处事事受制于人)。


● 什么是网信威慑力(Cyber Deterrence)


俄罗斯“主权互联网”(Sovereign Internet)的本质是,解决了互联网域名体系的自主可控,确保95%的数据流(和域名解析服务)“内循环”。但是,封闭的“内循环”既不能支撑数字现代化和数字经济的发展,也不符合国际社会(包括美国、俄罗斯)的共同利益。因此,可以认为,俄罗斯的“主权互联网”是备战网信战争的极端应急措施,“内循环”是首先保障关键基础设施(专网)的运营;同时,“内循环”所展现出的是网信威慑力,即对俄罗斯发动的任何网信战都将付出更大的代价。从“太阳风”安全事件中美国对俄罗斯的谨慎和有限度的反应行动,可见一斑。


因此,在斗争和竞争中争取互联网互联互通的权益和安全保障,必须具备“威慑力”的支撑。换言之,基础设施专网的建设和维护是国家战略生态的重要组成部分,是数字经济发展的基础底座;在极端情况下能够抵抗打击,确保稳定的民生民计,即在网信空间威慑敌手或对手的最有力、最有效武器。而,“在战场上得不到的东西,永远不要期望在谈判桌上得到。”

 

三、警示“不得从美国获得服务”原则


6月22日(美东部时间),美国司法部宣布查封伊朗的36个网站(域名),其中的一个网站域名“presstv.com”。据介绍,Press TV是伊朗第一个以英语播放的全日制(24/7)国际电视新闻网络,于2007年6月正式开播。


在美国查封“presstv.com”后的约8个半小时,该网站启用变更的域名“presstv.ir”,以伊朗国家顶级域名“.ir”替代了通用顶级域名“.com”以及“presstv.co.uk”和“presstv.tv”。同时披露,谷歌(Google)关闭了Press TV在Youtube的账户且没有事先通知;脸书(Facebook)、推特(Twitter)和Instagram也发出关闭Press TV账户的通知。


换个角度看美国政府查封伊朗网站域名:


1)该行动是对竞争对手的一次“杀鸡儆猴”威胁。但是,“尽量将注册的域名切换到我国司法管辖的域名注册局和注册商之下”(如“.cn”)的“对策”,不但是简单化、片面化了在网信空间中斗争的复杂性,而且也难以达到所建议的对策效果。例如,美国政府不会不知道,Press TV换个顶级域名再运营并不难,但对此未采取进一步制裁行动(并不是没有能力采取行动)。


2)在网信空间中,域名仅仅是(静态)数字化资源和服务供应链中的组成部分,伴随着的是(动态)信息通信技术和服务(ICTS)供应链以及对风险管理的模式和方式,静态和动态的供应链进而形成了复杂的生态系统。其中,“从美国获得服务”占据了支配地位。


例如,除了通用顶级域名(.com,.net,.org,.info)的注册授权和应用服务,管理互联网络核心自治系统(AS)的服务、提供搜索引擎、浏览器和操作系统的服务、运营主流社交媒体的服务、维护关键信息通信技术(如协议栈)的服务等等都是美国公司(受控受制于人),使任何形式的美国公司的“守法行动”或“系统错误”都可能触发断服断网,防不胜防。


3)美国国防部、财政部、商务部和联邦通信委员会(FCC)都发布和维护制裁“实体”和“特别指定国民”的名单,或取消和限制运营服务的名单,并随时可以采取具体的“执法”措施和行动,且不限于政府部门,也包括ICTS供应链;而“执法”措施和行动的时机及态势,取决于斗争的策略和态势(或“撕破脸”的程度)。


也就是说,美国政府查封伊朗部分网站域名,是通过对顶级域名(.com,.net,.org,.tv)所实施的降维精准打击;但是在技术上该查封网站域名行动与根域名并无直接关系,且在根域名层面也无法达到如此有针对性的精准程度。


反之,如果一定要坚称“根服务器是互联网真正具有‘牵一发而动全身’的要害之处”,那么事实证明:顶级域名服务器也是互联网真正具有“牵一发而动全身”的要害之处;权威域名服务器还是互联网真正具有“牵一发而动全身”的要害之处(通过CNAME将指挥控制权“转让”给CDN的专用域名服务器,导致数据跨境跨域存储和交换)。事实上,要害之处都是真实存在的,又何必喋喋不休地“张冠李戴”!


在美国政府查封伊朗部分网站域名的事件中,分明是通过“顶级域名”及其供应链的精准打击,我国内某些专业人士却硬是要转弯抹角地扯上“根域名”及其所谓的“新威胁”。事实上,中国互联网超过90%的活跃域名必须依赖于跨境服务,我国内某些权威人士却将其淡化为中国的外交使团、媒体和被制裁实体企业的顶级域名;本应以该事件驱动检讨我国在域名管理和应用中长期存在的安全风险,却非要摆出一副“教师爷”的架势,把问题根源及其严重性和危殆性引导到不同方向。“故弄玄虚”,究竟意欲何为?


一方面,在互联网的域名空间,ICTS供应链处处是“要害之处”,否则在40年的发展和进化过程中势必早已被淘汰。罔顾事实地宣称,根服务器是互联网“真正”的要害之处,实为牵强附会的误导,恰似强词夺理地要人相信:鼻子比耳朵更重要。


另一方面,2018年12月27日,我国内某专家在“互联网人必须搞清楚的两大问题”中言词凿凿地给出“正确答案:DNS根服务器不是互联网的‘核按钮’。”然而,事实胜于雄辩!请注意:“互联网是有记忆的”,且看且听这位专家现在和将来如何自圆其说。

 

四、认知“技术不是中立的”原则


2014年5月1日,美国白宫发布战略白皮书“大数据:抓住机遇,保存价值”。其中强调“技术第一定律”的重要性:技术没有好与不好之分,但也不是中立(Technology is neither good norbad, nor is it neutral)


在当前日趋严峻的斗争形势和竞争态势下,再反思“技术第一定律”:


● 一是,互联网的“浪潮”改变了人类文化。其不同于农业革命和工业革命的一个显著特征在于,数以亿计的网民既是受益者,也是参与者(尤其“玩家是专家”)。


● 二是,美国政府强调“技术第一定律”的重要性背景和环境是“大数据”。换言之,目前美国所制定“以数据为中心”战略的重点是数据安全的风险管理,以“武器化”的数据确保“信息优势”和“决策优势”。


● 三是,尽管美国在网信空间拥有绝对领先的技术,但是也同样面临“技术不是中立的”挑战、风险和威胁


2015年4月,美国国家标准与技术研究院(NIST)发布“对联邦政府信息系统和部门的供应链风险管理实践”(sp-800-161),明确要求和规范:将“供应链风险管理”(简称SCRM)作为各级联邦政府部门的安全风险管理行动规范。


2016年5月,NIST更新和完善了规范,“网信(Cyber)供应链风险管理”(简称C-SCRM),网信供应链的范围包括:信息和通信技术(ICT)以及运营和服务技术(OT)


2020年9月25日,美国国家情报总局(DNI)给出C-SCRM的指南,其中定义:网信供应链风险管理是一个过程,以识别、评估和缓解供应链中产品和服务的完整性、可信度和真实性的安全风险。


2021年5月25日,在NIST关于“C-SCRM”的通报中强调:随着供应链受到安全威胁,无论是芯片、笔记本电脑、服务器、其他技术、非电子产品以及服务,其安全性不再可信(或“零信任”)。


不限于上述的规范和指南,“网信供应链风险管理”的核心及共同点是:风险管理不是技术问题,而是管理职能和功能。由事件驱动、问题导向引发的网信供应链风险管理,正在成为全球关注的互联网治理的前所未有之热点及焦点。


正是“技术不是中立的”原则,奠定和催生了“零信任”的驱动力。换言之,一旦供应链风险管理缺位和缺失,而片面地依赖于(某些)技术或“一招鲜”的“唯一性”或“排他性”,不仅造成网信安全防护的本末倒置,而且很可能由于被误导,致使安全风险差距越来越大。毕竟,“火车不是推的”、“泰山不是堆的”;不失一般性,“苹果手机是世界工场制造的”。


2020年12月8日,“太阳风”的软件供应链被发现遭受了入侵和攻击。12月14日,美国国家安全委员会启动了第41号总统政策指令,并召开了网络安全事件应急响应小组会议,成立了由联邦调查局(FBI)、国家网信安全及基础设施安全局(CISA)、国家情报总局(ODNI)和国家安全局(NSA)组成的“网信统一协调小组”。由此,进一步规范和强制网信供应链安全风险管理以及强化“零信任结构”。


对标对手、知彼知己以及问题导向,不能不一而再、再而三地强调,有一个道理不用讲,“没有意识到的风险是最大的风险。”

 

五、直言网信安全的“自查自纠”


从上世纪60年代,美国国防部创建了互联网的基础,包括TCP/IP协议以及域名体系和系统(DNS);至今,美国国家安全局(NSA)仍然公开地研发DNS和更新IPv6协议;网信安全从隐蔽(NSA,“查无此部门”)到公开(网战司令部的转制转型以及被授予的特权),美国国防部不仅是国家安全(尤指关键基础设施)的主要保卫者,而且是数字化技术创新的主要引领者。不论斗争或是竞争;不论是常规的热战或是跨域的冷战,自古、历来都是“兵来将挡,水来土掩。”


政府关怀的是社会和谐、行业关心的是业务发展、企业关注的是市场营销,而集中地体现为国家安全和国家利益的全局——“谁敢横刀立马?”又岂是“自查自纠”可以承担、负责和从根本上解决危局和危机?


对标对手、知彼知己,并非危言耸听(或是“狼来了”)。网信安全“自查自纠”的问题,要害在于(但不限于):

1)管理职能,形同虚设;

2)条块分割,各自为阵;

3)墨守成规,固步自封。


为有效地适应挑战和抗衡威胁,必须直面的事实是:网信安全“自查自纠”问题的积累,滋生出惯性和惰性(甚至“躺平”);衍生出有悖科学的盲区、违背客观的误区以及处处受制于人的危区,落入防不胜防的网信安全“雷区”。


 “谁使用、谁负责,谁运营、谁负责”的网络信息安全责任制,早已被不同程度地固化为“自查自纠”的习惯性模式。“自查自纠”的一般性解释是,找出自己的不足之处然后加以改正。在某些领域,“自查自纠”等同于“人贵有自知之明”。


然而,工业信息化时代与数字信息化时代存在着显著的“代差”。随着人造网信空间的快速演变,互联(Networking)的设施设备、网络化(Networked)的数据、互通(Internetworking)的信息,加速形成无所不在、无所不用的全球化信息通信技术和服务(ICTS)供应链,使得对数据(和信息)的安全威胁不再是孤立的和独立的;而以窃取数据(和信息)为目标的网络入侵和网信攻击已成为指挥和控制(C2)有素的大规模战役行动(例如:“太阳风”安全事件)。


一方面,网络信息安全的“自查自纠”不仅失去了原有的意义和作用,而且致使在网信空间形成不同规模的“一亩三分地”(“各人自扫门前雪”),对国家安全必然产生“蝼蚁之穴可溃千里之堤”的潜在关联效应。


另一方面,信息安全的“自查自纠”不同程度地掩盖了惯性和惰性(甚至“躺平”)。例如:


● 对于关键数据被托管在境外的警报,被专家评估为“不可能”,而实际上对数据被“加速”的推送机制以及服务被“集成”后又被分包转包的“旋转门”模式,或知之甚少(无所适从),或“护短”使然。


● 对于数据跨境传输交换,是基于传统工具(如:Ping,Tracert)而被推断“不存在”;但现实中通过对用户定位可以匹配本地或优化的服务端的IP地址;“任播”(Anycast)技术可以使多个服务器共享同一IP地址,使连接服务端的IP地址被虚拟化。


● 对于数据泄露的警告,或是“辟谣”、删贴,或发律师函威胁,不过是“此地无银三百两”,于事无补、徒劳无用。事实上,被泄露的大量数据至今仍在暗网中明码标价售卖。


2020年9月30日,美国国防部出台“数据战略”。其中强调:“将数据作为武器系统,管理、保护和使用数据以实现作战效果。”显见,在网信空间的斗争和竞争中,关键数据泄漏导致对国家安全的严重影响和难以预料的后果,或形同“缴械”、“资敌”。反之,当且仅当“与数俱进”,方能够准确识变、主动求变、科学应变。


从美国历史上第二大企业破产(财务严重造假)的安然公司(Enron,2001-12)事件,到美国历史上最大的企业破产(虚报巨额利润)的世界通讯公司(Worldcom,2002-7)事件,再到蓄意制造世纪大骗局的北京信威科技集团(2021-6)事件,以及当下涉嫌违反我国国家安全和网络信息安全的滴滴事件,虽然时代不同、背景不同、手段不同、影响不同、等等的不同,但都具有的一个共同点是:击鼓传花(自欺欺人)、攀龙附凤(专家背书)、自查自纠(阳奉阴违)之“三部曲”,循环往复地贯穿于始终。其中,“击鼓传花”和“攀龙附凤”是人之贪婪和欲望使然,可谓是“前赴后继”。请注意,一旦改变和规范“自查自纠”的方式及模式,就能堵住(至少是极大地缓解)潜在或滋生的漏洞。美国在这方面也是经历了一个实践过程,其经验和教训值得参考与借鉴。


正因为此,网信安全的“自查自纠”,无异于“自导自演”与“饮鸩止渴”。


目前,数据安全的分级和分类审查制度与机制,直接涉及到可执行的方式和方法。应实施“自查自纠”与“他查他纠”相结合,普遍查纠与专业、专项查纠相结合,尤其对于重要和关键数据必须集约、统一监管。否则,“事后”补救所要付出的代价太大、太大!


在涉及国家安全、网信安全的领域,“自查自纠”与“他查他纠”本应是形成合力的两个关联及互补维度;反之,则不可避免地造成内斗、导致内耗,或无奈“躺平”;最终,受到损害和伤害的是国家安全以及人民利益。


综上,必须高度警惕:“堡垒最容易从内部攻破!”

 

(作者:邱实,网络信息安全技术专家;牟承晋,昆仑策研究院高级研究员、中国移动通信联合会国际战略研究中心主任。来源:昆仑策网【原创】,作者授权发布)


【本公众号所编发文章欢迎转载,为尊重和维护原创权利,请转载时务必注明原创作者、来源网站和公众号。阅读更多文章,请点击微信号最后左下角“阅读原文”】



【昆仑策研究院】作为综合性战略研究和咨询服务机构,遵循国家宪法和法律,秉持对国家、对社会、对客户负责,讲真话、讲实话的信条,追崇研究价值的客观性、公正性,旨在聚贤才、集民智、析实情、献明策,为实现中华民族伟大复兴的“中国梦”而奋斗。欢迎您积极参与和投稿。

电子邮箱:gy121302@163.com

更多文章请看《昆仑策网》,网址:

http://www.kunlunce.cn

http://www.kunlunce.com


你觉得这篇文章怎么样?

40

二维码
维宠宠物导航网 电话:153-2012-0258 电话:155-0222-3953 邮箱:594036387@qq.com 地址:天津滨海新区烟台道15号办公楼5-506室

天津维宠网络科技有限公司 版权所有 © 2019 Inc.

 津ICP备19008835号 技术支持 网站地图