毫无疑问,美国在引导全球IT科技的发展方向,这是因为美国良好的科技环境保护了科技成果价值评估的纯洁性,科学家们不会因为金钱或者权力的干预而随意夸大或者降低科技成果的价值,科技人员可以最大限度地发挥创造力,所以美国出现了很多前沿的科技理论、思想和方法。比如最近网上的一篇文章里说,中国互联网目前的成功都不是基于前瞻性创新,而是借助互联网大势,精巧地追逐游戏、影视和网红等浮钱为核心的收入模式;迄今的发展战略都是基于13亿人口,而不是73亿人口的全球化视野,这不是数量差异而是湖泊与大海的区别。BAT都远未跨越海外收入超过30%的最初级门槛,巨人们还留级在全球化的幼儿园阶段。而美国的Facebook要让全球没有上网的40亿人(当然包括中国还没有上网的7亿人)能够免费上网,要在虚拟现实和人工智能领域成为第一平台,要把Facebook建成全球网络空间第一生态。
了解事物的来源和本质才能找到更好的解决方法和应对策略。人们未来的竞争大多数会发生在网络空间里,这种竞争不仅仅是企业之间的商业竞争,还会上升到国家之间的战略性竞争,网络空间主权、网络空间安全将直接影响人们的生存和生活环境。
那么网络空间是怎么产生的?
1991年9月号《科学美国人》出版《通信、计算机和网络》专刊,第一次出现“网络空间Cyberspace”,什么是 Cyberspace(网络空间)?美国国家安全54号总统令和国土安全23号总统令对Cyberspace的定义是:“连接各种信息技术的网络,包括互联网、各种电信网、各种计算机系统,及各类关键工业中的各种嵌入式处理器和控制器。在使用该术语时还应该涉及虚拟信息环境,以及人和人之间的相互影响。”
从网络空间的定义来看,互联网的规模决定了网络空间的尺度,互联网的安全决定了网络空间的安全。
针对当前的网络空间存在形式,一些专家学者总结出了网络空间安全面临的主要挑战和特点:
第一,它是整体性的,不可分割的,许多网络威胁涉及网络空间的各个方面,计算系统方面、网络方面、应用方面等等。
第二,网络空间安全的问题越来越动态了,已经不是静态的了。网络本身的管理就是一个巨大的难题,很多网络故障是不能重现的,网络安全上更是难上加难。所以很多网络空间安全的事件是动态发生的,很多时候是不能重复的,这为解决这些问题带来极大的挑战。
第三,网络本身是越开放越大,其价值就越高。而从解决安全问题角度来说,越小越封闭是越好解决,然而网络安全事件一定是发生在开放环境下,不是发生在封闭环境下的,因此难以跟踪,难以溯源,这给解决问题带来极大挑战。
第四,整个网络的安全要有高成本的投入,任何解决方案都是相对的,在相对成本的情况下,如何尽可能让它安全,是另外一个需要平衡的问题。
第五,许多网络安全问题具备共性,是共通的,不是孤立的。这是全球化的问题,是共性的问题多,国际化的东西多,关联性的东西多。
以上这些挑战使得网络空间安全错综复杂。总的来说,还有几个方面的研究值得关注。
第一,网络源地址验证的问题。这是互联网技术长期没有解决的问题,或者说没有很好解决的问题。在互联网中,所有传输的数据,是根据目的地来进行路由选择,对源地址是不认证的,这种机制使得可以假冒,可以仿照,劫持,带来的安全问题是巨大的。
第二,大规模的攻击,域名的劫持和假冒,路由的劫持和假冒。这些问题在互联网中每天都在发生。还有其它典型的安全挑战,如数据的完整性、身份认证,不可抵赖、保密、防护攻击,当然这只涉及网络本身的安全问题,不涉及内容的鉴别,不涉及密码学,是由互联网技术本身引起的安全问题。
事实上,当前的网络空间并不是一个真正的空间,并不具备空间的特征(比如物理空间、分形空间等是由维构成的),只是采用IP地址连接起来的事物的集合。按照人们采用长、宽、高描述三维欧几里德空间的方式,当前的网络空间属于一维空间,即基于IP地址的一维欧几里德空间。
一维空间里的视觉图
显然,一维空间很难完整地描述三维空间里的事物,而由于信息的缺失,逻辑过程也会变得不完整,从而出现大量的安全问题。通常人们会认为一维空间是一条直线,这是一种误解,任何空间都有大小,维只是空间结构的表征形式,指定事物的存在位置。
三维空间里的视觉图
由此可见,当前网络空间里的安全问题来自网络空间的架构设计模型,而不是空间里的构成事物,比如传感器、路由器、应用程序等。所以重新设计网络空间的架构模型才是真正解决网络空间安全的唯一选择。
从人类出现开始,人就生活在物理空间和信息空间里,也就是人们通常所说的物质和意识。
网络空间是人类自己创建的空间,包含了物理空间里的物质和信息空间里的信息,是一个特殊的空间。由于人类目前并没有获得关于信息空间的知识,所以只能参考物理空间的知识来设计网络空间的模型。
按照科学家的研究成果,物理空间由10个维度构成,其中显性维有四个,人们不能觉察的隐性维有6个。
空间是事物存在的载体。网络百科上对空间的描述如下:
空间是与时间相对的一种物质客观存在形式,但两者密不可分,按照宇宙大爆炸理论,宇宙从奇点爆炸之后,宇宙的状态由初始的“一”分裂开来,从而有了不同的存在形式、运动状态等差异,物与物的位置差异度量称之为“空间”,位置的变化则由“时间”度量。空间由长度、宽度、高度、大小表现出来。通常指四方(方向)上下。空间有宇宙空间 、网络空间、思想空间、数字空间、物理空间等等,都属空间的范畴。
由此可见,网络空间和物理空间一样,具有长度、宽度、高度、大小的属性,而长度、宽度、高度采用维的方式来表示。
由于空间类型的不同,物理空间里的事物和网络空间里的事物的存在形式也是不同的,所以物理空间里的长度、宽度、高度维和网络空间里的长度、宽度、高度维的含义也是不同的。比如在物理空间里北斗卫星坐标信息(经度、纬度、高程)可以采用北斗时空码的形式成为网络空间里的一个维度,IP地址成为一个维度,如果把行政区域也变成一个维,那么网络空间就形成了一个三维空间。
网络空间安全本质上是对这个三维空间里的存在事物以及行为活动的唯一性的标识。三维空间+时间维的信息将可以决定网络空间里所有存在事物的唯一性状态,因为空间的位置对事物的存在具有排他性,即空间是因为事物的存在而存在,如同因为地球的存在而出现了地球对应的空间一样。
根据百度百科上的资料,网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。其主要特性为,保密性、完整性、可用性、可控性、可审查性。
从网络上找到的各种安全问题来看,尽管表面上的存在形式很多,但是本质上就是唯一性的问题,即网络空间里的事物及行为的唯一性,比如人们对区块链(Blockchain)的信任,是因为数据区块携带了关联节点的信息,数据的可信性是由分散的关联节点来证明的,而不是由一个指定的第三方机构来证明,这种不确定节点数量的去中心化的证明方式,大大地提高了数据的可信程度。
区块链是一个由IP地址维和节点关系维构成的二维空间。需要注意的是,空间结构上的维与节点上事物本身包含的属性是不同的,它们之间有本质的区别。
网络空间是一个新事物,关系到人类未来的生存、生活模式,包含了道(战略)、法(战术)、术(战场)三个层面的内容,有大量的工作需要人们来完成,所以在创建网络空间之前,需要先弄清楚一些基本问题。
(1)网络空间和网络空间里的事物是不同的,空间的维和个体事物的属性也是不同的,比如在网络空间里的一个图书馆里,书的颜色、名字、作者、内容等属性参数和空间本身没有关系。网络空间的特征和物理空间的特征一样,在物理空间里,一个人包含了很多属性,这些属性和空间的维参数是不同的,也就是说,人的属性不会影响空间的维的性质。
区分空间和空间里事物之间的关系很重要,因为事物在发生逻辑行为的时候,空间是不会变化的,改变的只是事物本身的属性状态。比如一个物体发生了移动,是物体的状态发生了改变,并不是空间发生了改变。
(2)“网络安全”是“网络空间安全”的简称,是相同的概念。在英语中,前者是“Cybersecurity”后者是“Cyberspace security”。不过有很多人把“网络空间安全”和“网络安全”当成两个不同的事情,这种错误会给研究工作带来不必要的麻烦。
(3)网络空间具有空间特性,属于战略层面的事物,并不是战场层面的功能性事物,因此设计方式也存在差异,网络空间属于顶层架构设计,强调的是整体的布局,而类似用户身份识别之类的功能性模块属于战场层面的设计,强调的是局部的个体能力,如同高手下围棋,局部的死活很重要,但是整体的布局更加重要,因为对于真正的高手来说,处理局部棋子死活的能力差距很小,决定胜负的关键在于整体布局的能力。
(4)目前的IP地址架构存在大量的问题,欧美科学家已经提出了未来网络架构的计划,并且已经成为网络空间主权争夺的重点。但是网络空间架构体系设计属于顶层设计,是哲学层面的模型,采用的是自上而下的逻辑过程非线性传动模式,即顶层的逻辑很简单,下层的逻辑比上层的逻辑复杂多样,这就是中国古代文化里说的“大道至简,衍化至繁”。
而当前欧美科学家采用的是自下而上的设计思路,也就是从战场层面的具体应用开始,向上层总结抽象出共性,形成网络空间架构模型,比如目前流行的软件定义网络(Software Defined Network, SDN )。这种方式创建的网络架构体系将带来安全隐患,这是因为在混沌体系里,逻辑过程的流动是单向的,不能从下层的逻辑过程里获得上层的完整逻辑过程,这些缺失的逻辑过程就是安全隐患。
(5)网络空间安全包含网络架构安全和应用系统安全两大部分。网络架构安全属于战略层面的整体性安全,是核心安全,关系到人类文明的走向。应用系统安全属于战术和战场层面的局部性安全,也是非常重要的,千里大堤,毁于蚁穴。
习近平总书记在中央网络安全和信息化领导小组第一次会议上指出,网络安全和信息化是事关国家安全和国家发展、事关广大人民群众工作生活的重大战略问题;没有网络安全就没有国家安全,没有信息化就没有现代化。
对于创建网络空间的技术人员来说,如果希望从根本上解决网络空间的安全问题,以下几个方面的观点或许具有参考价值:
(1)从哲学的层面设计网络空间模型。空间是事物存在的载体,网络空间里的事物是不同层面的类型功能不同的应用系统或者功能模块。采用维的方式为网络空间里的存在事物指定唯一的空间位置,这个位置参数就是该事物在网络空间里的唯一标识码。
(2)采用哲学思维建立网络空间里事物的模型,抽象出事物的结构和属性,结构以空间的形式存在,包含了事物内部的各种关联关系,属性是零关系的事物。如同建筑大楼,楼的框架就是结构(比如框架剪力墙结构等),由不同方向的力构成,而墙则属于属性。
由此可见,事物的安全问题来自结构,而不是属性。
(3)在哲学思维里,网络空间是物理空间的子集,规则是相似的,因此可以把物理空间里的方法经验类推到网络空间,只是材料的存在形式不同。比如把建筑工程里盖楼房的经验应用到软件工程里开发软件系统。
