是战略，不是速度：我们应该从早期网络安全专家那里学习什么

       “改变”与“速度”。今天只要谈起网络安全，我们总会听到这两个词。用网络司令部前司令长官亚历山大将军的话说，“网络攻击以闪电的速度发生，往往在你察觉之前已经结束。”

        的确，在技术领域，一切都是改变，一切都有关速度。这里不妨简单比较1981年的IBM个人电脑（PC）和2012年起售的iPhone 5。iPhone采用双核A6处理器，比内置英特尔8088处理器的PC快270倍。iPhone的内存胜PC百万倍，最低配置的本机存储量也超过PC46万倍。PC通过拨号或调制解调器以300比特/秒的速度时断时续地连接BBS；iPhone则通过3G（约100万比特/秒）或4G（约1000万比特/秒）无线通信技术时刻连接互联网。

        相应地，我们面临的安全挑战也层出不穷今非昔比。2013年3月，据《华盛顿邮报》报道，开年以来已有3000多家美国公司的计算机系统遭到攻击。

        应对网络安全挑战的办法之一是改进运营技术。近几年，颇有些专业人士呼吁设立顶层域名（TLD）“.secure”，与我们熟悉的“.com” “.net”相当。在“.secure”的域名下，系统操作员的所有网络操作都必须按照“域名系统安全协议”(DNSSEC)和“传输层安全协议” (TLS)来进行，SMTP邮件则需通过域名密匙认证（DIIM），依照TLS传输。

        依照这一思路，政府内部出现“另起炉灶”的呼声，希望建立一个“独立的、安全的计算机网络，以保护政府部门及关键设施（如国家电网）免受网络攻击”。一些工程师甚至呼吁弃置现存互联网，取而代之以“未来互联网”以确保安全。

        2011年，美国国家科技委员会发布了一篇题为“可靠的网络空间”的报告，声称将“改变以往拆东墙补西墙的做法，以一连串的组合拳来‘扭转局面’，创立可靠的网络空间……我们需要确立持久的安络安全原则，以适应瞬息万变的技术进化和危机四伏的网络环境。”

        问题是，我们如何“扭转局面”呢——除了上述“拼技术”的解决方案，除了推倒重来，我们还有其他办法么？笔者认为是有的。但首先我们需要放下“改变”与“速度”带来的眩晕和冲动，回溯一下不算长远却总被淡忘的计算机安全思想史。

        最早、或许也是最著名的思想者是詹姆斯•安德森（James P. Anderson）。1972年，安德森发表两卷本的《计算机安全技术规划研究》，提出“最大的问题在于……如何使多层的信息资源共享平台免于恶意用户的攻击？”那个时候，互联网尚未连接，对系统的攻击主要来自内部。既然祸起萧墙，安保也应始于萧墙，安德森提出“内置安全”的思路，“在操作系统植入安全控件，既监控用户行为，也捕捉系统本身运作的异常信息”。安德森进而提出“入侵检测”的概念，他建议“提高用户系统中安全监控及检测能力”，提出了利用审计跟踪数据识别可疑行为的思路。

        在安德森的基础上，多萝西•德宁（Dorothy E. Denning）和彼得•纽曼（Peter G. Neumann）建立了“实时入侵检测专家系统”（IDES）模型。在1985年发表的著名论文《IDES的条件与模型》中，德宁和纽曼这样写道：

        “四个因素使得IDES成为必要：①几乎所有的系统都存在安全漏洞……而发现所有漏洞并编制补丁要么在技术上不可行，要么在经济上不划算；②现存系统难以取代——所谓“更安全的系统”往往成本过高，并且牺牲了现存系统的一些优点（伴随安全隐患的那些优点）；③开发绝对安全的系统是极端困难的，如果还不是不可能的话；④哪怕最安全的系统也不能防范内部用户的攻击。”

        克里夫•斯托（Cliff Stoll）将入侵检测技术运用到实战中，并记录了全过程。1986年，劳伦斯•伯克利国家实验室的这位系统管理员一直在追踪一伙入侵者。最初，Unix操作系统一个0.75美元的计算错误让他察觉自己电脑被入侵了，但他并不知道对方是谁、以何种方式入侵。于是他悄悄布了一张“网”，通过串联端口连接远程用户，并观测这些用户的举动。斯托还设置了一个警报系统，在“网”上出现异动时通知他。最终，他“抓住”了入侵者——为克格勃效力的东德特工。

        对于被入侵的计算机，斯托进行基于主机的修补，以阻止或限制黑客的操作；进行漏洞评估，并继续监测。斯托认为没有“终极的安全”，只有“永恒的警戒”——“我们所能做的就是设置密码作废期，删除作废账户，删除共享账户，继续监测入埠流量，在某处设定警报器，以及培训我们的用户”。

        1990年，托德•赫柏林（Todd Heberlein）及同事设计出“网络安全监控器”（NSM），这是一个监控并记录网络数据流的入侵检测系统。NSM观测以太网上的所有活动——不管它们是否可疑，并把收集到的数据记录到计算机硬盘上。当异常出现，NSM会向管理员发出警报。对于“怎么办”的问题，赫柏林建议说：“一种可能的解决方案是，保存经过连接的实际数据，这样对于所发生的一切就有了确切的记录。”这也是所谓“网络取证”的雏形。

        最后值得一提的是，德州农工大学（TAMU）的《TAMU安全程序包》。1992年8月，德州农工1.2万台Unix电脑遭恶意入侵。TAMU基于这次实战，总结了几点：①先监控，后清理。“我们决定监控电脑的网络会话，而不是立即采取安全措施。这一决定被证明是很正确的。通过监控，我们得以掌握有关入侵者及其入侵手段的大量信息。”②假定所有的本地计算机都被“感染”，并在此假定之上逐一排查清理。“（因为）哪怕只有一台计算机是不安全的，入侵者也可能以它为基站发动下一步攻击”。③网络安全不应以牺牲用户隐私为代价。

        回溯至此，不难发现早期网络安全专家们有个共性——他们不关注工具。他们不使用“瞬息万变”这样的措辞，其论述围绕网络安全的战略规划及行动部署展开，并不涉及具体的技术手段。这与现时流行的方案迥乎不同。

        为什么？

        我认为，这与他们对“网络环境”的理解有关。早期网络安全专家突出“人”的要素，在他们看来，所谓网络安全，仍旧是人与人之间的博弈——虽然是在新的技术平台上。这带出两个结论：①“战略规划”重于“技术手段”。道理与传统战争近似，决定胜负的永远是谋略而非武器。②没有一劳永逸的解决办法，或者说“终极的安全”。一种务实的战略应该是围绕“入侵检测”展开的，而非奢望一个零黑客的未来网络系统。

        接下来的问题是——在我们这个不确定性的年代，“谈战略、讲规划”这一套还有价值吗？

        答案是肯定的。如果暂时放下“速度”与“改变”带来的不安，我们就必须承认，早期网络安全专家对网络环境的理解是对的。2010年代的iPhone固然比1980年代的PC强多了，但有一点始终不曾改变——那就是使用操作系统的人。不管用的是PC机还是笔记本、智能手机、平板电脑，人的速度并不曾改变，他不可能以“光速”或是“网速”行动。就像杰森•希利（Jason Healey）在新书《酷域：1986-2012年的网络冲突》中所说的那样，“战术交锋会瞬间发生，就是敲“Enter”键那一会儿功夫。但冲突往往是持续数周、数月，甚至数年，敌对双方多次交手，就像传统战争那样”。

        既然如此，在应对层出不穷的安全挑战时，我们就需要一种真正的战略眼光和手段，而非简单地推倒重来。

        何谓战略手段？这里以美国空军“联合作战准则1”（JP-1）为例做一说明。JP-1从三个层面谋划战事：战略层面、战役层面，以及战术层面。在战略层面之上，又可设置网络安全的总体目标，就像我们在制定军事计划时那样。在战术层面之下，则可罗列具体的工具/技术手段，相当于作战计划里的用于实施战术行动的武器。

        在此战略安全框架下，防卫一方可以制定相对长期、有效的安全规划。从哪里开始制定呢？不是从技术手段和战术开始，相反，我们从设定总体目标开始。这些目标应为团队所有成员——不管是技术人员还是非技术人员——所理解和认可。接着，首席信息安全官（CISO)需要做四件事情：（1）根据总体目标制定安全战略；（2）根据战略组织并实施作战行动；（3）协助团队执行战术打击以达成作战任务；（4）组织研发或购买安全工具以“武装”团队。

        下图是以战略安全手段将入侵损失最小化的案例。它采用了快速侦测、反应、遏制的战略，采取NSM式的防卫行动、战术和安全工具。

        最后需要强调的是，战略规划的各个层面应该是彼此关联、相互照应的。倘若战略理论脱离了技术现实，结果或是灾难性的。比方说，如果网络流量是加密的，那么“检测入侵”的理论就不管用了，因为底层工具既然无法“看清”网络流量的内容，也就谈不上“检测”可疑或恶意的行为了。