• 移动端
    访问手机端
    官微
    访问官微

    搜索
    取消
    温馨提示:
    敬爱的用户,您的浏览器版本过低,会导致页面浏览异常,建议您升级浏览器版本或更换其他浏览器打开。

    北邮教授杨义先:安全行业最大理论误区是追求零和博弈

    来源:中国电子银行网 2018-08-02 15:31:12 贵阳高峰论坛 杨义先 原创
         来源:中国电子银行网     2018-08-02 15:31:12

    核心提示对于金融行业、银行业的重要启示是,在信息安全防护措施中重视备份的作用,因为黑客必须把所有的备份系统全部攻破才能达到目的。

      “科技重构金融未来”——中国电子银行联合宣传年2018贵阳高峰论坛于8月2日顺利举行,贵阳市政府、近百家银行相关部门领导、金融科技企业和学术专家共计约150余人参会。论坛由中国金融认证中心(CFCA)、中国电子银行网主办,贵州数安汇公司协办,中国电子银行网全程视频、图文直播。

    北京邮电大学教授杨义先
    北京邮电大学教授杨义先

      北京邮电大学教授杨义先出席并发表致辞。杨义先谈到,他个人目前在做的安全方面的研究,本质上是把要涉及安全的所有分支找一种理论统一起来,发现宏观安全领域中的基本规律。同时他对安全行业的现状和发展趋势提出了一些学术质疑,认为目前大部分安全问题更应该从宏观格局思考并入手。

      误区一:只知“零和”,不知“博弈”

      首先他认为,现在没有人在正确地做“安全”,大家都在做“不安全”,完全被黑客的行为牵着鼻子走。同时指出,安全领域中“攻守双方利益零和”的观念是错误的,反之,在“消灭对方”和“争取利益最大化”两者之间,安全对抗(信息战)的真正目的是后者,也就是说在安全对抗中也存在纳什均衡——对抗各方所得利益达到最大化,因此都不愿意打破局势平衡。

      误区二:“局部”障目,不见“全局”

      杨义先对目前安全行业提出的第二个质疑是,认为追求局部绝对安全是缺乏远见的,在实际操作中常被倚重的许多办法可以使局部不安全熵减小,但会因此激发全局不安全熵增加,而判断某种网络安全保障措施是否正确的标准,应是“它将引起整个系统的不安全熵向哪个方向发展”。他认为,目前安全领域执行者的观念应得到改变。

      误区三:最好的防守不是“盾牌”,而是“纵深”

      安全领域中的攻防有极限吗?杨义先给出的答案:是。并且他认为这个极限是没有办法突破的,是可达极限。这一点对于金融行业、银行业的重要启示是,在信息安全防护措施中重视备份的作用,因为黑客必须把所有的备份系统全部攻破才能达到目的,而黑客的攻击能力存在极限,是可以被“田忌赛马”的策略反制的。

      以下为杨义先演讲原文:

      各位朋友,各位专家,非常高兴今天有这个机会跟大家一起分享一下我最近的一些想法。什么叫安全通论?就是要把安全的所有分支找一种理论统一起来,也就是在理工科范围内,在没有任何限制的情况下,发现安全的一些基本规律。这些规律用来干什么?在理论和技术上有很多用,但可能对在座的各位专家、领导来说就是要刷新安全观。也就是说,我们到现在为止全世界有关网络空间安全的很多关键,甚至最重要的观念,要么是片面的,甚至有些是错误的。我们通过这个跟大家分享一下。

      现在,我们为什么要把安全观念刷新,因为其实现在全世界安全界有些现状很怪,大家好像都很重视安全,其实仔细想想,全世界是没人做安全的。大家觉得不可能,那么多人做安全,不对,你没有做安全,你做的是不安全。也就是说,你对出了哪个问题,你是针锋相对,兵来将挡水来土掩,所以现在全世界安全界是被黑客牵着鼻子走的,大家都在做不安全,没人做安全。很多人可能说,没关系,我把所有的不安全做完了不就安全了吗?对不起,做不完。为什么做不完?技术在不断发展,在大数据出来之前,压根就没有数据隐私的问题,今天数据隐私问题成了重要的安全问题之一,那明天后天呢,永远不断出现不安全,兵来将挡永远不行,所以就需要有一样东西把这些问题统一起来。而且现在全世界的安全,技术、产品、理论都是武器,这些武器都有很明确的指向,杀病毒、加密、做认证等等,但是没有一本兵书。武器当然重要,但如果有兵书,在现有的武器之下就能够以弱胜强、以少胜多,历史上也是这样。所以《安全通论》也是全世界第一本兵书,真正从战略角度、从排兵布阵的角度在有限的资源下使攻防能力达到理论上的极限最大化。而且现在世界上的安全最基本的概念是错误的,是片面的,现在全世界的安全思维就是工匠,还好攻守双方都是工匠。

      当然,我们说关键很重要,我的第一刷问一个很基础的概念,请问安全到底有几个状态?我相信全世界所有做安全的人,想都不用想就说两个,你死我活。要么水涨船高,要么魔高一尺,要么道高一丈。这个观念是错误的,我们后面说。这个观念严不严重,如果没带来严重的后果,根本不在乎,救火还来得及。对不起,这个观念带来很严重的后果。为什么?如果认定只有你死我活,那敌我双方就会不惜一切努力,哪怕会被打死都会在死之前咬对方一口,最终大家都会被累死。这就是两个状态观念带来的后果。

      那好,请问到底有几个状态?如果不是两个状态那是几个状态?实际上我们要分析人,所有人类是理性的,不要被片面的个别的暂时的一些非理性行为蒙蔽,整体来说是理性的。在人是理性的情况下,所有人的目的是要争取自身利益最大化,而不是仅仅为了把对方打垮。在这种情况下,我们的很多理论,包括博弈论都是基于这个假设,人是理性的假设。在这种情况下,《安全通论》严格证明了这么一个定理,任何有效系统,任何攻防双方,哪怕全世界60亿人是60亿黑客,大家互相乱攻,只要它有任何确定的利益目标,他是要钱还是要别的,只要事先确定了,那么这些黑客和红客之间的对抗一定存在一个“纳什均衡”。纳什均衡是说当达到这个状态以后,任何一方再动他的利益就会受到损失,在这种情况下最好的动作就是不动,不动的时候他的利益最大化。原来安全不是两个状态,是三个状态,哪三个状态,你死我活+纳什均衡状态。大家觉得这两个状态和三个状态有什么差别?差别很大。为什么?一旦是三个状态以后,攻守双方的策略从根本上就要改变。为什么?如果你是信息弱国,你就别去跟他针尖对麦芒,那你是找死。怎么办?你要努力把强国逼入纳什均衡状态,到达这个状态大家就共赢了。同音,如果你是强国,你也要明白有一个纳什均衡状态在那儿等着你,你突不破的,你要老老实实争取你的利益最大化就行了,所以攻守双方都应该以逼近纳什均衡状态为目标,因为你不逼近目标你所获得的利益就会更少。

      大家觉得到目前为止,因为有纳什均衡状态和没有这个状态的概念不一样。我告诉你安全是三个状态,大家努力去逼近那个状态。如果不知道有第三个状态,只有你死我活,大家就只会拼命。大家又会问,请问我怎么达到纳什均衡状态?对不起,我也不知道,我只告诉你它怎么,怎么达到我不知道。但当知道它存在,一起去努力的时候,一定有办法达到纳什均衡状态,甚至可以零成本达到。而这一点,我们跟古人学习,古人弱国和强国之间,弱国要保护子民,怎么办?怎么能够在零成本把对方逼到纳什均衡状态?很简单,只要把对方的皇太子养在你的皇宫里就行了,至少你是把你的公主送出去互相质押也好,都没关系,这个成本是不是零。在网络空间对抗中也有这个机会。也就是说,这第一刷就刷完了,原来安全不是两个状态,是三个状态,而且我们要努力达到第三个状态,在对抗的时候逼对方进入第三个状态为目的,在平时要积极备战,使我所获得的利益更大。

      第二刷,追求局部安全对吗?大家觉得这个观念还用刷新吗,都知道不对。比如说习近平的原话就说,安全是整体的,不是孤立的,动态的不是静态的,开放的不是封闭的,共同的不是孤立的。这从理论上可以严格证明,确实是这样。怎么证明?我们叫理解到底什么是安全?我们做安全都不知道什么是安全还做什么。安全是一种熵,可以说是一种信息熵,就是使这个负熵变越来越小,我们要使这个熵往小了发展。在实际操作中,大家就把刚才那个话当作口号,当作可听可不听的口号,其实不是。大家在做的时候,很多是用最笨的办法在处理安全。为了处理一个很小的安全问题,引起全网大面积的不安全问题。也就是说,很多专家和领导其实可能初衷是好的,是想保护安全,甚至是帮倒忙的。他们以暂时的不安全熵减少了长期不安全熵的大幅度增加等等,反正都走错了。因为他心里没有明白这些,只以为是口号,说说而已。在操作时,这不但是口号,是完全严格的理论基础,是科学,那么做的时候就不会这样。从《安全通论》理论上来说,判断某种网络安全保障措施是否正确的唯一标准,是它将引起系统的不安全熵向哪个方向发展。绝不是说知心者的初衷是否善意,或者某些领导或组织是否高兴等,这是不对的。

      我们证明了一个有限系统“不安全熵”趋势定理,无论影响它的安全因素有多少,其实趋势都可以严格的为微分方程来表述,我不详细说了。这个微分方程它的导数是大于0等于0还是小于0。这个安全定理给我们描述了非常明确的态势图,真正安全的态势图是用熵来描述的。

      第三刷,什么是安全?安全肯定有很多主观性,不同的人对安全的看法不一样,同样的人从不同角度看安全又不一样,安全还随着时间的变化而变化。但从严格的理论上来说,安全是一种遵从热力学第二定理,即有限系统的不安全概率将越来越大,而不会越来越小。这个外力目的就是要使阻止熵的增大。所以安全和热力学、信息论、控制论、博弈论、系统论是同样的东西,同样的魂。

      任何一个有限系统对安全有没有规律?有。我注意到这个安全可是大安全。不仅仅网络空间安全,包括生病等等所有安全,它都有。形象的说,它甚至都有一个像人体经络图那样的经络,只要出了问题不需要去找根,只需要找那个经络的端点,也就是穴位,只要扎穴位就能够把安全问题解决。形象地说,和人体经络几乎一模一样,看人头痛可能在手上扎一个穴位,而不是要治头,因为它是一个穴位。同样网络空间的穴位和经络图就是这个经络图,注意,这是任何网络(图)。所以穴位就是实心点,只要出了问题就扎这些穴位,哪个穴位坏了就把那个穴位修好,系统就可以自动恢复。这是严格从理论上证明的,这是一个虚拟的经络图。你要问我贵阳的网络,杨老师你画画,我那知道,我只证明它存在,而不是要给你画。有了这样的经络图就完全改变了我们对付安全的问题,攻方就瞄准穴位攻,守方也只守穴位,只要穴位守住就可以睡大觉了。

      第四刷,攻防有极限吗?有极限。这个极限是没法突破的,是可达极限。也就是说,任何黑客如果攻对方N次,成功S次,S一定不会超过N。这有什么用?我怎么知道攻防守方谁会赢谁会输,我要等最后完了看它的信道容量,C<D,黑客输,C>D,红客输。这个极限无论是强国弱国在信息战中都要凝结有一个极限在那儿等着你,你是永远突破不了的。只是怎么能够逼近那个极限。同时,你在攻防时,如果你极限比较远说明你还有肥肉可吃,如果已经逼近极限,估计你也没什么事可干了。

      还有个情况,有的时候是几位黑客打一个系统,任何重要的信息系统,特别是银行信息系统随时都有很多黑客在独立攻击,请问这个时候有没有可达极限?是有可达极限的。还有种情况,一个黑客攻多个红客,这种情况就相当于我们的重要系统都有备份,特别是银行系统。如果我只攻破了其中一个系统,等于什么事没干,因为备份系统很快就恢复了。我怎么算赢?必须把所有的备份系统全都攻破才算赢。如果大家要看细节可以看我的书。

      第五刷,什么是黑客?这还用研究吗?黑客,严格从量化说它是一个离散随机变量。它的商业小的黑客,如果一个黑客熵比另一个黑客熵小一个,黑客X的熵若减少1比特,那么他的黑客掺入就翻一倍,这是理论上可以极限达到的。这一下就把黑客这个问题量化了。大家就知道,有限的武器情况下,能不能用田忌赛马的思路达到最佳的攻防战略?有。还有,我买间谍或者买内奸是最好的办法之一。请问一个间谍值多少钱,要算得出来。一个黑客值多少钱?就是值X;Y。如果低于它赶紧买,高于就算了。

      第六刷,安全本质。安全本质就是安全熵,就是用这个微分方程来描述,可能大家觉得很头疼,没关系,就用这个微分方程的根来描述。如果这个根,如果所有特征根都是实数并且是负数,那么所有不安全因素都在逐步被控制中,系统会变得越来越安全。如果特征根是负数,这时红客也会接近胜利。如果这个特征根有正数或者0,这个系统的安全新就不稳定,攻克就可能失控。如果有正数和负数,就会出现黑客红客之间的拉锯战,完全从理论上课可以对黑客红客的走势有一个清晰的描述。

      第七刷,《信息论》《博弈论》与《安全通论》融合后的结果。《信息论》是信息界、网络界的圣经,《博弈论》是经济界的圣经,过去谁也没发现《信息论》《博弈论》是同一个理论。《信息论》最核心是信道编码定理,《博弈论》最核心是纳什均衡定理,这两者是一个定理,全世界都没发现。有了这个以后,很多东西的处理就完全不一样了。

      第八刷,对话的数学理论。我们现在讨论的安全、通信,其实是对双方协同式的。最典型的例子就是在法庭上辩论,这个问题是维纳(音)在一百年前发现的。当时《博弈论》还没出现,所以就干瞪眼,现在有了《安全通论》以后,我们对这个问题进行一了完整回答,这样就使得在非协同情况下彼此之间的对抗有了很好的理论。

      限于时间,理论的刷新观念我就刷了这八刷。我的报告到此。谢谢大家!

    责任编辑:Rachel

    免责声明:

    中国电子银行网发布的专栏、投稿以及征文相关文章,其文字、图片、视频均来源于作者投稿或转载自相关作品方;如涉及未经许可使用作品的问题,请您优先联系我们(联系邮箱:cebnet@cfca.com.cn,电话:400-880-9888),我们会第一时间核实,谢谢配合。

    为你推荐

    猜你喜欢

    收藏成功

    确定