二十一世纪的计算 | 康奈尔大学教授Fred B. Schneider开讲计算机安全

雷锋网按：本文根据Fred B. Schneider教授在韩国“Computing in the 21st Century 2016”大会上所做报告《A Science of Cyber – Security?》以及微软亚洲研究院首席研究员刘铁岩博士的解说编辑整理而来，在未改变原意的基础上略有删减。

Fred B. Schneider是康奈尔大学计算机科学系系主任及Samuel B. Eckert讲席教授。他是美国科学进步协会（1992年），美国计算机协会（1995年）和电气电子工程师协会（2008年）的院士。他于1996年在特罗姆瑟大学（挪威）被任命为普通大学教授，并于2003年获得了纽卡斯尔大学颁发的荣誉学博士学位，因为他在计算机可靠性和安全性方面的贡献，他获得了2012年电气电子工程师协会Emanuel R. Piore奖，该奖项旨在鼓励“通过安全，容错和并发和分布式系统的方式为可信计算做出贡献”。美国国家工程院在2012年任命Schneider为院士，挪威科学院在2010年任命他为外籍院士，他也是ACM Fellow以及IEEE Fellow。Fred B. Schneider教授的研究集中在可信系统的各个方面 - 系统如何在面临运行障碍和攻击的背景下按照预期执行。他早期的工作涉及到有关满可信计算规范的并发和分布式系统的设计与执行。他是这个主题下的两篇论文的作者：《并发编程》以及（与D. Gries合作完成的）《离散数学的逻辑方法》。他也以构建容错分布式系统的理论和算法研究而闻名。最近，他的兴趣转向系统安全领域。他有关基于防御措施下的政策研究的论著被广泛引用，而这一著作也被视为推进有关计算安全的新兴科学发展的基础。他还参与了提高系统可信度的法律和经济措施方面的研究。

刘铁岩博士，微软亚洲研究院首席研究员，美国卡内基梅隆大学（CMU）客座教授。刘博士的研究兴趣包括：人工智能、机器学习、信息检索、数据挖掘等。他的先锋性工作促进了机器学习与信息检索之间的融合，被国际学术界公认为“排序学习”领域的代表人物，他在该领域的学术论文已被引用近万次。近年来，刘博士在博弈机器学习、深度学习、分布式机器学习等方面也颇有建树，他的研究工作多次获得最佳论文奖、最高引用论文奖、研究突破奖，并被广泛应用在微软的产品和在线服务中。他是国际电子电气工程师学会（IEEE）、美国计算机学会（ACM）和中国计算机学会（CCF）的高级会员，中国计算机学会的杰出演讲者和学术工委。

“二十一世纪的计算”学术研讨会是微软亚洲研究院自成立之初便开始举办的年度学术盛会。作为中国及亚太地区规模最大、最具影响力的计算机科学教育与研究盛会之一，迄今为止该大会已在中国、日本、韩国、新加坡等多个国家和地区成功举办了17届，参会人数累计超过40,000人。今年，以“Human and Machine Working as a Team”（人机协作）为主题的第18届“二十一世纪的计算”大型国际学术研讨会将于11月3日来到韩国首尔举行。

Fred B. Schneider教授今天所讲题目是：A Science of Cyber – Security?

刘铁岩博士：Fred B. Schneider教授开讲“计算机安全”科学。Security是一个很重要的课题，但是Security到底是工程学科还是一门科学？如何用科学的视角（定律）来重新界定Security的攻击、防御、和策略？

如今的网络安全主要侧重于防御已知的攻击：

我们先对最新的攻击进行研究，再找到一个补丁来防御它。

因此我们的防御只有在攻击被破解后才能得以改善，这实际上是确保攻击者成功攻击的秘诀，而不是实现可信系统的秘诀。

我们应拥有防患于未然提前将攻击挡在门外的系统。然而，今天我们缺乏实现这样的网络安全的科学基础。安全科学必须包括攻击、防御机制、安全属性三方面的研究，而安全科学负责归纳总结这些关系。

Fred B. Schneider教授的演讲将讨论这些规律，并提出有关未来探索途径方面的建议。

刘铁岩博士：Fred B. Schneider教授从何为科学谈起，关注于抽象出一组可以预测系统行为的定律。希望这些定律可以有实用价值，又可以解释目前观测到的现象。

刘铁岩博士：基本的方法论是先从现实中抽象出模型，再从模型中总结出定律。

刘铁岩博士：那么对于网络安全而言，到底要关心哪些定律呢？具体而言，是要去关心

• 攻击（Attack）
• 防御（Defense）
• 策略（Policy）

及其相互关系有关的定律。

刘铁岩博士：策略（Policy）指的是

系统应该做什么，不应该做什么。

攻击（Attack）指的是

可以导致规范被打破的特定输入。

防御（Defense）则是指

保证策略（Policy）不被攻破的方法。

刘铁岩博士：Fred B. Schneider教授以

• Access control mechanisms（访问控制机制）
• Information flow policies（信息流策略）
• Execution monitoring（运行监控）

为例，进一步阐述哪些定律要被考虑和研究，并且和传统科学（如物理）进行了类比。

刘铁岩博士：Fred B. Schneider教授讨论了网络安全和计算机科学的关系

如果网络安全可以被现有计算机科学所涵盖，那网络安全就不必作为独立的科学分支存在了。

他从Formal Methods（形式化方法）、Replication/Masking（复制/掩码）、 Crypography（密码算法）三个计算机科学领域与网络安全最相关的方面入手，阐述了现有计算机科学方法论的不足，并提出需要建立新的Foundations。

比如需要考虑系统各组分之间的依赖关系、需要理解Execution的意义，需要把Cost引进信息论等等。总之，网络安全如果要作为一个独立的自洽的科学分支，还有很多基本问题要解决。

最后，Schneider教授给大家提供了一页阅读材料推荐。

刘铁岩博士：总的来说，虽然Schneider教授的报告围绕网络安全展开，他的思路和视角具有更广泛的意义。

如果我们反思计算机科学本身，虽然我们叫它Computer Science，但是它更像是Computer Engineering，它的很多研究问题并没有严格的科学界定。

如果我们能够从工程细节里走出来，多做些科学思辨，计算机科学应该会有更长足、稳健的发展。