Roger Schell长期从事计算机安全研究亚博体育官网

||对话

罗杰·r·谢尔画像Roger R. Schell.工程实践教授在南加州大学维特比工程学院也是他们的创始教员之一网络安全硕士学位项目。他是国际公认的发起了几个关键的安全设计和评估技术,他拥有密码学,认证和可信工作站的专利。十多年来,他一直是公司的联合创始人和高管Aesec公司这是一家提供可验证的安全平台的初创公司。之前,Schell教授是Novell公司的企业安全架构师,双子座计算机公司的联合创始人和副总裁,在那里他指导了他们的高度安全(NSA称为“类A1)的商业产品,双子座多处理安全操作系统(亚博体育苹果app官方下载GEMSOS)。他也是国家安全局国家计算机安全中心的创始副主任。他一直被称为可信计算机系统评估标准亚博体育苹果app官方下载(“橙皮书”)。Schell教授是一名退休的美国空军上校。他在麻省理工学院获得计算机科学博士学位,在华盛顿州获得理学硕士学位,在蒙大拿州获得理学学士学位。NIST和国家安全局授予他国家计算机系统安全奖。亚博体育苹果app官方下载2012年,他入选了哈佛大学的首届mba课程国家网络安全名人堂

路加福音Muehlhauser当前位置你在高保证计算机安全方面有几十年的经验,大部分是在军队和政府部门工作,你在《计算机安全》中详细地论述了你的经验这次采访。我很好奇的一件事是你知道有人担心计算机安全或安全挑战的情况吗?这不是迫在眉睫的,但可能是一二十年后的事,他们决定开始做研究,为这个挑战做准备亚博体育官网例如,也许是因为他们期望解决方案将需要10年或20年的“系列”研究和/或工程工作,每一个部分都是在它之前的部分上构建的,他们想要准备迎接即将到来的挑战?亚博体育官网兰普森的早期鉴定约束问题在我看来,这可能是一个这样的例子,但也许我误读了历史。


Roger R. Schell.:首先,也许澄清了我的回复的背景,让我完善您在高保证计算机安全方面的介绍性摘要,您通过在“军事和政府中的大部分中”来表征。我的反应可以通过认识到虽然我目前是南加州大学教授的教授,但我在前28岁的行业中度过了众所周知的职位,在一些信息技术启动到公司安全的初创公司建筑师和高级发展经理,是最大的软件公司之一。这比我在军队所花费的22年的时间大幅度。

也就是说,你关于阅读历史的问题确实让我想起了我的军事经历。你问,是否存在这样一种情况,“有人担心计算机安全或安全挑战不是迫在眉睫,但可能是一二十年后,他们决定开始做研究,为迎接挑战做准备。”亚博体育官网从我对那段历史的看法来看,答案是肯定的,正如我在2001年的论文《信息安全:科学、伪科学和飞猪“该文件提到了以下一个主要例子:

60年代后期,保护ADP系统的渗透和修补的失败促成了韦尔报告(1970年)的出现,该报告代表了对理亚博体育苹果app官方下载解状态的编纂,这主要是意识到问题有多么困难。这是对概念的理解足以让我们向前迈出重要一步的要点之一。

韦尔报告(1970年)明确指出了这个问题,但没有解决。这导致了Anderson Panel[在1972年],它定义了参考监视器的概念,并构想了一个评估和开发内核的程序。

同一篇论文指出,你引用的Butler Lampson的“限制问题”,在几年前就被承认了,通常被称为“多级安全”问题。1973年,Butler做出了重大贡献,他提供了一个术语,并提供了一些分类法。但如上文所述:

早期军事系统的发展得出结论,系统的某些部分需要特别强有力的安亚博体育苹果app官方下载全执行。具体来说,这一强制措施对于保护那些丢失将对国家造成极其严重损害的数据是必要的。亚博体育苹果app官方下载处理这类数据的系统,同时包含未经授权访问这类数据的接口和用户,被称为“多级”系统。

很明显,说明保护这些数据免受损失的需要基本上相当于说明在监禁问题中提到的1973年后稍后的需要。事实上,通过安德森定义的“程序”正在进行中,正如你所说的那样,它是“预期解决方案需要十年或两个”串行的“研究和/或工程工作”。亚博体育官网

所以,我同意与你的结论,约束问题的实质就是这样一个例子,但我想改进你的阅读历史的注意,它是“决定开始做的研究准备,挑战”多级安全挑战之前很长一段时间被称为“禁闭问题”。亚博体育官网我认为这种改进与去年Alex Crowell等人的一篇好论文是一致的,题为监禁问题:40年后,并引用了1973年的报告由D. E. Bell和L. J. LaPadula专门针对一个数学模型来解决多级安全问题。


路加福音如果有人想找到更多的例子,让人们“提前”十年或二十年来解决一个困难的计算机安全或安全挑战,你会推荐他们去问谁?你会推荐他们去哪里寻找例子?


罗杰我不认为会有很多人“提前”工作十年或二十年的例子。即使是我所知道的少数几个案例,也不是特别值得注意的,因为它们在挑战到来时成功地取得了重大成果来应付挑战。

首先,在美国的商业文化中,对高管的奖励似乎随着投资产生回报的时间而显著减少。因此,很难让一家企业做出重大而持久的承诺,让员工“提前”十年或二十年致力于一项挑战。

第二,在冷战末期的美国政府中,在认真处理对付一个可能选择软件颠覆的机智对手的问题上,似乎明显失去了紧迫感。早期的努力,如安德森小组,集中在高保证安全,以解决最近被称为高级持续威胁(APT)。这过去是(现在也是)一个真正“困难”的安全挑战。多年来,政府很少关注高安全性。

在过去的例子中,霍尼韦尔(最初是通用电气)多年来在Multics方面的大量努力是为数不多的例子之一。早在广泛的商业需求出现之前的几十年,Multics就解决了创建“计算效用”的挑战,而安全是其核心价值主张。几十年后,这一愿景被赋予了一个新的名字“云计算”——不幸的是,它没有对安全性给予足够的重视。这种早期的商业投资并没有得到特别好的回报。

英特尔提供了第二个例子。Multics在安全方面的创新极大地影响了英特尔对其x.86架构的投资,以预期安全需求。在芯片中晶体管数量稀少的情况下,他们将类多芯片硬件分割和安全保护环纳入其中并不容易。英特尔这次的投资并没有得到很好的回报。正如澳大利亚的Bill Caelli教授在他关于可信系统的论文中指出的那样,GEMSOS安全内核(我是其架构师)是一个操作系统真正使用这种强大硬件支亚博体育苹果app官方下载持的罕见例子。这一RTOS从小企业很难构成一个主要的市场胜利,英特尔投资细分和保护环。

至于要问别人这个问题,我知道的不多。David Bell博士系统地研究了复杂的计算机安全挑战的解决方案的演变,这反映在亚博体育苹果app官方下载他的论文中2005年回顾邀请论文(加上齿顶高)对他几年前在ACSAC的安全模型工作进行了研究。显然,他对这些问题考虑得相当仔细。


路加福音:从您的角度来看,在高安全保障系统的当代研究中有哪些最重要的途径?亚博体育官网亚博体育苹果app官方下载

例如,在软件安全专家们会列出诸如正式验证、项目综合、单纯形结构,验证库和编译器,如威仕特,正式的进展验证Cimatti等人(2012),“干净的石板”高保证项目HACMS.,基亚博体育苹果app官方下载于系统的方法,比如Leveson(2012),以及使高保证方法更容易应用的工具。在软件安全和安全性之间有一些重叠,但是你会在一个高度保证中提到哪些研究途径亚博体育官网安全上下文?


罗杰在我看来,对于高保证安全系统的一些最重要的当代研究途径是那些多年来一直存在的“难题”。亚博体育官网亚博体育苹果app官方下载在我2001年ACSAC邀请论文关于信息安全,我列出了六个十几个“剩下的艰难问题”:

  1. 检查硬件中是否有活板门。
  2. 验证开发工具中没有陷阱门和其他恶意软件。
  3. 秘密渠道时机。
  4. 端到端加密系统中的隐蔽通道。亚博体育苹果app官方下载
  5. 形式化方法对应源代码到形式化规范,而目标代码到源代码。
  6. 拒绝服务攻击。

我想,这并不奇怪,其中许多也是在15年前TCSEC (橙皮书)“超越课堂(A1)”部分。我对我们的职业及其赞助商感到失望,不得不从我的角度来说,这仍然是一个合理的艰难问题清单,并且仍然是一系列重要的研究途径。亚博体育官网不幸的是,相对于高保证安全的重要性,非常重大良好的研究努力被引向他们。亚博体育官网从这个列表中,一个区域正在接受一些关注,尽管经常被埋葬更大,更重要的项目:最近的硬件验证研究正在产生有价值的结果 - 这是我难题列表的顶部。亚博体育官网

除了这些困难的问题之外,还有一个我认为至少同样重要的领域,那就是产生巨大积极影响的可能性。这就是我之前引用的David Bell在他的两篇回顾论文中所呼吁的,在追求增强的高保证安全性方面,“以制作和共享广泛需要的组件的参考实现的形式”。David呼吁“生成安全原型或通用网络组件的参考实现”。这样的参考实现是安全的系统能力,技术人员认为他们可以弄清楚如何生产,但魔鬼在细节,所亚博体育苹果app官方下载以只有包括实现的研究可以证实或否认这个假设。亚博体育官网他提供了建议的参考实现列表。我最近在各种公开演讲中提出了我自己的清单,包括以下内容:

  1. MLS网络连接存储
  2. 高保证MLS Linux, Unix, *ix
  3. 警卫,过滤器和其他(CDS)
  4. 联网Windows(瘦客户端)
  5. 实时exec(电器)
  6. 关键基础设施平台
  7. 身份管理PKI(品质属性)
  8. 手持网络设备(如PDA)
  9. 局限的金融应用程序(如信用卡)

综上所述,我的底线是,我认为当代关于高保证安全系统的最重要的研究途径可分为以下两个领域:亚博体育官网亚博体育苹果app官方下载(1)解决未来剩余的困难问题,(2)研究项目,包括创建参考实现,创建方法来利用过去成功的研究成果,用于实际的安全系统。亚博体育官网亚博体育苹果app官方下载


路加福音您写道:“我对我们的专业及其赞助商感到失望……”回顾过去,在计算机安全这一难题上取得更快进展的主要障碍似乎是什么?

我想到了两种可能的解释:(1)研究人员和资助者更喜欢更容易的研究项目,因为他们有更高的“成功”的机会,尽管亚博体育官网社会价值可能更低。并且/或者(2)困难的问题往往需要长期的研究努力,而当前的机构不太适合执行长期的努力。亚博体育官网

但这只是我的两个猜测;我想听听你对主要障碍的看法。


罗杰虽然这本身并不是特别有见地,但首先我认为,公平地说,在计算机安全的困难问题上缺乏更快进展的主要原因是缺乏以一种明智的方式应用大量资源来解决这些问题。这很快就会引出你的问题,即这样做的主要障碍是什么。在我看来,这有两个紧密相关的方面。首先,必须有愿意并有能力资助此类工作的资助者。其次,必须有对从事此类研究感兴趣的有动机的研究人员。亚博体育官网两者都是需要的。尽管实际上,研究人员提倡和推广的东西会显著影响资助者,但他们不太可能继亚博体育官网续追求资助者似乎独立地不感兴趣(甚至是敌对的)的道路。

我已经指出,在我们的文化奖励中,高管似乎在投资导致回报后的时间似乎大幅度减少。虽然这使得难以实现长期努力的承诺,但这并不是计算机安全的独特,尽管如此,旨在追求各种持续的研究工作。亚博体育官网不幸的是,有证据表明计算机安全继续面临一些额外的独特挑战,以便在解决结果可以提供明显更高的安全保证的情况下解决困难问题。

在这些挑战中,重要的既得危险益处的特征可能并不真正想要高度保证安全。在我的口头历史面试中,我触动了一些在我们的交流开始时提到的其中一些,而其他人则提到了对这种排序的额外观察。

有关潜在的财政既得利益者所作的评论如下:

  1. 网络安全是一个价值数十亿美元的行业,其中很大一部分收入来自于低安全性的网络组件在消费品中造成的猖獗缺陷。在我的历史采访中,我提到黑森林集团(Black Forest Group),这是一个由《财富》50强类型的国际公司组成的财团,放弃了他们对高保证公共密钥基础设施(PKI)的追求,因为“他们得出的结论是,既得利益与高保证相悖,使得它不切实际”。这种既得利益的环境会阻碍商业赞助来解决困难的问题。
  2. 除了消费品之外,我还注意到一些来自航空航天行业的零星报告,它们不鼓励广泛适用、可重复使用的高保证解决方案,因为这对它们在类似情况下反复解决安全问题的巨大收入来源构成了威胁。
  3. 似乎研究界可以在未解决的问亚博体育官网题上有自己的既得利益。一些人评论说,为了重新发明轮子的项目,这似乎是一种几乎是系统的企业内存设施资源的损失。亚博体育苹果app官方下载这无助于鼓励研究人员关注这些困难的问题。亚博体育官网我在我的历史采访报告中指出,“研究界的人们强烈反对将《橙皮书》作为标准,因为它抑制了人们对研究的兴趣”。亚博体育官网
  4. 1997年IEEE历史论文麦肯齐和波廷格(MacKenzie and Pottinger)的一篇文章,报告了从基于“实现计算机安全的道路似乎很清晰”的《橙书》(Orange 亚博体育官网Book)的集中努力转移后,安全研究的注意力出现了严重的碎片化。在缺乏相对集中的研究注意力的情况下,不太可能在计算机安全的难题上取得更快的进展。亚博体育官网

此外,还有关于与政府政策问题有关的挑战的单独评价:

  1. 长期以来,在封闭受限的安全解决方案(如政府加密中的机密)与开放透明的技术(如Orange Book)之间一直存在着一种紧张关系。1985年,美国国家安全局雇员乔治·杰伦在哈佛大学详细讨论了这个问题有关“资讯保安”的政策问题,至今仍未解决。对受限结果的显著影响并不会增强研究安全解决方案的前景。亚博体育官网取消针对高安全虚拟机监视器(云计算迫切需要)这一难题的主要商业工作,是过去政府限制访问研究结果的严酷影响的一个现实例子。亚博体育官网保罗Karger1991年IEEE论文据报道,取消计划的一个主要原因是,“美国国务院对B3级和Al级操作系统的出口管制极其繁琐,可能会干扰许多潜在的销售。”亚博体育苹果app官方下载
  2. 所谓的“股票问题”反映出,情报收集可以从利用漏洞中获益,从而在计算机安全的困难问题上没有重大进展,从而可以创造一个强大的既得利益。布鲁斯·施奈尔2008年5月的博客他说,当一个机构在防御解决方案和利用漏洞方面负有主要责任时,这尤其是个挑战,例如,“股票问题一直是国安局内部的激烈辩论。”
  3. 政府政策能够强烈支持他们对安全解决方案的主导控制,而不是鼓励商业发展,特别是对于真正重要的高度保证。如David Bell在他夫妻俩的回顾论文中提到,我之前引用的,一个强大的垄断者将在未来承诺高度保证政府认可的解决方案,以劝阻申请商业产品支持的近期资源。大卫报告说,“波音的丹·施卡格伯格认为,NSA通过Missi将所有班级A1供应商造出来,”我个人看到那种活动,以及最近的那种活动。除了SAT,Nettop,Selinux,MIL和HAP等名称之外,还有其他示例超出了Missi,如Missi Not I中的一个实际交付验证的高保证,例如A1级评估。正如大卫贝尔指出的那样,这种垄断政府政府不鼓励商业投资,以取得进步,包括难题。
  4. 资源总是稀缺的,而且目前解决网络安全问题的政策似乎非常强调大规模监控,试图找到薄弱系统被利用的证据。亚博体育苹果app官方下载与花费在监视上的数十亿美元相比,用于对付聪明对手的高保障防御(这是难题的重点)的资源贫乏相形见绌。就像我说的监视我2012年7月为ERCIM撰写的主题文章,“这种错位的依赖性揭示了探明和成熟技术的引入,可以大大减少隐私的网络风险......在没有愿意和知道允许的情况下,避免监督的借口。”

总之,我相信我们在计算机安全性艰难问题上没有看到的主要原因是持续决定不适用大量资源。申请资源的主要障碍是强烈的既得利益,对计算机安全有所独特。不仅有商业金融既得利益,还有政府政策既得利益,多年来似乎已经成功创造了主要障碍。


路加福音:谢谢,罗杰!