怎么写这个主题,其实是有些纠结,从案例着手,辅以数据,应该是科学的写法,但在易懂和严谨间寻求平衡,着实是个艺术活。想了想,还是信马由缰的感性描述为主,恰当是一个普罗大众兴趣的普及。大概2006年美国军方一个曾经的上校首次提出了高级可持续性威胁的概念,区别于传统以炫技和无差别攻击模式的黑客攻击类型,当然,认真梳理起来,缺少定制化工具,和0day漏洞积累的可持续性威胁,复杂度,影响规模,操作模式,也未必谈的上高级。

按照奇安信2018年的统计水平,大概被提到和分析的APT组织大概有140个,可以确认的大概80个左右,2019年奇安信的红雨滴,腾讯御见的上半年报告,数量级也整体上维持在100左右,其中比较知名和活跃的大概不到30个,出现在每年近150篇行业分析报告中的案例,也一直保持这个规模。从中国的报告来看,热点主要包括针对欧美、南亚、中东、朝鲜半岛和中国,响应的APT团队也是在这些区域呈现。近几年比较活跃的可能与美国情报界关系密切的方程式,针对欧美的APT28、29、37 ,源自印度针对巴基斯坦,中国的蓝莲花、摩柯草等,源自朝鲜曾因攻击索尼名声打造的lazarus 又称ART38等。中方报告提及中国APT组织较少,只有红雨滴2019年提到美国的一篇报告,提到的APT10因工具应用了中国菜刀等中国公开工具而怀疑来自中国。

从报告分析的角度来看,以地缘政治为主题的政治、军事情报刺探的间谍性活动是APT组织的主要目的,但近年来往电力、交通、工业、物联网、金融特别是银行基础设施领域的渗透日渐增多,腾讯的2019年上半年报告,提到针对企业的APT攻击占比超过30%,而LAZARUS以经济目的为主的APT攻击势头比较凶猛,商业间谍和经济攻击作为APT的新目标的趋势日益明显。特别针对中国国企的针对性性攻击,会是重要的发展趋势。

APT攻击的步骤,第一步还是关注于信息的收集,社交媒体的兴起,领英,微博,博客,朋友圈等容易泄露敏感信息的区域,依然是信息收集的重要来源,当然通过个人隐私暗网收集,互联网、金融等账号信息,同样是敏感的信息源,如何建立起必要的准则,规范化社交媒体的应用,特别在敏感领域和企业,依然是必须关注的范围。鱼叉式钓鱼攻击依然是常用的切入方式,而使用office、pdf、lnk、rar,falsh等文件的漏洞加载恶意载荷入侵敏感人群终端,是APT攻击的第一步。安全意识教育同样是刻不容缓,verizon2017年一份报告指出,在针对性的测试中4.7%的不响应者会重复遭遇钓鱼邮件攻击,可见企业安全意识教育任重道远,总觉得和自己关系不大,安全意识培训流于形式,往往会是APT攻击侵入的第一步。

无代码、白加黑、动态加载等绕过传统防病毒软件和恶意软件检测的攻击载荷日益增多,修改,破坏终端防护软件的APT恶意载荷,实现截屏、键盘记录等功能为横向转移做准备,在新技术,新楼栋的应用过程中,利用陈旧漏洞,利用公开、开源的攻击组件,实现切入,在横向转移或达到专业目标后再采用定制化的工具,通过使用第三方APT组织代码特征伪造旗标,增加APT的潜伏效果和较低追溯的可能性,也是比较重要的趋势,在各种APT报告中,不同组织特征的关联分析和相关性,也存在模糊地带,缺少明确定义。而匿名者泄露的方程式工具,以及新近的工具武器库泄露事件,导致APT武器化工具泛化,更是带来追溯的复杂性,和破坏的升级。

对APT的识别从基于特征和签名的恶意代码识别模式,逐渐过渡为基于代码图谱特征分析的机器学习人工智能识别模式,主控地址的识别和分析同样基于流量识别和行为特征以及域名特征进行训练学习识别,APT组织的主控和代码托管模式,更多的利用网盘等公有云设施,相关的主控域名服务通过短域名,域名生成等手段,绕过基于黑名单和域名特征的识别,在一定程度上会是个道高一尺魔高一丈的态势。在企业的防护策略中,除了基于特征和签名的识别模式外,通过流量特征,行为特征的人工智能相关检测和预警也需要加强。

安全意识,邮件扫描,终端防护,行为分析,流量识别,是在企业防护侧需要关注的功能组件,在企业选择APT相应的产品而言,具备恶意代码的沙箱检测机制,具备网络欺骗能力的密网系统,具备行为和流量的机器学习能力,具备网络威胁情报整合分析能力,也是必备的功能组件,当然,至于能力和效果,确实需要经过实践的检验方可验证。APT攻击已从国家级的间谍战到经济领域的商业间谍战,至少会成为间谍战的跳板,每个企业建立起防范的意识,具备防范的能力十分必要。

怎么写这个主题,其实是有些纠结,从案例着手,辅以数据,应该是科学的写法,但在易懂和严谨间寻求平衡,着实是个艺术活。想了想,还是信马由缰的感性描述为主,恰当是一个普罗大众兴趣的普及。大概2006年美国军方一个曾经的上校首次提出了高级可持续性威胁的概念,区别于传统以炫技和无差别攻击模式的黑客攻击类型,当然,认真梳理起来,缺少定制化工具,和0day漏洞积累的可持续性威胁,复杂度,影响规模,操作模式,也未必谈的上高级。

按照奇安信2018年的统计水平,大概被提到和分析的APT组织大概有140个,可以确认的大概80个左右,2019年奇安信的红雨滴,腾讯御见的上半年报告,数量级也整体上维持在100左右,其中比较知名和活跃的大概不到30个,出现在每年近150篇行业分析报告中的案例,也一直保持这个规模。从中国的报告来看,热点主要包括针对欧美、南亚、中东、朝鲜半岛和中国,响应的APT团队也是在这些区域呈现。近几年比较活跃的可能与美国情报界关系密切的方程式,针对欧美的APT28、29、37 ,源自印度针对巴基斯坦,中国的蓝莲花、摩柯草等,源自朝鲜曾因攻击索尼名声打造的lazarus 又称ART38等。中方报告提及中国APT组织较少,只有红雨滴2019年提到美国的一篇报告,提到的APT10因工具应用了中国菜刀等中国公开工具而怀疑来自中国。

从报告分析的角度来看,以地缘政治为主题的政治、军事情报刺探的间谍性活动是APT组织的主要目的,但近年来往电力、交通、工业、物联网、金融特别是银行基础设施领域的渗透日渐增多,腾讯的2019年上半年报告,提到针对企业的APT攻击占比超过30%,而LAZARUS以经济目的为主的APT攻击势头比较凶猛,商业间谍和经济攻击作为APT的新目标的趋势日益明显。特别针对中国国企的针对性性攻击,会是重要的发展趋势。

APT攻击的步骤,第一步还是关注于信息的收集,社交媒体的兴起,领英,微博,博客,朋友圈等容易泄露敏感信息的区域,依然是信息收集的重要来源,当然通过个人隐私暗网收集,互联网、金融等账号信息,同样是敏感的信息源,如何建立起必要的准则,规范化社交媒体的应用,特别在敏感领域和企业,依然是必须关注的范围。鱼叉式钓鱼攻击依然是常用的切入方式,而使用office、pdf、lnk、rar,falsh等文件的漏洞加载恶意载荷入侵敏感人群终端,是APT攻击的第一步。安全意识教育同样是刻不容缓,verizon2017年一份报告指出,在针对性的测试中4.7%的不响应者会重复遭遇钓鱼邮件攻击,可见企业安全意识教育任重道远,总觉得和自己关系不大,安全意识培训流于形式,往往会是APT攻击侵入的第一步。

无代码、白加黑、动态加载等绕过传统防病毒软件和恶意软件检测的攻击载荷日益增多,修改,破坏终端防护软件的APT恶意载荷,实现截屏、键盘记录等功能为横向转移做准备,在新技术,新楼栋的应用过程中,利用陈旧漏洞,利用公开、开源的攻击组件,实现切入,在横向转移或达到专业目标后再采用定制化的工具,通过使用第三方APT组织代码特征伪造旗标,增加APT的潜伏效果和较低追溯的可能性,也是比较重要的趋势,在各种APT报告中,不同组织特征的关联分析和相关性,也存在模糊地带,缺少明确定义。而匿名者泄露的方程式工具,以及新近的工具武器库泄露事件,导致APT武器化工具泛化,更是带来追溯的复杂性,和破坏的升级。

对APT的识别从基于特征和签名的恶意代码识别模式,逐渐过渡为基于代码图谱特征分析的机器学习人工智能识别模式,主控地址的识别和分析同样基于流量识别和行为特征以及域名特征进行训练学习识别,APT组织的主控和代码托管模式,更多的利用网盘等公有云设施,相关的主控域名服务通过短域名,域名生成等手段,绕过基于黑名单和域名特征的识别,在一定程度上会是个道高一尺魔高一丈的态势。在企业的防护策略中,除了基于特征和签名的识别模式外,通过流量特征,行为特征的人工智能相关检测和预警也需要加强。

安全意识,邮件扫描,终端防护,行为分析,流量识别,是在企业防护侧需要关注的功能组件,在企业选择APT相应的产品而言,具备恶意代码的沙箱检测机制,具备网络欺骗能力的密网系统,具备行为和流量的机器学习能力,具备网络威胁情报整合分析能力,也是必备的功能组件,当然,至于能力和效果,确实需要经过实践的检验方可验证。APT攻击已从国家级的间谍战到经济领域的商业间谍战,至少会成为间谍战的跳板,每个企业建立起防范的意识,具备防范的能力十分必要。

版权归作者所有,任何形式转载请联系作者。
作者:pansin(来自豆瓣)
来源:https://www.douban.com/doubanapp/dispatch?uri=/note/742881543/

网络信息安全在新技术日益蓬勃发展的今天,为传统安全保障体系提供了强有力的技术手段,解决原有因为性能、架构、模式带来的局限性,大数据和人工智能为网络安全保障的实时性,未知威胁的预警和判断提供了有效的方法,安全态势感知,威胁情报,安全事件处理(SIEM),行为分析(UEBA)的崛起均与此密切相关,曾经一度基于日志的安全运营中心(SOC)沉沦,也在大数据时代和流量分析时代,存在再次焕发青春的可能性。不可否认的是,新技术带来便利性和解决传统问题的同时,也会带来新问题。而人工智能在各领域的广泛应用,从网络空间逐渐演变到物理空间,基于模型的自动决策机制,在医疗、自动驾驶、智能交通、人脸识别领域的应用影响到了生命安全,作为信息化的基础设施,其网络信息安全需要引起足够的重视。

华为根据学术领域机器学习的DNN神经网络机制分析了人工智能领域存在的网络信息安全攻击手段以及在不同阶段的防范方法,给出了人工智能领域网络信息安全保障体系构建的演进方向,具有一定的普及意义,对人工智能关联企业和产品的网络信息安全意识的培养,相关领域的关注、风险规避和投入,比较有借鉴意义。

根据DNN神经网络机器学习的生命周期,划分为训练数据集准备,模型训练和模型应用三个阶段。

在数据准备阶段,第一个面对的风险攻击在于大量的初始训练数据集可能被潜在的故意构造的恶意样本数据污染,导致训练模型的失败,学者jagielski发现参杂少量恶意样本,即会导致模型的准确率下降,这杯称作药饵攻击。防范方法可以通过训练数据过滤的方法,通过对数据集的控制、检测、净化避免药饵数据的额一样本加入,可以通过对样本特征标签的查找,重训练过滤,模型对比过滤等方法识别恶意样本。另外,通过回归分析的统计学方法,检测噪声和异常值,构建损失函数检查异常值,根据数据的分布特性进行训练,发现恶意样本。在模型训练阶段也可以通过多模型的集成分析方法,综合各模型的综合结果识别恶意样本。

第二个攻击通过修改输入使AI模型不能准确识别,最早有szegedy提出的微小扰动形成的对抗样本,大家应该在公众号上看到过脑门贴纸绕过人脸识别的案例,即时这种攻击模式,被称作闪避攻击,另外通过物理世界的攻击,例如修改交通标识的AI攻击,物理方式的修改需要抵抗缩放、裁剪、旋转,还有papernot提出的通过查询结果训练替代模型从而实现传递性黑盒攻击的闪避攻击。闪避攻击在模型训练阶段的防范主要通过网络蒸馏,和对抗训练的方式避免,网络蒸馏是在模型训练阶段对多个DNN进行串联,使用前一个DNN模型的训练结果作为下一个DNN模型的输入,经过检验,这种知识转移在一定程度上可以降低微小扰动带来的模型敏感度。另外一种方式是针对性的对抗训练,根据已知闪避攻击的方法生成对抗样本,加入模型训练集中,对模型进行训练生成可对抗扰动的新模型,这种新模型可以在提高模型鲁棒性的同时,增强准确性与规范性。

在模型训练阶段面对的采集阶段相同的攻击手段,闪避攻击主要采用网络蒸馏和对抗训练,药饵攻击主要采用集成分析予以防范。另外,模型阶段会新增后门攻击的方式,神经网络模型中,植入特定的神经元带有后门的模型,对特殊的输入判断会受攻击者的控制,gu在研究中发现,图像识别中包含特定的图案可以触发后门。这种攻击往往发生在模型的生成和传输过程。可以通过模型剪枝的方法,通过适当检出原模型中的神经元的细粒度剪枝予以防范,在模型使用阶段的后门攻击,可以通过输入预处理的方式,过滤掉触发后门的输入,实现防范。模型训练阶段的窃取攻击,造成模型核心知识产权的泄露,在以AI作为服务的AIAAS中tramer提出了多次调用AIAAS的识别接口窃取AI模型的攻击方式,这种攻击的应对,可以采用模型水印方法方法,预置包含模型特征的神经元,通过特殊输入检测是否包含水印特征,验证是否为窃取模型,在思路上其实和后门攻击相似。另外为了保护数据不被窃取,一般采用隐私聚合教师模型PATE来进行控制,这种方法将训练数据分成多个集合,每个集合用于训练一个独立的DNN模型,独立的DNN模型投票训练一个学生模型,这样产生的模型的训练不会泄露一个特定的数据集合隐私性。差分隐私是另一种保护方法,差分隐私对数据模型训练步骤进行加噪,生成梯度,保护模型数据的隐私。

在模型使用阶段,针对闪避攻击可以采用对抗样本检测机制,在样本输入前增加外部检测模型,或在原模型基础上构建检测组件来检测待判断的样本是否为对抗样本,丢弃对抗样本。另外对输入样本进行不影响模型正常分类的输入转换,例如加噪,去噪,自动编码器等进行输入重构,也是规避闪避攻击的方法。DNN模型验证的方法,通过求解器验证各种属性,验证样本范围内的有没有对抗样本。这种方法由于DNN算法的NP完全,求解器的效率比较低,需要考虑节点验证的优先度机型选择,分享验证信息,按区域验证等来提高效率。

了解了各阶段的主要攻击手法和防范模式,人工智能需要从整体上关注模型的安全问题,首先是模型的可预测性,采用对抗检测技术,在前馈检测模块过滤恶意样本,模型输出训练结果后经后馈检测模块减少误判,提升AI的鲁棒性。其次是模型的可验证性,约束输入空间与输出空间的对应关系,但这种基于优化统计的方法难以穷举所有情况,仍不能规避所有攻击,这需要对模型的工作机制深入分析,从机制上予以分析解决。第三是模型可解释性,人工智能基于机器学习的方法,往往难以通过因果关系予以合理解释,通过对数据代表性分析的数据可解释,结合传统机器学习和统计学知识构建可解释的模型,通过strobelt隐藏激活函数的可视化分析,norcos统计分析方法发现语义神经元,stlvaraju针对图形识别的显著性检测都是对已构筑模型的的解释性分析。

从AI业务的本身安全架构分析,在面对攻击时,要有相应的预防、控制和接管机制,避免安全事故的发生。通过隔离机制,通过身份认证和权限控制,实现个功能模块的隔离,避免整体性的整合性安全风险。利用检测机制,在系统中持续监控模型遇到的攻击,在达到一定预警时,综合决策系统不采用相关决策机制。利用熔断机制,对AI分析结果的确定进行分析,在确定性低于阈值的情境中,决策回归到规则判断或人工接管。考虑准确性和攻击风险,借鉴备份机制,采用冗余的多模型架构,降低整体风险。

人工智能的网络信息安全,既有传统信息系统安全性的需求,又有别于基于代码功能的应用系统安全风险,整合了数据风险、逻辑风险、算法风险,在结合不同场景、不同领域的业务应用,风险进一步前移,与业务风险的融合力度持续增强,风险的识别、评估、应对,更加复杂化、多样化、动态化。不同人工智能的流派、思路、实现未必一致,需要不断的探讨、实践、优化,和提升安全保障能力与水平。

汽车的发展史从机械时代进入到电子时代大约始于60年代,从边缘设备的电气控制,至80年代开始加速,通过ECU实现各种功能的控制,受制于通信技术的局限,ECU通信的CAN总线首先处理能力具有比较大的制约,传输的速度和效率不高,初始阶段内部通信的要求,并未考虑数据的机密性,完整性校验,也未考虑通信ECU间的身份识别与认证,在加速电气化的过程中,也有新的通信总线技术出现,LIN,CANX等解决传输的效率问题。通信、计算机、网络技术的发展,进一步加速汽车的电气化进程,基于以太网的总线结构开始出现尝试,同时,基于娱乐系统和车载通信系统,以及通过OBD接口的远程诊断,ECU的OTA升级需求,开始出现基于无线通信的远程服务,需求的满足通过tbox车载通信终端出现,与汽车本身总线系统的对接,通过网关实现隔离保护。随着5G无线高速通信技术的发展,v2x逐渐进入人们的视野,通过OBU、RSU等通信服务,实现智能交通系统,车辆的交通属性基础上增加了增值的商业服务成为可能。网联汽车的发展,同样对车辆本身的电气化和软件化带来了革命性的影响。从传统的ECU总线模式,开始进化为中心化的超级车载计算机vcu架构,基于功能分区的分布式节点的zong架构。

目前机制下,汽车终端CAN总线依然是主流,如何做到CAN总线的安全保护,autosar作为主流车厂的联盟,在汽车的架构设计层面,在推动车辆自身的信息安全保障体系建设,通过autosar secoc来实现安全总线的安全保障方案,借鉴网络防火墙的包过滤,入侵检测实现非法ECU通信的过滤和拦截,通过加密和认证实现端到端的安全通信,通过访问控制实现安全策略与访问控制,一定程度上解决CAN缺少信息安全设计的问题。autosar的设计中,包含加密服务模块管理,加密接口、加密驱动和secoc的软件功能,基于公钥密码算法技术的实现,在加密和签名环节的应用,再遇到CAN总线通信限制的时候,做了数据截取的处理,为了性能着想,通过新鲜度实现抗重放攻击,通过签名实现完整性验证,未做机密性的实现。

2015年几大车厂ECU软件功能的召回事件促进了OTA远程更新ECU的需求,而去年某互联网汽车品牌高速路旁的更新事故引起了大众对OTA更新对安全影响的关注,从英飞凌给出的方案来看,基于SW2.0的OTA更新信息安全设计,首先ECU厂商在ECU内内置厂商公钥和对称密钥,ECU需要更新时由厂商试用对称密钥加密相应的hex-file文件,并使用私钥进行签名,交付给OEM厂商,OEM厂商通过OTA云服务,产生对称密钥对,试用对称密钥加密厂商的OTA升级包,在使用tbox的tpm公钥加密对称密钥,把相应整包文件通过TLS/SSL通道发送给TBOX,TBOX试用TPM私钥解密对称密钥,然后解密OTA升级包,发送给安全网关,安全网关路由给对应的ECU,由ECU验证厂商签名,试用对称密钥解密后,升级相应的ECU软件。在这个过程中从性能角度考虑,ECU额外存储功能或缓存功能,可以加速升级时间,但会带来成本的提升。这个方案有两个环节,第一个是OEM私有云通过TLS实现TBOX的加密通信,是否做双向的认证,另外是否在应用层考虑OEM厂商私钥签名由TBOX验证,方案未提及。另外,有车厂提出ECU签名验证的处理能力的问题,有改变的做法是通过网关做相应的验证和解密操作,这个倒可以和autoSar方案的secoc的功能结合。

从国汽的漏洞利用统计分析来看,目前的信息安全攻击在车辆端包括度量里程的修改,驾驶记录的修改和敏感测试数据的窃取,对ECU的限速,功能限制的修改和利用,对有价值单元的窃取,对娱乐系统的外部网路链接,版权盗取,未授权功能的激活,利用OBD接口修改安全参数,修改内部通信,盗取知识产权,对车内网络通信劫持信息,破坏安全功能。在联网汽车的云端,对车厂可信服务平台,后端服务平台,第三方内容服务平台,互联网内容服务平台通过sql注入、XSS等方式实施拒绝服务,远程控制,数据泄露,等攻击。

在政策分析来看,国汽分析国内政策网联汽车信息安全目前重点关注OTA安全和车辆召回问题,正在规划相关国家级平台。另外在功能安全范围内,关注交通安全,路测基础设施安全,企业准入,产品准入,零部件安全,车辆安全监控,应急响应范畴。在信息安全范畴内,关注车内通信安全,手机应用安全,车云通信安全,云安全。

在网联汽车信息安全的体系化解决方案层面,国汽首先提出最小权限原则,软件逻辑基础的隔离主要借鉴浏览器的模式,复杂MMU的隔离基于Arm trustzone的理念,系统基础的隔离(虚拟机概念的引入)提的是黑莓的QNX概念,在与性能和安全平衡的层面又有autosar等不同的取舍方案,系统硬件基础隔离(TEE)、硬件基础隔离(HSM、TPM、SE)、子系统隔离。其次提出借鉴了安全分层的纵深防御概念,在AUtosar、freevision、in-vehicle& back-end architetecture的汽车分层模型基础上,SAE、NHIST、bosch、escypt、nxp包括国内的上汽、奇瑞都提出了相应安全防护模型。另外,提出了同样是借鉴了互联网安全模式的零信任和持续自适应评估的概念,未展开陈述。
国汽通过分析安全的需求层面的发展趋势,安全观逐渐改变,数据驱动的安全可视化,产业间的协同,产品开发安全过程管理等,提出了全生命周期的安全流程体系建设,和汽车安全信息共享分析与协作平台,希望在产业链整合与合作层面有所促进。

从标准化体系建设来看,中国网络安全产品审查与认证中心认为,网联汽车信息安全标准在国标委的统筹下分别属于TC260信息安全工作组的范畴和TC114汽车标准化工作组的范畴,从对相关法律法规政策解读层面来看,网联汽车的信息安全尚未纳入国家信息基础设施的建设,但目前中国汽车工程协会与国汽公司正在推动与中国网络安全产品审查与认证中心的对接工作,而且从业务发展的角度来看,网联自动化汽车以及后续的智能交通的实现,网联汽车信息安全建设势必会纳入到国家信息基础设施安全保障的范围。另外,对于TC114汽车标准化工作组的信息安全已经报批的标准来看,往往缺少检测和认证的相关标准,从审查和认证的角度,仅有技术要求,落实和操作均存在一定的困难。另外,在一定阶段内,汽车的信息安全标准纳入到强制性标准可能性不大。同时,两个组之间的协调沟通工作对避免标准的冲突十分必要。

习惯性的买一堆书,抽空慢慢看,买书如山倒,读书如抽丝。在豆瓣上分享专业书籍书评的人,我算是为数不多的一个吧,无论是否有人问津,自得其乐。

tcg作为可信计算的国际标准,开始接触应该在10年左右,因为做pki/ca会关注密钥的应用领域,结合android启动手机的智能应用,从底层安全做起,就关注到tcg在手机端的应用,在中国移动的背景下和终端公司讨论过类似bootloader启动的安全方案,甚至基于uefi结合tcg的迁移,arm的trustzone作为可以结合的安全解决方案省去tpm或gp的成本,是个可以运作的解决方案,在移动支付,应用商场,统一身份认证领域,可能比pkisim卡的应用要划算。遗憾的是并没有落地,空剩方案。

当然诸多统一身份认证方案中还尝试过和网络部,数据部讨论过通信认证能力向互联网业务开放开放,pki甚至是eid的身份认证的方案,只不过最后被杭研和互联网做了一个和阿里,腾讯无二的毫无竞争力浪费了好资源的纯互联网模式的统一认证方案,给抢了去,也是个比较遗憾的题外话。

在工信部做应用签名试点阶段,也曾尝试和intel,软件司,信息安全协调司沟通过手机端的可信计算的方案,在智能机起步阶段老东家尝试做services phone的时候还和沃勤等方案厂商讨论过交流,当时还是受限于tpm和gp的成本以及研发成本包括市场的清晰度问题,同样不了了之。

在等保2.0中,加强了可信计算的范畴,进一步强化了密码技术在信息安全领域的应用,而在沈昌祥等院士推动下,可信计算的概念也是持续升温,在云计算领域,可信云联盟也是高举可信计算的大旗,再来看这本书,重温一些概念和细节,对该领域的改进和发展做些跟进,也是关注物联网和云计算可信计算体系完整构建方案的参考。

tpm作为tcg的基础单元,从硬件的领域着手建立密钥处理,可信计算的度量和存储,功能和指令的基础设施是整个可信计算的基础。相对于tpm1.2对于密码算法的固定,tpm2.0通过模板实现了算法的自定义,支持国产算法,对于强调自主创新的国家关键基础设施领域而言,意义重大。

tpm的三个密码树,实现了持久化的tpm厂商信任链的构建,平台信任链的构建,存储信任链的构建,tpm厂商信任链在保障tpm自身的可信之外对于隐私计算和保护隐藏tpm本身信息的模式具有现实意义。平台信任链作为设备制造商,对固件,操作系统以及公共组件的度量,升级实现了可信的完整性校验安全模式,存储主要用于企业和组织的信任链构建,自定义终端,人员的认证密钥体系。临时的信任链构建断电消失,只能用于临时的密钥体系实现。

层级结构的密钥机制源自于种子和密钥模板创建的根密钥,然后由根密钥创建层级的密钥,层级密钥在上级密钥加密后可以存储在tpm之外,有了种子和模板,密钥可以动态生成,对于空间的节省和安全的折衷提供了良好的方案,tpm应用了证书的概念,却未严格按照x.509的标准实现,可信的依据仍然是签名机制的验证,不过tpm大量使用明文加密钥的hash方式hmac算法代替了rsa的公钥签名机制,简化了计算的资源消耗。

tpm密钥结构的访问关注到授权和会话,密码授权的方式安全性低,易用性好,hmac授权是主要采用的授权算法,可以支持授权和会话的模式,还支持比较复杂的授权和会话模式策略授权ea,通过各种授权模式的组合实现灵活复杂的授权模式,比如支持在不同设备上访问同一个云服务应用的复杂tpm组合授权模式。密钥体系设计中,关于密钥应用的风险其实是最高的,引入密码体系的本意提升安全却因为应用的不规范导致安全漏洞比较常见,tpm的机制在这方面做的尤其到位。

nv作为非易逝存储器,可以实现基于地址和句柄的自定义数据结构存储空间,相关的应用和自定义方案设计可以加以利用。pcr寄存器作为各级度量结果的存储单元,是可信计算逐级验证的来源。

作为tcg的一部分tpm的指令以及编程接口至关重要,面向底层的tss软件栈,通过sapi接口访问,支持tcti的命令行和tab访问网关以及实现tpm与内存缓存交换的资源管理rm,实现相应的功能。高层的api封装底层接口可以通过fapi实现大部分功能。

tpm是一个功能完整,架构强大的终端密钥管理,应用系统,在大部分pc上已经实现,不过由于功能强大,安全设计带来的复杂性,而缺少应用层的支持,缺少用户友好的中间件以服务的方式支持,并没有得到广泛的应用,这也是需要反思和推动的,但无论如何,对密钥保存应用的思想非常值得借鉴和推广,如果具备了tpm,不防好好的利用起来,对于物联网和云计算,这套机制用途要远大于pc。

读第三卷第三章,重点关注大跃进农村问题形成的背景,根源。不得不说,毛对问题的敏锐观察力还是有独到之处的,最先意识到对实际问题调查的重要性,和公社制农村问题的核心在于平均主义的泛滥。这其实是两个问题,一是为什么政策执行出现重大的偏差,好心办坏事。二是为什么讲真话,说事实变得如此困难。

干部的能力素质是否可以支撑是个问题,而民众的意识和人的本性是否支撑基于意识形态的理想国。共产主义的乌托邦在缺少经济基础的背景下,违背人性的规律,制定想当然的理想国政策,并予以实施,本质上而言,是十分幼稚的。

而关于百花齐放,反右派、五类分子的定义以及彭德怀在庐山会议后被排挤出决策圈之外受到的不公正待遇,受牵连的一批说真话的干部,在出尔反尔、钓鱼执法、秋后算账的文化氛围中风声鹤唳,可以理解,在思想的钳制层面的历史经验决定了解真相和说真话何其困难,也决定了中央看不到、听不到真实的声音。

不过毛的调查研究的观点得到了切实的贯彻和执行,尤其是少奇在湖南长达50天的实际考察和调研,以及中央领导干部深入故乡的深刻调查,对公社制度的食堂带来的危害,有了深刻的理解和清醒的认识,对所有制的调整更符合实际情况,说明中央首先出发点还是寄希望改善人民的生活水平,对发现的问题愿意及时的纠正和调整,还是有事实求是的成分在。当然,对于基层情况的无知和专业知识薄弱造成的决策失误也是负有不可推卸的责任。

源自元中国古代权谋传承的组织文化的信任体系受到破坏,毛在广州会议时在现有组织架构之外,另组调研和写作班子,制定中央政策,虽然有对现任领导集体效率和效果不满的成分,但未尝没有担心权利旁落的风险,这确实与中国帝王权谋之术密不可分,延伸下去东厂西厂锦衣卫是一种必然。当然,从个人角度权利掌控而言是一种成功,对国家却是灾难。

国家治理层面如何实现个人权利的制约,避免组织层面的文化陷阱,中国近当代史有不少负面案例,是个值得研究的大课题,从这个角度看历史蛮有意思。

前两天微信朋友圈看到费正清中心的前主任马若德离世的消息,才了解到这位著名的专治中国当代史的汉学家,是香港历史学家丁学良教授的老师,参与编辑了《剑桥中国史》的编辑,对中国六七十年代的那场革命研究颇深。89年,河北人民出版社出版了他代表作的前两卷,可惜那场风波之后,国内的言论环境管制日益加深,第三卷基本上与内地读者无缘。

2012年马若德自己购回了已经完成翻译的版权交给香港世纪出版社出版,世纪出版社补足了前两卷的删节版本,形成了完整版。了解到相关背景,对1977年出生的我而言,对那段历史发生的来龙去脉,前因后果勾起兴趣,费了九牛二虎之力,终于找到电子版来看。

先从国内没出版的第三卷看起,第一章的内容是关于59-61自然灾害的官方人口统计关于死亡率的数据,真可谓触目惊心,而归结于自然灾害的事实源自于大跃进的严重后遗症,超越经济实际的工业化与城市化,以及公社制度下农业生产的大倒退,粮食、植物油类经济作物的生产率的统计数据,一升一降,事实昭然若揭。

缺少专业经济干部以及计划经济执行过程中无知加上政治挂帅的盲目自信与无知,导致了这场中国近代史上的人为灾难,时至今日这段历史已经讳莫若深,这和中国历史传承中的愚民政策别无二致,当然不仅是中国,涉及到政治命题,乌合之众是人类的必然,有些人总会去探索真相,有些人你告诉他真相他也未必相信。

当时的国人大多不知道真相是什么,当局的各层级官员也未必可以理清真相,认知的局限性决定了历史的无奈,我们也不能用当下的认知去追溯历史,人类的苦难都是无奈的历程,何时可以正视历史,面对现实,确实是个难解的谜题,也许有足够多的人可以清晰判断,清醒思考,才可能吧,不过目前来看为时尚早。

本文不谈论对错与政治,只关心马若德的治史方法,采用严谨的可信数据,以及官方和学术研究史料,给出严谨的推论与论证,看似不难,关键是要有清晰的认知与思维,最起码不能为了政治倾向的结果而编造数据,臆造事实。如果我们掌握了相应的方法,利用官方的数据同样也可以得出相应的结论,不被意识形态,政治信仰而左右,那么真相抽丝剥茧也未必困难。

才读到第三章,还未对论述的关键事件的分析做更多了解和判断,仅三章就受教颇多,真乃大家。

日更确实是个挑战,不是写的过程而是要写的内容,脑子里闪现过春节这个主题的时候,其实是不是犹豫到大年三十还是初一来写。不过一旦一个主题闯进印象,那弥漫的情绪和点滴回忆如潮涌来,欲罢不能,那就先把今天的任务完成,三十和初一写什么,等当时的灵光乍现吧。

遗憾的事,能想起来的关于过年的记忆往往是童年往事和青春印记,由于来深圳后近10年没有再回老家,关于春节的记忆就略显平淡无奇,也许这就是成长的代价,很羡慕那些依然可已装满欢乐和童真,回老家畅快过年的人们,我却始终过于平静的游离于那种充斥感情的情景之外,确实有些悲哀。

非常怀念童年的那段时光,蒸馍,白面馒头和自酿豆沙馅馒头,往往要蒸上一天,一大早开始糊豆馅,红豆、红薯在一起,在大锅里煮,我往往是烧锅的那个,寒冬腊月窝在厨房里望着锅底噼里啪啦的火光,挖上半碗糊好的豆馅美滋滋的。一般和面和团馍的时候,姑姑、婶子、大娘们时有帮忙,每家商量好的,今天你家明天我家,边家长里短的闲聊,边蒸馍,欢乐融融的气氛想着都那么的温暖。

煮肉是我最爱的日子,我的任务依然是烧锅,看着烟雾缭绕的大块肉在国内翻腾,散溢出来的肉香,忍不住会直吞口水,那些年,老爸会经常买小半个猪腿回来,瘦肉用来包饺子炸酥肉,五花肉煮好要做腐乳卤肉,说实话,这么多年,这么多的煮肉做法,最好吃的和最想念的依然是老爸的腐乳卤肉。骨头上剩的肉是煮肉那天可以大快朵颐的,那美味想起来现在依然会流口水。肉汤在河南零下的天气中会呈现皮冻的状态,凉调起来吃,很有快感。

炸这道工序,差不多也要一天,炸丸子、酥肉、馍丸、普通的丸子会有萝卜,馍丸需要把馒头泡粉和粉条一起加工,酥肉是肉丝在面里混合后炸出来,在白菜粉条烩菜的时候,我最喜欢吃的首当其冲是酥肉,其次是馍丸,丸子最好是和丸子汤,香菜、醋、加上丸子,喝起来很酸爽。还有鱼和鸡,往往是炸好,用来蒸碗,炸过之后用八角和大料去蒸,吃的时候也是极其美味。

蒸一天、煮一天、炸一天,基本上整个正月要吃的就提前做好了素材,吃的时候只需加单加工,每天都是丰盛的享受,河南的冬天,老家没有过冰箱,全靠天然的冷储存,有时候做的多了,正月后半段天气有点热的话,还是有变质的风险的,不过我一般不会把它们留到最后。

谈到从前,首先想到的是各种吃,也许是发自骨子里的饥饿吧,看到一个生理学的文献研究,荷兰在二战期间的大饥荒带来严重的后遗症,二代居民中出现健康问题和饮食问题均是来自于胜利遗传信息记忆。父亲出生在55年,童年正式河南饥荒最严重的时期,也听说父亲当年的饥饿往事,虽然我自小家庭条件还尚可,从未挨过饿,不过上大学之前一直120斤以下的体重,后来逐渐一发不可收拾,不过从美味的角度,好像所有吃过的美味都在大学以前的春节记忆中。

大年三十中午,是要在十二点前吃饺子,放鞭炮的,也许真的是童年的影响太大,在饺子中,还是吃爸爸妈妈调的饺子馅最香,这一点一直到现在依然没有任何改变。三十那天一天基本上都在包饺子,上午包中午吃的饺子,下午包第二天凌晨的饺子,按照习俗,第二天凌晨的饺子要吃素馅的,说是家里养的猪牛羊也要健健康康,晚上开始是没年夜饭的,差不多初中开始,爸爸会弄上几个菜,一家坐在一起吃个团圆饭,只有2006年刚来深圳的那个春节没有和爸妈一起过,这个习惯到现在一直没变。

家里开始有电视是在1988年,那时候农村的电还非常不稳定,春节晚会一般是必看的节目,有一年据说没有给变电站送礼,变电站就在30晚上频繁的停电,看二十分钟停十分钟,现在想起来还想问候那个管电的他老母。

老家的鞭炮十分普遍,一过了腊月二十三,鞭炮声就开始此起彼伏,到了30那天晚上,可以说基本就不停歇了,90年代末,每家开始都有点钱了,鞭炮往往都是5000或一万响起步,夹杂着小胳膊粗的憾天雷,真的叫震耳欲聋,三十夜里的关门炮、初一的开门炮,我能放的时候,爸爸把差事全交给我了。我不算最喜欢放炮的,但也确实放了不少。小朋友们成群结队去每家每户捡没响的炮,剥开把火药凑在一起滋花,或者放在自行车链和钢丝自制的手枪中,作为枪药。

那时候最常玩的就是打缩,一根长棍敲打地上一根两头尖的短棍,然后快速的击打出去,然后扔回来,分成两队,高潮时在西边的田野中能跑出去不止五里地,很是疯狂,这个运动有点棒球的影子,显然也有很大差距,真的是很田野的运动。当然其他的就是拍四角,是用书和报纸叠起来的四角,和城市里拍洋画和卡片类似,再就是洋火枪,就是捡炮使用火药的自制手枪。

农村小剧团看下,偶尔的马戏,简陋的庙会也有,其实对我而来印象就不那么深刻了,初二开始的走亲戚,我的姑姑、姨、舅挺不少,每天一到两家,加上礼尚往来的拜访,也差不多就到正月十五年后了。能喝酒的时候就开始每天晕着过,非常放松身心的日子,说实话,已经十几年没有过过了,想起来还充满怀念。

吃、玩、往来,放松自己,何时开始怀念过去,已经是不识少年愁滋味了。

宏大的命题如果从客观谈起也许是一本厚达千页的学术专著,因此,从微观个人经历来谈,见微知著,虽然有悖于统计规律的严格论证逻辑,但恰在阐述一家观点,也是学术从阳春白雪到下里巴人的必经之路,并无任何贬低之处,纯属凑字数之卖弄。

个人的写作在非数字土著的早年,依赖的是纸笔,传播则极其可怜,主要是自我欣赏,偶然的传播不过是个位数,屈指可数。印成文字的部分,阅读的数量也无法统计,传播的有效性其实难以衡量,在保存的维度而言,则是尚佳,早至初中的信笺,偶尔的诗歌小说创作,在泛黄的笔记本中如果未散佚,则依然残存,30年不是问题。

转化为数字写作早在2002年左右,博客兴起,在blogcn开始了大概3年左右的写作,大概200多篇小品,遗憾的是blogcn的停服,不得不中断,另觅去处,163、新浪、博客大巴、百度,国内的服务商可信度始终存疑,更了几篇,在导出数据时也得到验证,迁移几乎不可能,只能是弃用。blogger、wordpress国外的服务商平台的广告、免费版本功能限制,被国家防火墙拒之门外,也不是什么好的选择,停服、受限、被拒,找一个可以安静写作的平台何其难也。

唯一一个尚未停服,仍在坚守,比较专业的平台是豆瓣,读书、观影记录尽存于此,有所沉淀亦有收获,以书会友,不亦乐乎。

微信崛起之后,公众号是一个值得使用的写作、分享平台,至于存储,尚待观察,但仅在电脑端写作的模式对于碎片化写作习惯的我,其实仍是一个切换障碍,而偶尔看到的简书则相对理想了不少,手机端的即兴碎片化写作模式,个人化的写作存储平台,社区化的运营和分享,营造了传播与分享的路径,虽然自我欣赏也行,但被人欣赏亦是美事,毕竟写作的终极目的在于传播。

绕不过去的是内容审查,内容审查的是非曲直暂且不论,尺度的掌握和控制则有相当大的弹性,而在连更8天的日更厚,简书的一个编辑锁定让我大失所望,所谓的规则可能只是因为未经授权的引用,而这个引用仅是对评论原文的链接。可笑的事,申诉竟然仅支持邮件方式,店大欺客到如此程度,仰或无知的小编辑主观权利如斯,平台的公正性可想而知,当然,这也是第三方公共平台莫不如是,上帝视角的决策与抉择,毫不在意创作者的感受。当年一篇豆瓣之争的谩骂今天依然存在,豆瓣编辑同样是肆无忌惮的权利践踏。

话说回来,杂志变身的审核规则更加严格,同行评审的严苛和随意,有时只能求助于运气,这也许是公共传播中写作者不得不付出的代价。每当此时,便想起了自己在自建平台上的努力。大概12年左右,开通了pansin.net域名,在香港托管的主机上开始wordpress的写作平台构建,主要在电脑端管理,疏于坚持,其实未做更多的搭理,写作就少更惶谈运营,而无运营,无社区则无流量,荒芜是其必然。

在18年,弃用香港托管主机,潜心构建自己的vps平台,也算再次落脚,这次,希望能有个持久的坚持,简书的日更是否坚守有所犹豫,也许会继续,只是这里的主阵地应该不会动摇和放弃,关键还在于写作对自己的价值,分享对以文会友之人的价值,没有价值的写作与分享,是对个人精力与公共资源的浪费,幸好,平台是自己掏钱建的,不以为意。如果是浪费了读者的时间,只好说声抱歉。

显而易见,电子时代的文字保存时间大幅下降,也符合东岳先生递弱代偿的理论,写作的越容易,留存的时间越短,甲骨金石契形文字流传最久,纸笔则易散佚,至电子则进一步耗散,能坚持10年的平台已属不易。

写作的便利也带来价值的耗散,中文单字表意的连环画视像思维在新文化运动中的白话文革命中,字更多,意更少,效率降低,而互联网模式下的文章创作简单,质量则大多降低到垃圾的水平,当然,本文也是。而淹没在垃圾中的精品则很难呈现,文字更多,分享和传播则更不易,简单和有效,成了不可调和的矛盾。

也许将来会演进新的写作、存储、分享的有效模式,解决写作的简易性、价值性问题,解决存储的时间问题,解决分享和传播的有效性问题,在写作者和读者之间建立一种平衡。