信创、“红专”及其它:《华为与斯诺登问题研究》介绍
春节后在乱翻资料时,重新找到了这份 《华为与斯诺登问题研究》(The Huawei and Snowden Questions) (以下简称《华斯问题研究》),考虑到这个研究在当下极具现实意义,值得关注,简要介绍一下。
图1 《华斯问题研究》封面
两个渊源
记得最早是周斌(@sinbad)给我发的这份资料,他当时还在华为工作,对这个话题应该比较感兴趣。但当年我看到这份上百页的英文资料,当时就觉得脑袋大,直接问他结论是什么?他的回答是, 要建立信任需要“verify everything” ,让我印象极为深刻。当年也没闲情细读,就直接放到硬盘的不知哪个目录去了。随着这几年信创大发展,经常想起这份资料,其间找了几次没找到。直到这次重新找回,细看了一下内容,这份资料是2018年出版的,想来周斌应该是18或者19年发给我的。
21年3月在《业务连续性管理20问》接近完稿之际,老赵电话约我过去,直接给我一个结论: 信创本质上是应对技术断供风险的业务连续性管理问题 ,要重点跟进(大致意思如此,原话记不清了)。随后,我在接近通读NIST Cyber Supply Chain Risk Management资料的基础上,与老赵联合开发了 《金融信创路线图解决方案》 (21年4月中旬在公众号发布了 视频版方案介绍 )。22年在做信创规划试点项目时,我将原用于制造业供应链韧性的TTR/TTS理论移植到ICT领域提出了 信息科技供应链压力测试 方法,基于定性(可进一步发展为定量)方法评估风险敞口,给企业信创规划和实施建立基础。过程中始终觉得信创工作发展虽快,主要是由于现实压力和国家战略选择,但深入的研究并不多和充分。
研究介绍
《华斯问题研究》的副标题是:“Can Electronic Equipment from Untrusted Vendors be Verified? Can an Untrusted Vendor Build Trust into Electronic Equipment?” (见上图1,《华斯 问题研究》封面) ,即为该研究所想回答的两个问题: 首先,对不被信任的供应商的电子设备,用户是否可以通过技术验证来建立对该设备的信任 ? 其次,对不被信任的电子设备供应商,是否有方法可以向用户证明所提供电子设备的可信任性 ?(见下图2,《华斯问题研究》前言翻译的下划线部分)。
图2 《华斯问题研究》前言翻译
以上表述比较绕口,简单“翻译”一下,即“ 是否能通过‘专’来证明‘红’ ”?
在《华斯问题研究》在12.3结束语中给出研究结论,“ 鉴于当前的技术水平,验证这些组件的功能是不可行的 ” (见下图3,《华斯问题研究》结束语翻译的下划线部分)。
图3《华斯问题研究》结束语翻译
也就是说,作者给出的结论是否定的,即 以当前的技术水平和方法,“专”无法自证“红” 。同时,作者也承认,这不仅仅是安全问题,也是一个贸易问题。
这个研究的深刻之处在于,华为/中兴也好,信创也好,所面临的主要问题已被揭示清楚。
“专”和“红”将是两个正交的维度,“专”无法自证“红”;当然,“红”也无法自证“专”, “红而且专”将成为唯一选项 ,除非有新的验证方法或新的信任范式变化。
资料补遗
《华斯问题研究》的作者奥拉夫·莱恩(Olav Lysne)是挪威Simula研究实验室韧性网络与应用中心(CRNA)的主任和创始人,也是Simula和奥斯陆大学的计算机科学教授,他还担任挪威政府数字漏洞委员会的负责人。
《华斯问题研究》的主要内容和目录结构如下:
《华斯问题研究》可开放获取(open access),请通过以下链接进一步了解该资料或下载电子书(PDF和EPUB格式), https://link.springer.com/book/10.1007/978-3-319-74950-1 ;当然,也可以到知识星球下载电子书。
原文发表于公众号”业务连续性+” | 原文链接