互联网安全问题分析和解决问题思路
电信研究院标准所
谢玮 高级工程师
摘要:信息化和网络化是当今世界经济和社会发展的大趋势。互联网给人们提供便利带来效益和乐趣的同时,也使我国在网络信息安全方面面临着巨大挑战。本文从理念、制度、管理、技术不同角度分析了互联网安全问题产生的原因,并给出了我国互联网安全问题近期及长远的解决思路。
互联网安全问题涉及到方方面面,表现形式纷繁复杂。为了更完整、清晰地描述互联网安全问题,本报告综合了技术分层理论、安全管理职责划分等多方面的因素考虑,将互联网安全问题纵向分为三个层次:网络安全、业务与应用安全、信息内容安全。不同层次的安全问题有不同的表现形式、不同的产生原因、以及不同的对策和处理方法。
网络安全指互联网网络传送功能的安全问题,以及某些技术分层中与互联网网络传送功能密切相关的、“应用层”的安全问题,比如DNS的安全。网络安全包括网络设备的物理安全和系统安全、网络资源安全和数据传送安全、以及信息存储安全。
而业务与应用安全则指的是在互联网络数据传送功能基础上提供的各种应用服务(例如邮件业务、www业务、网络电话、P2P下载等等)的运行安全问题,包括应用服务器安全、业务运营安全、用户信息安全等等问题。
互联网网络安全和业务应用安全基本上都还是互联网行业范畴内的问题,相对较为单纯。而信息内容安全的范畴则更大,所有与互联网传送和业务运营安全不直接相关的、由互联网服务引发的国家、社会、文化等其他所有安全问题,都可以划归信息内容安全范畴,例如:不良信息传播、个人隐私保护、知识产权保护等等。
2.1基本设计理念原因
互联网最早是为了军事和科研而产生的,其目的是在传输链路不可靠的情况下,通过网络的自组织特性(后来的路由协议),实现网络的端到端可达,从而支持文件传输等非盈利性应用。在此基础上,逐渐形成了一些互联网的基本理念,这些理念延续至今,对于互联网的网络结构、运维方式、商业模型等有着重要影响。具体核心设计理念包括:
1) 网络端到端透明性原则
2) 简单开放性原则
3) 用户自律原则
4) 公平性原则
在这样的核心设计理念的指导下,互联网的设计师们在几乎所有技术协议的制定中都充分体现了这些基本精神。而也正是由于互联网具有这样的基本设计理念,才使得互联网具有了天生的异常良好的可扩张性、对于各种创新行为的包容性。因而在很短的时间内迅速遍及了世界各个地区,并且渗透到了社会生活中的各个领域。
但同样还是这些基本设计理念,其对于互联网安全却起到了完全相反的作用。换句话说,目前互联网面临的巨大的安全挑战,其最根本的原因就是以上这些基本设计原则导致的。
Ø 网络端到端透明性原则
在网络端到端透明性原则的指导下,导致了互联网具有“任意两点之间可以通信, UNI/NNI界限不清,网络智能边缘化”的技术特征,而这些技术特征都是导致各种互联网安全问题出现的必要条件之一,
由于网络的端到端透明性、终端智能化决定了用户可以访问网络中的任意节点、而且用户间还可以任意使用加密技术,这对于网络安全和信息安全的保证,业务应用监控都造成的很大障碍。
Ø 用户自律原则
由于互联网在设计之初是用于科研的,网络面向的使用者相互之间都是相互信任、协同工作的。因此网络安全保证机制的设计是以用户自律为基础的。以往互联网标准的开发注重提高性能或引入新的应用,安全问题从不是第一要务。而且对于用户的行为也没有从网络及协议设计角度考虑任何检查(对数据报不认证不溯源)/约束/奖惩的机制。
然而当互联网全面商用后,用户群扩大了,用户间的信任基础也就基本上不存在了。这时,原先的网络信息安全保证机制就显得力不从心,网络暴露出的问题也越来越多。
Ø 简单开放性和公平性原则
由于互联网的设计遵循了简单开放性和公平性的原则,使得互联网成为了一个扁平化的、没有权威和集中控制的、边界模糊的分布式网络,这些特征一方面保证了互联网的健壮性、可扩展性和业务灵活性和创新性,但另一方面也加大了安全问题治理的难度。
2.2管理和制度的原因
Ø 法律适用性和可操作性
互联网目前可以向用户提供的业务涵盖了社会生活的方方面面,甚至有人将互联网比喻为另一个虚拟社会(CyberSpace)。互联网的功能已经远远超出了传统通信网较为单一的信息沟通工具的角色。随之而产生的新型社会关系也对现实社会原有法律、规则的适用性和可操作性提出了挑战。
事实上,现有的法律和规则中有相当一部分都是可以适用于互联网的,例如针对某些特定的案例(如知识产权保护、网络诈骗),就应当将原有的法律法规应用于网络环境中。但对于其他一些新生事物的案例(例如垃圾邮件),将现实社会的法律适用于网络空间会出现法律规范的空白,这时就必须用新创建的规则来规范人们的行为。
“无论现实或虚拟世界,通用的原则是,法律不能使受禁行为成为不可能发生的,而只能使其成为可惩罚的。在虚拟和现实世界对某一类行为的禁止并不意味着最终会根除这种行为。” 而这一原则的可操作性由于现实互联网的安全缺陷,而受到了普遍的质疑。互联网给予了人们极大的自由发展的空间,同时对于那些有不良企图的人来说,互联网也是一个最好的实施其不良行为的温床,因为在这里他们的行为被惩罚的可能性比在现实社会中低的多。
Ø 规则滞后
社会是充满活力、不断变化的,因此无论是现实社会还是虚拟空间,法律总是要落后于社会的变化。如今技术的发展极大地改变着社会的面貌,互联网是创新者的乐园,变化则显得更为突出。
通常这一变化的速度会远远快于法律对其做出反应的速度。有时,法律规则甚至在其能够适用于现实之前就变得过时了。因此法律规则的陈旧和滞后是互联网安全管理所面临的一项重要的风险。
Ø 国际合作困难
虚拟世界是没有国界的,互联网的全球化特性需要对其形成全球化的规范。因此互联网中安全问题的解决要求各国必须在有效的国际条约的规范下,建立良好的合作机制。只有这样才能真正达到减少互联网不良行为的泛滥。
然而,目前在互联网领域还不存在内容广泛的国际条约,只是在不同的问题上使用内容相互分割的一些协议。互联网的全球治理机制的形成需要在各国之间达成广泛的共识,而这一共识只有通过长期的协商过程才能达成。实际上,国际上已经都认识到了这一问题的重要性,并且表达了希望通过协商达成共识的愿望,联合国通过近几年WSIS大会和WGIG小组的工作,也已经取得了一定的成果。但这离能够产生各国普遍适用的国际条约还有很长的距离。
2.3具体技术原因
互联网安全问题产生除了以上基本设计理念、管理和制度等方面的原因外,还有很多具体的技术原因,导致了互联网安全问题的发生泛滥以及治理的困难。
2.3.1网络层
Ø 设备的系统安全漏洞--不可避免、越来越多
互联网是计算机网络,其上所有功能的实现都是依靠各种程序来完成的。而任何程序的设计都不可避免出现各种各样的漏洞。各种设备中存在的程序设计漏洞,是互联网恶意代码攻击产生的非常重要的条件之一。恶意攻击者通常会利用攻击对象自身的系统漏洞,进入到系统内部,或盗取数据、或破坏功能。
Ø 网络开放、用户能力不可控
实际上仅有计算机程序上的设计漏洞是不足以导致互联网恶意攻击如此泛滥的。首先由于互联网中网络任意节点之间理论上可以相互访问,这就给位于网络边缘的用户节点以很大的自由度,也为恶意攻击者能够攻击到网络侧设备提供了可能。
其次由于互联网的设计采用了分层结构,网络和业务分离,网络传输协议的设计尽量单纯化,而与业务应用相关的功能则尽量推向网络边缘乃至终端。即所谓网络智能边缘化,网络傻瓜化。这种模式使网络的扩展性得到了极大的释放,使得业务从网络的束缚中解放。但同时终端智能的无限化也导致了用户行为能力的不可控,来自用户端的恶意攻击随着网络安全防护技术的发展,也在不断的变化,即所谓“道高一尺魔高一丈”。
Ø 溯源成本高、攻击成本低
网络中恶意攻击泛滥的另一个非常重要的原因就是:互联网网络和业务溯源成本太高,因此在大多数情况下,恶意行为实施者都不会被找到,也不会受到惩罚。造成这种现象的具体技术原因主要包括:“网络对数据报中用户源地址不负责验证其真实性;全球已经分配的IP地址,其使用者的备案信息有效性和可用性很低;以及网络中大量私有地址使用且安全管理很不严格。
找到恶意行为实施者的成本很高,而相反在互联网中实施恶意行为的成本却相对在其他网络要低的多。首先互联网的网络使用费用很低,其次攻击方法在可以很容易在互联网中找到,且使用容易,这就造成用户攻击行为的技术成本和经济成本都很低。
无国界性的网络和业务特征和分布式管理也使互联网网络安全问题的解决复杂化。
2.3.2业务应用层
首先,针对业务应用服务器的网络恶意攻击的产生原因,在前一节已经分析过了。而业务应用层另一类安全问题,业务滥用产生的原因主要是:对于大多数互联网业务,用户均可以匿名且免费使用,使其恶意行为既没有经济成本,又很难溯源,使其受到惩罚,同时很多业务滥用行为背后都有利益驱动(可以从中获益),因此会造成滥用行为在互联网业务中很普遍,其中最严重的就是垃圾邮件。
再有目前流行的P2P、RSS、博客等互联网新业务新技术使互联网的应用更加去中心化、个性化,网络和业务的运营者对业务安全控制更为困难,也是互联网业务应用安全问题日益严重的原因之一。
2.3.3信息内容:安全监管技术
互联网信息内容安全产生的具体技术原因主要是国内或者国际相关的安全监管技术不成熟,包括监听过滤技术、数字水印技术等等。由于互联网中的节点之间可以任意使用加密技术,互联网中信息的海量和多媒体特性都给针对互联网信息内容监管安全的监听过滤技术提出了很大的挑战。
3.1 两种不同的研究方向
3.1.1建立一个新的满足安全需求的下一代互联网
从互联网基本结构入手,建立一个新的能够满足安全需求的下一代互联网。下一代互联网的网络基础设施应当从以下几个方面入手设计其安全保护机制:
¨ 必须重新考虑目前的网络基础构架,例如新的寻址技术、命名技术。
¨ 需要一个更好更灵活的、能够在计算设备与其所需环境之间建立信任关系的方法。
¨ 易用性。新的安全保证应该避免对用户提出太高要求,力求自动、傻瓜。
¨ 基于激励的安全机制。做坏事的惩罚、做好事的奖励。
¨ 审核。即监测,是前一条的实现基础,还必须同时考虑用户隐私的保护。
¨ 安全确认。需要一套完善有效的方法来评价网络/系统的安全性。
3.1.2在现有互联网基础构架上实施有针对性地改善措施
另一种研究思路是:针对具体问题(网络攻击、垃圾信息、敏感业务的信息安全传递和实体认证),有针对性的实施各种方式的安全防护措施,包括技术和管理的措施,以寻找到一个互联网发展和一定的安全保证的平衡。
3.2我国互联网安全问题的解决思路
3.2.1基本结论
在现有互联网环境下,通过互联网网络安全和信息安全保护技术手段以及管理措施,不可能让互联网达到足够的安全水平,足以承担起我国国家重要信息基础设施的角色。
3.2.2我国互联网安全问题解决思路
Ø 长远考虑
需要从网络构架的角度重新考虑互联网安全的根本性解决,将是远期的解决方向。在互联网发展研究领域,大家对于下一代互联网必须面对的安全挑战的内容已经比较认同,但是具体的设计思路,目前国际上并没有很清晰的结论。
我国也应当投入更多的力量跟踪国际上下一代互联网的最新设计思路。并应该根据我国对于互联网安全的需求,提出有创新性的下一代互联网安全体系构架。
Ø 近期的工作
通过管理、技术、宣传等各种手段,尽可能提高现有互联网的安全保证能力。近期工作的重点参见3.3节。
3.3我国互联网安全问题近期工作重点建议
3.3.1安全管理——分清责任、理顺体制
我国互联网安全管理工作中最迫切需要解决的几个重点问题如下:
Ø 界定责任/义务:包括政府部门间的安全责任划分;互联网参与者的安全责任确定和强制保证措施两方面工作。我国的互联网安全管理目前还存在着责任交叉、缺乏明确的协调机制、应急响应速度慢等问题。分清责任、理顺体制是保证互联网安全具体措施有效执行的首要基础。
Ø 政府应规范化关系国家安全的重要信息系统联入互联网的范围和方式:对于关系国家安全的、例如政府、军队、银行等部门的信息化建设应当以国家法律法规的方式明确其安全要求,尤其是联入现有互联网的数据范围、安全保障、应急措施等。
Ø 以管理弥补技术的缺陷,提高安全监管能力:完善互联网地址备案库和共享使用机制;严格互联网通信加密的使用范围;强制审计信息留存等。
3.3.2安全技术保障——以安全溯源为重点,提高互联网的安全威慑力
Ø 溯源:通过前面的分析,我们可以看到引起互联网安全问题泛滥的很重要因素是难于找到产生问题的源头。因此加强互联网安全技术保障能力,必须以安全溯源为突破点,提高互联网的安全威慑力。互联网的安全溯源可以分为两个层次:
¨ 网络层溯源:网络层溯源可以从网络接入点入手,强制要求运营商网络支持网络层可溯源性、可审计性。
¨ 业务与应用溯源:该层次的工作比较复杂,可以按照业务属性分类进行安全监管,包括制定相应的安全标准要求、检查机制。参见后面“安全监管框架建议”章节。
Ø 预警:互联网安全预警需要进一步完善相关的预警发布和应急联动机制,同时尽可能缩短预警信息发布到用户反应的时间。
Ø 防范:政府应加大本土安全新技术新产品的扶持推广,降低网络对外的安全依赖性。另外应继续完善重要信息系统的灾难应急工作,包括危机管理、技术及资源支持等。
3.3.3互联网安全宣传——加强用户的自我安全保护
政府主管部门应能够为企业的网络安全保护提供有效的指南和帮助,包括网络信息安全标准规范(包括国家标准、各行业的专业标准等)、安全评估方法和机构等等。同时政府还应通过宣传手段提高用户自身的安全防护能力,比如正确使用防护工具、上网行为的自我约束(不泄漏敏感信息)等。
京ICP证060415号