互联网安全新思路－－公共安全防护体系iPSPA

admin

经过近三十年的发展，互联网已经成为国家重要的信息基础设施，是人们日常生活中不可或缺的重要元素。互联网在给社会带来丰富共享资源的同时，各种不良业务和不良信息也日益泛滥，包含有反动、邪教、迷信、色情、赌博、暴力等不良信息的网页充斥着整个网络空间，并且愈演愈烈，对未成年人造成极大的危害。同时，网络攻击、网络病毒、间谍软件、网络钓鱼等在网络上快速传播，也严重影响着网络的安全。随着互联网应用范围不断扩大到传媒、通信、教育、金融、医疗等重要领域，这些安全问题的影响越来越大，危害越来越严重，成为制约互联网持续、健康发展的关键问题。
    文章从整个互联网安全问题的角度出发，分析指出互联网应提供公共安全服务，履行公共安全职责，提出了互联网公共安全防护体系(iPSPA，internet Public Security Protection Architecture)，从而实现对网络安全事件的快速响应，在网络范围内解决网络安全问题。
一、互联网安全分析
    1．互联网安全问题根源
    互联网最初产生于实验室环境，其目的是为了连接具有共同兴趣爱好或共同利益的用户的计算机，实现与网上任一用户间的通信，从而共享信息和资源。因此，互联网在设计之初并没有考虑安全问题，其应用环境的基本假设是用户自律、彼此信任，且具有较好的终端操控能力。但随着互联网应用范围的日益扩大，互联网用户构成日益复杂，非专业人员成为主体，且普遍缺乏安全防护技能，逐渐导致用户之间的信任度降低，互联网用户自律且彼此信任的基本假设已经不复存在。此外，互联网所采用的层次化通信协议TCP/IP支持“端到端透明性”，网络只专注于“尽力而为”地提供数据传输服务，将几乎所有控制能力以及安全责任都交给了应用层。网络对上层应用的不感知、不控制，使得溯源成本极高，肇事者普遍有恃无恐，从而为安全攻击、病毒和其他有害信息的传播打开了方便之门。
    互联网本身不具备国家、企业或个人以及网络运营商所需的共同的基本的安全服务，正是这种公共安全服务功能的缺失，才导致不同企业或用户安全解决方案功能重叠、操作复杂、效率低下，不能有效防护被保护实体的安全，更不能有效防止网络安全事件在网络上的蔓延。事实上，相比于现实社会的安全管理系统，我们认为作为信息服务基础设施的互联网，也应当提供公共安全服务，承担公共安全职责，并与现有的针对特定实体(例如企业或个人)的安全解决方案一起共同构建完整的互联网安全防护体系。
    2．互联网安全特点
    互联网的开放性、交互性和自主性满足了人们向往的信息灵活快速、自由共享的需求，同日司也造成了网络上有害信息和安全攻击事件的泛滥。目前，互联网安全具有以下特点：
     ①系统漏洞发现速度加快，攻击爆发时间变短。新的计算机系统安全漏洞不断被发现，而且逐年增加。网络攻击者热衷于攻击新发现的漏洞，最短的大规模攻击距相应漏洞被公布的时间仅仅为28天，以致于很多网络管理员还来不及给系统打补丁。而且专家预测，未来的某些网络攻击可能发生在厂家补丁程序发布之前爆发，从而造成更严重的后果。
     ②攻击门槛降低。攻击的发起者不再局限于深谙计算机和网络技术的高手，现在很多攻击工具可以很容易在网络上下载到。而且一个新的操作系统漏洞被公布后，相应的攻击方法一般在两个月内就会被发布到互联网上。
     ③入侵难以追踪。有经验的入侵者往往不直接攻击目标，而是利用所掌握的分散在不同网络运营商、不同国家或地区的跳板机发起攻击，使得对真正入侵者的追踪变得十分困难，需要大范围的多方协同配合。例如，僵尸网络成员的追踪。
     ④分布式拒绝服务(DDoS)攻击频繁。攻击者选择分布式的方式发起拒绝服务(DoS)攻击，严重干扰被攻击目标的正常服务。而且攻击者往往采用虚假源地址或者通过控制其他主机发起攻击(例如僵尸网络)，因而很难追踪攻击者。
     ⑤联合攻击急剧增多。网络蠕虫越来越发展成为传统病毒、蠕虫和黑客攻击技术的结合体，这种联合攻击不仅具有隐蔽性、更快的传播性，还具有更强的自主攻击能力和破坏性，带来的危害更加严重。
     ⑥间谍软件、广告软件、网络钓鱼等纷纷加入到网络安全破坏者的行列，成为威胁网络安全的帮凶。尤其是间谍软件，其危害甚至超越传统病毒，成为网络安全最大的威胁。
     ⑦电子邮件问题严重，垃圾和病毒相互勾结。垃圾邮件已经不仅仅是没用的信息，而是开始携带病毒和恶意代码，网络蠕虫通过垃圾邮件的方式更进一步扩大了其扩散范围。
     ⑧即时通信蠕虫迅速增多。利用MSN/ICQ/QQ等即时通信软件传播的蠕虫在2005年迅速增多，有的蠕虫病毒可以随机跟好友聊天，并将聊天语言设置为本地语言。目前，即时通信蠕虫已经成为一种趋势。
二、现有安全解决方案的局限性
    为了抵御威胁和攻击，保障互联网用户和应用信息的安全，应运而生了很多安全技术，例如信息加密技术、认证技术、防火墙技术、入侵检测技术、病毒防护技术、垃圾邮件过滤及安全审计等。由于互联网没有内嵌任何安全机制，因此业界提出了多种安全解决方案，采用一种或多种安全技术，实现对特定实体的安全防护。这些解决方案隶属于被保护的特定实体(个人或企业)，通常部署于其管辖范围内的主机上或局域网中，专门为自己的网络和信息安全提供服务。下文中把这类安全系统称为“专用安全防护系统”，简称“专防”。“专防”的局限性主要体现在以下几个方面：
     ①从安全目标来看，“专防”只是希望在互联网的“不安全海洋”中建立“安全孤岛”，保护个人或企业的终端或局域网不受外来的安全侵害，其安全性完全取决于自己的防护能力和水平。
     一方面，不同企业的“专防”不可避免地需要实现很多重复的功能，这就造成了安全成本增高，安全管理方案复杂；另一方面，由于企业对安全的投入是没有尽头的，因此也没有可能实现全方位的安全。而个人终端或企业局域网的安全完全取决于“专防”的防护能力和水平，因此，如果互联网自身能提供个人终端或企业局域网所需的公共安全服务，那么“专防”可以更有效地利用安全成本，专注于提供特定服务目标所需的安全防护能力。
     ②从安全实现的工作机理来看，基本上是基于单向控制理念的，即“防人不律己”。“专防”可以用来抵御来自外部的安全威胁，负责从外向里的“单向防护”，却不防护自己对别人可能构成的安全威胁，个别用户不自律或不采取安全措施就会影响到整个网络，无法实现源头防护。这也正是互联网目前网络安全问题肆虐的一个主要原因。从互联网全网范围看，现有的“专防”系统无论采用了多少“主动”和“联动”防御技术，仍然是一种在(靠近)接收端的地方，被动防御的系统，没有把防御的前沿阵地继续纵深推进，“主动”延伸到企业网或个人终端之外的地方。
     事实上，企业或个人的网络终端与互联网的关系正如同人与社会的关系，为了确保整个网络环境的安全，网络终端应承担公共安全职责，也就是说要“既防人又律己”，列比于“专防”的单向控制理念，后文将其称为“双向防护理念”。
     ③从“专防”工作在网络中的位置来看，位于主机或用户驻地网(末梢网络，即局域网上)，这本质上是由安全目标决定的。尽管“专防”内部可能会使用一些安全联动技术(如防火墙与入侵检测系统之间的联动)，但由于每个“专防”属于不同的实体，联动只发生在“专防”系统的内部，“专防”点彼此之间不发生任何联系。这种基于“点”的安全解决方案，无法形成有效的安全防护网，也就无法对一些需要在互联网全网范围内(不仅是某个局域网全网范围内)联动的安全事件做出快速响应。
三、iPSPA
    互联网网络安全已经呈现出攻击网络化以及攻击手段综合化的特点，而现有的基于特定防护实体(个人或企业)的“专防”系统却不能针对大规模的网络攻击事件进行有效的联动控制，无法实现互联网的实时安全防护。事实上，网络的安全问题应当在网络范围内解决。因此，文章提出了iPSPA，使其能与“专防”结合，实现共有和专有安全防护目的的结合，从而形成更加完整的互联网安全防护体系。
    1.什么是iPSPA?
    iPSPA指由运营商在其管辖的公共互联网范围内，为第三方(如所运营网络的个人或企业网用户)提供公共安全防护服务的系统，简称“公防”。“公防”的目标是根据国家、运营商、企业和个人不同层次的安全需求，在现有“专防”的基础上，扩展增加运营商运营的、工作于运营商网络边缘的，为大众(第三方)提供公共安全的系统，通过双向的、公共安全防护点(“公防”点)之间的联动，实现整个互联网对安全事件的快速感知和响应。
    图1所示为iPSPA基本架构，描述了“公防”与“专防”系统的关系。图1中，公共安全防护系统位于运营商网络的边缘，“公防”点通过信令交互协商安全策略。这里“运营商的网络”可以是一个城域网，也可以是南多个城域网组成的一个更大的网络(如省网)；“边缘”可以是一个宽带接入服务器、边缘路由器或其他网络边界设备；“公防”点之间通过安全信令，形成全网状、星型或其他安全拓扑结构。“公防”系统可以与“专防”系统进行通信，也可以各自独立工作，担负不同的职责。“公防”和“专防”的应用目的不同，“公防”只是用于负责“公共”的安全防护，无法满足“特殊”的安全防护需求，类似于现实社会中的公安系统；而“专防”是更加细化的、特定目的的安全防护，类似于现实社会中的“小区保安”和“家庭门禁”等。

图1　iPSPA基本架构

    与“专防”相比，“公防”具有以下几个显著特点：①提供服务的主体不同。前者是个人或企业，后者是互联网运营商；②服务对象不同。前者是服务主体专门为自己的主机或局域网服务，后者是服务主体为第三方(公众)提供安全服务；③控制理念不同。前者是基于单向控制的“只防人不律己”，后者采用“既防人又律己’’的双向防护控制机制；④在网络中的位置不同。前者是在主机或用户驻地网上，后者是在运营商网络边缘；⑤拓扑结构不同。从互联网全网的角度看，前者的每个防护系统之间互不联动，是单点的；后者每个安全防护点不仅可以独立工作，也可以相互联动，在安全防护点之间可以根据需要形成点到点、星型或其他任何拓扑结构。
    2．iPSPA的优势
    iPSPA只需对互联网边缘节点进行升级改造，不需要对现有网络承载没备和协议作任何改动，实施难度相对较低。此外，iPSPA可以在现有网络上逐步推进、逐步部署。通过iPSPA，可以：
     ①实现“公防”与“专防”的相互补充与配合，使企业从功能复杂、效率低下的安全解决方案中解脱出来，更有效地专注于特定的安全功能需求的实现，从而实现了公共安全防护和特定需求安全防护的分离。同时，也使运营商能够通过提供基本的公共安全服务获得盈利；
     ②各个“公防”点之间，既可以独立工作，又可以联动工作。通过“公防”点之间的联动，可以实现对网络攻击事件的快速感知和响应；
     ③“公防”中的各个安全防护点对流经该点的两个方向上的流量都进行控制，即“既防人又律己”。因此，互联网能够履行其公共全安全职责，实现源头防护；
     ④随着“公防”技术的发展，也可以提供别外的接口，支持灵活定制的特殊安全需求。例如接入用户的不良网站过滤功能等共性安全问题；
     ⑤“公防”可以有效结合业务控制技术，例如深度包检测(DPI)技术，共同在不同的层面挖掘深层次的安全攻击问题。同时，也可以实现对重点业务的控制，逐步改变现有互联网不可控的局面。
四、展望
    互联网环境的开放性、交互性、自主性决定了互联网安全问题的客观存在。而目前对于网络安全技术的研究已经进入了一个非常艰难的时期，无法理清及区分不同实体对于网络安全的复杂需求，是网络安全技术及解决方案难以飞跃的重大障碍。然而，这并不代表目前的网络安全现状已能满足国家、运营商和企业用户或个人用户对于刚络安全的需求。互联网已经成为区别于又类似于人类真实世界的虚拟社会，既然现实社会中需要公共的安全服务，那么我们就确信互联网世界同样需要公共的安全服务。因此，文章提出的“公防"iPSPA是符合互联网安全发展趋势的新思路，“公防”将与“专防”互为补充，一起构建更加完整有效的互联网安全防护体系。
参考文献
    1、信息产业部电信研究院互联网技术发展白皮书第一卷：发展脉络与体系架构，2007
    2、信息“命脉”不可崩溃　网络安全问题分析与建议　http://news3.xinhuanet.com/newmedia/2004-11/16/content_2224680.htm
    3、王玲，张鸿，钱华林　当前计算机网络安全的特点和展望世界电信，2004(03)：43～48
    4、中国互联网协会，中国互联网络信息中心，中国互联网发展报告(2006),2006