随着网络空间吸纳了越来越多的用户、设施、数据,其蕴含的价值也不断增长,构成网络空间的关键信息基础设施、重要网络系统和核心数据,都需要被纳入一个安全和可信的保障体系之内。目前互联网运行的基本架构的设计有很多的安全缺陷,如果仅仅基于当前的互联网来解决安全问题,仍然只是治标不治本。但是,也不可能从头开始重新设计整个互联网,因为互联网已运行多年,大量数据、应用和网络都遵守现有网络架构协议规范,这是寻求安全互联网架构不能不考虑的关键问题。而形形色色的安全威胁并不会停下来等待解决方案,因此科学家和技术人员设法齐头并进,一方面探索新的基于更安全的架构和协议的下一代互联网,另一方面也为基于现有架构的互联网提供尽可能多的保护。
建立更安全架构的下一代互联网的突破口可能是IPV6。现在的IPV4可以提供232即大约40亿个IP地址,实际上这些地址已经在2011年分配完毕,而IPV6可以提供2128个IP地址。有一个形象的比喻,地球上每一粒沙子都可以标记一个IPV6地址。IPV6的应用不仅增加了地址空间,更重要的是在开发和部署的同时加入一些增强安全性的措施。此外,新的安全架构也有可能首先应用于互联网发展的新方向或新领域,如物联网、人工智能及移动互联网等。
在现有互联网架构下提高安全性,需要着眼于互联网的关键节点,在数据存储、处理、传输等环节,针对网络攻击或环境风险的预防、监控、反应和恢复,设计出更好的应对措施。互联网的最初设计者并没有考虑到联网节点的安全问题,这些节点在加入互联网时,执行的是低安全标准的互联协议。随着互联网节点重要性的日益凸显,从底层架构上来考虑传输通道和节点的安全保障,已经成为规划新一代互联网重点考虑的问题。
在应用层面,不管网络中存在多少安全风险,网络攻击只能通过两种路径:一种是从外网向内网的入侵路径,比较经典的攻击方式是黑客攻击和高级持续性威胁(APT)攻击;另一种则是自内网向外网的威胁扩散路径,这种攻击方式最常见的就是设法将感染病毒的优盘带入内网中运行。从理论上看,只要对这两条关键威胁路径进行监测和管控,就能遏制威胁产生和扩散的态势,以尽可能小的系统改造成本,为网络系统提供较为完善的安全保障。(https://www.xing528.com)
对于政府、大学等接入互联网系统和应用较多的实体,一种增强安全性的措施是减少接入互联网节点的数量。以往政府或大学往往会要求每个部门都建立自己的业务或展示站点,每个部门自行购买服务器、交换机、操作系统、存储等硬件设施,自行组建局域网络,自行开发应用系统,然后通过电信网络接入互联网,或者托管租用电信机房,站点安全维护由站点所有者来实施。随着在线业务越来越复杂,即便是一些大型站点也无法单独完成复杂的运行维护工作,或者难以承担所需的巨额费用。例如,美国联邦政府就已经大幅度减少接入互联网的节点,这在一定程度上缓解了开放性和安全保障能力不足之间的矛盾。
随着网络接入服务商提供多样化、个性化和专业化站点管理的能力不断增强,一种通过云服务帮助客户接入互联网的服务逐渐普及,这种模式更为安全,因而广受欢迎。云服务是通过互联网来提供动态、易扩展和虚拟化的资源,包括计算能力、软件应用、存储空间、基础架构等。云服务模式大大简化了站点服务流程,尤其适合初创企业或以互联网作为业务支持的企业。实际上,绝大多数企业的核心业务与互联网无关,云服务可以帮助这些企业减少站点建设投入,专注于自身的核心业务。云服务提供商在安全保障方面投入更多、专业性更强,可以为受托企业提供更好的安全保障。目前亚马逊、微软、IBM以及阿里巴巴已经为数十万计的用户提供云服务。随着云服务的普及,防护能力较弱的互联网节点也呈现逐步下降的趋势。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
