德军总部新秩序 网络空间寻求安全新秩序

　　虚拟空间的话语权和管理权,已经成为各国政府关注的重点。网络犯罪分子采取的手段也日益复杂,防不胜防。9月4日,中国国内信息安全界的智囊们集中在云南,在中国计算机学会计算机安全专业委员会主办的第24次全国计算机安全学术交流会上,重点探讨了在互联网世界中如何寻找安全的秩序与平衡。
　　
　　云安全不能包打天下
　　
　　2008年,亚马逊的AWS、Google的App Engine和苹果的Mobile Me成为云计算这一新领域的先驱。在这个领域里,应用和数据在巨大的数据中心里运行并通过互联网与台式电脑、便携式电脑及手机连接。
　　中国工程院院士方滨兴认为,云计算使得用户能够充分使用电脑资源并只为所使用的服务付费,还能让用户随时随地使用数据、应用和服务,能够获得比他们可承担的更强大的计算能力。全球金融危机使世界各地的企业对各项开销都十分谨慎,包括IT投资,而云计算带来的这些好处便极具吸引力。
　　同时,众多专家也提出了一个看法:在云计算时代如何保证网络及数据安全的关键是控制,毕竟大部分大型企业对业务关键应用的安全控制不会轻易放手,除非使用云计算的收益远超于其风险。
　　云计算已经被企业、用户、科学家乃至政府热捧,其势头不可阻挡 。那么,“云”如何安全?方滨兴认为,云安全有三个含义,分别为:云安全服务、云的安全和安全的云。
　　云安全服务的典型例子就是Google,它会提示用户哪些网站可能含有恶意代码,建议用户不要访问。方滨兴说,云可以帮助用户完成很多后台的事情,这种处理能力远非用户端所能比拟。但是云安全也有其短板,比如在云和防护系统之间不能有任何的信息插进来,因为云往往是开放的,只要是开放的环境就不会安全,就需要保证云不被攻击、不崩溃、程序不被篡改和窃取并且能够可靠地提供服务。
　　当然,云中出问题是必然的,不出问题才是偶然的。问题的关键是,我们如何解决云中的安全问题。
　　方滨兴对此表示,通常数据需要通过某种应用表现出来,而无法直接观察到本体数据。有害信息将变得更具隐蔽性,仅是通过给其他的应用程序提供服务。如何对云进行安全监控已经成为一道难题。同时,IP地址的动态分配,使得传统的IP过滤措施将会失效,造成资源动态分配带来的追踪和监管困难。
　　方滨兴认为,最基本的解决方法就是通过虚拟机隔离技术实现,对云实施等级保护制度或许是一条有意义的路,但是需要分析哪块云更重要。其重要性取决于应用,而不取决于云自身。云的漂浮性使得区域性的等级无法确定,只能按最高级别定级。
　　
　　可信计算营造可信网络
　　
　　2009年,我国多个省区市相继启动了无线城市建设。同时,各大运营商也开发出多项便捷的业务,逐步推广无线互联网应用。然而,安全问题一直在困扰着无线互联网前行的脚步。中科院信息安全国家重点实验室主任、中国密码学会副理事长冯登国表示,信息安全问题是一个综合问题,它不仅仅是技术和管理问题,还必须从政治和社会的角度把握和认识信息安全问题,从人、社会、网络相结合的复杂巨系统角度分析信息安全问题,我们需要一个可信的环境。
　　信息技术在给人们带来方便和信息共享的同时,也带来了安全问题,如密码分析者大量利用了信息技术本身提供的计算和决策方法实施破解,网络攻击者利用网络技术本身编写大量的攻击工具、病毒和垃圾邮件;由于信息技术带来的信息共享、复制和传播能力,造成了难以管理数字版权的局面;互联网深度应用引发舆情、视音频等问题。
　　随着网络高速化、无线化、移动化和设备小型化的发展,信息安全的计算环境可能附加越来越多的制约,这往往约束了常用方法的实施。冯登国举了一个例子:传感器网络由于其潜在的军事用途,常常需要比较高的安全性,但是由于节点的计算能力、功耗和尺寸均受到制约,因此难以实施通用的安全方法。
　　可信计算技术作为信息安全领域一个支撑性的安全技术,它不仅涉及到计算机,还涉及到网络可信环节的构建。从技术角度看,冯登国将可信计算定义为“系统提供可信赖的计算服务的能力,而这种可信赖性是可以验证的”。
　　任何一个信任体系都有一个公认的、不需要证明的起始点,这个起始点就是根信任关系。于是,信任关系可以从根开始一级一级向下传递,从而确保了可信的安全引导过程。同时,可信计算平台在网络上不再依赖IP地址,而是通过唯一的身份证书来标识自己,内部各元素之间进行严密的互相认证、对用户身份进行鉴别,这保证了完整的身份认证。
　　可信计算就是基于硬件信任根的建立,基于密码的身份认证,基于标签的强制访问和执行代码的一致性验证,从而能够做到系统的最小优化配置与资源的严格控制。
　　
　　网络威胁的蝴蝶效应
　　
　　一只南美亚马逊河流域热带雨林中的蝴蝶,偶尔扇动几下翅膀,可能在两周后引起美国德克萨斯的一场龙卷风。这就是蝴蝶效应。
　　国家互联网应急中心袁春阳说,事物发展的结果对初始条件具有极为敏感的依赖性。哪怕初始条件的极小偏差,都将引起结果的极大差异。互联网也是如此,例如今年的5•19暴风影音断网事件,就是因为暴风影音的DNS合作伙伴DNSPod遭遇恶意攻击,导致了国内出现大面积网络故障,这在近年是十分罕见的。
　　DNSPod就是那只小小的蝴蝶,而最终却由暴风影音掀起这场发生在国内互联网领域的罕见的风暴。而令人担忧的是,这次偶然事件背后的原因显示,下一只“蝴蝶”可能正在某处潜伏。这次事件给中国互联网界敲了一次警钟。
　　袁春阳认为,从技术角度而言,DNS是用户能否登录网站的关键。在国外,DNS攻击事件已屡有发生。2002年10月21日,负责全球互联网DNS服务的13台互联网根服务器均受到攻击,事后安全专家心有余悸地说,只要攻击再持续一个小时,整个互联网的域名服务体系就会陷入崩溃。
　　在国内,大家都比较重视网站自身安全问题,而对作为基础服务的DNS的安全问题却很少有人关注,尤其是免费DNS服务器。“企业不管使用任何DNS服务,都需要有一套故障应急预案。
　　袁春阳表示,互联网网络远没有我们想象中的那么安全和强壮,建立安全可靠的互联网网络,还需要从5个方面入手:
　　1.加强对域名、路由等互联网网络运行基础设施的安全监测及防护。
　　2.重视软件安全开发和漏洞问题,加强对互联网应用软件的监管和安全审查措施。
　　3.建立信息共享机制,提高预警能力。工业和信息化部于2009年6月开始实施《互联网网络安全信息通报实施办法》,当前已有60多家通报工作成员单位。
　　4.建立应对突发网络安全事件的快速协调机制。工业和信息化部在今年6月也开始实施了《木马和僵尸网络监测不处置机制》。为加快消除病毒隐患速度,CNCERT于2009年7月7日与电信运营商、主要安全厂商等共同建立网络病毒联盟。
　　5.加快立法工作,严厉打击地下黑色产业链。