福建31选7走势图连线
2019年08月10日 星期六
當前位置:首頁 >> 重點推薦 >> 鄔賀銓:互聯網的演進和安全挑戰

鄔賀銓:互聯網的演進和安全挑戰

更新時間:2013-09-23 13:10:45  

      9月23日,由中國互聯網協會、中國信息安全測評中心、國家計算機網絡應急技術處理協調中心(CNCERT/CC)指導,360公司主辦的2013中國互聯網安全大會(ISC)在北京國家會議中心舉行,中國互聯網協會理事長、中國工程院院士鄔賀銓發表題為《互聯網的演進和安全挑戰》演講。

  以下為鄔賀銓演講全文:

  尊敬的各位領導,各位嘉賓早上好!很高興參加2013ISC中國互聯網安全大會,ISC是中國互聯網安全大會的簡稱,也是中國互聯網協會的簡稱,中國互聯網協會非常關注信息安全,因此,我很高興在這里來參加這個會,不過我本人不是信息安全的專家,我會從網絡技術發展和安全影響、挑戰談一下我的看法。

  互聯網的發展經歷了40年,從70年代的APNET(音)到90年代的中國互聯網,到全球互聯網,到下一代互聯網,中國互聯網從P2P WEB2.0,互聯網的地質結構從IPv4到IPv6,到微博、博客可以在上面進行信息交互的平臺,互聯網的業務早年是數據,后來發展到話音、數據,從有線接入、寬帶接入,從撥號接入到永遠在線,40年來互聯網發生了翻天覆地的變化,我們可看看,互聯網設計之初以人為使用者,主機為中心,固定使用的,因為網絡整個是個黑匣子,當時在內部使用的,應該說業務流可信任的,美國國防部的APNET和商務部有關的,現在和互聯網之初設定的假定已經完全不一樣,互聯網有可擴展性、可移動性、移動性、泛載性、異構性的挑戰,互聯網也發生了變化,互聯網的體系命名到地址功能,轉發與控制功能過去是合一的,將來可能是分離的,內容傳輸模式會從服務器的關系到P2P以及服務器到服務器,IP層的功能會從路由交換到承載。

  這是2012年網絡安全事件,第三層、第四層的安全事件占到75%,屬于應用層的安全事件占到1/4,可以說每個程度都可能會發生互聯網信息安全的問題。現在大家都在談論下一代互聯網或未來網絡,我們希望下一代互聯網、未來網絡的特征,第一個特征就是安全的,當然希望它能支持移動性的普適計算,能跨越物理空間和自址聯網,我們希望下一代互聯網是安全、可信、可用的,下一代互聯網應該是可信的互聯網,是移動的互聯網,能支持物 聯王的互聯網和支持泛載網絡應用的互聯網。

  我們現在面臨地址的不足,IPv6不得不選擇,數量多到地球上每一粒沙子都可以有一個地址,IPv6還可以采用IPsig,使得IP包通信加密的好處,所以IPv6可以支持IP層可跟蹤性和加密層的協議應用,但IPSIG(音)的應用也使我們的內容過濾,監管帶來困難,而且IPv6的使用不是一天一夜之間就從IPv4轉到IPv6,需要很長時間的兼容共存,有各種各樣互通方式,翻譯的,雙站的,隧道的,每一種互通的問題都給信息安全帶來了新的課題和新的挑戰。即使用了IPSIG也不見得IPv6就解決問題了。IPv6的設想性是美好的,但端點的安全和協議的質量是大問題,早在IPv6之前就有過很多甚至比IPv6茂盛更安全的一些協議應用,都采用了加密的辦法,他們相對IPv6來講并不比IPv6差,但效果上仍然面臨安全的攻擊和挑戰。在有些使用了IPv6的場合已經有報告發生了安全事故,像智能電網,美國聯邦航空管理局的下一代空管系統。IPv6的設計是在十多年以前,發生在互聯網主要問題暴露之前。IPv6的設施目前還不如IPv4成熟,而且IPv6在利用具有連接共享的漫游PC作為無線通信時,IPv6還會帶來一些新的安全挑戰。當然我說的IPv6有一些安全問題,但它并不會比IPv4差,所以從這個意義上,由于中國沒有IPv4地址,因此過渡到IPv6是個必然的選擇。但IPv6的安全問題仍然需要加以特別重視。

  DNS是我們上網所必須要遇到的,但DNS本身仍然存在著可能很多安全漏洞,服務器數據受到病毒破壞,而用戶不可能知道DNS的應答來源和數據是不是正確的。在DNS上注冊獲取他們IP地址反向映射,使用戶進入他們假冒的網站,帶來DNS安全性的漏洞,所以對DNS來講現在都提倡要使用DNSsec,這是域名系統安全協議,它的目標對DNS進行數字簽名,提供信息的完整性,會使用到加密的算法。當然DNSsec也會帶來一些安全挑戰,因為簽發目前是由目錄服務管理實體來進行的,根區域目前還在美國ICAN來管理,所有到CN的域名解釋和安全域名認證不掌握在我們手上。如果一個私鑰被破壞了,目前沒有能力它是不是錯誤的密鑰,也是值得我們安全領域專家來研究的問題,互聯網未來的發展。

  互聯網要支持多種多樣的業務,有分組交換、鏈路交換、多媒體,而物理層是個統一的設備,我們現在采用分片的、虛擬化的、可編程的方式,使物理層按照不同的業務需求,邏輯上分為不同的區域,物理層上是一個網絡,邏輯上根據業務不同組成了不同網絡,通過這種方式實現網絡虛擬化,可以共享物理網的設施,但邏輯上是隔離的,是多個異構的虛擬網能共存在一個基礎設施上。這是下一代互聯網的基礎,現在大家都在談論下一代互聯網,下一代互聯網有兩條路線,一條是演進型的路線,基本在現有網絡做一個大的改進,但是保持后向兼容,已經提出了一些身份和位置分離、命名數據網、內容中心網。另一條路線是希望重新設計一個互聯網,和原有互聯網不兼容,也提出一些技術方案,剛才提到的分片虛擬化可編程。兩條路線的差別是要不要和互聯網兼容,兩條路線也不完全對立,也是互相競爭可以互相借鑒的。這里提到的兩條路線的技術也是可以互相利用的。

  當然,后IP本身是革命性路線的一種,但絕不是全部,究竟革命性路線和演進型路線哪一條和互聯網更快更近,我們希望下一代互聯網是安全、可信的、移動的,可擴展的,可管理的,剛才說到要支持我們分片虛擬可編程,現在比較熱的一個詞是軟件定義網SDN,具有節點控制功能,業務控制功能,是和在一起的,傳統路由器根據IP地址移居最簡單的優先路徑算法來算,不考慮全局的優化,但是現在隨著大數據的出現,我們可以知道互聯網流量突發性在時間、空間上都有很多不確定性,因此,一個剛性的路由網絡它很難支持未來互聯網的發展,所以現在提出軟件定義網,把傳統路由器的節點控制功能脫出來變成一個網絡合成操作系統,把應用控制功能抽上來,應用層變成比較純的傳送與轉發功能,通過網絡操作系統的集中控制,我們可以根據業務需要和流量突發情況來這個路由器,實現全網優化,這種方式叫軟件定義網,它能適應大數據時代的是否數據流量動態性。

  但網絡控制系統和網絡控制器會成為將來信息安全被攻擊的首要目標,因此需要把原來防護路由器本身的安全現在要提升到網絡安全系統和網絡控制器,要加強它的安全功能。另外,過去我們都說什么東西都要在IP 層做交換,實際上隨著網絡容量越來越大,IP每個端口要達到1000W,光層面上做,同樣容量,每個端口只需要25W,而且干線網上,新節點上,80%—90%的業務流并不需要落地,因此并不都需要在IP層上交換。因此,能在光層上做的交換決不在電層上講,能在LBS層上做也不在IP層上做,通過這樣的方式實現綠色化的通信網絡。這樣的變化業帶來安全挑戰。與路由器相比,光層不容易受攻擊,但光層和電層交換需要引進信令,信令系統也就會帶來新的安全問題。在移動互聯網應用時,當我們從一個端走到另一端位置變了,身份沒有變,因此,未來的互聯網我們希望分離身份與位置,位置在網絡層的表示,身份在傳送層來表示,甚至在應用層來表示。這樣的好處可以避免我們通過衛士找到身份,或者通過身份能找到我們的位置,這就介紹了根據位置竊取身份的風險。但這對用戶的追隨和對網絡安全的溯源難度也加大了,壞人不容易找到你,你也不容易找到壞人了。

  過去我們國家有三大直連節點北京、上海之廣州,同一個省里電信和聯通用戶互通甚至要到北京來互通,所以對通信來講,用戶的感覺并不好,所以工信部現在提出來,要增加我們國家骨干網的互聯直通結點,從3個擴大到8個,骨干網布局的多中心會改進跨網的互通性能,也分散了交換中心被攻擊的風險,從這個意義上說,對信息網絡安全是有好處的。

  隨著大數據發展,驅動網絡扁平化,省與省之間的網基本是直連,對網絡的安全也是有好處的,增加了迂回路由。城域網的體系也發生了變化,早年我們都在講大終端到大主機,很長一段時間很時髦的是客戶服務器,所有客戶都到服務器上取東西,一個熱門的節目所有客戶都在服務器上取,服務器需要連續不斷重復發送很多次,服務器的端口就是個瓶頸,因此,隨著終端能力提高,我們就就出現P2P,各自終端只需要取各自內容很小一部分就可以交換。這個體系也用了很長一段時間,現在我們可能需要換到服務器到服務器的體系,大數據時代,數據存儲在大量幾何分布的各類服務器之中,用戶一個搜索請求、查詢可能涉及到多個服務器,服務器之間的信息交換遠多于客戶到服務器之間的信息交換。

  最近五年,我們國家節路網的貸款流量增長了6倍,而城域網流量增長了22倍,這足以說明我們城域網服務器與服務其之間的流量交換大大上升,網絡體系需要從客戶到服務器,以及P2P的體系過渡到S2S,實際S2S也是C2C,是客戶到云的關系。因此,把過去一般的信息安全現在上升到云計算的安全里來考慮。隨著視頻業務的發展,ICP供應商加大了內容分布力度,節點盡可能靠近用戶,用戶通過DNS查閱,DNS根據用戶的IP地址判斷用戶所希望哪一個網站,哪一個服務器來給用戶提供信息,通過這樣的方式,用戶可以在靠近的服務器里取到他所需要的網站信息。當然對于非視頻節目,我們還可以通過內容與流量管理平臺來優化。CDN出現帶來了安全的好處,當出現某一個網站站點不可用的時候,傳統沒用CDN情況下,這個用戶訪問就分發不了,在CDN上,網民訪問請求可以被CDN指定健康網絡系統響應,不會造成服務的終端。CDN對相當多我們的數據都進行了實時悲憤,增加了內容提供方的內容安全信息,所以內容分配網對信息安全是有好處的。

  現在我們在談信源中心與數據中心的分離。新建的數據中心里,2015年57%的可能都是云數據中心,也說到2014年全球數據中心處理能力一般都放到云計算上了,而云計算我們希望能放在能源供應和氣候條件比較好的地方,在我們國家基本是西北或西南一些地方,而這些地方過去并不是信息中心的所在地,我們信源中心過去基本集中在東部,現在云計算的出現會使我們的網絡布局從用戶以信源為中心向能源為中心的轉變,云會改變互聯網的流量和流向。

  云計算能力的分布化、虛擬化、服務化是云計算的技術基礎,但安全性、方便性是云計算廣泛應用的制約因素,云計算平臺成為攻擊的集中目標,而且云計算平臺一旦出現故障會使大規模的服務癱瘓,所以我們也要印證虛擬機的方法隔離在云里多種客戶之間的身份,還有加密和密鑰管理等等。現在都在談論大數據,大數據挖掘也有很多安全性的問題,究竟誰在運行特定的大數據請求,運行大數據請求的人,他們通常都在大數據里用Mapledus(音),哪些在這里面工作,這些工作是不是揭露數據所個程序所列的內容,有沒有超出允許的容限,有沒有操作異常的文件數,這都涉及大數據管理文化。既要保證數據在允許范圍內開放共享,也要保護企業和個人的隱私。移動通信也發生了變化,過去移動通信話音過去走電路交換,現在走到全IP過去移動話音相對是比較安全的,可是在未來純IP移動網了,移動話音也會容易遭到信息安全的威脅。移動網過去我們是多等級的,經過基站控制器到網關,現在為了提高速率我們簡化了,從增強型基站直接到交換核心EPC,當然帶來了簡化的層次,但也帶來了安全危險。過去需要四步才能走到網絡上,現在一步就走到網絡上了,所以對網絡的安全防護要求也比過去高了。當然,現在的移動網絡和各種各樣的協作通信,異構網絡等方式對我們整個移動通信都帶來了多種移動安全的挑戰。

  移動網絡體系,我們知道本地操作系統經過各種內核,Web運行環境,瀏覽器框架,通過網絡和云平臺,走到Web的應用,有重應用、輕應用等等,這里面涉及到的環節非常多,每一個環節都可能帶來網絡和信息安全問題。移動互聯網的安全,我們實際上是包括從最左邊的認證,身份的識別,接入控制到網絡安全,到攻擊防護,到數據保護,到應用的安全,以及管理安全,也涉及到多個環節。移動互聯網的安全問題,甚至比桌面互聯網更嚴重。因為移動互聯網的操作系統現在還是多元的,對我們國家來說,我們的操作系統應該說現在還都不能實現自主可控,移動針對智能手機的病毒1/3是木馬,現在有5萬多種,移動終端的設備多樣性比桌面多得多,管理起來比較難,移動終端是小型的,功耗也不大,因此它沒辦法像PC那樣內置功能完善的防病毒軟件。

  移動操作系統盡管像Andriod本身已經考慮了多種安全因素,用簽名系統強制用戶應用來確認身份,但它的證書并不是Google所要求的,黑客仍然可以無需發放Google的證明。所以技術上采取措施以外,在使用習慣上也要進行很多改進,要著手移動應用嘗試超越許可的運行,在接入控制時,我們現在移動操作系統往往點桌面上的圖表,并沒有輸入它真正的網址,而這個圖標里對應的網址也可能被篡改了,所以在接入的時候最好還是使用ID和資源接入許可,每個應用都應該以它創作的身份簽名,加密密碼數據,防止終端丟了之后數據失竊。每個應用都應該維持在他自己的虛擬機里。

現在很多年輕人喜歡使用社交媒體,在美國77%的雇員在上班時間使用社交網絡,33%的美國公司通過社交網絡被一些病毒所感染,2/3的人上班用社交網絡,1/3的公司已經通過社交網絡被感染了,物聯網也是現在熱門的一個話題,物聯網的節點是可能被假冒,節點的數據可能被篡改,物聯網節點入網的時候需要認證和加密,但功能的限制我們不可能采取傳統的加密方法,只能采取能效的保護方法,加密和密鑰的傳遞都需要安全的機制。物聯網的數據決策分析數據本身也需要防止非法入侵的能力。帶無線接口的醫療設備,現在物聯網用到醫療設備上,這時候醫療設備也會面臨和手機、筆記本一樣的受到網絡攻擊,容易被黑客攻擊的醫療設備,比如心臟起搏器等,這會影響人的生命。

  企業網的安全值得重視。2012年農業和其他領域受到信息安全攻擊占到工業部門的10%,美國國土電力系統的Syber報告從2009年的3起到2011年5起。美國2012年4月,黑客入侵智能電表并修改電表數據。

  隨著互聯網應用越來越深入,特別是智能終端多樣性、私密性,信息安全的挑戰與日俱增,安全與發展相伴,互聯網的發展給信息安全提出了很多新命題,而信息安全的技術進展又開拓了新的應用,信息安全的攻防總是魔高一尺,道高一丈,永遠沒有止境,只有創新是永恒的解決方法。

 

[政府部門] 工業和信息化部 | 中華人民共和國國家互聯網信息辦公室 | 國務院新聞辦公室 | 科學技術部 | 商務部 | 文化和旅游部 | 公安部 | 民政部 | [更多]

[相關機構] 中國信息通信研究院 | 中國科學院 | 中國工程院 | 中國科學技術協會 | 政務和公益機構域名注冊管理中心 | 中國互聯網絡信息中心 | 工業和信息化部信息中心 |             國家計算機網絡應急技術處理協調中心 | 12321舉報中心 |

[國際組織] ITU | ICANN | ISOC | IETF | APNIC | IEEE | CERT | IGF | SPAMHAUS |

福建31选7走势图连线 推牌九游戏单机下载 球探足球比分手机版 牛牛游戏客户端下载 棋牌现金二八杠官网 时时彩后一5码稳赚 发展联盟赚钱 无错六肖王财神 越南河内时时彩开奖结果 pk10测试软件下载 11选5稳赚不亏技巧