中國互聯網協會理事長、中國下一代互聯網專家組組長鄔賀銓在2014中國未來網絡發展與創新論壇暨全球SDN開放網絡高峰會議演講時指出,安全問題是未來網絡的發展動力。傳統的互聯網是不管安全的,因為它就是個通道,安全是交給終端處理。未來的互聯網,希望能夠承擔起安全的責任。通常安全運行的前提是IP地址和物理地址之間有安全的綁定關系,但在網絡釣魚發生的時候,IP地址和主機就不對應了,黑客可以使用真實銀行的IP地址把你引到另外一個虛假的銀行網站里去。對此,中國提出的原地址印證方案可以識別主機與地址的關聯,在郵件接收的時候,也能比對端服務器的IP地址,通過數據來源的差異可以判斷郵件服務器的真實性。
鄔賀銓指出,現在互聯網大多數的控制功能都是后期加上去,而不是在網絡設計之初統一考慮的。這些逐步添加上去的控制,相互之間缺乏協調,很難有效搜集網絡的狀態,發現并定位網絡的異常。SDN(即軟件定義網絡)希望通過一種邏輯上集中的網絡管理和控制來改變。傳統的互聯網是分散的,每個路由器上面都有它的控制平面。SDN通過資源控制接口實現了控制,并把物理傳送資源獨立出來,變成一個網絡操作系統,這樣底層網絡路由器成為純粹的轉發功能。SDN既能解決一些安全問題,也會引入一些新的安全挑戰。SDN在安全方面的優點是通過對安全影響的隔離,能識別對安全敏感的業務并以安全的方式來分開,比如說專用協議和安全協議,這些處理能夠自動進行。而SDN的漏洞在于它可能侵犯隱私,因為有可能通過軟件對硬件功能的修改,就有可能產生誤配置。
鄔賀銓指出,應對網絡安全已經從被動防御進入到主動防御。現有互聯網假定用戶是自律的,用戶處在彼此信任的小規模封閉的網絡環境,因此并沒有類似相關的安全機制,也沒有考慮在開放環境下操作系統和應用的安全,因此出現了很多安全問題。拒絕服務攻擊就是DDOS,隨著寬帶化的發展,DDOS影響范圍越來越大,對于物聯網而言將帶來重大危機。現在提倡的是主動防御,也就是說在攻擊可能開始的所有階段,都要主動追蹤和控制。盡管防火墻和殺毒軟件可以防御木馬,但是一個新的互聯網安全問題剛剛出現時安全廠商是不可能馬上推出產品的,更何況受到攻擊的主機越多,對安全產品的需求也就越高,安全產品的價格也越高,因此安全產品投向市場一定會略有滯后。從這個意義上說,我們大量部署防火墻、殺毒軟件,并不見得是毫無漏洞,而且網絡越來越復雜,管理成本也很高。
下一代互聯網需要有訪問控制,TCP最早的握手協議要重新設計,SMTP也要重新設計,還有匿名轉發也要重新設計。IPv6是下一代網絡很難回避的一個步驟,也是一個應對地址空間不足的有效手段。但IPv6設計之初互聯網很多安全問題還未暴露,目前也不如IPv4成熟,還是有些缺陷,所以需要在節點設備里融入安全控制的能力,比如,通過業務流的特性來判別它是否正常,是否是垃圾郵件。
京公網安備 11010502049343號