摘要：互聯網安全正處于危機中。本文中，我們將為您提供四項切實可行的解決方案建議——包括一套自上而下的改變互聯網運作的全方位的計劃。

現如今，互聯網可以說是無處不在。從我們手中的各種移動設備到我們工作所使用的電腦的互聯，我們無時無刻不是生活和工作在其中的。但不幸的是，我們在線工作生活在安全保障方面并不充分。任何堅定的黑客都可以竊聽到我們說過什么，并通過模仿冒充我們，執行各種網絡惡意活動。

很顯然，我們對于互聯網的安全亟待需要進行反思了。而通過對全球通信平臺進行翻新改造，來加裝安全和隱私控制的確是不容易的，但卻很少有人會否認這是絕對必要的。

為什么要這樣做?是我們的互聯網建設得不好嗎?然而并不是，僅僅只是因為互聯網是專為一個烏托邦的世界而設計建造的，在這樣一個烏托邦的世界里面，您可以信任任何人。當互聯網的發展剛剛起步時，其往往被用學術界和研究人員等可信方之間進行的溝通，彼時，未實施很好的信任關系或者通信不安全并不重要。但到了今天，互聯網的安全已經很重要了，其會涉及到數據泄露，用戶身份被盜竊，以及其他一些網絡安全事故，并且已經達到了相當危機令人堪憂的地步了。

而企業組織為了應對當前的互聯網形勢、及網絡罪犯分子所帶來的各種挑戰，往往采取了一系列的企業網絡安全管理措施，但他們所采取的管理措施往往是各種不完全措施的拼湊和大雜燴，故而在實際運作中也不怎么奏效。企業組織所真正需要的是新型的、有效的信任和安全管理機制。

如下，是幾點或將有助于您企業組織打造一套安全有效的企業互聯網安全管理措施的建議。這些建議都不是一套完整的解決方案，但如果能夠在您所在的企業組織獲得充分的部署實施的話，相信每一條建議都可以讓您企業的互聯網變得更安全。

1、獲得對于流量路由的真正了解

國際互聯網協會(Internet Society，簡稱ISOC)，是一家國際性的非盈利性組織，該組織機構專注于互聯網標準、教育和政策，推出了一項名為MANRS的倡議(即，路由安全性的相互商定規范，Mutually Agreed Norms for Routing Security)。基于MANRS的倡議，網絡運營商會員——主要的互聯網服務提供商(ISP)們將致力于實現互聯網安全控制，以確保不正確的路由器信息不會通過其網絡進行傳播。該倡議是基于現有行業的最佳實踐方案，包括定義明確的路由策略、源地址驗證、并部署反欺騙過濾器。在工作中遵循一套“當前最佳操作實踐方法”文檔。

“每一家簽署了MANRS倡議的ISP都從自身的網絡方面大大減少了互聯網危險。”，Micro Focus公司安全戰略高級總監杰夫·韋伯表示說。

其網絡101：數據包必須到達其預定的目的地，而數據包是通過怎樣的路徑達到該預定目的地的也同樣十分重要。例如，如果加拿大的某個用戶正在試圖訪問Facebook，那么他或她的通信流量在到達Facebook的服務器之前，不應該經過中國。近日，一個IP地址屬于美國的海軍陸戰隊的流量被臨時改道通過了委內瑞拉的一家ISP。如果網站的流量沒有獲得HTTPS保護，這些在意想不到的任何路徑的繞道會將用戶活動的細節暴露給任何人。

網絡攻擊者還會借助簡單的路由技巧來隱藏他們原始的網絡IP地址。廣泛實施的用戶數據報協議(UDP)特別容易受到源地址欺騙，讓攻擊者發送似乎來自另一個IP地址的數據包。 分布式拒絕服務攻擊和其他惡意攻擊很難被發現追查到，因為攻擊者發送請求是采用的欺騙性的地址，并且轉至偽造的地址，而不是實際的起始地址，進行響應。

當網絡攻擊是針對基于UDP的服務器，如DNS、組播DNS(multicast DNS)、網絡時間協議、簡單服務器發現協議，或簡單網絡管理協議時，其影響將被放大。

許多ISP都沒有意識到不同的攻擊正在利用常見的路由問題。盡管一些路由問題可以被歸咎于人為操作錯誤，但其他的都是來自于直接的攻擊，而ISP們需要學習如何識別潛在問題，并采取措施進行解決。“互聯網服務供應商必須對它們的路由流量負擔起更多的責任。”韋伯說。“很多用戶都很容易受到網絡攻擊。”

當國際互聯網協會于2014年剛剛推出該項MANRS倡議時，有九家自愿參與該倡議計劃的網絡運營商;而到了現在，其會員數量已經超過40家了。而MANRS這一倡議想要有所作為的話，需要進一步擴大規模，以便可以影響市場。而那些因為怕麻煩決定不遵循該安全建議的互聯網服務供應商可能會發現他們會丟掉生意，因為客戶將與那些兼容MANRS倡議的互聯網服務供應商簽署合作協議。或者更小規模的ISP們可能面臨來自上游的較大型的供應商拒絕執行他們的流量的壓力， 除非他們能夠證明他們已經采取適當的安全措施。

如果MANRS能夠成為所有互聯網服務供應商和網絡運營商事實上的標準，那將是極好的。但分散的安全社區仍然不夠好。 “如果您要求每家企業組織都這樣做，這是永遠也不會發生的。”韋伯說。

2、加強數字證書的審核和監控

曾經，人們為了能夠借助SSL來解決這些問題，已經進行過了許多嘗試，其當然也保護了大多數的網絡通信。SSL能夠幫助確定一處網站是否是其所宣稱的網站，但是，如果有人采用欺騙手段獲得了證書頒發機構(CA)為一處網站頒發的數字證書，那么信任系統就會崩潰。

早在2011年，一名伊朗的網絡攻擊者攻破了荷蘭CA供應商DigiNotar的服務器和頒發的相關證書，包括那些谷歌，微軟和Facebook的證書。攻擊者能夠借助這些證書建立“中間人攻擊(man-in-the-middle attack)”和攔截網站的流量。這種網絡攻擊能夠獲得成功，是因為瀏覽器將來自DigiNotar的流量作為有效的流量，盡管事實上該網站已經由不同CA的簽名認證。

谷歌的證書透明度項目，是一款用于監控和審計SSL證書的一個開放的、公共的框架，是解決中間人攻擊問題的最新嘗試。

當一家CA頒發證書時，其將被記錄在公共證書日志上，任何人都可以查詢加密證據，以驗證一個特定的證書。服務器上的監視器定期檢查是否有可疑的證書，包括誤發的非法認證域和那些不尋常的證書擴展。

顯示器類似于信用報告服務，他們會就惡意證書的使用發出警報。審計人員確保日志是否正常工作，并驗證出現在日志中的特定證書。對于瀏覽器而言，在日志中沒有發現的證書是一個明確的信號，說明該網站是有問題的。

借助證書透明度項目，谷歌希望能夠解決錯誤頒發的認證證書、惡意收購認證，流氓CA和其他網絡威脅等問題。谷歌當然有其自有的技術，但他們必須說服用戶，這才是正確的做法。

基于DNS的命名實體身份驗證(DANE)是借助SSL解決中間人攻擊問題的另一項嘗試。DANE協議證實了成熟的技術解決方案并不會自動贏得用戶這一點。DANE牽制SSL會話到域名系統的安全層DNSSEC。

雖然DANE協議成功地阻止了中間人攻擊對于SSL和其他協議的攻擊，但其受到狀態監測的困擾。DANE依靠DNSSEC，而且由于政府機構通常擁有頂級的DNS域名，故而引發了對于是否信任聯邦當局運行安全層的關注。采用DANE意味著政府機構目前執掌了對于證書頒發機構的訪問權限——這使得用戶產生不安是可以理解的。

盡管有任何疑慮的用戶可能會對谷歌公司存在信任，但該公司的證書透明度項目已經向前邁進。而他們最近甚至推出了類似的服務，谷歌Submariner，其中列出了不再信任的證書頒發機構。

3、一勞永逸的解決惡意軟件問題

差不多大約十年前，哈佛大學的伯克曼互聯網與社會研究中心推出了StopBadware項目，這是一個與包括谷歌、Mozilla基金會和PayPal等高科技公司共同打造的實驗策略，希望能夠聯合共同打擊惡意軟件。

2010年，哈佛分拆該項目作為一個獨立的非營利項目。StopBadware提供對于惡意軟件的分析，包括惡意軟件和間諜軟件，提供信息刪除服務，并教育用戶如何防止反復網絡病毒感染。用戶和網站管理員可以通過查詢URL、IP地址和ASN，以及惡意URL報告。科技公司、獨立的安全研究人員和學術研究人員與StopBadware團隊合作，分享關于不同網絡安全威脅的數據。

運行一個非營利性項目的間接費用成本造成了大量損失，該項目被轉移到塔爾薩大學，交由Tyler Moore博士負責主持，助理教授負責網絡與信息安全保障。該項目還提供對于感染惡意軟件網站的獨立的測試和審查，并運行一個數據共享計劃，作出貢獻的公司將接收基于Web的惡意軟件的實時數據。該項目正在開發一款工具，來根據他們所經歷的網絡攻擊為網站的管理員提供更有針對性的建議。一款測試beta版的工具有望在今年秋天推出。

但是，即使一個項目成功解決了安全問題，但仍然要面對實際運作所需的業務資金的問題。

4、重塑互聯網

然后，有了一個關于互聯網應該被一個更好的，更安全的方案所替換的想法。

Doug Crockford目前是PayPal公司高級JavaScript架構師，JSON語句背后的重要推動之一，提出了Seif：這是一個開源項目，或將徹底改變互聯網的所有方面。他想重新打造傳輸協議，重新設計用戶界面，并拋棄密碼。總之，Crockford希望創建一個以安全為重點的應用程序平臺以傳遞互聯網。

Seif項目提出利用加密密鑰和IP地址更換DNS、TCP上的安全JSON替換HTTP、以及基于JavaScript的應用程序交付系統替換HTML、基于Node.js和Qt. CSS、及DOM也將在Seif中運行。而在JavaScript的這一部分，其將繼續成為建設更簡單的、更安全的Web應用程序的關鍵角色。

對于SSL對證書頒發機構的依賴，Crockford也有一個解決方案：采用一個基于公鑰加密方案的雙向認證方案。該方案的細節還不多，但這個想法取決于搜索和信任的組織的公共密鑰，而不是信任一個特定的CA正確地頒發證書。

Seif將基于ECC 521(Elyptic Curve Cryptography)、AES256(高級加密標準)和SHA(Secure Hash Algorithm)3-256具備密碼服務功能。ECC 521公共密鑰將提供唯一的標識符。

Seif將通過輔助應用程序部署在瀏覽器中，類似于在舊電視機上安裝機頂盒讓觀眾可以接收高清信號。一旦瀏覽器廠商集成了Seif，輔助應用程序就將沒有必要了。

Seif項目有很多有趣的元素，但其仍然處在初期階段。其節點的部署實現，將運行Seif的會話協議，目前正在開發中。即使我們尚不知道很多細節，但很明顯，這項雄心勃勃的計劃在被呈現給用戶之前還需要有挑大梁的大機構的支持。

例如，需要獲得一家主要的瀏覽器廠商的支持——比如Mozilla基金會，其將需要整合其輔助程序，同時還需要有一家主流的大型的網站要求所有用戶使用該瀏覽器。而由于競爭壓力，其他網站和瀏覽器才會跟隨，但問題在于：具備這種影響力的供應商是否會選擇Seif。

未來何去何從

而拋棄一切，重新開始幾乎是不可能的，所以唯一的選擇就是使現有網絡更難攻擊，韋伯說。不要試圖一次性就能解決所有的問題，應該從較小的修正開始，使其更難被特定的部分所濫用。

“當您的房子著火了，而您正在等待消防車前來救火時，您會盡您的所能進行搶救，而不是走開尋找新的房子，”韋伯說。

沒有人能夠控制整個互聯網，而更重要的是，其還有大量的內置冗余和彈性。互聯網的安全修復并不只是某一家實體的任務，其涉及到我們每個人，每家企業和每家政府機構多方利益。互聯網服務供應商應負責修復潛在的路由問題，但他們不是唯一對此負有責任的。而對于DNS問題，我們可以通過部署加密服務，并加強對于連接到服務的硬件設備的管理。

各國的政府機構一直在努力嘗試，特別是最近在試圖對于安全隱私保護方面進行著努力和嘗試。他們中的大多數都沒有太多的動作，因為他們太復雜或優先級別不夠高。但是立法的缺失并不意味著政府機構不應該參與進來。

“我們必須解決這一切，但其并不是任何一個人可以修復解決的。”韋伯說。“如果您盡力了，我也會盡力的。”

通過一個更加安全的互聯網的道路鋪上了很多偉大的想法，但卻都以失敗告終，或者由于人們缺乏興趣而逐漸消失。宏偉計劃聽起來總是有希望的，但如果他們沒有考慮到技術水平的限制，以及現實實際的部署成本的話，就不會走得很遠。困難的部分是爭取支持，獲得良好的發展勢頭，并為用戶帶來持續的安全承諾。

“如果有人能夠搞定網絡安全的話，我們都會感謝他的。”韋伯說。