我國信息安全的挑戰(zhàn)和應(yīng)對探討陶月馨 劉 君【內(nèi)容摘要】 目前使用的互聯(lián)網(wǎng)域名根服務(wù)器13臺都在國外，關(guān)斷后我們國家的互連網(wǎng)（指目前應(yīng)用的IPV4系統(tǒng)）將癱瘓。IPv6建設(shè)不僅是一個解決IP 地址的問

我國信息安全的挑戰(zhàn)和應(yīng)對探討

陶月馨 劉 君

【內(nèi)容摘要】 目前使用的互聯(lián)網(wǎng)域名根服務(wù)器13臺都在國外，關(guān)斷后我們國家的互連網(wǎng)（指目前應(yīng)用的IPV4系統(tǒng)）將癱瘓。IPv6建設(shè)不僅是一個解決IP 地址的問題，而是爭取更多的話語權(quán)和控制權(quán)；由外國風(fēng)投支持或建立的在中國的互聯(lián)網(wǎng)公司很多。國家應(yīng)當(dāng)有密切關(guān)注互聯(lián)網(wǎng)和其它信息安全的機(jī)構(gòu)，而且要全方位的關(guān)注，尤其是像重點(diǎn)新聞網(wǎng)站和百度、騰訊等商業(yè)網(wǎng)站；面對Chrome 測試版，并很快占得1的全球份額，微軟的IE 占72，火狐貍瀏覽器約占19。中國一定要動用國家的力量，在百度掌握漢語搜索資源的前提下，開發(fā)出世界一流的瀏覽器。另外，在內(nèi)容、硬件、服務(wù)和黑客問題上，中國也要主動出擊，贏得先機(jī)。

【關(guān)鍵詞】 信息安全 互聯(lián)網(wǎng) 微軟 軟件 網(wǎng)絡(luò)安全

Abstract: The use of the Internet's root domain name servers in 13 foreign countries, the customs of our country fractured Internet (refer to the application of the current system, IPV4) will be paralyzed. IPv6 is not only a solution to the IP address, but for more voice and control; by the winds of foreign investment or to support the establishment of the Internet in China, many companies. States should pay close attention to the Internet and other information security agencies, but also a full range of concerns, particularly as the focus of news websites and Baidu, Tencent, and other commercial sites; Chrome face of the beta, and will soon have to account for 1 of the global share Microsoft's IE accounted for 72, the Firefox browser accounts for about 19. China must use the power of the country, in the hands of Chinese Baidu search on the premise of resources, to develop a world-class browser. In addition, in terms of content, hardware, services and hackers, the Chinese have to take the initiative and the opportunity to win.

Key words: information security, Internet, Microsoft, software, network security

胡錦濤主席在十七大報告中說：“對外開放日益擴(kuò)大，同時面臨的國際競爭日益激烈，發(fā)達(dá)國家在經(jīng)濟(jì)科技上占的壓力長期存在，可以預(yù)見和難以預(yù)見的風(fēng)險增多，統(tǒng)籌國內(nèi)發(fā)展和對外開放要求更高?！痹诰W(wǎng)絡(luò)安全方面，這句話也同樣適合。要做好網(wǎng)絡(luò)媒體的工作，就要明白我們所面臨的危險，努力想出解決的方案或辦法。

1、域名根服務(wù)器的威脅

現(xiàn)實(shí)：目前使用的互聯(lián)網(wǎng)域名根服務(wù)器13臺都在國外，主要在美國，瑞典、英國倫敦和日本東京也各有一個。這些服務(wù)器控制著所有域名的主要數(shù)據(jù)庫，關(guān)斷后我們國家的互連網(wǎng)（指目前應(yīng)用的IPV4系統(tǒng)）將癱瘓。05年美國宣布對這13個服務(wù)器永久監(jiān)控。后來，世界其它國家的反響強(qiáng)烈，美國政府態(tài)度松動。cn 域名是位于我國的鏡像域名根服務(wù)器，不能徹底避免被監(jiān)控。另一個問題是，中國工程院副院長、互聯(lián)網(wǎng)基礎(chǔ)網(wǎng)絡(luò)研究專家鄔賀銓透露：“到去年年底，中國的網(wǎng)民占全球的16，但是所分配到的地址還不到全球的6。到2010年，可能就剩下一點(diǎn)地址沒分，也就是說，IP 地址將于2014年用完。”

應(yīng)對：低級應(yīng)對，由聯(lián)合國來掌管互聯(lián)網(wǎng)頂級服務(wù)器。同時，加強(qiáng)網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)（一個Internet 工程任務(wù)組——Internet Engineering Task Force，IETF 的標(biāo)準(zhǔn)），用于允許專用網(wǎng)絡(luò)上的多臺 PC (使用專用地址段，例如 10.0.x.x、192.168.x.x 、172.x.x.x) 共享單個、全局路由的 IPv4 地址。IPv4 地址日益不足是經(jīng)常部署 NAT 的一個主要原因。Windows XP 和Windows Me 中的“Internet 連接共享”及許多Internet 網(wǎng)關(guān)設(shè)備都使用 NAT ，尤其是在通過DSL 或電纜調(diào)制解調(diào)器連接寬帶網(wǎng)的情況下。

除了減少所需的 IPv4 地址外，由于專用網(wǎng)絡(luò)之外的所有主機(jī)都通過一個共享的 IP 地址來監(jiān)控通信，因此 NAT 還為專用網(wǎng)絡(luò)提供了一個隱匿層。NAT 與防火墻或代理服務(wù)器不同，但它確實(shí)有利于安全。

NAT 對于解決 IPv4 地址耗費(fèi)問題 (在 IPv6 部署中卻沒必要) 盡管很有效，但畢竟屬于臨時性的解決方案。這種 IPv4 地址占用問題在亞洲及世界其他一些地方已比較嚴(yán)重，且日漸成為北美地區(qū)需要關(guān)注的問題。這就是人們?yōu)槭裁撮L久以來一直關(guān)注使用 IPv6 來克服這個問題的原因所在。另外，從國家信息化戰(zhàn)略角度來看，這是一個事關(guān)全局的戰(zhàn)略性基礎(chǔ)服務(wù)，域名根服務(wù)器乃國之利器，不可假手外人。

高級應(yīng)對是發(fā)展IPV6，或IPV9。中國互聯(lián)網(wǎng)絡(luò)信息中心(CNNIC)主任毛偉介紹說，應(yīng)用IPv6建設(shè)下一代互聯(lián)網(wǎng)乃是大勢所趨，主動抓住這個機(jī)會，我國就能在下一代互聯(lián)網(wǎng)中占有更重要的地位，爭取更多的話語權(quán)和控制權(quán)。

早在2004年7月就在人民日報（及其海外版）刊登了這樣一條消息：“由中國互聯(lián)網(wǎng)絡(luò)信息中心(CNNIC)承擔(dān)的中科院知識創(chuàng)新工程重要課題‘基于IPv6域名根服務(wù)器研究’，日前通過專家組鑒定和驗收。此項成果標(biāo)志著我國已經(jīng)掌握了自主建立、運(yùn)行、維護(hù)和保障下一代互聯(lián)網(wǎng)域名根服務(wù)器的關(guān)鍵技術(shù)，這將為我國在下一步規(guī)模化部署IPv6網(wǎng)絡(luò)提供基礎(chǔ)名字服務(wù)提供有力的技術(shù)支撐?！盜PV6已經(jīng)實(shí)現(xiàn)了基于網(wǎng)絡(luò)層的認(rèn)證和加密的處理，叫IPSEC 。有兩個考慮，一個叫封裝安全載荷，一個叫認(rèn)證包頭，就可以實(shí)現(xiàn)一定的安全性?，F(xiàn)在基于IP 運(yùn)營層的都建立在IPSec 協(xié)議上，為了過渡，在IPV4也可以跑IPSec 的協(xié)議。

作為IPV6主要的標(biāo)準(zhǔn)組件，IPSec 的協(xié)議本身有幾個不足，第一個不足就是這個協(xié)議僅僅跑在網(wǎng)絡(luò)層上，對應(yīng)用層的安全需求不能實(shí)現(xiàn)。第二個不足是這兩個協(xié)議的處理會影響現(xiàn)有網(wǎng)絡(luò)安全協(xié)議的實(shí)施。比如像AH 檢測、防火墻過濾，如果要加上IPV6包頭的話，原來的入侵檢測不知道原目的地址，這樣掃描就不能很好實(shí)現(xiàn)。下一步為網(wǎng)絡(luò)安全設(shè)備的制造商提出了一個新的挑戰(zhàn)。

從1995年開始，IETF 著手研究制定了一套用于保護(hù)IP 通信的IP 安全（IP Security，IPSec ）協(xié)議。IPSec 是IPv6的一個組成部分，也是IPv4的一個可選擴(kuò)展協(xié)議。IPSec 提供了兩種安全機(jī)制：認(rèn)證和加密。認(rèn)證機(jī)制使IP 通信的數(shù)據(jù)接收方能夠確認(rèn)數(shù)據(jù)發(fā)送方的真實(shí)身份以及數(shù)據(jù)在傳輸過程中是否遭到改動。加密機(jī)制通過對數(shù)據(jù)進(jìn)行編碼來保證數(shù)據(jù)的機(jī)密性，以防數(shù)據(jù)在傳輸過程中被他人截獲而失密。IPSec 的認(rèn)證包頭（Authentication Header ，AH ）協(xié)議定義了認(rèn)證的應(yīng)用方法，封裝安全負(fù)載（Encapsulating Security Payload ，ESP ）協(xié)議定義了加密和可選認(rèn)證的應(yīng)用方法。在實(shí)際進(jìn)行IP 通信時，可以根據(jù)安全需求同時使用這兩種協(xié)議或選擇使用其中的一種。AH 和ESP 都可以提供認(rèn)證服務(wù)，不過，AH 提供的認(rèn)證服務(wù)要強(qiáng)于ESP 。

浙江大學(xué)參與研發(fā)IPv9的平玲娣教授講，“IPv6可以為地球上的每一個人提供一個獨(dú)立的IP 地址，而IPv9則使一個人的每一個器官都有一個IP 地址?！盜Pv9協(xié)議創(chuàng)立者、十進(jìn)制網(wǎng)絡(luò)技術(shù)標(biāo)準(zhǔn)工作組組長謝建平則認(rèn)為，“IPv6效率特別低，其設(shè)計地址理論容量為30年。沒有地理位置的標(biāo)識，其安全保密算法均控制在IPv6設(shè)計者手中?！辈贿^，以中國科學(xué)院計算機(jī)網(wǎng)絡(luò)信息中心首席科學(xué)家錢華林研究員為代表的許多專家，并不認(rèn)可IPv9，一方面認(rèn)為IPv9過于超前，另一方面說它不夠兼容（只能兼容別人，別人兼容不了它）。

2、國外資本和國外大公司的威脅

現(xiàn)實(shí)：中國的許多互聯(lián)網(wǎng)公司的股票都是掌握在外國公司手里。由外國風(fēng)投支持或建立的在中國的互聯(lián)網(wǎng)公司更多。這給在經(jīng)濟(jì)、生活和軍事領(lǐng)域大規(guī)模信息化的中國投下陰影。例如：微軟收購雅虎，雖然因微軟撤回收購而暫停，給了我們把阿里巴巴獨(dú)立運(yùn)作的機(jī)會。阿里巴巴是我國大量企業(yè)交易的平臺，如果被微軟這樣的公司控制，數(shù)據(jù)的安全很難保證，這會波及到我國的經(jīng)濟(jì)安全和金融安全。TD 是我國的3G 標(biāo)準(zhǔn)，我國五大芯片商之一的凱明卻在3G 實(shí)用后，在黎明到來時因資金（諾基亞、德州儀器和LG 等控股）倒閉。外資是否在故意打壓中國的標(biāo)準(zhǔn)？客觀上是。國外一直在唱衰我們自己的標(biāo)準(zhǔn)。一個觀點(diǎn)是中國的3g 標(biāo)準(zhǔn)將“安樂死”。

應(yīng)對：即使微軟不收購雅虎，雅虎也可能被其它公司收購，這樣雅虎和阿里巴巴之間互不干涉管理的默契將不存在。如果被類似默多克掌控的新聞集團(tuán)收購，會間接威脅到我國的政治安全。因此，國家拆資收回被雅虎控制的近40的股票，盡快出臺操作性強(qiáng)的反壟斷法都是非常必要的。同時，凱明6年發(fā)展的139個IP(專利) 。國家應(yīng)該出來收購這個成果。中移動總裁王建宙支持TD 的言論希望能付諸實(shí)現(xiàn)。另外，國家應(yīng)當(dāng)有密切關(guān)注互聯(lián)網(wǎng)和其它信息安全的機(jī)構(gòu)，而且要全方位的關(guān)注，尤其是像重點(diǎn)新聞網(wǎng)站和百度、騰訊等商業(yè)網(wǎng)站。

3、軟件業(yè)中微軟等公司的威脅

現(xiàn)實(shí)：憑借其操作系統(tǒng)，不僅贏得了大量利潤，還控制了地球上絕大部分電腦的基礎(chǔ)平臺。這些軟件哪里有漏洞可以被攻擊，哪里有“后門”能拿到數(shù)據(jù)，微軟最清楚了，微軟可能還會收購別的互聯(lián)網(wǎng)公司，來強(qiáng)化這種優(yōu)勢，最近微軟在中關(guān)村買了地，進(jìn)駐了中國的“硅谷”。不僅微軟，黑客也掌握了部分系統(tǒng)的漏洞。尤其是微軟已經(jīng)放棄了windows97、windows98 windows2000 windows2003的維護(hù)，近期還要放棄windowsXP 的維護(hù)，我國幾乎100的機(jī)子都裝這些被廢止或?qū)⒁粡U止的操作系統(tǒng)。更新要花大量的錢，不更新就面臨更多威脅。微軟在近日爆出有史以來最大的安全漏洞，通過該漏洞，攻擊者可以將木馬藏于圖片中，網(wǎng)民查看這些圖片就會中招! 另外，微軟OOXML 標(biāo)準(zhǔn)在3月底的國際標(biāo)準(zhǔn)組織最新一輪投票中獲得了75的支持率，中方、印度和俄羅斯都投了反對票，但微軟標(biāo)準(zhǔn)依舊順理成章成為國際標(biāo)準(zhǔn)，中國方面此前提交的UOF 文檔標(biāo)準(zhǔn)則徹底遭受失敗。另外，2008年9月2日谷歌公司發(fā)布網(wǎng)絡(luò)瀏覽器Chrome 測試版，并很快占得1 的全球份額。目前，根據(jù)互聯(lián)網(wǎng)分析機(jī)構(gòu)“網(wǎng)絡(luò)應(yīng)用”的統(tǒng)計數(shù)據(jù)，在目前網(wǎng)絡(luò)瀏覽器市場上，微軟的ＩＥ占絕對統(tǒng)治地位，市場份額約占72。而非贏利組織Mozilla 基金會的火狐貍瀏覽器約占19份額。9月10日，奇虎360將其公測了4個多月的360安全瀏覽器升級到1.2正式版，加入到與微軟和谷歌的瀏覽器之爭。但沒有人關(guān)注，還要靠奇虎CEO 周鴻祎驚人表態(tài)：《谷歌剛發(fā)布的Chrome 瀏覽器背后很可能隱藏著一個巨大“陽謀”》。在這篇文章中捎帶提到自己的瀏覽器，真是悲哀。另外還有周博通RSS 、世界之窗、遨游等和百度瀏覽器。

應(yīng)對：開發(fā)新系統(tǒng)，但最好能兼容這些系統(tǒng)，尤其是Linux 是一套免費(fèi)使用和自由傳播的類 Unix 操作系統(tǒng)，它主要用于基于 Intel x86 系列 CPU 的計算機(jī)上。許多業(yè)余選手都貢獻(xiàn)了自己的才智，如國我國動用國家力量，在此基礎(chǔ)上開發(fā)出更好的操作系統(tǒng)，不僅有安全價值，還有巨大的商業(yè)價值。尤其是，我國瀏覽器已經(jīng)起步，我國的軟件人才是一流的，而一流的軟件人才幾乎都在國外或國內(nèi)的跨國公司中，為外國做研發(fā)。一定要動用國家的力量，在百度掌握漢語搜索資源的前提下，開發(fā)出世界一流的瀏覽器。我國的倪光南院士一直呼吁對微軟說不。但要有資格說不。最近，歐洲就給微軟開出了8.99億歐元的罰單，而我們的反壟斷法出臺后還面臨諸多配套法律的空缺。對微軟的起訴也遲遲沒有開始，倒讓微軟利用番茄花園開刀，以及讓中國學(xué)生用免費(fèi)的windows2003、降價到微軟199元的Office 2007而占得先機(jī)。對付微軟，中國應(yīng)當(dāng)早些行動。同時，倪光南認(rèn)為，我們必須堅定不移地推進(jìn)

UOF 標(biāo)準(zhǔn)，帶動中國的辦公軟件、操作系統(tǒng)、CPU 等核心技術(shù)和產(chǎn)業(yè)的發(fā)展。中國可以仿效丹麥、荷蘭等國在公共信息系統(tǒng)中強(qiáng)制采用開放標(biāo)準(zhǔn)的做法，要求采用開放的國家標(biāo)準(zhǔn)UOF 。

4、內(nèi)容、硬件、服務(wù)和黑客的威脅

內(nèi)容上的威脅其實(shí)是最小的：

現(xiàn)實(shí)：我國的新浪、搜狐、百度、騰訊、阿里巴巴等公司，能把國外的同行趕出中國，為我國內(nèi)容安全立下汗馬功勞。否則，后果不堪設(shè)想。

應(yīng)對：密切關(guān)注facebook 、myspace 等新興公司的動態(tài)，扶植我國的校內(nèi)網(wǎng)，來繼續(xù)打敗他們對中國互聯(lián)網(wǎng)的入侵；關(guān)注google 對百度的挑戰(zhàn)，關(guān)注ebay 對阿里巴巴和淘寶網(wǎng)的挑戰(zhàn)。關(guān)注外國寫手或雇傭?qū)懯掷梦覈嗣竦拿褡迩榫w和愛國熱情，關(guān)注我國翻譯人員對國家安全意識的培養(yǎng)，不要把外國的文章，照抄照搬。

硬件是被忽視的領(lǐng)域：

現(xiàn)實(shí)： Intel和AMD 是目前的壟斷芯片，所有的數(shù)據(jù)都要通過它來處理，不管你用哪個操作系統(tǒng)，這里面有什么漏洞，只有個別人知道。還有各種存儲器（內(nèi)存、硬盤等），幾乎所有的硬件都有外國的痕跡。還有，越來越重要的，越來越是媒體的手機(jī)，國產(chǎn)手機(jī)廠家卻全線潰敗了。而我國一流的硬件科學(xué)家許多也在為外國和駐中國的跨國公司服務(wù)。當(dāng)美國開出大量綠卡專門給中國和印度的工程師的時候，我們卻沒有給他們漲多少工資。

應(yīng)對：國家直接投資，同時支持民營公司。高薪召回我國的工程師，聘請印度乃至美國和歐洲國家的工程師。

服務(wù)上的威脅是現(xiàn)實(shí)的：

現(xiàn)實(shí)：國際信息技術(shù)與創(chuàng)新基金會(ITIF)發(fā)布全球?qū)拵蟾?，報告列出了?0名，其中，韓國高居第一，寬帶普及率達(dá)到93，速度達(dá)到49.5Mbps 。日本排第二，普及率55，速度在全球居第一，達(dá)到63.6mbps 。芬蘭排第三，美國排第15。中國未上榜。中國電信和中國網(wǎng)通之間的帶寬瓶頸導(dǎo)致的用戶投訴占到了90。還有報道：發(fā)達(dá)國家互聯(lián)網(wǎng)使用價格不到其收入水平的1，而我國的比例超過10，是發(fā)達(dá)國家的10倍?？梢娝惺艿呢?fù)擔(dān)之重。

應(yīng)對：投資成立大的研究院，各種類別的研究院。讓這些研究院獨(dú)立，比中移動等壟斷公司的待遇要高，可以把中移動的利潤拿來做研發(fā)。同時，國家強(qiáng)力降低價格。這個讓利，不僅有利于我國網(wǎng)民數(shù)的擴(kuò)大，還有利于民族素質(zhì)的提高。許多人被擋在了網(wǎng)民之外，因為高的收費(fèi)。還有一個辦法就是采取競爭，如果能像新加坡那樣，小小的國家有數(shù)十家運(yùn)營商，就不必?fù)?dān)心價格降不下來。

黑客的威脅是最危險的：

現(xiàn)實(shí)：國外媒體近日評出了有史以來最危險的五大計算機(jī)黑客，他們年紀(jì)不大就成為罪犯并被捕。其中一些人從事黑客行為是為了賺錢，而另外一些則僅僅是出于興趣。凱文·米特尼克(Kevin Mitnick)、阿德里安·拉莫(Adrian Lamo) 、喬納森·詹姆斯(Jonathan James) 、羅伯特·塔潘-莫里斯(Robert Tappan Morris) 、凱文·鮑爾森(Kevin Poulsen) 這些人目前多是公司的骨干或大學(xué)的教授了。最近有出現(xiàn)了被美國軍方稱為“全球最危險黑客”的加里?麥金農(nóng)(Gary McKinnon)。2001年“911事件”后不久，他入侵了美國軍方的計算機(jī)系統(tǒng)。上網(wǎng)搜一下，你就可以看到各種“黑客”報價，諸如，一萬只“肉雞”叫賣1000元——大約每只“肉雞”0.1元。所謂“肉雞”，簡單解釋是指在互聯(lián)網(wǎng)上被黑客遠(yuǎn)程控制的電腦。被遠(yuǎn)程控制有的有如上面所描述的被完全監(jiān)控，打開攝像頭。而更多的是，長期潛伏。監(jiān)控用戶動作竊取一切有價值的東西，諸如密碼，虛擬財產(chǎn)，個人隱私等等。甚至，還有一些是被控制的計算機(jī)屬于僵尸網(wǎng)絡(luò)，通過攻擊網(wǎng)絡(luò)進(jìn)行敲詐。

應(yīng)對：德國聯(lián)邦內(nèi)閣會議4日通過了《聯(lián)邦刑事局防范國際恐怖主義危險法》草案，根據(jù)這一法律草案，德國情報機(jī)構(gòu)可以對嫌疑人的私人住宅進(jìn)行錄像監(jiān)控，并通過安裝間諜軟件對其個人電腦在線搜查。此外，情報機(jī)構(gòu)還有權(quán)對可疑人員采取訊問、傳訊、搜查、身份

確認(rèn)、存儲其個人信息、監(jiān)聽其個人通訊等調(diào)查手段。中國應(yīng)當(dāng)在法律上從嚴(yán)，在技術(shù)上考慮實(shí)行后臺實(shí)名制。隨著“殺毒軟件將死”的論斷被普遍認(rèn)可，全球信息安全廠商也紛紛開始“主動防御”的探索，雖然，國際上沒有純粹的主動防御產(chǎn)品，但是這是我們的方向。