IP协议及网络安全问题的战略思考

目前，有关IP安全性对策方面的重要进展值得一提。一是信息产业部正在制订"互联网IP地址管理办法"及建立"ICP/IP地址信息备案管理系统"。这对查处有害信息的快速定位、搜索非法网站及有效提高信息查询与安全性管理效率有重大意义。二是认定终端为安全重点及中间件的隔离作用是非常重要的。在终端芯片嵌入密码型安全子系统，对全部自主研发场合来说很容易处理，即以一个独立于每个系统的平台作为中间件，分别与系统及应用程序连接，以解决应用程序对系统层的访问及控制。当然，此时依然要解决好系统层接口的安全性问题，而这往往是个难题。三是为确保高级保密用户的安全，采取网络彻底隔离断开。在保证安全前提下，支持自动文件和应用数据的交换，这就是所谓网闸(GAP)的概念。众所周知，内/外网是采取物理隔离断开方式，人工文件可安全复制转移，这是手动实施的一种最简单原型。显然，如何实施网络断开以进行有效的文件交换，特别是各种应用数据的交换，是网闸技术的关键所在。总体来看，网闸技术包含三大要素，即网络隔离断开、模拟拷盘或单向传输工作机制及应用数据交换支持。由于网络断开即可消除黑客对网闸本身的入侵，使其无法从网闸外部主机侵入到内部主机，也不会从外网侵入内网，从而消除了基于通信连接的攻击和基于TCP/IP协议的攻击及漏洞扫描和入侵攻击。至于网闸对应用的支持，通常是通过对应用协议的剥离来获得应用数据。交换应用数据后，再对应用协议进行重建恢复。目前的网闸技术已可对大部分应用数据进行剥离与重建。当然，这些运作均要以资源消耗、高速运作及硬件补偿等为代价。三是国内两大防毒软件商--北京瑞星科技股份有限公司和北京金山软件有限公司宣布，正式加入思科公司所倡导的网络准入控制(NAC)计划，以研发集成化的安全解决方案，全面提高安全级别和防御威胁的能力。这是国内信息安全知名企业与国际领先技术有机合作与良性互动的新契机，将对中国信息安全事业起到巨大的推动和促进作用。NAC合作计划最早由思科公司于2003年11月提出，其主旨是授权合作伙伴公开技术信息，以支持合作伙伴开发和销售支持NAC网络基础设施的第三方服务器及客户端应用。NAC计划分三步实施。第一步，在2004年中期，思科的接入路由器和中档路由器已可支持NAC计划。第二步，NAC将扩展至多种思科产品，如交换机、无线接入设备和安全设备。第三步，将PC和服务器端点与网络的安全互操作能力扩展上升为自我防御能力。显然，专业信息安全厂商与硬件设备提供商进行深层次技术合作，既是企业用户的普遍安全需求，也是整个信息安全行业的重要发展趋势。思科、瑞星、金山等联手打造全局防御的信息网络安全体系，既有明显的现实价值，亦有重要的战略意义。

　　总起来说，IP安全性的进展实际上与上述ICA思想的安全保证是有所协同与汇聚的，比起防火墙等措施来已更上一层楼。因此，基于IP协议的安全计算问题应以科学求实、积极创新的原则而努力推进，决不能不求创新，甚至悲观失望。

　　(3)IPv6发展的冷思维

　　随着中国下一代互联网示范工程CGNI的启动及中国五大运营商全面加入IPv6规模部署阵营，并拟在2005年底建成世界上最大规模的IPv6网络，起到引领全球IPv6推广与应用的作用，IPv6热正在中国快速升温。诚如全球IPv6论坛主席Ladif Ladid所说："中国需要IPv6，IPv6更需要中国"。由此亦不难理解，IPv6为何在国内日渐升温，有些人甚至认为NGN就是IPv6，IPv6一上，NGN的所有问题基本上就都可以解决了!这种不适当的升温不利于IPv6在中国稳妥、健康的发展，并有碍中国引领全球IPv6的推广应用、成为真正IPv6大赢家这一宏伟目标的实现。因而，对IPv6进行理性思维，甚至冷思维，看来很有必要。

　　首先，应充分理解IPv6对IP协议的重大改进与战略价值。IPv6协议已约有十年历史。其在地址容量、安全性，QoS控制、地址资源管理的合理性方面均有较大幅度改进，包括对新一代全球移动业务的支持。尽管如此，亦不能说明它已十全十美，可全盘包揽、永世长存。从IPv4至IPv6的不兼容性即可看出其阶段性设计的局限性与巨大弊端。其实，应该说，地址匮乏是ICT业界对IPv6研究与建设应用的最主要驱动力，对其它一些功能不应寄以过份的期待，更不应不切实际地炒作与夸大。赋予IPv6太多的期望，将导致IPv6走向反面，甚至重蹈3G由神话向理性转变的覆辙。

　　由以下几方面对IPv6在中国的发展进行冷思维是有益的：

●安全性问题。IPv6在其协议栈中强制执行IPSec，确比IPv4时的安全性有所改善。但安全性问题很复杂，需有不同层次