注册
登录
| 关键词: 互联网 骨干网 商号 网络 丝绸之路 路由器 提供商 服务 政府 工程师 |
今天的互联网和过去已大不一样。互联网是一个不断进化的实体,有着自己的生命特征。大多数美国人提到互联网时,都是指一个神奇的实体,其有着许多的网站,比如www.armedforcesjournal.com,还有如Twitter和wikis等应用平台,并与个人电脑、无线手持设备等实现广泛的联通,所有信息都可以通过在搜索引擎上输入关键词而找到。许多文章都阐述了互联网从学术界的概念和其雏形“先进研究项目机构网”发展成今天这个状态的基本过程,而由保罗?弗赖伯格和迈克尔?斯韦因合著的《硅谷之火》阐述了个人电脑突飞猛进的发展。最高级域名的发布曾一度属于美国政府的权限,第一代浏览器、第一代网络和第一批网络中心的投资也由政府负责,不过后来就不是了。 由国防部播种,自20世纪70年代起的计算机革命浇水,光纤网络和20世纪90年代的IT泡沫以及今天的无线手持设备革命养殖,形成了更加广阔和复杂的互联网。互联网的共同要素是互联网协议(IP)。IP地址是设备在连接任何具备IP协议网络时的身份证明。电器都要有电池或者电源线,主件则有可能是IP地址服务器、无线手持设备、自动柜员机、电视机顶盒、信用卡读卡机、门锁、医院医疗设备,还有个人电脑。 政府网络同互联网比起来小而单一,许多政府网络在某种程度上依赖于互联网,有的依照其设计,有的与其连接,林林总总。因此要设法保护虚拟空间的话,必须吸纳在更大的互联网空间称雄的专业人士,以此保护全球经济基础设施,并将他们具备的各种专业能力应用到政府网络中。本文将阐述当前互联网的复杂性和缺陷所在、实际控制互联网和其标准的群体、互联网和应用IP协议的政府网络共同面对的敌人、能够更好地保护政府和我们的经济基础设施的方法。 如果要避免繁琐的技术探讨,又要了解互联网和其安全需求,最好借助一个古代的模式。在古代,北京的商人需要经常将货物运送到他在罗马的代理人手中。为了达到目的,商人会和北京当地跑远路的商号签订合约。商号可以选择多条往返罗马的路线,每条路线需要北京商号向其他商号付费来完成订单。商人不关心北京商号和其他商号之间的合约,他只对卸货地点、安全、时间和运费感兴趣。北京商号通常会和丝绸之路的某商号签订合约,让其将货物从丝绸之路的东端——吐鲁番,运至西端——君士坦丁堡。对于所有货物,每个丝绸之路的商号都要求签约方按标准打包,并告知具体目的地。同任何非丝绸之路的商号相比,他们更加专业,拥有更多和更强壮的骆驼。北京商号通过同某个丝绸之路商号签约,来完成往返罗马的货运,而且运送的不止是北京商人的货物,还包括从北京到吐鲁番地区的其他商人的货物。值得注意的是,丝绸之路商号从未见过北京商人,也不知道打包的货物到底是什么。实际上,丝绸之路商号会将许多小型商号的货物统一运送,抵达漫长丝绸之路的彼端。丝绸之路商号承担风险,并和同行再度签约保证货物的运送。商号主管不仅沿途管理驼队,还决定按合约交换货物的方式和时间。而且,商号主管还决定购买谁的骆驼来运货,所有的骆驼卖家都希望为商号供货。在丝绸之路的终点君士坦丁堡,丝绸之路商号会分散货物,将其送到各自的目的地,包括罗马。然后,其他商号接替下一步的货运。从理论上讲,丝绸之路商号希望承包向东和向西的所有货运。最后,北京商人并不知道到底他的货物是怎么运到罗马的,他只知道他的货物通常会按时送到。 互联网所有的动态特征都可见于丝绸之路模式。组成互联网的基本原则与我们古代的商贸原则没有区别。我们的“丝绸之路”是一系列由光纤相连的路由器丛集。在每个大城市里,每个互联网骨干网服务提供商都有至少一个路由器丛集。每个路由器丛集下的路由器都与其他互联网服务提供商相通,可以进行数据交换,许多路由器直接在互联网骨干网服务提供商内部提供信息交换。这些互联网骨干网路由器,即我们的“骆驼”,是特殊的超级计算机,能够制定互联网的路由。在我们的模式里,每个城市都是一个君士坦丁堡或者吐鲁番。要控制互联网上的路由,就必须控制大多数这些路由器,因为路由器之间、路由器和互联网服务提供商之间信息共享。对等协定正式确认互联网服务提供商之间的联系节点,并与和IP协议配套的协议和标准相结合。更重要的是,这些协议通过路由实现后,互联网的基础设施就形成了。关于互联网对等协定的透析,可见互联网健康报告网:www.internetpulse.net。 从战略上讲,和丝绸之路一样,互联网的物理层和逻辑层是连接的,物理安全和逻辑安全也是联系在一起的。无论是否为互联网骨干网服务提供商,大多数互联网服务提供商所对应的关键路由器丛集都位于大城市的某些非专有建筑。喷水装置的某条管道破入这些设施中的任何一个,都会导致灾难性后果,对于许多互联网服务提供商而言,在备份信息可用之前,相当于好几千所图书馆资料的信息都会损失掉。这些建筑通过共享的光纤束连接在一起,并没有什么土地使用上的特权。对于一个互联网骨干网服务提供商来说,几个大城市之间一次正常的互联网骨干网连接,携带的数据量大于25000 本小说(5亿字节),其中每条路由都有几次连接。海底光缆和太空卫星通信信道也是如此。专用网络的物理结构也是如此。既然是专有网络,也就是说其路由器与互联网是隔离的,虽然安全性增强了,但是仍然依靠同样的光纤和基础设施。虽然专有网络表面上看来是与互联网物理隔绝的网络,但并不意味着此网络的光纤或者路由,和你使用的公开基于IP协议而实施音乐下载的光纤的所在地域是分离的。反铲挖土机的一次操作失误或者海啸都可以把许多基于IP协议的网络的关键路由摧毁,百万计的用户,无论是否为专有网络用户,都会崩溃。 因此,政府和互联网行业的网络安全战略都要求必须对通过IP协议连接的所有专有和共同基础设施都有详细的了解、包括物理层和逻辑层,还必须采用通过测试、符合安全需要和记录需要的程序,这些程序都是经过互联网行业和政府实践检验为最好的。持续记录数据是对网络状况进行分析的关键。 我们的盟友是大约300名主要互联网骨干网的网络工程师,他们顶着各种头衔,不管他们在组织结构中处于什么位置,却真正控制着全球互联网信息流动的潮起潮落。他们就是我们的丝绸之路的商号主管,也是富有经验和能力的盟友。他们控制着公共的和专有的互联网网络。如古时候的商号主管,主要互联网骨干网的网络工程师们不是领导,但他们的话却是所有其他IP协议工程师和操作员的金科玉律。他们规定冗余信息,控制安全,确立标准,还经常通过给路由器下指令,直接对网络进行操作。他们在群组会议上会面,确定协议和地址政策,正是这两者控制着互联网。这些群组不为大多数互联网用户所熟悉,但是他们确实存在。 北美网络经纪人组(NANOG),以互联网骨干网专业网络技术的相关信息为主题的教育论坛。 互联网工程任务组(IETF),旨在拓展和提高互联网标准的非盈利性组织。 互联网域名和数字地址分配公司(ICANN),负责分配域名和IP地址的非盈利性组织。 电气电子工程师学会(IEEE),主题为技术发展的专业协会。 软件工程研究所的网络紧急应变小组(CERT),由联邦政府提供资金的网络安全组织。 网络工程师们通过发送即时消息保持联系。在对话当中,他们通过一次交换数千计的捆绑路由和几十亿字节的数据平衡互联网的信息流量。此外,互联网骨干网服务提供商的主管将无用数据快速扔下信息公路。在发现有人传送儿童色情视频、发送垃圾邮件和实施黑客行为的情况下,关键互联网骨干网服务提供商的网络工程师之间的一个电话就能在采取法律手段前阻止所有信息流通。这些工程师之间形成相互信任的方式多种多样,如在公司有过合作关系,共同建立和维护网络,共同与黑客和垃圾邮件发送者战斗。有一些出身于军队的通信兵,有一些是(前)“白帽黑客”。所有人都是IT泡沫经济破灭之后的幸存者。他们控制着所有主要互联网骨干网路由器,也因此控制着公共互联网和专有网络。这些工程师是互联网变革和互联网安全的关键所在。 互联网也有骆驼供应商和货物委托商,所有人都得听商队主管的。设备供应商如思科和瞻博、应用平台供应商如微软和谷歌都对互联网和任何基于IP协议建立的网络有重大影响,但他们也在很大程度上都得听互联网骨干网的网络工程师的。互联网的主要设备供应商,也为军网提供硬件设备,他们首先得听互联网骨干网服务提供商的网络工程师的,然后才是听其他人的。主要的网络工程师在很大程度上影响互联网骨干网服务提供商购买硬件时的选择,而且数量是以数千计。基于同样的理由,其也影响小型互联网服务提供商如国防部购买硬件时的选择。因此,设备供应商必须在至少一个互联网骨干网的产品购买上有自己的一席之地,才得以生意兴隆。应用平台服务商也是如此。互联网骨干网管理主要应用平台的信息流通所经过的路由器。网络工程师必须控制这些信息流通所经过的路由器,来平衡所属互联网服务提供商的网络。因为,互联网骨干网的网络工程师通过与互联网服务提供商的客户进行交流和进行信息流量分析,十分了解互联网市场,这些工程师反过来给应用平台服务商和设备供应商提供价值连城的回馈。设备供应商和应用平台服务商都希望讨好商队主管,能够加入网络工程师们参与的群组会议。 至于网络安全方面的措施,我们制定战略时,必须考量主要互联网骨干网网络工程师与关键的应用平台服务商和设备供应商之间的特殊关系。互联网和政府网络的安全政策制定应该引入从互联网域名和数字地址分配公司、互联网工程任务组、软件工程研究所的网络紧急应变小组、电气电子工程师学会到北美网络经纪人组的一系列组织的参与。 美国政府网络和互联网骨干网服务提供商有着许多共同的敌人,有些人是通过网络无意间连接上的,大多数却是怀有不可告人的目的。通常,“独立”的政府网络通过协议或者连接点与互联网联通。与政府网络的连接点可能是某个军人的IPOD、某个公民的USB记忆棒、或者是某个承包商的无线适配器。在主要的互联网骨干网服务提供商中,数千个互联网骨干网路由器中的一个,每小时就流通数万亿字节的数据,流过全球数十万计的路由,发送到数十亿的最终用户手上。因此,每个互联网骨干网路由器都让不轨者有强烈的攻击冲动,当然也经常受到攻击。可以想象,一个专业黑客控制了这些主要路由器当中的一个。通过控制这些路由,进而控制其他路由器,那他就不仅能造成大规模的经济崩溃,还能进入信息高速公路查探敏感信息,或者向任何已连接的服务器或者网络发送巨量信息,造成信息灾难。攻击互联网骨干网服务提供商的黑客与攻击国防部的黑客之间的行为可能不一样,但是两者都意图削弱受攻击方的基础设施,禁止访问、获取信息、引发混乱。 联合攻击带来了真实的威胁。一个聪明的对手可能在对敌方军事人员进行物理攻击的同时,结合逻辑攻击使其民用基础设施瘫痪。这正如俄罗斯在2008年夏季与格鲁吉亚的战争中的手法。恐怖分子能够利用小型的物理攻击获得进入互联网骨干网基础设施的途径,然后进入军网,从而向所有在连接范围内的军网发动逻辑进攻。然后,噩梦降临。 我们在制定网络安全措施时,必须考虑到这种联合攻击的情况:物理和逻辑、军网和互联网。两种攻击方式必须都有所防备。我们必须还要从迄今为止保护互联网的案例中吸取经验教训。 互联网是一个非常重要的、无处不在的实体,其由共同的协议和经验所控制,网络安全措施的制定必须基于以上两点。从战略上看,我们必须保护互联网骨干网,即我们的现代丝绸之路。在制定安全措施时,必须引入那些运用比任何政府网络更广阔和更多样的网络的专业群组和专家。所以,我们的网络安全措施要求必须利用网络技术和自动化技术,建立一个安全的仓库,存放有关当前关键的物理和逻辑基础设施的文件。这些文件应该包括地图、联络表和程序。我们必须制定战略,在受到袭击时保护关键的物理节点。有学术团体致力于研究制定网络架构安全保证的教育计划,此计划能够提高互联网行业和政府所需的专业能力和精神动力。我们要同学术团体合作,形成网络合作项目,将互联网行业和政府连接在一起。比如,引入互联网行业领域的网络工程师,以轮流实施的工作方式,来加强政府的网络安全措施。政府的工程师和决策者也应该轮流进驻主要的互联网骨干网,在规模更大的互联网中有所收获。 确认政府、互联网行业和联邦基金支持的专业中心之间的专长和职责之后,我们就能利用我们各自的专长,对融复杂和互补的知识、技巧、技术和方法为一体的体系有针对性的发挥作用。 同互联网行业相关对象,特别是互联网骨干网服务提供商,进行联合反应训练和演习,来应对来自国内或者全球的针对互联网的攻击。 有了这些初步措施,我们的网络安全战略就能走上正轨,可以保护我们的现代丝绸之路。 |
|
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系
[邮箱地址] 删除
|
