互联网

互联网的安全广义上可分为认证和什么?

  “互联网”指的是全球性的信息系统,是能够相互交流,相互沟通,相互参与的互动平台。因此互联网安全问题,应该象每家每户的防火防盗问题一样,做到防范于未然。甚至不会想到你自己也会成为目标的时候,威胁就已经出现了,一旦发生,常常措手不及,造成极大的损失。

  网络安全问题既同互联网原初架构有关,也同作为主要终端设备的个人电脑有关。首先,根据经典的“端对端”原则( end - to - end principle) ,互联网的设计应该尽量保持数据传输过程的简捷,将对数据的认证置于终端而非传输过程之中。互联网独特的TCP /IP 协议将数据分割成若干数据包,只有在传输至终端设备时才能被重新组装,成为完整的信息,在此过程中运营商无法得知数据包的内容。其次,作为终端的个人电脑和操作系统使得用户有能力编写病毒和恶意程序,并极易迅速扩散至整个互联网。自从1988 年世界上第一例蠕虫病毒“Morris”出现以来,世界上各种病毒、木马和网络攻击层出不穷,严重威胁到互联网的繁荣和用户数据的安全。特别是制造网络病毒逐渐成为一种有利可图的产业,网络安全就基本上成为伴随互联网扩散的常态问题,且愈演愈烈。第三,随着互联网的服务和应用程序愈加多样和复杂,市场竞争愈加激烈,很多未经安全审查的软件程序常带有某些缺陷和漏洞,从而使得病毒和恶意程序有各种机会入侵个人电脑。用户会下载使用各种软件,但缺乏足够的警惕和技术能力进行自我保护,也无法判断软件质量与安全风险。

  由于互联网一开始是一个超越国界的匿名开放系统,在无法根本改变其原初架构的情况下,针对其弱点,网络安全防护就有必要从信息流通的端点入手。现实中至少有如下几种选择: 首先,对国家而言,为保护本国网络使用者免受来自国外的攻击,可以控制本国网络同其他国家网络连接的出口,并在出口信道设置入侵检测系统以排查可疑的数据包。但是这样做要受到本国通讯和言论法律的制约。其次,互联网骨干和接入运营商( 以下统称ISP) 逐级进行安全防护,这就违反了“端对端”原则,可能受到公众质疑以及国家的监管。当然国家也可以制定法律要求它们承担安全责任。第三,同理,互联网内容和应用服务商( 以下统称ICP) 为了保障交易和服务安全、保护用户信息免受攻击侵犯,也会采取安全措施,国家也可以施加法律责任。最后,由用户自主选择在电脑终端安装安全软件,防护本地个人资料。在不同的国家,以上四点措施可以综合运用,也可以偏重于某些端点。另外,无论谁来实施防护,所需的安全系统可以由国家统一提供,也可以由专门的安全软件企业提供。由于软件产品复制与分发的成本为零,软件提供者的前期研发投入与后期技术更新就成了关键的问题。和前互联网时代的武器制造与使用相比,发动网络攻击的技术门槛大大降低,并使以国家为目标的网络战与一般的网络攻击之间的界限模糊不清,原先存在于核战争时代的战争规则与策略也不再适用。面对不确定的网络攻击,国家无法像提供传统公共品一样承担整个网络空间的防卫,而只能聚焦于国家基础设施和政府部门信息设备的安全; 同时由社会中大量的企业和个人用户负责自己的安全,安装安全软件采取私力救济。这样既可以减少国家不必要的财政支出,又可以通过市场竞争产生更好的安全软件服务。针对不同种类网络威胁提供独特产品,是有效率的资源配置方式。国家若采取传统防卫观念,认为互联网安全隶属于国家信息主权安全,那么在架构上就必然要求采取控制出口信道的做法,这样才能在第一道关口最大限度地防止病毒入侵,但成本极为高昂。这些措施都属于Lawrence Lessig 提出的通过代码规制网络空间的行为,比单纯地立法禁止要更加有效。

浏览过本文章的用户还浏览过