美國商務(wù)部(簡稱DoC)與國土安全部(DHS)已經(jīng)出臺一份網(wǎng)絡(luò)安全報告草案——《提高互聯(lián)網(wǎng)與通信生態(tài)系統(tǒng)對僵尸網(wǎng)絡(luò)及其它自動分布式威脅的抵御能力》,報告對于IPv6這一網(wǎng)絡(luò)安全新協(xié)議得到廣泛采用后將引發(fā)的潛在影響感到擔(dān)憂���,建議美國政府出資組織關(guān)于物聯(lián)網(wǎng)安全性的公眾意識宣傳活動�,通過教育向民眾傳達物聯(lián)網(wǎng)危險性,并將網(wǎng)絡(luò)安全作為未來工程學(xué)學(xué)位的必修內(nèi)容����。
報告專注僵尸網(wǎng)絡(luò)帶來的安全威脅這份網(wǎng)絡(luò)安全報告草案長達38頁,屬于2017年5月新一屆政府班子上任后所提出的網(wǎng)絡(luò)安全總統(tǒng)行政令的后續(xù)產(chǎn)物�。報告確定了政府、各行業(yè)以及消費者當(dāng)前在網(wǎng)絡(luò)安全方面所面臨的問題:即專注于僵尸網(wǎng)絡(luò)的威脅��。報告中對威脅因素進行了客觀的分析��,屬于一份專業(yè)的政策文件��。
就報告本身來看��,其惟一關(guān)注的問題就是美國政府應(yīng)當(dāng)在正在進行的互聯(lián)網(wǎng)與物聯(lián)網(wǎng)安全斗爭當(dāng)中建立主導(dǎo)權(quán)�,但其中給出的許多實際建議尚不盡如人意,例如“確定實現(xiàn)適應(yīng)性�����、可持續(xù)且安全的技術(shù)市場的明確途徑”所需要建立的關(guān)鍵性“目標(biāo)”��、“推動創(chuàng)新”乃至“建立聯(lián)盟”等陳述�,都顯得太過模糊�����。
長久以來美國政府一直對行業(yè)事務(wù)采取不干預(yù)的傳統(tǒng)做派���,而大部分互聯(lián)網(wǎng)業(yè)務(wù)也掌握在私營企業(yè)手中,美國商務(wù)部與國土安全部(DHS)幾乎無力對相關(guān)事宜作出管理�����。這份報告確定了其中的問題所在���,同時給出了解決問題的最佳方案���。
物聯(lián)網(wǎng)設(shè)備消費者需要提高安全意識此次報告強調(diào),物聯(lián)網(wǎng)市場不能也不應(yīng)該指望消費者對其購買的設(shè)備的安全性負(fù)責(zé)�。
此份報告正確地指出,這一市場“非常類似于上世紀(jì)九十年代的桌面計算領(lǐng)域”��,即存在大量不安全因素�。報告指出,“物聯(lián)網(wǎng)設(shè)備往往缺乏這種以安全為重點的功能��。此類系統(tǒng)已經(jīng)成為當(dāng)前惡意攻擊者眼中最具吸引力的目標(biāo),并在這一生態(tài)系統(tǒng)中占有越來越大的比重���。”
此外�,“消費者不會直接因設(shè)備遭到入侵而面臨影響,相反消費者可能永遠(yuǎn)不會意識到自己的設(shè)備已經(jīng)成為僵尸網(wǎng)絡(luò)的一部分����。從消費者的角度來看,網(wǎng)絡(luò)攝像頭仍然正常工作���,而冰箱也仍能正常制冷”這就夠了���。
一旦設(shè)備被引入僵尸網(wǎng)絡(luò)當(dāng)中,讓設(shè)備持有者為此負(fù)責(zé)顯然不切實際�。這種缺乏明確后果的感染問題很難促使消費者為其采取任何用于提升安全性的必要措施,例如在可能的前提下對設(shè)備進行更新����。
此份報告同時提到,軟件與固件安全更新以及相關(guān)最佳實踐正是解決物聯(lián)網(wǎng)安全問題的一種行之有效的方案��,但實際上只有極少數(shù)企業(yè)或個人在堅持這類實踐�。因此,報告認(rèn)為與以往多年一樣,廠商需要考慮將安全機制融入設(shè)備之內(nèi)��,包括自動安全更新��。
報告指出�,“在理想情況下,面向消費者銷售的設(shè)備應(yīng)內(nèi)置安全設(shè)計機制�。消費級產(chǎn)品應(yīng)盡可能基于安全角度設(shè)計,應(yīng)包含自動安全更新機制��,同時盡可能降低甚至消除(用戶)對產(chǎn)品管理層面的要求�。”
有必要制定安全基準(zhǔn)美國政府不會對行業(yè)施加強制性壓力�����,相反���,報告認(rèn)為政府應(yīng)與企業(yè)合作制定“面向家庭與工業(yè)IoT設(shè)備的安全概要����,以作為具有廣泛接受度的基準(zhǔn)性文件”���。
報告同時建議利用美國政府自身的大型采購方角色“通過在相關(guān)環(huán)境內(nèi)實施物聯(lián)網(wǎng)設(shè)備基準(zhǔn)安全配置要求的方式加速這一過程”�。這種作法聽起來相當(dāng)靠譜,且在某種程度上類似于DNSSEC與IPv6的推廣方式�����。
報告中另一個更進一步建議是:要求政府面向消費者組織物聯(lián)網(wǎng)安全意識宣傳活動����,認(rèn)為“聯(lián)邦政府應(yīng)組織一項公眾意識宣傳活動��,以推動家庭物聯(lián)網(wǎng)設(shè)備安全性與品牌層面的正確認(rèn)可與采用�����?����!?/p>
此后����,報告還主張將更多政府預(yù)算花在研發(fā)工作當(dāng)中,從而“支持DDoS防范與緩解能力的提升���,同時構(gòu)建基礎(chǔ)性技術(shù)方案以防止僵尸網(wǎng)絡(luò)的形成”����。
考慮IPv6可能帶來的安全威脅報告對于IPv6這一網(wǎng)絡(luò)安全新協(xié)議得到廣泛采用后將引發(fā)的潛在影響感到擔(dān)憂。IPv6將為每一臺設(shè)備提供其惟一IP地址�����,這意味著數(shù)以百萬計的新設(shè)備更易受到入侵與黑客攻擊的影響��。而利用IPv4與NAT將各設(shè)備部署在同一IP地址之后的作法能夠帶來更理想的安全保障效果�。這是普及IPv6必然面臨的問題。這份草案亦強調(diào)�,應(yīng)調(diào)查“IPv6的部署會給攻擊與防御活動的經(jīng)濟性狀況產(chǎn)生怎樣的影響”,并提出應(yīng)確?���;ヂ?lián)網(wǎng)服務(wù)供應(yīng)商采取更行之有效的激勵措施。
IPv6的一大優(yōu)勢在于���,安全人員能夠更輕松地發(fā)現(xiàn)哪些特定設(shè)備已經(jīng)遭到入侵����。但與此同時�����,Mirai等僵尸網(wǎng)絡(luò)也將因此“受益”,因為其能夠攻擊擁有自己IP地址的設(shè)備(通常為網(wǎng)絡(luò)攝像機)���。相比之下��,“NAT工具是一種偶然性防火墻���,可直接屏蔽大規(guī)模掃描工具以防止家庭環(huán)境中的設(shè)備受到惡意軟件傳播及廣泛感染活動的影響?!?/p>
此份報告甚至深入討論了命名空間快速擴張可能帶來的問題:“從理論層面講����,IPv6的地址空間非常巨大,無法利用現(xiàn)有工具進行掃描���。但專家們已經(jīng)觀察到�,新型掃描技術(shù)同樣能夠在這樣的背景下發(fā)現(xiàn)易受攻擊的設(shè)備�����?��!?/p>
如何解決上述難題?重點在于實現(xiàn)“網(wǎng)絡(luò)邊緣的進一步創(chuàng)新”�。
報告當(dāng)中還提到了一系列其它思路、意見與建議�,其中大多包含“應(yīng)當(dāng)”一詞,這樣的表述在一定程度上削弱了要求的緊迫感��。但作為最核心的要求�,報告提到下一代工程師應(yīng)當(dāng)接受必要的關(guān)鍵技能培訓(xùn)。學(xué)術(shù)界與美國網(wǎng)絡(luò)安全教育項目合作����,將網(wǎng)絡(luò)安全作為所有工程類學(xué)科的基本要求?�!犉饋硐喈?dāng)可行����,而這只是這份剛剛發(fā)布的報告中的亮點之一。
美國政府正在公開征求意見����。
