互联网重构需要引入“白名单”了

在信息安全领域，持“悲观”态度者越来越多，互联网健康与安全可能已经到了危机边缘。23日，在国家会议中心举行的中国互联网安全大会上，国家互联网应急中心透露：仅据抽样监测，今年上半年境内就有693万余台主机感染木马程序或被 “僵尸网络”控制，这1.5万个木马和僵尸的地址有1/3源自境外大国。业界认为，新形势下，原有的网络安全防护技术体系已基本失效，需要引入“白名单”，重构互联网。进入社交网络和移动终端时代，互联网世界的边界变得更加模糊，甚至没有边界。中国互联网协会理事长邬贺铨院士介绍，美国77%员工在上班时间使用社交网络，为此33%的美国企业经由社交网络感染了病毒。作为微博、微信等应用的主要载体，带着智能手机、平板电脑甚至“谷歌眼镜”等上班，已被国外定义为“携带自有设备（BYOD）”，加以特别管控。针对“移动社交”的恶意程序数不胜数，随时随地可侵入传统防火墙之内的所谓 “安全地带”，难以设防。“我们在这里谈话的几分钟内，又有几十个新的病毒诞生了”，全球三大反病毒测试机构之一的“AV—Test”首席执行官马克斯说，平均每天可以收集到20万至25万个新的恶意程序样本。此外，在云计算模式下，“云盘”成为在线存储空间，原本防控U盘等移动存储设备中毒的措施已经无效；而物联网模式下，也已发生黑客攻击智能电表，篡改度数，远程偷电。

    互联网换代，重建架构

    在邬贺铨看来，下一代互联网应当是可信、可控、移动、泛在的，并支持大数据、云计算、物联网等。目前，下一代互联网存在革命型路线和演进型路线之争，有观点认为，鉴于网络安全形势堪忧，应当在另一张“白纸”上重新设计互联网。作为“互联网之根”的所在国，美国智库战略与国际研究中心高级研究员刘易斯表示，现有的互联网设计并不安全，全球95%的网络已被渗透，85%的攻击到5个月后才能被发现。

    重建互联网架构，好比为被撬的房门重新换把新锁。专家介绍，在新架构上，比如将网络安全防护的核心节点上移，从下层的网络路由器升至网络操作系统及控制器，减小在网络终端层面的安全风险与安全依赖；又如针对移动互联网，将身份信息与位置信息分离，无法通过终端所有者身份确定其所在位置，反之亦然，以防隐私泄露。

    对于已开发面世的百万数量级的应用程序（APP），著名的高德纳咨询公司（Gartner）研究副总裁福斯特布鲁克建议，互联网服务商有义务对这些程序的应用属性进行分类管理，允许已知的“好应用”，拦截已知的“坏应用”，隔离未知的不明应用。

    “黑名单”滞后，被动挨打

    面对互联网安全改革甚至革命，网络安防机制正发生着根本性转变。360公司创始人、董事长周鸿祎表示，鉴于未知攻击的突发性，早期基于“病毒库”、“木马库”的防杀模式几乎已被放弃，因为这些辨识海量病毒、木马代码的“黑名单”难免存在一定时滞；与之相反，辨识可信任网络程序代码的“白名单”具有更高的安全系数，当然这份“白名单”同样也是需要海量更新的。

    “当今绝大部分信息安全技术手段都是亡羊补牢‘马后炮’。”北京邮电大学信息安全中心主任、教育部“长江学者”杨先义认为，在网络攻防转换中，全体网民正被这种魔高一尺、道高一丈的“魔道怪圈”绑架。事实上，互联网安全形势已到了“有罪推定”阶段，因此采用“白名单”机制，网络访问未被允许即须禁止。尽管立即、全面推广尚不可行，但在某些关键系统的核心操作中值得尝试，这样才能防止被动、挨打。