ACM通信
瑟夫的
保护互联网
互联网已经成为一个全球性的、复杂的、分层的、越来越不可或缺的生态系统。在本专栏中,“互联网”包括底层的数字运输基础设施,包括海底和陆上光纤和电缆、轨道卫星、路由器网络、域名系统、数据中心及其网络、各种边缘设备(笔记本电脑、台式机、平板电脑、智能手机、联网设备和传感器)、万维网、内容分发系统,据我所知,还有厨房水槽。除此之外,还有与实现、操作、标准化和规范这一多方面结构的各个方面相关的所有机构。不要忘记所有的组织和个人在他们的日常活动中使用互联网。这样一个全面的定义解释了为什么世界各国政府都对互联网感兴趣和关注。
让互联网得以运作的盛大合作为所有相关各方带来了无数好处。它是一个可生成的基础设施,邀请所有方面的创新:应用程序、启用和启用设备、新的通信技术、商业模式、社交网络、金融服务、政治参与、科学发现,以及更多。它把放大的权力交给了国家、企业和消费者,这是过去从未有过的。这意味着,这个系统的有益和有害的目的是相同的,就像基础设施向公众开放一样。我们如何保护它的有益用途,减少不必要的有害滥用?
我们可以从发展技术基础设施开始,在其实施中纳入更强的防御措施。其中,我将包括域名系统安全(DNSSEC),双因素认证,传输层安全,边界网关协议安全,操作系统安全,增加冗余弹性,端到端加密,更强的身份保护,改进的流量和拥塞控制,以及IPv6的实现。
根据这里的定义,互联网不是某种空灵的“网络空间”。它在从当地到全球的许多不同种类的法律管辖区内都有实际存在。它受制于地区、国家和地方规则的实施,并非所有这些规则都必须兼容。这导致在Internet架构的不同层中出现了几种形式的碎片。在其管辖范围内,政府可以对互联网组成部分的运营商施加和执行要求。竞争对手有时会建造“围墙花园”,把用户关在里面,把其他人关在外面。用户使用虚拟专用网络工具来转移其表面位置,或配置使用备选DNS服务器来避免限制。政府通过对其合法管辖范围内的域名注册机构施加要求来“夺取”域名。
从技术角度看,对开放和自由的一些限制在一个国家管辖范围内是无法逃避的,但它们的影响可能仅限于一个国家的地理区域。例如,一个国家可以强制使用特定的DNS解析器,但不能在其管辖范围之外强制使用。对于那些希望保持互联网开放和自由的人来说,遏制这些限制将是一个理想的结果。然而,在保持开放和自由与追究有害行为者的责任之间存在着一些矛盾。在起诉坏人之前,必须可靠地找出他们。为了达到这一目的,可能需要跨司法管辖区的合作。
互联网生态系统中有层次和参与者,在考虑互联网环境的安全和安全时,应该衡量他们的位置和作用。在“数据主权”的名义下,一些国家要求在该国的地缘政治边界内保存个人信息。另一种技术应对方法可能是,要求对这些数据进行强加密,并且无论其物理位置在哪里,对其访问都服从强身份验证程序。在本专栏中,我们没有讨论网络安全和网络攻击问题,剩下的篇幅非常有限。在互联网环境中所经历的许多伤害都是有害行为者为了其邪恶目的而利用脆弱软件的结果。这些黑客包括蓄意破坏的黑客,以及出于政治、金融或军事目的而蓄意破坏的政府。因为软件渗透并激活了整个互联网生态系统,所以发明更好的软件开发工具应该是所有相关方的优先事项。保存互联网的价值就像它现在所代表的生态系统一样复杂,是未来几十年一个值得关注的焦点。
数字图书馆是由计算机协会出版的。版权所有©2022 ACM, Inc.
评论
C通信学院
尽管一篮子安全技术在完美的世界中可以解决大多数问题,但我认为我们需要看看更简单的实现。假设所有的网络流量都能追踪到作者。这种不可抵赖性意味着像洋葱重路由这样的设备将会失败。
想象一下,如果你认识攻击者,就会发生赎金袭击。
我心中的问题是,这种透明度能否在互联网上实现。我们可以从区块链分类账中寻找一些想法。
年代Holcman
所有这一切的基础是软件开发实践本身相当粗糙的成熟度。这就是我们所说的按订单制作。成熟度级别3围绕着我们在软件之外的大部分日常生活的是我们需要按顺序组装的地方,这是与这个成熟度级别相关的短语。总而言之,由于所有软件,包括底层安全软件都是按照成熟度级别1的实践编写的,因此黑客将继续获胜。
斯科特火焰
独立于Internet基础设施之外的应用软件(Internet端点)往往是将Internet视为一个集成系统时的薄弱环节。
在FFRDC工作时,我有机会为跨越多个不同工程领域的许多项目提供咨询。大多数工作都是从一个包含安全的健全系统架构开始的。随着时间的推移,安全性退居应用程序功能集之后。尽管有一群敏锐,极其精通的专业人士。项目不能“向后推”客户的需求和“优先”计划的理念经常导致系统的体系结构完整性(包括安全性)受到损害。通常,这类应用程序软件无法抵御复杂的安全攻击。
显示3评论