什么是网络空间?
一说到网络大家首先想到的就是因特网;一提到网络安全,人们的第一反应就是黑客和病毒。遇见黑客怎么办,那就无非是请杀毒软件帮忙了。在互联网早期野蛮发展的10年中,给网络空间贴上一个因特网的标签,给网络安全贴上一个杀毒软件的标签,确实减少了很多理解成本,也拉近了人们和网络空间的距离。但是时至今日仍然这样理解网络空间和网络安全,显然已经非常狭隘了。
网络通俗地讲就是把处在不同地方的计算机(系统)连接起来,以网络软件(网络协议等)实现资源共享的系统。这里有三个重点:一、物理上这些计算机和系统要连接起来;二、通过网络协议能够传输数据;三、最终达到资源共享的目的。网络就像一套立体式的体系,有底层的硬件(如:芯片、计算机、网络设备等),打个比方就像路基和铁道;中间的协议(通信和数据传输的规则)就像统一规格的列车、车厢和集装箱;应用软件数据等就像要被运输的乘客和货物。杀毒软件是应用软件,只能管得了应用和数据的安全,有点像是一位列车上的乘警,而维护网络安全的不仅仅是杀毒软件,应该是一个立体式的安全体系。
网络怎么才能安全?
上面提到的三个重点里面怎么没有安全呢?这个其实也很好理解,打个比方,自行车从1790年由法国人西夫拉克发明到1886年英国人斯塔利重新进行设计,在这将近一个世纪中,自行车是没有刹车的。因为在这一个世纪中,人们更加关注的是怎么让自行车可以转弯、装上轮胎和脚踏板、骑得更快更舒服。同样,在网络空间早期的发展中,人们将更多的注意力放在了网络能做什么,能让什么变得更好更快更简便。然而,随着网络应用的逐步展开,人们逐渐看到了网络所暴露出的安全问题,并着手补救工作,但是很显然,随着网络形态和应用的不断丰富,从业者的历史局限使得他们的努力往往只能在特定时期内起到作用,网络安全就像一个八爪鱼,总会在不经意间冒出一个隐患触手,这似乎是一个永无止境的工作。但是人们也发现,从网络协议本身入手解决网络安全问题似乎是一个必然,因此在原有网络协议上创造出了网络安全协议,用来保障网络的安全,因为网络安全协议才是网络安全基石,虽然不能包治百病,但是它构建的是网络的本质安全。我国成立的无线网络安全技术国家工程实验室,就有相当一部分业务是从事这方面的研究。当然,如同上面说的那样,网络是一套立体式的体系,网络安全也就应该是一套立体式的针对一个体系的安全。从硬件、协议、应用程序、一直到大数据,每个层面都应该有其各自的安全。这句请大家划出来,将来一定会考。
现在的网络安全么?
这个事情其实不用我说,看看315晚会,网上查查,一堆一堆的报道。可是这跟咱们有什么关系呢?今天咱们就来唠唠,其实关系可大了!就拿咱们生活中已经无处不在,却又频繁被报出问题的Wi-Fi为例。
无线局域网(WLAN)技术有两个分支,其中一个是美国的Wi-Fi,另一个是中国的WAPI。在闲谈中很多人都和我探讨过,为什么我国不直接使用某国的某技术,而非要自己再搞一个呢?这样的例子很多,Intel/龙芯、Windows/麒麟、LTE/TD-LTE、GPS/北斗,当然还少不了咱们刚才提到的美国的Wi-Fi和我国的WAPI。
这事既然是国家在推动,背后就一定少不了国家安全层面的担忧。试想这样一个场景:外国政客表面上可以慷慨激昂地说:“干嘛费劲自己再弄个WAPI技术呢?直接用我们的Wi-Fi不就好了么!要厂商有厂商,要产品有产品,直接就能部署应用。”可是他心里面想的却是,“Wi-Fi这技术是我设计的,哪里是雷,哪里有坑,我都门儿清。我让你用,你就能用,数据对我来说就跟透明的一样。不让你用,你就得瘫着”。网络空间已成为国家继陆、海、空、天四个疆域之后的第五疆域。对于这么重要的疆域的争夺,好比卧榻之侧,岂容他人鼾睡。因此,我国从硬件的CPU、操作系统以及网络协议,一直到定位系统的应用,都有必要自主可控。
对国家层面而言,在一些关键领域,即便和平时期应用外国某项关键技术是安全的,但是在特殊时期就很有可能由于不可控而导致安全事故。更何况像Wi-Fi这样的技术,在和平时期都没办法给人们提供必要的安全。为什么这么说呢?从Wi-Fi的协议设计的架构上就是有问题的,就是“根”上就有问题。打个比方说,手机要使用Wi-Fi上网需要输入密码。接入点AP(或者路由器)会判断手机输入的密码是否正确,如果正确就让手机上网,如果不正确就不让手机上网,如下图所示。整个过程存在两处致命的问题:一、让不让手机上网都是接入点说了算;二、手机没有判断接入点是否合法的能力,手机也没有拒绝非法接入点的权利。
目前广泛存在的“钓鱼AP”问题,就是利用了Wi-Fi的单向鉴别的缺陷。黑客将“钓鱼AP”伪装成与人们熟悉的网络名称,受害人以为是一个经常使用的Wi-Fi网络就连接了。这个时候,不管受害人输入的密码是否正确,“钓鱼AP”都会让受害人手机接入“钓鱼网络”,从而实施盗取受害人的账号密码、隐私信息、篡改数据等犯罪行为,造成受害人的经济损失。
2017年底的时候,Wi-Fi还被报出密钥重装的漏洞,黑客可以利用这个漏洞更改受害者手机的Wi-Fi密码。这比“钓鱼AP”的问题更可怕,“钓鱼AP”还需要受害者连接一下,密钥重装攻击可以直接在受害者上网的过程中完成密码的更换,并开始盗取受害者手机上的数据。
如果使用WAPI技术,这个问题就迎刃而解了,因为WAPI采用的是三元对等安全架构。我们还用上面“钓鱼网络”的例子,再来看看WAPI技术是怎么实施保护的。
用户:我的手机想通过WAPI上网,这是我的“身份证”。
“钓鱼AP”:我这可以上网,我也有“身份证”。(使用的是假证)
用户:走,咱俩去派出所验明正身去。
“钓鱼AP”:走就走,谁怕谁。(心虚ing)
民警悄悄对“钓鱼AP”:这个手机的“身份证”是OK的。
民警悄悄对用户:这个“钓鱼AP”的“身份证”有问题。
当手机得知“钓鱼AP”的“身份证”有问题时,不管“钓鱼AP”再怎么盛情邀请,手机都会拒绝接入这个非法网络。WAPI就是通过可信第三方(派出所)使手机和接入点完成了对彼此身份的双向鉴别,并且手机有权利拒绝接入非法的网络。WAPI技术也是我国自主研发的自主可控的技术。
总结
网络是一套立体式的体系,网络空间的安全也就应该是一套立体式的针对一个体系的安全。从芯片、协议、操作系统、应用、一直到大数据,每个层面都应该有其各自的安全。从中科院的龙芯CPU、西电捷通的WAPI安全协议,中标软件的麒麟操作系统,以及北斗定位系统等中国目前都在一步一步坚实地落实自主可控。近期美国制裁中国企业的事件也给国人上了一课,如同芯片需要自主一样,网络安全同样要重视自主,具备基础技术研发和技术工程等能力。
网络空间是国家疆域的第五疆域,也和人们的生活财产安全息息相关。网上不乏抨击我国自主可控技术的言论,有些是别有用心,但绝大多还是被欺骗和蒙蔽了的人们。今天在这唠叨了这么多,也是希望咱们能够对国家自主可控技术多一点清醒的认识,多一份理解和支持。
本文转载自:搜狐科技
| 
