透析基于IP协议的网络演进相关技术

　　事实上，全球为IP的安全性已花费大量人力、物力和财力，而且取得了不少进展与成绩。从解决安全性的源头角度考虑，一般认为终端是要害。对终端应用，其中包括OMA及NGOSS而言，已充分注意到中间件及CORBA(公共对象请求代理体系结构)软总线技术，并发挥了重要作用。但“中间件”的含义与定义有一定松散性、广泛性与含混性，需进一步严格规范定义与改进协调，否则将可能严重影响实际应用的互联互通等多厂商环境下的互操作性。

　　信息安全有更广义的内涵，营造一个防止黄色不良信息危害青少年身心健康的安全信息环境，规则/政策监管与技术措施双管齐下才能奏效。信息对策的“老三样”——“堵漏洞、筑高墙、防外攻”等属于消极防御措施，尤其当它们单独实施时，已愈来愈不能凑效。为此，一方面要想出更积极的对抗措施，包括对其源头跟踪堵截;另一方面，即使对单个用户而言，也需要防黑防毒，修复漏洞，拯救数据。这些措施应融为一体，形成综合对抗能力更强的整体安全系统，转被动/消极防御为主动/积极防御。应注意，解决安全性问题是需要付出代价的。信息安全对策应根据用户不同安全类别的实际要求提供不同的解决方案。如果用户只需要BE类业务，则应提供简单、经济、实惠的解决方案。

　　目前，有关IP安全性对策方面的重要进展值得一提。一是信息产业部正在制订“互联网IP地址管理办法”及建立“ICP/IP地址信息备案管理系统”。这对查处有害信息的快速定位、搜索非法网站及有效提高信息查询与安全性管理效率有重大意义。二是认定终端为安全重点及中间件的隔离作用是非常重要的。在终端芯片嵌入密码型安全子系统，对全部自主研发场合来说很容易处理，即以一个独立于每个系统的平台作为中间件，分别与系统及应用程序连接，以解决应用程序对系统层的访问及控制。当然，此时依然要解决好系统层接口的安全性问题，而这往往是个难题。三是为确保高级保密用户的安全，采取网络彻底隔离断开。在保证安全前提下，支持自动文件和应用数据的交换，这就是所谓网闸(GAP)的概念。众所周知，内/外网是采取物理隔离断开方式，人工文件可安全复制转移，这是手动实施的一种最简单原型。显然，如何实施网络断开以进行有效的文件交换，特别是各种应用数据的交换，是网闸技术的关键所在。总体来看，网闸技术包含三大要素，即网络隔离断开、模拟拷盘或单向传输工作机制及应用数据交换支持。由于网络断开即可消除黑客对网闸本身的入侵，使其无法从网闸外部主机侵入到内部主机，也不会从外网侵入内网，从而消除了基于通信连接的攻击和基于TCP/IP协议的攻击及漏洞扫描和入侵攻击。至于网闸对应用的支持，通常是通过对应用协议的剥离来获得应用数据。交换应用数据后，再对应用协议进行重建恢复。目前的网闸技术已可对大部分应用数据进行剥离与重建。当然，这些运作均要以资源消耗、高速运作及硬件补偿等为代价。三是国内两大防毒软件商——北京瑞星科技股份有限公司和北京金山软件有限公司宣布，正式加入思科公司所倡导的网络准入控制(NAC)计划，以研发集成化的安全解决方案，全面提高安全级别和防御威胁的能力。这是国内信息安全知名企业与国际领先技术有机合作与良性互动的新契机，将对中国信息安全事业起到巨大的推动和促进作用。NAC合作计划最早由思科公司于2003年11月提出，其主旨是授权合作伙伴公开技术信息，以支持合作伙伴开发和销售支持NAC网络基础设施的第三方服务器及客户端应用。NAC计划分三步实施。第一步，在2004年中期，思科的接入路由器和中档路由器已可支持NAC计划。第二步，NAC将扩展至多种思科产品，如交换机、无线接入设备和安全设备。第三步，将PC和服务器端点与网络的安全互操作能力扩展上升为自我防御能力。显然，专业信息安全厂商与硬件设备提供商进行深层次技术合作，既是企业用户的普遍安全需求，也是整个信息安全行业的重要发展趋势。思科、瑞星、金山等联手打造全局防御的信息网络安全体系，既有明显的现实价值，亦有重要的战略意义。