当前计算机和互联网的安全措施都是被动和暂时的,普通用户被迫承担安全责任,频繁地扫描漏洞和下载补丁。进入云计算时代,不少厂商适时推出云安全和云杀毒产品,可以想象,云病毒和云黑客们的水平必然有所提高。
实际上,今天遭遇信息和网络安全的根源,在于当初发明计算机和网络时根本没想到用户中有恶意的攻击者,或者说没有预见到安全隐患。PC时代的防火墙和杀毒软件,以及各种法律法规,只能通过事后补救来处罚给他人利益造成损害的人。这些措施不能满足社会信息中枢的可控开放模式和安全需求。其实,抓住云计算的机遇,重新规划计算机和互联网基础理论,建立完善的安全体系并不困难。
下面我们将在分析IP互联网安全问题原因的基础上,提出大一统网络根治网络安全的一揽子解决方案。网络安全不是一项可有可无的服务,大一统网络的目标不是用复杂设备和多变的软件来改善网络安全性,而是直接建立本质上高枕无忧的网络。
从网络地址结构上根治仿冒。IP互联网的地址由用户设备告诉网络,大一统网络地址由网络告诉用户设备。
为了防范他人入侵,PC和互联网设置了烦琐的口令、密码障碍。就算是实名地址,仍无法避免密码被破译或由于用户的失误而造成的安全信息泄露。连接到IP互联网上的PC终端,首先必须自报家门,告诉网络自己的IP地址,但网络却无法保证这个IP地址的真假。这就是IP互联网第一个无法克服的安全漏洞。
大一统网络终端的地址是通过网管协议生成的,用户终端只能用这个生成的地址进入网络,因此无须认证,确保不会错。大一统网络地址不仅具备唯一性,而且具备可定位和可定性功能,如同个人身份证号码一样,隐含了该用户端口的地理位置、设备性质和服务权限等其他特征。交换机根据这些特征规定了分组包的行为规则,实现不同性质的数据分流。
每次服务发放独立通行证,阻断黑客攻击的途径。IP互联网可以自由进出,用户自备防火墙,大一统网络每次服务必须申请通行证。
IP通信协议在用户终端执行,这就可能被篡改。路由信息在网上传播,这就可能被窃听。网络中的固有缺陷导致了地址欺骗、匿名攻击、邮件炸弹、泪滴、隐蔽监听、端口扫描、内部入侵以及涂改信息等各种各样的黑客行为无处不在,垃圾邮件等互联网污染难以防范。IP互联网用户可以设定任意IP地址来冒充别人,可以向网上任何设备发出探针窥探别人的信息,也可以向网络发送任意干扰数据包。许多聪明人发明了各种防火墙试图保证安全,但是安装防火墙是自愿的,防火墙的效果是暂时的和相对的,IP互联网本身难免被污染。这是IP互联网第二项安全败笔。
大一统网络用户入网后,网络交换机仅允许用户向节点服务器发送有限的服务请求,其他数据包一律拒绝。如果服务器批准用户申请,即向用户所在的交换机发出网络通行证,用户终端发出的每个数据包若不符合网络交换机端的审核条件就一律丢弃,这样就彻底杜绝了黑客攻击。每次服务结束后,自动撤销通行证。因此大一统网络不需要防火墙、杀毒、加密和内外网隔离等被动手段,从结构上彻底阻断了黑客攻击的途径,是本质上的安全网络。
网络设备与用户数据完全隔离,切断病毒扩散的生命线。IP互联网设备可随意拆解用户数据包,大一统网络设备与用户数据完全隔离。(www.xing528.com)
冯·诺依曼创造的计算机将程序指令和操作数据放在同一个地方,也就是说一段程序可以修改机器中的其他程序和数据。沿用至今的这一计算机模式,给特洛伊木马、蠕虫、病毒、和后门留下了可乘之机。随着病毒的高速积累,防毒软件和补丁永远慢一拍,处于被动状态。互联网TCP/IP的技术核心是尽力而为、储存转发和检错重发。为了实现互联网的使命,网络服务器和路由器必须具备解析用户数据包的能力,这同样为黑客留下了后门。网络安全从此成了比谁聪明的游戏,制作病毒与杀毒、攻击与防护,永无休止。这是IP互联网的第三项遗传性缺陷。
大一统网络交换机设备中的CPU不接触任何一个用户数据包,也就是说,整个网络只是在业务提供方和接收方的终端设备之间建立一条完全隔离和具备流量行为规范的透明管道。用户终端不管收发什么数据,一概与网络无关,从结构上切断了病毒和木马的生命线。因此大一统网络杜绝了网上的无关人员窃取用户数据的可能性,同理,那些黑客也就没有了可以攻击的对象。
用户之间的自由连接完全隔离,确保有效管理。IP互联网是自由市场,无中间人;而大一统网络则类似百货公司,有中间人。
对于网络来说,消费者与内容提供商部属于网络用户范畴,只是大小不同而已。IP互联网是个无管理的自由市场,任意用户之间可以直接通信。也就是说,要不要管理是用户说了算,要不要收费是单方大用户(供应商)说了算,要不要遵守法规也是单方大用户说了算。运营商至多收取入场费,要想执行法律、道德、安全和商业规矩,现在和将来都不可能。这是IP互联网的第四项架构上的顽疾。
大一统网络创造了服务节点的概念,形成有管理的百货公司商业模式。用户之间或者消费者和供货商之间严格禁止自由接触,一切联系都必须取得节点服务器的批准。这是实现网络业务有效管理的必要条件。有了不可逾越的规范,才能在真正意义上实现个人与个人之间、企业与个人之间、企业与企业之间,或者统称为有管理的用户之间的对等通信。
商业规则植入通信协议,确保盈利模式。IP互联网奉行先通信后管理的模式,大一统网络奉行先管理后通信的模式。
网上散布非法媒体内容,只有在造成恶劣影响后才能在局部范围内查封,不能防患于未然。法律与道德不能防范有组织、有计划的职业攻击,而且法律只能对已造成危害的攻击者实施处罚。IP互联网将管理定义为一种额外附加的服务,建立在应用层。因此管理自然成为一种可有可无的摆设。这是IP互联网第五项难移的本性。
大一统网络用户终端只能在节点服务器许可范围内的指定业务中选择申请其中之一。服务建立过程中的协议信令由节点服务器执行。用户终端只是被动地回答服务器的提问,接受或拒绝服务,不能参加到协议建立过程中。一旦用户接受服务器提供的服务,只能按照通行证规定的方式发送数据包,任何偏离通行证规定的数据包一律在底层交换机中丢弃。大一统网络协议的基本思路是实现以服务内容为核心的商业模式,而不只是完成简单的数据交流。在这一模式下,安全成为固有的属性,而不是附加在网络上的额外服务项目。当然,业务权限审核、资源确认和计费手续等,均可轻易包含在管理合同之中。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
