国际电信联盟(ITU,以下简称“国际电联”)6月7日在其网站上成功设置了互联网安全标准在线指南,以此,通过互动方式向服务商、研究设计人员等公众提供有关网络安全标准的信息。
目前互联网的安全问题日益严峻,因此,这部指南的意义是显而易见的,它试图从底层开始,为下一代互联网描绘一个安全的蓝图。
安全催生指南
这部在线指南全名为《信息与通信技术安全标准路线图》(ICT Security Standards Roadmap,以下简称《指南》),它是国际电联与欧洲网络和信息安全机构合作的成果。该在线指南包括信息与通信技术领域标准化机构及其活动、已被有关部门批准的信息和通信技术安全标准、正在制订的相关标准、未来需求以及计划制订的安全标准共五部分内容。只要进入国际电联的网站,在搜索框中键入上述英文名就能找到该指南。
国际电联称,改善网络安全十分重要,网上金融诈骗、病毒攻击等互联网犯罪行为都会给网络用户带来严重的经济损失。国际电联的官员说,现在需要恢复人们对于通信系统稳定性和可靠性的信心,因此,有必要首先实现网络安全规定的标准化。
这说明,国际电联承认安全已经成为目前互联网的首要问题。这也说明,国际电联开始从电信的角度,从网络底层,自下而上地制定一个安全标准。那么,我们自然而然就会产生这样的疑问:这到底有没有可能?
指南包罗万象
要想回答这个问题,我们首先要弄明白,《指南》里到底有什么?
《指南》共有五部分内容:第一部分介绍了ICT标准开发组织和他们的工作,第二部分介绍了认可的ICT安全标准,第三部分介绍了安全标准扩展,第四部分介绍了适应未来需要的新安全标准,第五部分介绍了实践方面的内容。
第二部分和第三部分当属《指南》的核心内容。在第二部分里,介绍了ICT安全标准概要、安全体系模型与框架、安全管理标准和指导文档、安全策略和策略原理、安全评估和评价标准、基线安全需求、入侵检测、安全服务、安全原理、网络安全、传输层安全、应用层安全、安全协议规范、安全消息传输、PKI和目录标准、灾难恢复、下一代网络以及特定行业的安全标准,如多媒体安全、安全信号、安全与服务、传真、移动、人造卫星、取证等内容。
在第三部分的安全标准扩展部分中,介绍了NGN的鉴别和KEY管理框架,网络安全策略的建立、存储、分配和强制执行框架,间谍/欺诈软件,网络操作系统安全框架,垃圾邮件的技术鉴别标准等数十个主题。
从《指南》的内容里我们可以看到,从最上层的安全架构,到与电信和通信技术相关的传输层,再到特定行业,如卫星、电视信号等,可谓一部史诗般的安全标准,在安全扩展部分中,则对具体的互联网应用的安全性进行了规范,如间谍/欺诈软件、垃圾邮件等问题。这部标准汇集了180多个国家技术精英的集体智慧,试图为当今的网络加上一道坚固的防线。
标准化安全
纵观目前的互联网,安全已经突显为头等问题,由安全事件引发的信任危机比比皆是,而依靠传统的纯技术化的安全技术标准,显然已经不能解决问题。多种加密技术、多种信息安全保障技术仍然不能保证服务提供商、运营商以及最终客户的安全,网上金融诈骗、病毒攻击等事件,几乎每天都有发生。
受害者感到现有法律的无奈,一些遭受损失的用户即使是报案、投诉,也无法得到很好地处理。而对于执法者来说,它们更有难言之隐,一方面是相关的法律规定很少;另一方面,即使是有相关的法律条目约束,但是,由于没有安全标准,取证成了大问题,最终导致不了了之。
网络安全方面案件的无法可依是目前网络执法的软肋,这也是造成今天网络安全局面混乱的原因之一,而《指南》就像一部乱世之治的“汉谟拉比”法典。据国际电联的官员称,这次《指南》的出台,就是要实现网络安全规定的标准化,从而恢复人们对于通信系统稳定性和可靠性的信心。
指南忧思录
标准来了,不安全因素走了,倘若真的能够如此,那自然是好事。笔者一点都不担心《指南》的含金量和完备性,笔者担心的是《指南》是否真得能够解决问题。
首先是《指南》推行的力度。人们一点儿都不怀疑ISO制定的网络七层协议的科学性,而且,今天各种关于网络的产品和技术都是以这七层为蓝本进行诠释的,但实际上,TCP/IP却成了互联网的主流协议。这其中的一个重要原因就是,网络七层协议是从理论的角度来规定互联网的传输,但在实际应用中,却没有考虑到网络传输的效率,最终导致了TCP/IP的风行。
由此可以推论,如果《指南》只是一些技术专家从理论的角度为当今网络规划的安全防线的话,那么,很有可能,这些理论在现实的应用中会表现出先天的不适应性,从而导致无人遵守;另一方面,如果《指南》的推行力度不够大,就会面对来自各方面的抵触,因为安全就意味着不方便,而适应一件新事物也需要一定的时间,最终只能导致《指南》流于形式。
其次,任何一次试图以完备的安全模型来解决一切安全问题的想法在现实中都遭到了失败。因为从理论上来说,安全问题可以自上而下地建立模型,但是在现实中,安全只能是自下而上地逐个地解决问题。
当然,这并不代表安全模型和安全标准一无是处。但是,可以肯定的是,任何标准都不是灵丹妙药,不能包治百病,它只是提供了一个参考、一个导航,具体到某个安全问题的解决,还要依靠工程化的解决方法。因此,《指南》只是一部案头参考,绝不是网络安全的圣经。
链 接:关于国际电信联盟(ITU)
国际电信联盟(ITU)成立于1865年5月17日,是世界各国政府的电信主管部门之间协调电信方面事务的一个国际组织。
ITU现有189个成员国,总部设在日内瓦。1989年,ITU成立了高级委员会,委员会明确规定了国际电信联盟的六项职能,即标准化职能、管理职能、发展职能、组织电联会议、总秘书处协调职能和把握变化中的电信环境。1973年,中国被选为ITU理事国。
ITU的宗旨是维持和扩大国际合作,以改进和合理地使用电信资源;促进技术设施的发展及其有效地运用,以提高电信业务的效率,扩大技术设施的用途,并尽量使公众普遍利用;协调各国行动,以达到上述目的。
原来,ITU有全权代表会、行政大会、行政理事会和四个常设机构—总秘书处,国际电报、电话咨询委员会(CCITT),国际无线电咨询委员会(CCIR)和国际频率登记委员会(IFRB)。CCITT和CCIR在ITU常设机构中占有很重要的地位,随着技术的进步,各种新技术、新业务不断涌现,它们相互渗透,相互交叉,已不再有明显的界限。
ITU目前有电信标准部门(TSS,即ITU-T)、无线电通信部门(RS,即ITU-R)和电信发展部门(TDS,即ITU-D)共三个部门。