年末歲初,一篇《拿數據來說話》的文章,稱贊IPv6“有更高的安全性”,“不僅能解決網絡地址資源數量的問題,而且也解決了多種接入設備連入互聯網的障礙”,“IPv6根服務器在中國已有4個,與其他國家的網絡節點是平等互聯的,根本不需要通過美國的根服務器”……云云。可是,就在前幾天,美國信息系統審計組織CISA(Certified Information Systems Auditor)發布警報,Treck公司開發的TCP/IP協議棧存在嚴重漏洞,如果被“武器化”,攻擊者可進行遠程控制并發動DOS攻擊。該安全漏洞TCP/IP(Track 版本6.0.1.67及之前的版本)直接影響HTTP(Hyper Text Transfer Protocol,超文本傳輸協議)、IPv6(Internet Protocol Version 6,因特網協議第6版)、DHCPv6(Dynamic Host Configuration Protocol v6,動態主機配置協議v6)。再進一步,受TCP/IP協議棧漏洞安全影響最大的,將是遍布各行各業的各種PLC可編程控制器。本源(桶底)漏了,還能存米、儲物、容水嗎?因特網全面接入中國公眾網絡進入27個年頭了,不知道中國的因特網特別是IPv6“專家”們,有幾位讀過或熟悉因特網協議棧的源代碼,有幾位了解美軍研發并指定因特網基于TCP/IP形成的協議棧的結構、規范與路徑?有幾位能向全國網信從業人員、監管人員和網民說清楚,因特網協議棧是怎樣強制性制約和誘惑性引導生產廠家、運營服務商、科研人員、監管人員,圍著TCP/IP構成的利益鏈打轉轉、轉圈圈的?《拿數據來說話》列舉的IPv6特點,都只是應用層的表像,而有的特性已經在規模化、系統化的網絡實際環境生態的實踐中,被驗證(證偽與試錯)不可行、不真實、不穩定、不科學。有關部門和運營商,應當實事求是地進行審計和總結,向黨、國家和人民公布三年來“規模部署IPv6”實驗和驗證的真實情況。以偏概全,回避真相,壓制問題,用片面的觀點看待整體問題,很容易導致迷失方向、固步自封、逆勢而動。協議棧是協調網絡應用層、表示層、會話層、傳輸層、網絡層、數據鏈路層、物理層,7個邊界清晰的開放分層系統的軟件庫。因特網的協議棧(軟件庫),就是美國為全球因特網用戶定制TCP/IP協議的中心,只可順其自然,不可自作主張。它曾促進了因特網的普及和深入,它也是因特網安全漏洞層出不窮的源頭,它更是阻礙未來網絡創新發展的根本。請注意,IPv6協議本身并不能解決任何安全問題,網絡安全威脅主要來自于網絡供應鏈設施、設備的漏洞和后門,來自協議棧(軟件庫)的源代碼。實際上,2020年6月份就發現和公布了TCP/IP協議棧的安全漏洞, CISA最近才明確警告漏洞影響的是IPv6、DHCPv6……為什么?顯然,IPv6的安全不僅關系因特網供應鏈、需求鏈的安全(協議棧和協議族),而且與因特網的生存發展前景密切相關、相互依存,存在著難以預知的深層次風險和巨大隱患。美國大選中發生的“太陽風”安全事件的調查分析表明,網信服務也是供應鏈安全中不可或缺的關鍵環節。設想,如果每個單位(甚至每個網民)都去下載TCP/IP的補丁(開源軟件包),很可能遭遇源代碼的二次“污染”,或成為大規模入侵網信空間的“帶路人”。那時,“各掃門前雪”或“約定俗成”的“安全”誤導意識,本身就是開放的安全漏洞!重要提醒,IPv6端到端的服務,將可能為上述“人人下載”TCP/IP補丁提供便利。盡管美國行政管理局在2020年11月19日簽發了關于全面過渡到IPv6協議的備忘錄(M-21-07),備忘錄中強調指出:“部署IPv6過程中,最大的威脅就是專業操作知識的缺乏。IPv6作為新協議,很多實施過程中的Bug(漏洞)還未被發現和修復,且很少有人具備安全運行IPv6網絡所需的專業安全知識。” CISA剛發出不久的警報,再一次明確指出了IPv6存在和潛在的協議棧漏洞的系統性不安全。同時,CISA警告,美國國土安全部(DHS)不提供任何類型的保證。全球網信業界包括美國的科研人員早已洞察源代碼漏洞、后門的嚴重危害性、潛在威脅性,針對因特網協議棧進行了大量的反思、革新乃至顛覆性創新的探索。華為牽頭、中國三大運營商和中國信息通信研究院參與的New IP探索,以及原信息產業部組建的十進制網絡標準工作組的知識產權研發成果等,都是我國網信業界積極創新的重要亮點。美國軍方和一些國家的ATM(Asynchronous Transmission Mode)電路交換(Circuit Switch)專用網絡,早就可以與采用TCP/IP協議的包交換網絡并存。美國因特網工程任務組(IETF),2017年7月就廢除了1998年制訂的“IPv6草案”及“下一代IPng(過渡)計劃”。而在中國,怎么能罔顧事實,不講科學,非要將“規模部署IPv6”或“純IPv6”進行到底?有些人既不從基礎理論入門,又不從協議棧的本源創新起步,沒有任何創新設計和規劃,硬著頭皮、拍著腦袋依葫蘆畫瓢,非要不惜代價地(耗費中國人民創造的財富)蓋一座美國的“中國IPv6大廈”。這樣做,究竟出于什么動機和目的?
在我國,隱瞞事實真相,掩耳盜鈴裝糊涂、假糊涂、蒙混過關、以權謀私者,大有人在。我國長期忽略對因特網的基礎研究,過度迷信和依賴美國畫好“圈”的協議棧和協議族,盲目崇拜“開源”協議的“安全”假設或“理想”認定,悖逆科學真諦,違背創新精神,導致重大的網信戰略失策和安全失誤。
“十四五”是堅定不移地建設網絡強國、數字中國的重大關鍵奮斗期,是我國網信領域堅持維護國家主權、安全、發展利益,奠定新發展格局、開創新發展局面的決戰決勝拼搏期,我們決不能再松勁、再讓渡、再后退了!
(作者系昆侖策研究院高級研究員、中國移動通信聯合會國際戰略研究中心主任、浙江省北斗未來網際網絡空間研究院首席研究員;來源:昆侖策網【原創】,修訂稿)
【本公眾號所編發文章歡迎轉載,為尊重和維護原創權利,請轉載時務必注明原創作者、來源網站和公眾號。閱讀更多文章,請點擊微信號最后左下角“閱讀原文”】
【昆侖策研究院】作為綜合性戰略研究和咨詢服務機構,遵循國家憲法和法律,秉持對國家、對社會、對客戶負責,講真話、講實話的信條,追崇研究價值的客觀性、公正性,旨在聚賢才、集民智、析實情、獻明策,為實現中華民族偉大復興的“中國夢”而奮斗。歡迎您積極參與和投稿。
電子郵箱:gy121302@163.com
更多文章請看《昆侖策網》,網址:
http://www.kunlunce.cn
http://www.jqdstudio.net
特別申明:
1、本文只代表作者個人觀點,不代表本站觀點,僅供大家學習參考;
2、本站屬于非營利性網站,如涉及版權和名譽問題,請及時與本站聯系,我們將及時做相應處理;
3、歡迎各位網友光臨閱覽,文明上網,依法守規,IP可查。
