雷鋒網(wǎng)消息，因為擔心第六版互聯(lián)網(wǎng)協(xié)議（IPv6）可能危及網(wǎng)絡安全，美國政府可能要搞一場萬物互聯(lián)新時代的全民教育。一星期前，美國商務部與國土安全部公布了一份網(wǎng)絡安全報告的草案，建議美國政府資助一場提高全民物聯(lián)網(wǎng)安全意識的運動，讓網(wǎng)絡安全成為未來學生獲得工程學學位的必修內(nèi)容。

這份長達38頁的報告題為《面對僵尸網(wǎng)絡和其他自動化分布式攻擊威脅，提高互聯(lián)網(wǎng)和通信生態(tài)系統(tǒng)的抗打擊能力》。這份報告應去年5月特朗普簽署的行政令指示而誕生。此前多次嘗試均半途而廢，報告定稿后，它將和其他多份文件一道遞交特朗普審批。

整體來看，這份報告寫得很不錯：它簡單直白，明確了美國政府、行業(yè)和消費者當前面臨的網(wǎng)絡安全問題，就像題目揭示的那樣，重點放在僵尸網(wǎng)絡。它既沒有掩蓋問題，也沒有夸大某些網(wǎng)絡安全威脅或者輕視其他威脅。一言以蔽之，它是那種草擬得專業(yè)的政策文件。盡管公務員隊伍里有些干擾的噪音和無知的言論，政府仍然草擬了這樣一份專業(yè)文件。這真是幸事。

報告只有一個突出的問題：它并未反映美國政府內(nèi)部的爭斗，政府機構(gòu)之間在爭奪互聯(lián)網(wǎng)安全和物聯(lián)網(wǎng)事務的領導權(quán)。

另外，報告還有這類文件常見的毛?。汉芏嗾嬲慕ㄗh都有點含糊其辭，比如要“確定一條明確的道路，發(fā)展為一個有適應能力、有持續(xù)性又安全的技術市場”，或者“推動創(chuàng)新”、“建立聯(lián)盟”，應該實現(xiàn)哪些重要的“目標”。

由于報告對相關行業(yè)秉持不干預的傳統(tǒng)做派，加之互聯(lián)網(wǎng)的決策權(quán)事實上主要掌握在私營企業(yè)手中，美國商務部和國土安全部能切實拿出的行動少之又少。但報告的確厘清了問題所在，并闡明了解決問題的最佳對策。

消費者無罪

報告承認，即使消費者在商家購買了設備，又將這些設備聯(lián)入家用無線網(wǎng)絡，也不能、不該指望他們?yōu)檫@些設備的網(wǎng)絡安全負責。這也許報告最有用的內(nèi)容。

報告給予物聯(lián)網(wǎng)市場準確的定位，稱物聯(lián)網(wǎng)設備“很像上世紀90年代的臺式機電腦”，安全性很差。

報告寫道：

“物聯(lián)網(wǎng)設備往往缺乏側(cè)重于安全的特色功能。這些系統(tǒng)現(xiàn)在成為對不法分子最有吸引力的攻擊目標，（物聯(lián)網(wǎng)）設備在生態(tài)系統(tǒng)占比很大，并且越來越大。”

報告還說：

“實際上，消費者并沒有直接受到設備被攻擊的影響，他們可能永遠不知道（自己的）設備淪為僵尸網(wǎng)絡的一部分。從消費者的角度看，網(wǎng)絡攝像頭還在正常播放視頻，冰箱還在制冷（，一切正常）。”

“基于這個原因，一旦設備被僵尸網(wǎng)絡利用，讓設備的真正所有者負責是不現(xiàn)實的?，F(xiàn)在被（僵尸程序）感染也看不到什么明顯的影響。因此，如果要鼓勵消費者采取行動增強安全措施，比如升級那些可以升級的設備，就存在困難?！?/p>

雷鋒網(wǎng)發(fā)現(xiàn)，這些看法對物聯(lián)網(wǎng)專業(yè)人士來說不算新聞，難得的是，一份美國政府的報告能清晰闡述問題，一針見血地切中要害。

報告指出，對于保證物聯(lián)網(wǎng)安全，軟件和硬件安全系統(tǒng)升級以及類似做法很有效，可問題是，很少有公司和個人真正這樣做?？紤]到這點，報告和這些年不少人的觀點一樣，也認為需要讓設備自帶安全預防措施，比如自動進行安全系統(tǒng)升級。

報告認為：

“理想的做法是，向消費者推廣那些應該內(nèi)置安全系統(tǒng)的設備。消費類產(chǎn)品應該盡可能基于安全角度設計，應該納入自動更新安全系統(tǒng)的機制，應該幾乎沒有對（用戶）管理產(chǎn)品提出什么要求?！?/p>

制定基準

美國政府不會給行業(yè)強加什么規(guī)定。因此報告認為，可能政府要與企業(yè)合作，對于“家用和工業(yè)應用的物聯(lián)網(wǎng)設備”，共同制定一套“普遍接受的基準安全配置?！眻蟾孢€提議，美國政府利用自身重要采購方的角色，“對美國政府環(huán)境的物聯(lián)網(wǎng)設備采用基準安全配置，以此加快普及安全配置的進程?！边@聽起來是高明的一步棋，在域名系統(tǒng)安全擴展（DNSSEC）和IPv6這類技術上能起到一定作用。

而報告最面向大眾的建議也許就是，由政府出資，贊助一項針對物聯(lián)網(wǎng)安全的宣傳活動，提高消費者這方面的安全意識。報告稱：

“聯(lián)邦政府應該開展一場提高公眾意識的運動，支持公眾認識并采用家用物聯(lián)網(wǎng)設備安全配置，用相關品牌產(chǎn)品。”

在此后的內(nèi)容中，報告還力薦政府對相關研發(fā)加大投入，“支持科研進步，包括預防和緩解分布式拒絕服務攻擊（DDoS）和防止制造僵尸網(wǎng)絡的基礎技術?！?/p>

談到IPv6，報告有點擔心這種網(wǎng)絡安全的新協(xié)議廣泛采用可能產(chǎn)生負面影響。

IPv6將賦予每個設備一個IP地址，所以可能讓數(shù)百萬新設備容易遭到攻擊和黑客入侵。從這個角度看，用IPv4和網(wǎng)絡地址轉(zhuǎn)換（NAT）可能營造更安全的環(huán)境，因為這兩種方式都基于單一的IP地址排布設備。

報告并不是主張抵制使用IPv6。事實上，報告還贊成，為了更快推進應用，要給予互聯(lián)網(wǎng)服務供應商激勵。但報告的確建議，調(diào)查“IPv6廣泛應用的影響，看到應用廣泛到何種程度，就能改變網(wǎng)絡攻擊和防御的經(jīng)濟意義?！?/p>

擔憂與希望并存

應用IPv6的一個好處是，消費者會更容易發(fā)現(xiàn)哪部設備被攻擊了?？墒菆蟾嫣岬搅嗣麨镸irai的物聯(lián)網(wǎng)僵尸網(wǎng)絡。它對攻擊IPv6支持的物聯(lián)網(wǎng)特別有效，因為它攻擊的是那些有自身IP地址的設備（通常是網(wǎng)絡攝像頭）。相反，“NAT工具可以充當意外（攻擊的）防火墻，避免那些家用設備被傳播惡意軟件的批量掃描工具直接接觸，進而大范圍被惡意軟件感染?！?/p>

報告甚至深入探討了范圍擴大的域名空間：

“理論上說，IPv6的地址空間相當大，現(xiàn)有工具無法掃描，但專家注意到一些模式，它們可以通過新的掃描技術找到哪些設備不堪一擊?！?/p>

那么，該用什么解決方法？報告認為，應該把研究的側(cè)重點放在“深化網(wǎng)絡前沿創(chuàng)新”上。

報告里還有很多觀點、建議和主張。大部分表述都用了“應該”這個詞，這一定程度上降低了采取行動的緊迫感，可是有一條建議沒有用“應該”。它提出，保證下一代工程師接受網(wǎng)絡安全培訓。網(wǎng)絡安全無疑是目前一項至關重要的技能。

報告稱：

“學術機構(gòu)在與美國國家網(wǎng)絡安全教育計劃合作，他們應該將（網(wǎng)絡安全）確立為攻讀一切工程學學科的基本要求內(nèi)容?！?/p>

這份報告上周末發(fā)布，其中有不少好提議，以上只是冰山一角。從現(xiàn)在起到今年2月12日，大概一個月多一點時間都是報告的公眾評議期（任何看法可以發(fā)送電郵到地址：Counter_Botnet@list.commerce.gov）。如果你對報告提到的任何內(nèi)容深有感觸，現(xiàn)在就是讓美國政府知道的好時候。

雷鋒網(wǎng)VIA  theregister

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。