“把根留住”
2007-06-13李泽旭
李泽旭
中国是一个互联网大国,但不是一个互联网强国。这就意味着中国也必须在信息社会中抢占自己的主导权。
在信息、物质和能源三者成为当今人类社会赖以生存和发展的基本要素时,信息已经成为国家的重要战略资源,而信息安全理所当然地成为国家安全的重要控制环节。在网络已成为必需的现在,网络信息安全正是关乎政治、经济、军事、科技和文化的国家信息安全的核心,成为左右国家政治命脉、经济发展、军事强弱和文化复兴的关键因素。
谁控制了网络,谁掌握了信息,谁就拥有世界。
伊拉克"失踪"
2002年,美国与伊拉克交恶,一个与其后真刀真枪的血腥战斗场面同样震撼人们神经的事件发生在互联网上。2002年,美国政府冻结伊拉克的国家顶级域名.iq域名,解析被终止,伊拉克在互联网世界"消失"。
伊拉克是如何从网上"消失"的?5月17日,在负责中国国家域名CN域名解析的中国互联网络信息中心,助理主任刘志江向《新民周刊》记者作了一个详细分析,"我们在输入某个域名---例如新浪域名'www.sina.com.cn'时,实际上在'.cn'之后还有一个隐藏的层次,它的代表符号是'.',完整的域名应该是'www.sina.com.cn.',不输入这个'.',系统也会自动加上。这个'.'就是我们所说的根,根的作用是负责指向各个国家顶级域名或者通用域名。根的作用很关键,因为域名解析是层级的,如果一个用户的服务器发起了一个域名请求---如'www.sina.com.cn',第一步先会到根服务器那里去'问''.cn'在哪儿?根据根服务器的指示再去'问''.cn'服务器知不知道'.com.cn'在哪儿。'.com.cn'的服务器再会告诉'sina.com.cn'在哪儿。这样一级一级往下找,最终完成对域名'www.sina.com.cn'的解析才能登陆新浪的网页。如果将互联网比作一个人,那么各种各样的网站和网络应用好像人的肌肉和皮肤,数据通信线路及硬件设备则是人的骨骼,而域名解析系统就好比人的中枢神经。一个人的中枢神经系统出了问题,人就变成了没有知觉的植物人。
"当美国掐断对伊拉克国家顶级域名'.iq'的解析,所有对以'.iq'为域名的访问所需的域名解析全部从根上中断,伊拉克自然就在互联网世界'消失'了。这样伊拉克人上网,就基本上依赖美国管理的COM域名。对此感兴趣的机构,就能跟踪伊拉克人访问这些COM域名网站的信息,通过分析其访问行为、访问者的分布情况、访问量的统计等信息,能得到非常有价值的舆情导向等情报。"
中国互联网协会理事长胡启恒曾经说:中国是一个互联网大国,但不是一个互联网强国。这就意味着中国也必须在信息社会中抢占自己的主导权。
域名解析让互联网命悬一线,中国在这场主动权的争夺中,第一仗便是争夺域名解析和管理的主动权,CNNIC正是这一仗的领军人物。作为中国的域名管理机构,CNNIC为这一仗做了几个大动作:CNNIC成立前,史前英雄们将CN域名服务器从德国搬回中国,这是掌握国家域名主导权的前提;2003年,CNNIC开始探索出思路,以市场手段推广CN域名,拓宽国家域名应用,让中国互联网建立在中国平台上;2006年,CNNIC开通五大顶级节点,实行备灾管理,这是保障网络之根安全的基石。只要网站应用的是CN域名,就算全部国际线路中断,CNNIC也有应急措施保障其解析。
光缆断裂之痛
2006年12月27日,对于众多网民而言是一个灾难性的日子,由于受12月26日20时26分至27日12时台湾南部海域多次强烈地震影响,至少6条国际海底通信光缆断裂,造成国内网民访问国外网站故障。
由于无法正常访问国际网站,一些与国际域名相关的业务也暂时无法受理。其中包括注册、续费、信息修改等国际域名业务都暂停办理。这导致中国的.com域名注册者到期的域名无法正常续费,国内注册者约有9000多个.com域名被非正常删除。大量企业丢失的.com域名已经被海外域名投资人抢注。
这其中的关键原因在于---域名解析被中断。专家解释,中国网民访问.com等境外域名时,大量仍需要绕道国外进行解析,中美海底光缆断裂后,便发生解析通路问题。
事实上,中国海底光缆发生故障已不是第一次:2001年2月9日,中美海底光缆就曾被渔船走锚钩断,造成了通信中断,使大量.com域名无法访问,经抢修于2月22日恢复。这次台湾地震事故的发生更加重了.com域名的不安全因素,引发人们的思考。
在这次事故中,由我国自主管理的.cn域名由于在境内完成解析,显示出良好的稳定性和安全性,使得.cn域名受到了舆论的极大关注,在关注品牌保护和域名价值的同时,人们开始从国家信息安全的角度来看待.cn域名。
胡启恒院士在2007年全国两会期间提出,"出于对互联网信息安全方面的考虑,我提议把负责中国顶级域名.cn注册和运行管理的CNNIC纳入国家应急安全体系。这样的话,一旦出现紧急情况,国家就可以把已纳入应急体系的部分用特殊措施保护起来,否则,如果.cn数据库遭到攻击,互联网将不能运行。"
据胡启恒介绍,世界其他国家已经纷纷建立了各自的互联网应急安全体系。在美国,虽然负责.com域名运行管理的VeriSign(威瑞信)公司只是一个商业公司,但也被美国政府纳入了国家应急安全体系。一旦出现问题,美国政府可以立刻采取相应办法进行有效控制。据悉,我国有关部门也在考虑将CNNIC纳入国家应急安全体系,胡启恒希望这一进程能更快推进。
除了应付地震等突发事件外,胡启恒院士表示,重要单位网站的域名不在.cn下注册,将对我国信息安全构成重大隐患。从国家信息安全和经济安全的角度考虑,建议我国的网站,特别是政府、新闻、金融、证券等关系国计民生的重要网站,都注册、使用.cn域名。如果那些关系国计民生的重要网站注册了国外管理的域名,那么,我国网民的注册信息,以及对这些网站的访问行为、访问者的分布情况、访问量的统计和分布等关乎国家信息安全和经济活动的敏感信息,都很容易被国外对此感兴趣的机构得到,并进行跟踪分解,这不利于国家信息安全的维护。
有专家分析,二战期间,有人从公开新闻发布的信息当中经过收集、整理和分析就轻易获得了德国的军力部署等机密军事信息。试想一下,大量使用.com域名的中国用户的网上行为有多少本身就可以说是保密的信息,这些信息都被他国所监控和掌握是多么的可怕。举个例子来说,网民对某个以.com为域名的政府网站进行的访问突然出现异常,他国就可以在监测中获知这一舆情的异动,再将这一发生异常的时间段内政府的所有活动进行整理和分析,做出相应对外政策或行为的部署。如果这样的监测大量发生在政府、金融、军事等领域,那么我们的国家还有什么秘密可言?
值得欣喜的是,随着.cn域名在国内的大力推广,.cn正植入越来越多的人的心中,其注册量增长的规模效应正在显现。数据显示,截至2006年底,我国网民人数达到了1.37亿,域名总数也得到了显著的增加,其中,.cn域名总数已超过180万,与.com域名旗鼓相当。
根本安全要靠自己
即便我们拥有了越来越多的.cn域名用户,但是网络安全还是没有从"根"上解决。
中国人也一直在为此努力着。
2002年6月份,中国互联网协会第一届政策与资源工作委员会成立大会上,胡启恒就直陈ICANN的权力脆弱性。她指出:"ICANN并没有成为一个真正意义上的国际组织。如果美国要把ICANN撤销,另外找一个组织用另一套办法来做,这246个国家和地区对此事没有任何发言权。
2002年10月,时任联合国秘书长安南访问中国时,胡启恒也对安南建议,联合国应该考虑在互联网里头发挥作用。
"制约独裁是大多数国家共同的目标。"中国科学院计算机网络信息中心总工钱华林说。如果全球互联网根服务器仍由美国独家长期掌控,那全球任何以顶级域名为后缀的网站的网络安全就彻底掌握在美国手中,而登录这些网站的网民信息也有可能受到监控。这样,包括中国在内的所有国家所拥有的以顶级域名为后缀的网站均在美国的掌握之中。
各个国家的提议终于引起了美国强烈的反弹,2005年7月1日,美国政府在全球舆论的压力之下明确表示,美国商务部将无限期保留对13台域名根服务器的监控权,并称这一决定是"基于日益增长的互联网安全威胁和全球通信与商务对互联网的依赖"。
"美国硬是不交出管理权限,也没有哪个国家能够抢得过来"。因此,钱华林认为在一旦双方交恶的情况下,后缀名为顶级域名的网站很可能成为首先被攻击的目标,或被利用的对象。在这种情况下,他建议中国最重要的精力应该放在怎么保证互联网安全上,这就包括充分建立以.cn为后缀的顶级域名,和在中国建立"域名解析根镜像服务器"。
IPv6的机会
2006年12月14日,中国网通集团与美国威瑞信(VeriSign)公司在北京签署协议,在我国开通"根域名中国镜像服务器"。威瑞信是全球最大的互联网及通信智能化基础设施服务商,手中掌握有管理全球.com及.net等顶级域名的注册权。这意味着今后中国网民在访问任何以.com和.net为后缀的网站时不必再绕道美国,只需要在本土即可完成访问请求。如此一来,中国网民访问上述网站的速度不仅得到提升,网络信息的安全问题也在一定程度上得到解决。此次网通设立的镜像是中国的第三个镜像---J根镜像。此前中国分别于2003年和2005年获得F根镜像和I根镜像。
但是,Verisign公司在中国设立J根镜像服务器,并没有给予中方全部管理权限,服务器中的日志文件、程序文件仍然全部由Verisign直接管理。
中国科学院高能物理研究中心专家吴有根介绍说,Verisign可以通过根服务器镜像的访问日志,分析中国网民的访问信息以及各个网站,尤其是重要机构官方网站的访问特征。
吴有根说:"造成这种弊端的根本原因就是当前使用低版本互联网协议IPv4。"
第一代互联网在近10年里取得了迅猛发展,同时也造成了对IP地址的强大需求。而IPv4所能提供的IP地址数为"2的32次方"个,据相关数据显示预测,IPv4所能提供的IP地址将在2008年前全部用完。
正是IPv4在IP地址数量上的局限性给了下一代互联网发展良机,因为IPv6可提供的IP地址为无限数量个。目前IPv6尚未成形,而其继承和取代IPv4已成必然趋势,因此所有国家都积极参与研发,试图成为下一代互联网规则的制定者,进而从根本上保障自己国家的网络安全。
2002年8月,中科院计算机网络信息中心成功建立了试验性的IPv6域名系统根服务器,达到可向全球范围内的IPv6网络用户提供根服务器级的域名解析服务。此后,CNNIC承担的"基于IPv6域名根服务器研究"通过专家组鉴定和验收,表明中国已经掌握了自主建立、运行、维护和保障下一代互联网域名根服务器的关键技术。2005年8月,中国第一台IPv6无线路由器通过了鉴定。目前,中国已经建成了世界第一个、同时也是规模最大的纯IPv6网,并且与美国、欧洲和亚太地区的下一代互联网实现了高速互联。