美国政府发布网络安全报告，呼吁全民普及物联网风险

雷锋网消息，因为担心第六版互联网协议（IPv6）可能危及网络安全，美国政府可能要搞一场万物互联新时代的全民教育。一星期前，美国商务部与国土安全部公布了一份网络安全报告的草案，建议美国政府资助一场提高全民物联网安全意识的运动，让网络安全成为未来学生获得工程学学位的必修内容。

这份长达38页的报告题为《面对僵尸网络和其他自动化分布式攻击威胁，提高互联网和通信生态系统的抗打击能力》。这份报告应去年5月特朗普签署的行政令指示而诞生。此前多次尝试均半途而废，报告定稿后，它将和其他多份文件一道递交特朗普审批。

整体来看，这份报告写得很不错：它简单直白，明确了美国政府、行业和消费者当前面临的网络安全问题，就像题目揭示的那样，重点放在僵尸网络。它既没有掩盖问题，也没有夸大某些网络安全威胁或者轻视其他威胁。一言以蔽之，它是那种草拟得专业的政策文件。尽管公务员队伍里有些干扰的噪音和无知的言论，政府仍然草拟了这样一份专业文件。这真是幸事。

报告只有一个突出的问题：它并未反映美国政府内部的争斗，政府机构之间在争夺互联网安全和物联网事务的领导权。

另外，报告还有这类文件常见的毛病：很多真正的建议都有点含糊其辞，比如要“确定一条明确的道路，发展为一个有适应能力、有持续性又安全的技术市场”，或者“推动创新”、“建立联盟”，应该实现哪些重要的“目标”。

由于报告对相关行业秉持不干预的传统做派，加之互联网的决策权事实上主要掌握在私营企业手中，美国商务部和国土安全部能切实拿出的行动少之又少。但报告的确厘清了问题所在，并阐明了解决问题的最佳对策。

消费者无罪

报告承认，即使消费者在商家购买了设备，又将这些设备联入家用无线网络，也不能、不该指望他们为这些设备的网络安全负责。这也许报告最有用的内容。

报告给予物联网市场准确的定位，称物联网设备“很像上世纪90年代的台式机电脑”，安全性很差。

报告写道：

“物联网设备往往缺乏侧重于安全的特色功能。这些系统现在成为对不法分子最有吸引力的攻击目标，（物联网）设备在生态系统占比很大，并且越来越大。”

报告还说：

“实际上，消费者并没有直接受到设备被攻击的影响，他们可能永远不知道（自己的）设备沦为僵尸网络的一部分。从消费者的角度看，网络摄像头还在正常播放视频，冰箱还在制冷（，一切正常）。”

“基于这个原因，一旦设备被僵尸网络利用，让设备的真正所有者负责是不现实的。现在被（僵尸程序）感染也看不到什么明显的影响。因此，如果要鼓励消费者采取行动增强安全措施，比如升级那些可以升级的设备，就存在困难。”

雷锋网发现，这些看法对物联网专业人士来说不算新闻，难得的是，一份美国政府的报告能清晰阐述问题，一针见血地切中要害。

报告指出，对于保证物联网安全，软件和硬件安全系统升级以及类似做法很有效，可问题是，很少有公司和个人真正这样做。考虑到这点，报告和这些年不少人的观点一样，也认为需要让设备自带安全预防措施，比如自动进行安全系统升级。

报告认为：

“理想的做法是，向消费者推广那些应该内置安全系统的设备。消费类产品应该尽可能基于安全角度设计，应该纳入自动更新安全系统的机制，应该几乎没有对（用户）管理产品提出什么要求。”

制定基准

美国政府不会给行业强加什么规定。因此报告认为，可能政府要与企业合作，对于“家用和工业应用的物联网设备”，共同制定一套“普遍接受的基准安全配置。”报告还提议，美国政府利用自身重要采购方的角色，“对美国政府环境的物联网设备采用基准安全配置，以此加快普及安全配置的进程。”这听起来是高明的一步棋，在域名系统安全扩展（DNSSEC）和IPv6这类技术上能起到一定作用。

而报告最面向大众的建议也许就是，由政府出资，赞助一项针对物联网安全的宣传活动，提高消费者这方面的安全意识。报告称：

“联邦政府应该开展一场提高公众意识的运动，支持公众认识并采用家用物联网设备安全配置，用相关品牌产品。”

在此后的内容中，报告还力荐政府对相关研发加大投入，“支持科研进步，包括预防和缓解分布式拒绝服务攻击（DDoS）和防止制造僵尸网络的基础技术。”

谈到IPv6，报告有点担心这种网络安全的新协议广泛采用可能产生负面影响。

IPv6将赋予每个设备一个IP地址，所以可能让数百万新设备容易遭到攻击和黑客入侵。从这个角度看，用IPv4和网络地址转换（NAT）可能营造更安全的环境，因为这两种方式都基于单一的IP地址排布设备。

报告并不是主张抵制使用IPv6。事实上，报告还赞成，为了更快推进应用，要给予互联网服务供应商激励。但报告的确建议，调查“IPv6广泛应用的影响，看到应用广泛到何种程度，就能改变网络攻击和防御的经济意义。”

担忧与希望并存

应用IPv6的一个好处是，消费者会更容易发现哪部设备被攻击了。可是报告提到了名为Mirai的物联网僵尸网络。它对攻击IPv6支持的物联网特别有效，因为它攻击的是那些有自身IP地址的设备（通常是网络摄像头）。相反，“NAT工具可以充当意外（攻击的）防火墙，避免那些家用设备被传播恶意软件的批量扫描工具直接接触，进而大范围被恶意软件感染。”

报告甚至深入探讨了范围扩大的域名空间：

“理论上说，IPv6的地址空间相当大，现有工具无法扫描，但专家注意到一些模式，它们可以通过新的扫描技术找到哪些设备不堪一击。”

那么，该用什么解决方法？报告认为，应该把研究的侧重点放在“深化网络前沿创新”上。

报告里还有很多观点、建议和主张。大部分表述都用了“应该”这个词，这一定程度上降低了采取行动的紧迫感，可是有一条建议没有用“应该”。它提出，保证下一代工程师接受网络安全培训。网络安全无疑是目前一项至关重要的技能。

报告称：

“学术机构在与美国国家网络安全教育计划合作，他们应该将（网络安全）确立为攻读一切工程学学科的基本要求内容。”

这份报告上周末发布，其中有不少好提议，以上只是冰山一角。从现在起到今年2月12日，大概一个月多一点时间都是报告的公众评议期（任何看法可以发送电邮到地址：Counter_Botnet@list.commerce.gov）。如果你对报告提到的任何内容深有感触，现在就是让美国政府知道的好时候。

雷锋网VIA  theregister