互联网安全防卫新趋势

美国《信息世界》2007年9月14日

　　为确保互联网安全，首先的问题是匿名验证。从硬件系统开始，用户必须使用网络验证设置。如果没有验证监督，恶意的黑客便会肆无忌惮。

　　当然，该办法也不是十全十美。有人担心，即使使用这种思路防范侵扰，还是可能损失机密文件。实际上，最大的障碍在于，必须升级几乎全部的软件和硬件系统。目前，电脑的发展模式还难以满足该办法带来的革命性变化的要求。

　　在互联网通讯中，我们需要的是“环形拓扑结构”(Ring)。在电脑操作系统环境下，环形拓扑结构实际上已经运用了不下十年。Ring 0是把网络上所有结点通过电缆一次联结成一个封闭的物理环，各节点间采用点对点连接。在操作系统环境下，Ring 0有特定的运行代码。现在，多数系统使用的版本已经升级到Ring 3，也叫使用者模式。不过，带有保护性功能的拓扑设计方式需要配备先进的CPU和其他设备。

　　Internet浏览器甚至已经将这个概念引入浏览器领域。在可定制安全设置支持下，该系统服务于五个安全区：局部地区计算机、信任站点、企业内部互联网、国际互联网和限制区网络。这种模式下，一个网络页面和IP地址只能在一个时间指向一个区域。网络管理控制(NAC)技术和微软的网络接入保护(NAP)技术实际上使用的是相似的原理。在没有验证的条件下，每一个未经证实的代码都不能进入保护性安全监测系统。

　　这种方法超越了NAP/NAC二元防卫模式，是拓扑补充型安全策略新的发展方向。实质上，任何一个用户和电脑要想采用高水平的安全结构，都需要运用高等级的安全拓扑模式。这种结构需要得到验证硬件、唯一IP地址、验证导入序列、操作系统验证、验证软件和无差错网络通讯等要素的配合。对于级别较低的电脑，恐怕只能采用低等防卫措施了。