【续前：牟承晋丨重磅！网络空间安全若干关键问题辨析（上）】

目录

一、各国网络应用之上安全阴霾沉重

二、网络安全(Network security)与网络安全(Cyber security)

三、深网系统(Deep Web)、暗网系统(Dark Web)与暗网网络(Dark Net)

四、域名服务器(Domain Name Server，DNS)应用安全与我国电子政务外网域名应用安全现状

三、深网系统(Deep Web)、暗网系统(Dark Web)与暗网网络(Dark Net)

这并不是新近出现与发生的一组网络专用术语和词汇，而是自因特网问世以来就固有存在的网络事实。我国的网络主管部门、网络信息安全执法部门、主流媒体和网络信息业界，长期以来对此并未给予足够的重视，并未对网民、国民、公务员和青少年进行实事求是地介绍、教育、宣传和真情披露。我国的某些网络“权威”也刻意回避、极少提及，更不在公众场合大谈“网络安全”时提示大家：深网+暗网时时刻刻环绕在我们的身边!

恰恰是这一组抢眼的深网系统、暗网系统和暗网网络的网络术语揭示的网络真相，让我们能够对网络主权和安全保持清醒的头脑、认识和视野。

1、明网、深网和暗网的归纳

凡是能够通过公众皆知的搜索引擎访问和链接的网站及其内容，构成了明网系统。

在因特网上，不能通过常规搜索引擎访问和链接的专属局域网及其内容，构成了在我国通常被称为专网、内网的深网系统。如党政专(内)网、高校校园专(内)网、金融专(内)网、公安专(内)网等等。深网内容的规模是明网的500倍以上。美国人口普查局(USCB)、美国证券交易委员会(USSEC)、美国专利商标局(USPTO)等都建立了各自的深网系统。

暗网是深网的一部分，其内容被人为刻意隐藏，需要使用特殊的软件(如TOR)才能访问。暗网网络(Dark Net)是叠加在电信网络之上可以隐瞒真实通信身份的私有网络;暗网系统(Dark Web)是暗网网络(Dark Net)所承载的匿名交互和隐藏服务的网站及内容。

一般性归纳

2、深网+暗网是威胁网络安全的主流

当前，因特网网站及内容，明网系统=4%，深网系统+暗网系统=96%。

显然，网络安全管理和治理的重中之重在于深网系统+暗网系统。深网系统得不到有效的安全、稳定扼制，成天鼓动游弋于明网系统的公众网民和用户打补丁、堵漏洞、升级操作系统，除了让大家掏腰包、有益于商业炒作，对网络安全根本性管治的有效作用究竟能有几何?

请看两个案例：

1)2015年12月20日，美国德克萨斯州一位独立的网络安全研究工程师在寻找网络外泄信息时发现，1.91亿美国选民的信息数据库在因特网被曝光。经过多个美国联邦政府部门的协同处置，该数据库在12月28日被从因特网删除。目前，导致这个重大安全事件的深层次原因尚未确定。

2)截止2015年，社交编程及代码托管网站GitHub已经有超过900万注册用户和2110万个代码仓库，事实上已经成为世界上最大的代码存放网站。GitHub同时提供付费账户和免费账户，两种账户都可以创建公开的代码仓库，付费账户也可以创建私有的代码仓库;GitHub允许个人和组织创建和访问代码库，并提供方便社会化软件开发(Social Coding)的功能，包括允许用户跟踪其他用户、组织、软件库的动态，对软件代码的改动和缺陷提出评论等;GitHub是利用Git进行版本控制、专门用于存放软件代码与内容的共享虚拟主机服务，也提供图表功能，用于显示开发者们怎样在代码库上工作以及软件的开发活跃程度。我国多家银行在用系统的源代码和文档被泄漏，就是从搜索深网过程中先发现线索，再从GitHub中进一步查找获取的。

现在，我国对GitHub的安全防范和抗御能力怎样了呢?还有没有其它类似GitHub的危及我国金融系统安全的网站存在并活跃着?我们又是怎样的防范与抗御的呢?网络公众用户是不是应该有充分的知情权?

3、暗网是怎样算计网络安全的

1)以下是暗网系统的“洋葱路由”图示：

2)以下是暗网系统形成的交易平台效应图示：

内容包括：恐怖活动、毒品走私、武器买卖、儿童色情、恶意软件、黑客牟利、…，分享传播范围极广、速度极快。

3)2016年使用暗网网络TOR的统计：

4)暗网网络与域名系统DNS的本源关系示意：

去中心化的域名体系，可能改变甚至颠覆传统的DNS架构体系。

——“识别技术的创新”，ICANN，2014-2-21

以上图示示意，一目了然。

明网之下，暗网像是一层一层的洋葱皮，越往里扒越是呛鼻刺眼，所有看不见、摸不着、深藏在明网之下的不安全因素，都蛰伏在洋葱路由之中。

所有的网上交易，包括数字货币、电子商务交易，都是运行、环绕、藏匿在暗网系统中的隐蔽行为。

2016年，在使用第二代暗网网络洋葱路由TOR的全球排名前十位的国家(美国、俄罗斯、伊朗、巴西、英国、德国、土耳其、法国、印度、中国)中，每天用户超过2.2亿。

支撑暗网网络和系统的本源，是可替代的、异类的因特网域名解析核心枢纽DNS，换句话说，DNS解析系统既是因特网通信的中枢，也是危及因特网安全的结构性关键、根本所在。

四、域名服务器(Domain Name Server，DNS)应用安全与我国电子政务外网域名应用安全现状

一方面，域名服务器DNS提供了从因特网域名到因特网 IP 地址的查询转换服务，是终端系统和用户访问各种因特网应用所必须的基础服务，被视为整个因特网的入口。另一方面，递归域名服务是终端系统和用户访问整个域名空间的入口，所有的域名查询都需要通过递归域名服务来执行。

1、DNS在因特网中的安全风险隐患和缺陷是固有的、不可回避的。其导致不安全的主要欺骗性表现在于：

——缓存投毒(DNS cache poisoning)，又名缓存污染(DNS cache pollution)，能够将某些刻意制造或无意中制造出来的域名服务器分组，绑架域名指往不正确的IP地址或路由路径;

——拦截网络范围内域名解析的请求，返回伪冒的IP地址或令请求失去响应，称为DNS劫持;

——伪造DNS主机，实施中间人冒充的欺骗性攻击。

因特网DNS内在的被动特性，被网络黑客乃至美国军方和情报机构充分利用，有组织、有计划、有预谋地构成了足以湮没明网的深网+暗网系统，构成了网络空间的无底黑洞。这正是我国和世界网络空间长期处于不安全、不安宁基础之上的深层次原因。不顾一切盲目地追随美国渲染的“信息高速公路”，不顾一切盲目地“全面引进、升级、部署因特网下一代技术IPv6”，长时期、高投入进行所谓“基于SDN网络的创新实验”，迄今不能从根本上解决因特网的安全问题，不能从根本上解决我国的网络主权问题，所为何来?所为谁来?

2、我国电子政务外网的网络域名应用安全问题突出。

中国互联网络信息中心CNNIC发布的2016年《中国域名服务安全状况与态势分析报告》中指出：

“递归域名入口监管作用尚未发挥，服务安全有待加强。首先，递归域名服务是用户访问整个域名空间的入口，所有的域名查询都需要通过递归服务来执行，因此能够在国家网络安全管理和应急安全处置中发挥重要作用，然而我国相关网络监管技术手段尚未覆盖到递归域名服务;其次，由于递归域名直接面向用户服务，且能够轻易掌握用户的所有上网行为信息，其安全运行对于保障我国互联网日常安全也极为重要，然而我国尚未建立统一的针对递归域名服务的安全监测手段和应急协调机制，导致递归层面的域名服务安全和信息安全防护存在一定的缺失。”

我国电子政务外网域名应用的实际环境，凸显递归域名提供的是面向终端系统和用户的“被动”服务，服务器的运行管理模式与网络安全防御的“短板”，以及域名应用数据和信息资产与开源情报(OSINT)“流失”的安全状况。滥用或误用DNS服务器的“用户自行设置”模式，带来了长期无穷尽的安全风险和隐患，也是造成国家电子政务外网的专属递归DNS服务器乏人问津、形同虚设的直接原因。

国家电子政务外网管理中心《2016年国家电子政务外网域名应用安全状况与分析报告》指出：

【1)各专属局域网(包括中央部委级、省级、市级)所配置的专属递归域名服务缺乏安全管理，交由企业托管和商业代管以及交叉共享的状况较为普遍，以至于网络基础设施建设缺失了应有的中枢服务系统;流失了域名应用入口的数据和信息资产;损失了对网络本源的安全防御以及应具备的威慑力。

2)对域名服务(谁服务于谁)存在误区或盲区，忽视了网络域名应用安全的管治，终端系统和用户对“免费”域名服务滥用和误用的现象成为常态，而所配置的专属递归域名服务多为形同虚设，甚至己方无人问津而彼方跨境访问不息。

3)利用网络域名应用承载隐蔽隧道(CT)的指挥和控制(C2)、跨境数据传输、“支流”僵尸(Feeder Bot)以及 DNS 放大攻击的安全事件呈上升趋势，而且往往是以事前未知小概率行为触发一次突现的网络涌现(Emerging)效应。】

请看，国家某部配置的唯一递归DNS服务器状态，几乎常用应用端口都是开放的，看似是一个没有基本安全防范的通用服务器。严重的是，这种情况在各级电子政务外网中并非个例。

3、国家有关部门刻意降低网安标准。

据国家互联网应急中心CNCERT的2017年7月3日-9日网络安全信息与动态周报，与上周相比，境内感染网络病毒的主机数量超过54万台，增加了13.6%;境内被篡改的政府网站增加了2.1%;境内被植入后门网站总数增加了20%，其中政府网站增加了50%;新增信息安全高危漏洞增加了7.7%。这样令人堪忧的网络安全态势，却被认定为“良”，不知国家互联网应急中心的网络安全标准是什么?依据是什么?难道有人认为，超过54万台主机感染病毒，被植入后门的政府网站一周增加了50%，只不过是网安常态，已经无动于衷、麻木不仁了吗?

事实上，我们每时每刻都处在前所未有的网络不安全威胁的火山口上、风口浪尖中。网络安全必须从根本上抓起，从每一个细节抓起，从全民抓起。我们不仅应该保持警钟长鸣，而且必须加强理念指导行动。

我国现有公众网络，从硬件到软件，从基础到应用，全套的“美式装备”，一水儿的“美国制造”，一切尽在美国掌握之中。我国境内只有一张能够穿透长城内外的美国网布满各个角落，没有自主可控的主权网络与之抗衡及互连互通。我国现有的网络空间俨然成了美国赛博空间驰骋、骄横的一部分。

2013年12月20日，习近平总书记言之凿凿地批示：

【“计算机操作系统等信息化核心技术和信息基础设施的重要性显而易见，我们在一些关键技术和设备上受制于人的问题必须及早解决”;

“抓紧谋划核心技术设备发展战略并明确时间表”;

“在政策、资源等各方面予以大力扶持，集中优势力量协同攻关实现突破”;

“为确保信息安全和国家安全提供有力保障”。】

如今，竟然有人对总书记的批示置若罔闻。有人堂而皇之地推动“政府定制版Windows 10”微软操作系统，有人不择手段地推行、部署下一代因特网技术IPv6，还有人抱着免费的DNS不放，公然对抗国际标准化组织ISO/IEC的未来网络路线。

批示已经超过三年半了，核心技术设备发展战略的时间表呢?如何在政策、资源等各方面大力支持及早解决受制于人的问题呢?如何集中优势力量协同攻关实现突破呢?迄今，没有明确、具体的政策文件出台，没有公开、透明的行动方案落实。

我国《网络安全法》已经实施。该法规定：“在中华人民共和国境内建设、运营、维护和使用网络，以及网络安全的监督管理，适用本法。”“任何个人和组织有权对危害网络安全的行为向网信、电信、公安等部门举报。收到举报的部门应当及时依法作出处理”。有法必依，执法必严，违法必究，没有网络安全就没有国家安全，《网络安全法》的贯彻落实，更须坚决，更须彻底，更须如此!

尊重各国自主选择网络发展道路，是当今世界各国的必然趋势与最终归宿。我国应当切实加强全党、全军、全民的网络安全理念共识和公众意识，鼓励社会化的自主、自觉、自愿抗击网络侵害和攻击，以举国之力建设和完善自主可控、安全可信、高效可用的网络空间，以正确、务实、实事求是的方法论感知网络安全态势，扎实地、果断地、毫不犹豫地全面提升国家关键信息基础设施不受制于人的主权能力。

【全文完】

(2017年7月19日)

【牟承晋，察网专栏学者，中国移动通信联合会国际战略研究中心主任】