疑义相与析。不少读者对张文和牟文的反馈意见,令我颇受启发。首先,需要说明,“TCP/IP协议(Transmission Control Protocol/Internet Protocol)”≠(不等于)“TCP/IP协议栈(Protocol stack)”。业界的常识,协议是指网络(如因特网)中传递、交换和管理信息的某些个具体的规范,TCP/IP协议是指分别基于TCP和IP形成的通信协议的关联集合,“TCP/IP协议栈”则是实现TCP和IP协议的软件代码。重要的区别在于,TCP/IP协议是唯一定义的、开放的,TCP/IP协议栈却不是唯一的(取决于开发商),且是商业化的。TCP/IP协议与因特网相关的各个层面协议的总和(集群),被称为是“协议群”或“协议库”、“协议族”,形成因特网中从上层到底层、再由底层到上层的互联互通,以及所有信息(文件)交换及传输过程的指挥与控制,奠定供应链驱动基础。张文指责牟文矛头指向互联网体系结构的核心协议TCP/IP,不免牵强,且有移花接木、偷换概念、转移视线之嫌。还需要强调的一点,牟文中的因特网专指美国的Internet(包括全面接入美国Internet的中国公众网络),自始至终针对美国Internet的“TCP/IP协议栈”剖析安全危害。张文批驳牟文,所称“互联网”对应的也应该是美国的Internet,而不应顾左右而言他。否则,对不上靶子,驳无准头,语无伦次,商榷也是无的放矢。张文在认定“互联网协议的安全问题宏观上”存在“协议本身的设计缺陷”及“协议本身是安全的”大前提下,结论“TCP/IP协议栈漏洞主要影响的领域”,“显然不是TCP/IP协议本身的安全缺陷,而是协议实现问题”。也就是说,张文认为因特网安全“问题的性质”,只是TCP/IP协议“实现时存在缺陷”。张文用“协议”的概念解释“协议栈”的问题,将存在重大区别的不同范畴混为一谈,颠倒关键性和重要性,且不说算不算是以偏概全,起码是回避了牟文“TCP/IP协议栈是因特网安全危害的根源”这一旗帜鲜明的主题。协议栈的安全问题,直指信息和通信技术(ICT,Information and Communication Technology)以及服务的供应链安全。协议栈关系到网络运行全局的指挥与控制(C2),关系到保障用户需求的网络基础的安全可靠性,是网络构建和运行的整体基础设施核心,是ICT供应链关键技术综合性、基础性的重要环节。基础不牢、地动山摇。美国政府对ICT供应链的定义:ICT供应链是需求方、集成商和供应商之间相互关联的资源和流程之集合,包括产品和服务的设计,延伸到开发、采购、制造、处理,以及交付。显然,在供应链中的任何一个环节发生问题,都将导致全局性的安全风险或危机。张文回避协议栈的安全问题,自然也就只字不提供应链的安全及必然环节。1)张文所称,据“国家互联网应急中心(CNCERT,National Internet Emergency Center)发布的Treck TCP/IP协议栈漏洞‘Ripple 20’影响产品分析”,云云。经查,CNCERT官网没有关于Treck TCP/IP协议栈漏洞“Ripple 20”的任何信息。张文打出“国家互联网应急中心”的旗号想说明什么?拉大旗作虎皮?还是打圆场?2)张文据并不存在的“CNCERT发布的‘Ripple 20’影响产品分析”,具体指称“此次披露的Treck协议栈漏洞中最严重的是Treck HTTP Server组件中基于堆的缓冲区溢出漏洞(CVE-2020-25066),该漏洞能让攻击者崩溃并重置目标设备,甚至执行远程代码。”经核对,网上公布的所有Ripple20漏洞通告,19个漏洞的CVE ID顺序是自CVE-2020-11896至CVE-2020-11908,并无所称CVE-2020-25066。张文如此不严谨,以并不存在的根据和不实事求是的瑕疵批驳牟文,太不应该。3)实际上,“Ripple20”系列漏洞,是以色列网络安全公司JSOF的研究人员2020年6月发现并首先公布的。在经历了半年的深入验证和反复鉴别后,美国网信安全及基础设施安全局(CISA,Cybersecurity and Infrastructure Security Agency)发布警报,特别指出:● Treck公司开发的TCP/IP协议栈存在严重漏洞,如果被“武器化”,攻击者可进行远程控制并发动DOS攻击。● 该安全漏洞TCP/IP(Track 版本6.0.1.67及之前的版本)直接影响HTTP(超文本传输协议)、IPv6(因特网协议第6版)、DHCPv6(动态主机配置协议v6)。● 再进一步,受TCP/IP协议栈漏洞安全影响最大的,将是遍布各行各业的各种PLC可编程控制器。
请特别注意:
——
美国网信安全及基础设施安全局(CISA),是美国权威的网络信息安全和基础设施安全监管机构,其发出的警报代表联邦政府,表明
其所发布的告警事项,达到了美国联邦政府必须高度重视的威胁与危机程度;
——问题的严重性在于,Treck协议栈漏洞直接影响TCP/IP协议栈中的HTTP(超文本传输协议)、IPv6(因特网协议第6版)、DHCPv6(动态主机配置协议v6),说明IPv6面临前所未有的整体安全危机和威胁;——不止于此,“受TCP/IP协议栈漏洞安全影响最大的,将是遍布各行各业的各种PLC可编程控制器”,也就是说,危及所有工业控制系统、物联网系统、云计算、数据中心等。不能不提示,无论IPv4、IPv6协议本身,并不解决任何安全问题。无论必须协议还是可选协议,都只不过是特定条件、特定时期、特定环境、特定需求下构成应用协议族的某个元素,为适应网络技术和环境生态的变化,适应用户需求的转化与演进,对协议适时进行必要和必须的调整、修补、改变在所难免。纠缠于某些个协议的缺陷探究“问题的性质”,弃本逐末,只能是严重的误导。
还不能不提示,脱离了供应链安全的基础(及认知),简单、孤立、割裂地划分“协议自身安全”和“协议实现安全”,认为“网络的安全威胁主要是来自于设备漏洞和后门,而不是网络协议本身”(张文语),
是盲目迷信“协议栈安全”的惯性思维,是只顾眼前或自身“一亩三分地”暂时(看上去)“平安无事”的堕学、懒政作风,是错误的假设作祟导致错误的判断结果。
在美国遏制、打压、制裁中国不可逆转的大格局下,在美国支持分裂中国的反共反华政策持续发酵的战略态势下,网信空间危机重重,断网断服威胁处处。僵化的惯性思维、迷失的堕懒作风和错误的假设判断,必然严重影响(和干扰)当前持续深化的网信斗争!如此重大的TCP/IP协议栈漏洞安全事件,我国相关职能机构没有公开、及时的披露和报告,为什么?张文公开避重就轻、以讹传讹,为什么?因为涉及到不得不全面审视“规模部署IPv6”的可靠性和安全性,这才是问题的实质、关键和要害;这才是张文围着TCP/IP“协议”兜圈子,回避“协议栈”在ICT供应链安全中举足轻重、牵一发动全局的根本性问题;这才是张文同牟文打太极的真实目的。例如,牟文说,某视频所述IPv6特点,都只是应用层的表象,却被张文引为“Treck公司TCP/IP协议栈漏洞主要影响的领域,是‘应用层的表象’(引用牟承晋原文说法)”。岂非似是而非?亦或颠倒是非?费尽心机地掩盖真相、回避事实,是为了掩盖错误,回避责任么?坚持维护国家主权、安全、发展利益,在某些人心里,如此不堪、如此不重要么?我国网信领域,在全面接入和追随美国因特网发展20多年实践的经验教训中,业界整体获得了难能可贵的磨练和升华。早已不是随便什么人、随便编造几句不靠谱的“说法”,就可以任凭忽悠天下了。借重读者之说,再回复张文几句:对于理解科学道理者来说,张文反而是论证牟文观点的正确性。张文东拉西扯与因特网协议栈软件本身无直接关系的所谓“论据”,简直是八竿子打不着的瞎扯。技术霸权者变本加厉地利用因特网协议栈的缺陷侵害他国和世界人民的权益说明,协议栈软件原本不是网络和信息安全的直接原因,但一定是影响网络和信息安全的根本原因——即根源。最初创设的技术是无辜的,恶意利用者是网络和信息安全的罪魁。漠视、容忍甚至拥抱霸权者及其损害我们利益的人,是国家和人民主权、安全、发展利益的最大威胁。
在习近平总书记心中,核心技术是“国之重器”,最关键最核心的技术一定要“立足自主创新、自立自强”。总书记从世界发展的外部环境和以国内经济大循环为主、国内国际经济双循环的态势中,看到了网信空间的“中国机遇”。总书记要求我们,不断提高政治判断力、政治领悟力、政治执行力,准确把握新发展阶段、深入贯彻新发展理念、加快构建新发展格局。“十四五”规划开局之年,我国网信业界亟须开展解放思想、自主创新、自立自强的颠覆性革命。丢掉幻想,丢掉劳民伤财的坛坛罐罐,丢掉牵肠挂肚的名利纠葛,清醒头脑,剔除痼疾,轻装上阵,为我国网信空间的科学奋起和坚定不移地建设网络强国,努力奋斗!
【附录】
邱实 牟承晋:再谈网信空间供应链协议栈的安全
(作者系昆仑策研究院高级研究员、中国移动通信联合会国际战略研究中心主任、浙江省北斗未来网际网络空间研究院首席研究员;来源:昆仑策网【原创】,修订稿)【本公众号所编发文章欢迎转载,为尊重和维护原创权利,请转载时务必注明原创作者、来源网站和公众号。阅读更多文章,请点击微信号最后左下角“阅读原文”】
【昆仑策研究院】作为综合性战略研究和咨询服务机构,遵循国家宪法和法律,秉持对国家、对社会、对客户负责,讲真话、讲实话的信条,追崇研究价值的客观性、公正性,旨在聚贤才、集民智、析实情、献明策,为实现中华民族伟大复兴的“中国梦”而奋斗。欢迎您积极参与和投稿。
电子邮箱:[email protected]
更多文章请看《昆仑策网》,网址:
http://www.kunlunce.cn
http://www.kunlunce.net