神秘之旅：下一代安全可信的IP网络

有人说，IPv6无处不在。的确，在智能交通、话音\ 视频业务、移动办公、信息家电、全球定位、物流IPv6+RFID 领域已经有了成功的应用，并且世界范围以及中国的IPv6的骨干网络已经初步建设成功，Cernet2 也走在了CNGI的最前列，因IPsec 是自带、不使用NAT/PAT ，保证了身份和地址唯一，也使病毒及网络蠕虫在IPv6的网络中传播将会变得很困难，中国的教育行业也积极投入到了IPv6试验网的建设中。但目前对IPv6协议威胁最大的要属在应用层的攻击，由于缺乏对IPv6网络进行监测和管理的手段，缺乏对大范围的网络故障定位和性能分析的手段，同时也难以实现严格的用户限制功能，以及针对IPv6的防火墙等安全设备匮乏也是向IPv6迁移过程中的漏洞的表现。而作为未来网络发展趋势之一的多业务融合的智能网络，其各种业务的运营也需要一安全可靠的网络，以识别网络应用，动态分配网络资源，进行身份识别以实现准确计费。

　　因此，不管是WLAN、IPv6还是网络带宽性能的提升，以及多业务融合的智能网络都将由" 安全" 下达" 是否继续" 的指令。正如一种预言：下一代网络的发展没有安全可信作为前提，作为技术保障，所有的新技术、新方向将黯然失色。因此，安全可信是下一代网络发展的基石。

　　安全可信的密码

　　理解预言的涵义需要密码，这个密码也就是对安全可信内涵的关键词。

　　从对网络安全的认识历程上看，在IT业界，对网络安全的认识总能历久弥新，因为安全问题总会层出不穷。在刚刚结束的RSA2006 大会上比尔。盖茨先生提出了整个社会的安全性问题，即要想提升整个社会的安全性，业界首先必须做到四个方面：相互信任的生态系统、安全工程、简易性和安全基础平台。无疑这是对安全可信大环境的阐述与畅想。

　　在随着安全事件发生的频率升高，我国对安全意识程度的反复强调近几年也逐步升温。对于安全，人们的解释已经从局部发展到全局，从边界层面发展到应用层面，从对安全硬环境的要求发展到对安全软环境的要求。因此，我们将给出了对安全可信新网络，也就是以" 安全" 、" 可信" 为基本特征的下一代IP网络的理解。

　　到目前为止，我们将基于网络的业务应用（如数据、语音、视频、存储、P2P 应用等）的" 安全可信" 内涵分为" 安全" 建设和" 可信" 建设两部分内容。" 安全" 建设主要是指智能、主动、联动地进行网络、主机、管理层面的安全防护和建设。这里网络曾面的安全防护是指采用网络设备进行全网安全防护，是通过安全设备的重点区域进行的安全防护；主机层面安全防护是指增强终端系统的安全性，是通过端点防护系统来进行的终端安全防护；管理层面安全建设是指对统一的网络监控，对统一的安全事件管理、安全策略管理，以及对网络安全的状态汇总分析。

　　" 可信" 建设即建立可识别、可信任、可保障的系统体系，主要是指网络身份、网络环境、网络业务的可信，需要通过高可用的网络结构设计、稳定可靠的核心设备以及全网统一的身份管理系统来实现。至此，" 安全可信" 的内涵就形成了一个完整、完善的对网络安全防护机制的整体性概括。而作为理解和揭示安全可信的密码，不外乎上述提到的智能、主动、联动及可识别、可信任、可保障等特征。进而，成功揭开安全可信神秘面纱就在于对上述的几个特征词汇的掌握，因此破解、实现安全可信志在必得。