TWNIC網路論壇:打造多方利害關係人模式的安全開放網路

2019.04.19
TWNIC網路論壇:打造多方利害關係人模式的安全開放網路
TWNIC
台灣網路資訊中心(TWNIC)與網際網路名稱與數字位址分配機構(ICANN)日前舉辦ICANN APAC-TWNIC Engagement Forum合作交流論壇,會中邀請國內外專家學者針對網路公共政策、網路治理、隱私、網路安全等議題進行深入探討,吸引電信業、政府機關與網路產業相關利害關係人熱烈參與,並期望在「一個世界,一個網路」的目標下,台灣網路社群能連結全球網路社群,加入全球網路議題的討論。

兼顧創新與治理的決策方式:多方利害關係人模式

APNIC總監Paul Wilson指出「一個世界,一個網路」儘管只是理想,但網際網路有其彈性,可以允許特定族群或國家因為其特定目的而做網路區隔或資訊封鎖,但不建議採用實體隔離的方式斷開,因為一旦如此就再也無法變更回去。可採用組態設定的方式去達成目的,以保留將來仍能與網際網路互連的可能。畢竟網路的價值在於更多的連線,而非只獨自區域內連線。

隨著大數據、人工智慧等IT技術的演進,越來越多網路創新應用與服務不斷推出,而創新代表著與過去既有模式的不同,也意味著彼此之間立場的對立或利益衝突,如何能維持網路創新又符合監管與治理考驗著網路時代政策制定的智慧。ICANN董事會成員同時也是日本JPNIC網路發展部門總經理Akinori Maemura指出,ICANN多年以來一直是以多方利害關係人模式(Multi-stakeholders model)在進行決策,當利害關係人彼此之間有利益衝突時,也須盡量取得平衡,找到雖不滿意但可以接受的方案。

常見的例子是域名註冊商往往希望域名註冊銷售的程序越簡單越好,以便販售更多域名,然而域名使用者則希望註冊商能強化域名的保護或確實進行註冊調查。Maemura表示,在ICANN中理事會不會直接進行裁決,而是在各委員會中讓對政策主張有不同意見的正反兩方去充分表達以取得共識或妥協,正如電商龍頭Amazon提出新通用頂級域名.AMAZON的註冊申請,但受到以巴西為首的亞馬遜合作盟約組織(ACTO)反對時,也是在決議文中清楚陳述雙方意見,以期達成共識。

要如何推動各方網路社群來參與網路公共政策討論,Maemura分享在日本的做法,包括經常舉辦交流活動。日本JPNIC會在同仁參加每次ICANN所舉辦的會議之後,邀集網路社群進行重點摘要分享,共同討論特定域名政策並交流,而平常也會透過mailing list來即時討論議題以凝聚共識。

(由左至右)Paul Wilson, Director General, APNIC; Akinori Maemura, ICANN Board
TWNIC

全面網域部署DNSSEC 杜絕域名竄改攻擊

在網路安全議題方面,DNS(Domain Name Server, 網域名稱伺服器)安全依然成為關注焦點。今年2月多份報告指出有波針對DNS的攻擊正在發生,遭到竄改的網站將讓使用者連向受到駭客控制的惡意網站。而ICANN也隨即再次呼籲各界部署DNSSSEC(DNS Security Extensions,域名系統安全擴展)技術。ICANN技術長David Conrad指出,由於DNS通訊協定先天設計上的瑕疵,使得它屢屢成為攻擊標的,而DNSSEC技術就是透過數位簽章來確保被查詢域名的回覆資料在過程中未受到竄改。儘管目前透過此漏洞而發動的攻擊數仍不多,但此種對基礎設施的防護技術仍可作為其他利用此全球分散式規模查詢系統的參考。

TWNIC 董事暨執行長黃勝雄指出,因應日益嚴峻的資安問題,TWNIC除透過 TWCERT/CC公布最新資安威脅情資外,也協助政府單位、企業用戶導入DNSSEC技術,強化整體資安防護能力。另外,鑑於資源公鑰基礎建設(RPKI)有助於解決相關安全問題,TWNIC也全力推動相關技術普及,亟盼能夠將潛在資安風險降至最低。

Conrad進一步指出,目前約90%的頂級域名都已簽署DNSSEC,且是部署在根網域,但目前最大的挑戰是希望能讓第二層、第三層也去簽署網域,雖然這麼做看起來的成本效益不是那麼高,但ICANN仍然鼓勵軟體開發者可以預設開啟DNSSEC,因為這是最有可能可以改變目前問題的方式。現在要開啟DNSSEC驗證也很簡單,比較有點困難的是在第二、三層網域的發佈端開啟。但ICANN希望能讓它更容易也比較不會出錯,實際上在發佈端簽署DNS網域並啟用驗證將改變大家對DNSSEC的看法。

DotAsia區域頂級域名註冊機構執行長Edmon Chung指出也許是目前DNS攻擊尚未見到引發大災難,因此許多中小企業尚未意識到DNS安全的重要性,尚未部署DNSSEC。要提升企業的部署,政府機關應起帶頭示範作用,例如所有.gov網站都規定全面部署DNSSEC,或者在政府採購中要求相關系統需部署DNSSEC,都是可以帶動民間重視DNS安全的做法。

每日精選科技圈重要消息