携手共建网络安全保障体系

来源:中国信息化周报
关键字:漏洞,IT,渠道
发布时间:2014-11-11 08:34

　　在过去二十年中国的互联网得到了长足发展，在互联网发展的同时始终伴随着一些网络安全问题，在整个发展过程中，我国整个网络安全的保障能力也在持续的往上升。但在上升的同时，走到今天，因为新形势变了，新技术出现了，我们在保障能力方面仍然还有着很多的不足和差距。

　　困局形势

　　近几年中国移动互联网发展非常快，每天都有成千上万的APP出现，但实际上这些APP里面有很多不规范的、恶意的行为。

　　我们曾处理过这样一个APP的例子：它实际上是一个小的创业文档的APP，主要功能是分享一些文档，完全不需要用户的联系人信息。但是它却在用户不知情的情况下偷偷读取用户联系人信息并上传。虽然它有明显的越界行为，但由于当下法律依据不足，就无法对这个APP的制作者进行彻底打击。

　　第二个例子是去年6月份出现的斯诺登事件，在这个事件里让大家很震惊的是所谓的“八大金刚”配合美国的NSA所做的一系列监控工作。当我们谴责这种行为的同时，我们也想思考另外一个问题：在涉及到国家安全方面的问题时，美国的公司能够完全摒弃相互之间的利益之争，合作并携手应对国家的安全问题。反过来，我们是什么情况呢？我们这些年来在整个国家总体部署下，各个单位和各个部门自身网络安全的保障能力都在持续地、不断地提高，但真正发生这种大规模的网络安全事件时，实际上还是各干各的，相互之间没有任何的协作。

　　我们现在面临的问题是分而有余，合而不足，之所以出现越来越多的网络安全问题，当然目前我国在网络安全方面的法律体系本身是不健全的。但更重要的是，我国在整个网络安全保障体系上能力不足，没有一个有效整体的防御体系和规划。网络安全体系保障的困局导致了我们在互联网安全方面治理的困难。

　　今年上半年我们监测发现，我国移动互联网在恶意程序方面，光今年上半年就新增了36.7万，和去年同期相比增长了13%。在这里我们发现移动恶意程序的趋利性越发明显，传播渠道非常广泛，防不胜防。甚至我们发现有一个单个域名所包含的恶意程序最多达到了1700多个。这种恶意程序的改主机的规模是非常大的，今年境内感染木马僵尸网络的主机就达到了262万台。

　　此外涉及到重要单位的漏洞事件越来越多，而且漏洞出现了以后，不仅每天有增量出现，存量也在不断往前走。像OpenSSL已经引起了全世界最大程度的重视，实际上一直到现在，还有16%没有修补。新的风险出现，但是原来的风险始终修补不了，这带给我们的风险压力和威胁就会变得越来越大。

　　差距现状

　　也就是说，目前我们面临着很大的类似于保障体系不足的问题。跟世界各国发达国家相比，我们在网络安全保障方面有哪些差距呢？

　　事实上，差距还是很大的。首先是从技术的角度来说，去年有两件轰动世界的事都与中国有关：一个是在去年2月份的时候，美国发布了一个所谓的APT的分析报告，第二个就是在6月份的时候斯诺登的棱镜事件。从棱镜事件中我们可以看到，美国在面临网络安全问题的时候能够有效协调安全厂商、技术机构、媒体形成常态化优势，而我们在技术标准、监管机制和产业联合引导方面仍旧不足，特别是在产业方面，国内很多安全厂商都希望做大而全的完整的产品线，大家更多是追求商业模式上的创新，在相关的技术方面的投入是非常少的。这样使得厂商都聚焦在一个有限的市场上，拼命想分蛋糕，而不是想怎么把蛋糕做大。同质竞争导致厂商盈利能力越来越差，整个技术创新能力始终提高幅度比较有限。

　　反过来，美国安`从网络安全产业在IT领域的投入来看，中国只有1%的比例，而国外发达国家则远超该比例，一般有9%左右。而我国的安全人才储备也远远不足，本来已经很稀缺的一些高精尖的人才，还由于国内网络安全产业发展空间不足而流失国外。此外，一些人才也转而进入了游戏、移动互联网等应用领域，更令人痛心的是一些人还进入了黑色产业。

　　工作思路

　　要想解决整个国家网络安全保障体系能力提升的问题，最重要的一点就是要强调合作。

　　这些年我们一直尝试着和国内相关的安全企业、用户部门以及信息系统单位和政府部门合作。通过这种合作体系我们发现如果有了一个很广泛的合作体系，那么一旦出现大规模安全事件时，实际上就有一个很畅通的渠道，能够很容易或者相对迅速地把安全问题解决掉。

　　这些年来我们觉得面对安全问题的时候，一个非常重要的问题是存在着漏洞，如果我们能够预先知道漏洞，在这个漏洞整个被利用前能够找到和把它修补起来，自然而然网络安全的保障能力就会有一个很大的提升。对于一个整体的漏洞防御体系来说，有一个好的报告平台非常重要。

　　我们在2010年成立了一个CNVD国家信息漏洞安全平台，在这个平台中有国内2000多个白帽子群体加入进来，基于这个平台每天都能处置50到100起漏洞事件，建立了和多个厂家的合作渠道，能够开展持续有效的监督。

　　互联网这些年得到了蓬勃发展，它是大家一起出于共同的目的和共同的利益，在共同规则的基础上一起自愿参与和自主驱动，最后实现了目前这个大规模的互联网。我们的网络安全也可以按照这种发展体系，大家一起自主自愿自由的来驱动整个网络安全体系，以一种联盟的形式，携手共建保障我国网络安全自增长体系。

　　打造自增长技术体系

　　在技术的环节上，通过大家一起协商构建大家认可的技术标准，把运营商、互联网企业、用户部门一起基于这个共同的技术标准，把系统结合起来，扩大监测范围。这样对于企业来说能够把它的全局态势的破解能力和整个国家全局资源进行对接，对于整个运营商来说，它落实监管要求和增强自身的防控能力也是非常强的，对于党政机关其自身的防控需求和能力也会有一个提高。

　　打造自增长合作体系

　　在整个合作体系方面，有条件的运营商、企业等都可以加入到我们整个的协作体系中一起合作，这样在出现了问题以后，能够一起在整个全世界公认的CNCERT的理念和价值观驱动下快速协作，把问题解决。

　　打造人才自增长体系

　　在人才的体系方面，我们不但要利用高效的体制，还应该把整个社会力量发动起来，全局性的一起协作，培养真正有用的、实践上需要的网络安全人才。

　　最后我们希望能通过行业内、领域内的协作，实现资源共享、标准化，建立合作体系，协同发展，打造我国自增长的网络安全热带雨林。

　　（以上内容系根据云晓春先生在“2014中国互联网安全大会”上的演讲整理而成）

　　网络信息安全专家云晓春