云曉春：攜手共建網(wǎng)絡(luò)安全保障體系

云曉春：攜手共建網(wǎng)絡(luò)安全保障體系

在人才的體系建設(shè)方面，不光要利用高校的體制，還要把整個(gè)社會(huì)力量發(fā)動(dòng)起來(lái)，全局性地進(jìn)行協(xié)作。

國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心副主任兼總工程師、安全專家 云曉春

過(guò)去二十年，中國(guó)的互聯(lián)網(wǎng)得到了長(zhǎng)足發(fā)展。在整個(gè)發(fā)展過(guò)程中，我國(guó)網(wǎng)絡(luò)安全的保障能力也在持續(xù)上升。在上升的同時(shí)，由于新形勢(shì)、新技術(shù)的出現(xiàn)，我們?cè)诎踩Ｕ夏芰Ψ矫孢€有很多的不足和差距。

從技術(shù)角度來(lái)看，我國(guó)在技術(shù)標(biāo)準(zhǔn)、監(jiān)管機(jī)制和產(chǎn)業(yè)聯(lián)合引導(dǎo)方面尚存在不足，特別是在產(chǎn)業(yè)方面，每一家企業(yè)都希望做“大而全”完整的產(chǎn)品線。人們普遍追求商業(yè)模式上的創(chuàng)新，在技術(shù)方面實(shí)際上的投入非常少。從2012年公開的IDC統(tǒng)計(jì)數(shù)據(jù)可以看到，中國(guó)信息安全產(chǎn)業(yè)投入占IT產(chǎn)業(yè)總體支出的比例不足1%，而美國(guó)、歐洲、日本的投入則達(dá)到9%左右。要想解決整個(gè)國(guó)家網(wǎng)絡(luò)安全保障體系能力提升的問(wèn)題，最重要的一點(diǎn)就是加強(qiáng)合作，互聯(lián)網(wǎng)是一個(gè)復(fù)雜的系統(tǒng)，需要大家攜起手來(lái)一起合作。

眾所周知，網(wǎng)絡(luò)安全的根本性問(wèn)題是因?yàn)榇嬖诼┒础Ｈ绻軌蝾A(yù)先知道漏洞所在，在漏洞被利用前發(fā)現(xiàn)并進(jìn)行修補(bǔ)，那么自然而然就會(huì)使網(wǎng)絡(luò)安全的保障能力有很大的提升，這就需要構(gòu)建一個(gè)整體的漏洞防御體系，其中，建立一個(gè)整體的漏洞報(bào)告平臺(tái)非常重要。

圖1 我國(guó)與日本網(wǎng)絡(luò)安全產(chǎn)業(yè)投入和結(jié)構(gòu)對(duì)比

漏洞整體防御體系

當(dāng)發(fā)現(xiàn)漏洞以后，通過(guò)專業(yè)的團(tuán)隊(duì)進(jìn)行檢驗(yàn)和評(píng)估后，相關(guān)企業(yè)就要結(jié)合實(shí)際，把自身產(chǎn)品的漏洞及時(shí)修補(bǔ)起來(lái)。同時(shí)，對(duì)用戶來(lái)說(shuō)，接收到漏洞的通報(bào)信息以后，也能夠迅速地按照要求下載相關(guān)補(bǔ)丁。這樣，通過(guò)報(bào)告平臺(tái)、專業(yè)隊(duì)伍、生產(chǎn)廠商、產(chǎn)品用戶的共同合作，才有可能構(gòu)成一個(gè)比較完整的漏洞防御體系。

OpenSSL漏洞引起很大的反響。表1是一個(gè)簡(jiǎn)單的示意圖，藍(lán)線是全部用戶的檢測(cè)情況。到目前為止，有16%的用戶沒(méi)有進(jìn)行修補(bǔ)，由于我國(guó)重要的信息系統(tǒng)都已加入整個(gè)漏洞通報(bào)體系內(nèi)，因此我們用戶的修復(fù)率就要高不少。這也從另一個(gè)方面反映，只要大家一起團(tuán)結(jié)協(xié)作支持漏洞平臺(tái)體系，對(duì)于提升和強(qiáng)化我國(guó)的安全保障能力具有非常重要的意義。

近年來(lái)，我們?cè)诨ヂ?lián)網(wǎng)協(xié)會(huì)的支持下著力打造了一個(gè)反網(wǎng)絡(luò)病毒聯(lián)盟，主要從事三件事：一是舉報(bào)報(bào)送，二是定期發(fā)布黑白名單，三是一旦出現(xiàn)大規(guī)模的病毒發(fā)作要進(jìn)行聯(lián)合打擊。 在舉報(bào)報(bào)送方面，已經(jīng)搭建了一個(gè)惡意程序的舉報(bào)平臺(tái)，面向企業(yè)和個(gè)人用戶，提供在線的文件連接檢測(cè)。聯(lián)盟會(huì)定期發(fā)送黑名單，并通過(guò)平臺(tái)體系發(fā)布。隨著大量的移動(dòng)互聯(lián)網(wǎng)APP出現(xiàn)，用戶很難判斷哪些APP是惡意的，哪些是正常的應(yīng)用，因此，我們建立了一個(gè)移動(dòng)互聯(lián)網(wǎng)白名單體系。

表1 OpenSSL“心臟出血”漏洞修復(fù)情況監(jiān)測(cè)

在中國(guó)有一個(gè)根深蒂固的想法，那就是國(guó)家的事情要依靠國(guó)家投入和建設(shè)。因此，在打造國(guó)家網(wǎng)絡(luò)安全保障體系的時(shí)候，大家的一個(gè)基本思路就是要由國(guó)家來(lái)建設(shè)這件事。但是基于互聯(lián)網(wǎng)的復(fù)雜性，如果完全依靠國(guó)家的投入和驅(qū)動(dòng)，無(wú)論在服務(wù)還是在體制上很難持續(xù)?；ヂ?lián)網(wǎng)近年來(lái)的蓬勃發(fā)展，是世界各國(guó)以共同的目的和利益為前提，在共同規(guī)則的基礎(chǔ)上一起自愿參與和自主驅(qū)動(dòng)，最后實(shí)現(xiàn)了如今的規(guī)模。

在技術(shù)的環(huán)節(jié)上，通過(guò)協(xié)商構(gòu)建大家共同認(rèn)可的技術(shù)標(biāo)準(zhǔn)，把運(yùn)營(yíng)商、互聯(lián)網(wǎng)企業(yè)、黨政機(jī)關(guān)、用戶基于這個(gè)共同的技術(shù)標(biāo)準(zhǔn)結(jié)合起來(lái)，實(shí)現(xiàn)資源共享，實(shí)現(xiàn)相互之間提供協(xié)作的防范能力，擴(kuò)大監(jiān)測(cè)范圍。這樣一來(lái)，對(duì)于企業(yè)而言，就能夠把其全局態(tài)勢(shì)的破解能力和整個(gè)國(guó)家的全局資源進(jìn)行對(duì)接，對(duì)于運(yùn)營(yíng)商而言，落實(shí)監(jiān)管要求和增強(qiáng)自身的防控能力也是非常重要的，對(duì)于黨政機(jī)關(guān)而言，其自身防控需求和能力也會(huì)有一定提高。

此外，在人才的體系建設(shè)方面，不光要利用高校的體制，還要把整個(gè)社會(huì)力量發(fā)動(dòng)起來(lái)，全局性地協(xié)作，培養(yǎng)真正有用的、實(shí)踐需要的網(wǎng)絡(luò)安全人才。

希望能夠通過(guò)行業(yè)內(nèi)、領(lǐng)域內(nèi)的共同協(xié)作，建立資源共享、標(biāo)準(zhǔn)化的合作體系，實(shí)現(xiàn)協(xié)同發(fā)展，進(jìn)一步打造我國(guó)網(wǎng)絡(luò)安全的熱帶雨林。

（本文根據(jù)國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心副主任兼總工程師云曉春在2014互聯(lián)網(wǎng)安全大會(huì)上的發(fā)言整理而成，整理：楊潔）