2024年12月30日 星期一

雲曉春:攜手共建國家網路安全保障體系

  • 發佈時間:2014-09-24 11:56:32  來源:中國網財經  作者:佚名  責任編輯:王磊


國家電腦網路應急技術處理協調中心副主任兼總工程師雲曉春

  中國網財經9月24日訊 9月24日至25日,亞太資訊安全領域最權威的年度峰會——2014中國網際網路安全大會(ISC 2014)在北京國家會議中心召開。

  大會由360網際網路安全中心與網際網路協會網路與資訊安全工作委員會主辦,國家電腦網路應急技術處理協調中心(CNCERT/CC)、中國資訊安全測評中心、國家電腦病毒應急處理中心和中國網際網路協會作為指導單位。

  ISC 2014大會主題為“互聯世界,安全第一”,聚焦在網際網路時代、大數據背景下的資訊安全所面臨的全新挑戰和問題,峰會深入探討了智慧城市、網際網路金融、數字醫療、可穿戴計算等業界關心的問題。

  在今天上午召開的“産業領袖峰會”上,國家電腦網路應急技術處理協調中心副主任兼總工程師雲曉春做“攜手共建國家網路安全保障體系”主題演講。

  以下為雲曉春演講全文:

  大家好!我今天報告的題目是攜手共建國家網路安全保障體系,今天我從三個方面做介紹,那就是目前我們面臨的一些困局和形勢,我們與發達國家相比的差距現狀,以及下一步我們應該做的一些工作。

  在過去二十年中國的網際網路得到了長足發展,在網際網路發展的同時始終伴隨著一些網路安全問題,在整個發展過程中,我國整個網路安全的保障能力也在持續的往上上升著,但在上升的同時,走到今天,因為新形勢變了,新技術出現了,我們發現在保障能力方面仍然還有著很多的不足和差距。

  下面我們看兩個案例,第一個是關於移動網際網路安全方面的例子。最近今年中國移動網際網路發展非常快,每天都有成千上萬的APP出現,但在這些APP裏面實際上有很多是不規範,有很多惡意行為,這是我們曾經處理的一個APP的例子。這是一個很好的APP,它實際上就是一個小的創業文檔的APP,按理説它本身就是一個對於創業文檔的閱讀軟體,但在這個軟體裏內置了一些行為,包括讀取手機聯繫人資訊,包括能夠向後臺把這些資訊回傳回去。我們對它的後臺進行檢查發現,在後臺裏存儲了130多萬個聯繫人資訊,於是,我們協調相應的應用商店把它下架了。下架以後他回頭又找另外一個應用商店上架了,沒有辦法,因為我們沒有充分的法律依據,最後你還是沒有辦法從根本上來解決這個問題,那麼它這種惡意行為仍然是存在的。

  第二個例子是非常有名的一個例子,這是去年大家都知道6月份出現的這種所謂的斯諾登事件,在這個事件裏讓大家很震驚的是所謂的“八大金剛”配合美國的NSA所做的一系列的監控工作。當我們譴責這種行為的同時,我們也想思考另外一個問題。涉及到國家安全方面的問題,我們發現美國公司涉及到美國安全的時候,他們能夠完全摒棄相互之間的利益之爭,合作和攜手來一同應對國家的安全問題。

  反過來看我們是什麼情況呢?我們這些年來在整個國家總體部署下,各個單位和各個部門自身網路安全的保障能力都在持續的、不斷的提高,但真正發生這種大規模的網路安全事件的時候,實際上還是各幹各的,相互之間沒有任何的協作,最後導致的一個結果是什麼?

  在現代這種高水準、高強度的攻擊下,一方面絕大部分的部門沒有這種專業能力應對這種高強度攻擊的時候根本就是無能為力的。另一方面,因為大家是各幹各的,最後形不成整體合力,因此真正的大規模攻擊發生的時候各單位都顧此失彼,最後沒有辦法有效應對。從這裡我們想説的一個問題,我們現在面臨的問題是分而有餘,合而不足,之所以出現越來越多的網路安全問題,當然一個基礎性的問題是在於我們現在在網路安全方面的法律體系本身是不健全的,這種法律體系不健全,實際上意味著在網路上進行犯罪的成本非常低。低成本的犯罪自然而然就促進了網路各種攻擊行為的出現,但更重要的是我們覺得在目前的情況下,我國在整個網路安全保障體系上,這方面的工作,我們這種體系化能力是不足的,沒有一個有效整體的防禦體系和規劃,最後導致的結果是真正面臨這種攻擊的時候,我們在處理的時候難度非常大。網路安全體系保障的困局最終的結果導致了我們在網際網路安全方面治理的困難。

  這是今年上半年我們監測發現的我國移動網際網路在惡意程式方面的趨勢,光今年上半年新增了移動惡意程式36.7萬,和去年同期相比增長了13%,每年都有一個大幅度的增長。在這裡我們發現移動惡意程式的趨利性越發明顯,傳播渠道非常廣泛,防不勝防,在應用商店、一些下載站點都是它的主要的傳播渠道。甚至我們發現有一個單個域名所包含的惡意程式最多達到了1700多個。

  這種惡意程式的改主機的規模是非常大的,今年境內感染木馬僵屍網路的主機就達到了262萬台。飛客蠕蟲是大家在近年來非常關注的一些惡意代碼,今年飛客蠕蟲感染主機的數量就佔到全球的11.3%,數量是非常龐大的。

  今年上半年我們有很多的主機和網站是被植入後門攻擊,84.8%是被境外所控制的。針對境內網站的釣魚站點,針對我們持續的打擊,境內這種釣魚站點越來越少了,現在發現境內少了,都跑到境外去了。而且因為大家都知道,今年上半年的時候,整個的國際形勢尤其我們周邊的形勢越來越複雜,因此,今年上半年也是發生了一系列的這種大規模的駭客攻擊,我們發現在今年5月份就發生了菲律賓匿名者組織進行的攻擊行動,在2月份的時候篡改了一大批的網站,其中包括153個政府網站和41個民間商業網站。在今年6月份他們發動了所謂的中國行動,這是由越南、菲律賓等20多個駭客組織參與的,在今年篡改了境內多個網站。

  今年上半年對於中國一個用戶影響比較大的微軟XP停服的事件,停服以後我們和微軟進行過交流,微軟聲稱它的初衷是通過XP停服能夠推動用戶從不安全的XP上遷移到更安全的win7、win8上,但我們實際監測發現,在4-8月停服四個多月的時間裏,使用XP的中國用戶比例基本沒有明顯減少。用戶使用XP的數量沒有減少,但是又沒有相應的廠家應該給予的這種安全保障服務,最後的結果是什麼?在打補丁的同時還有各種各樣的安全威脅出現,不打補丁的時候問題就更大了。在今年7月份我們就發現了一個XP的漏洞,但XP停服了,沒有人管這件事,我們的用戶就面臨高度危險中,怎麼辦?用戶不知道。

  今年上半年還有一個非常著名的事例是“心臟出血”漏洞,震驚了網際網路。大家一直認為在網際網路上https是一個非常安全的訪問形式,但大家發現普遍使用的OpenSSL是有漏洞的,它的使用面和受眾是非常廣的,危害非常嚴重,影響到了各個行業。

  與此同時涉及到重要單位的漏洞事件越來越多,上半年漏洞數量就有極大的增多。而且漏洞這件事今年看來,不只是在每天都有新的危險,而是漏洞出現了以後,不僅每天有增量出現,存量也在不斷的往前走。像OpenSSL已經引起了全世界最大程度的重視,實際上一直到現在,還有16%沒有進行修補。所以,這個問題就變得非常嚴重了,每天有新情況出現,新的風險出現,但是原來的風險始終修補不了,這給我們帶來的風險壓力和威脅就會變得越來越大。

  這是我們前面跟大家介紹的,我們説目前所面臨的很大的這種保障體系下的不足和挑戰。跟世界各國發達國家相比,我們在網路安全保障方面,我們有哪些差距呢?

  我們説差距還是很大的,首先是從技術的角度來説,因為大家知道去年兩件非常轟動世界的事,都是和中國相關的:一個是在去年2月份的時候,美國發佈了一個所謂的APT的分析報告,第二個就是在6月份的時候斯諾登的棱鏡事件。我們通過分析報告獲悉,棱鏡事件的資料分析發現,確實在技術上,我們和美國相比差距還是非常大的,在這種發現的技術方面,在威脅評估方面,在追蹤溯源方面,在取證能力方面,我們的差距還是比較大的。對於美國來説,我看到的公開資料來看,它擁有這種全面的監管和精確製造能力,而我們在網路安全基礎設施方面仍然非常薄弱,防滲透能力非常差,從公開資料上我們可以看到。從棱鏡事件中我們可以看到,美國在面臨網路安全問題的時候能夠有效協調這種安全廠商、技術機構、媒體形成常態化優勢,而我們在技術標準、監管機制和産業聯合引導方面還是非常不足的,特別是在産業方面,我們平時接觸國內很多安全廠商就發現中國網路安全廠商,每一家都希望做大而全的完整的産品線,更多的大家追求的是這種商業模式上的創新,商業上的這種能力,在技術方面,實際上我們 所投入的是非常少的。

  這種結果是什麼?結果是大家都聚焦在一個有限的市場上,最後想的拼命怎麼分蛋糕,而不是想怎麼把蛋糕做大。同質競爭的結果,我們經常聽到防火牆賣出了一個白菜價等等,導致我們廠商盈利能力越來越差,導致我們整個技術創新能力方面也是始終提高幅度比較有限。反過來我們看美國安全産業總體格局有非常完善的佈局,在最底層它有非常強大的,全世界都要使用的基礎的資訊巨頭,在上面有一系列網路安全的産業聚集,而且它有一系列的專業安全廠商,同時針對相應的政府的部門來説,它有一系列的這種專業的技術企業,整個這一系列的企業最後構成了一個非常完整的網路安全的産業格局。這種體系格局自然而然對提高它的整體網路安全能力就變得非常重要。

  而且非常重要的一點,大家現在都在談APT,APT很重要,因為它是一個未知的東西,我們誰也不知道下一步會面臨什麼樣的網路安全威脅,下一步會面臨什麼樣的網路安全攻擊,我們不知道?怎麼辦?大家都在研究反APT技術,看看美國怎麼做呢,美國為了應對這個反APT,從公開資料上看,它形成了一個反APT的産業聯盟,很多家公司各自都在某一個非常具體的點上做它的這種特色技術,最後大家結合起來,結合起來最後形成一個完整的解決方案,這樣最終拿出來的一個東西肯定它的能力是非常強的。

  回過頭看我們國家的情況,我們每個企業都試圖將這整個鏈條上的每一件事都要做全了,在每一個點上我們做一塊,每個點上我們似乎都做了,但每一個點上我們做得都很粗糙。

  從國內外網路安全産業投入結構比上可以看出,從公開IDC統計數據可以看到,中國資訊安全産業投入佔IT産業總體支出的比例不足1%,這是2012年的數據,美國、歐洲、日本則投入達到9%左右,投入就決定了能力,投入少自然決定了面臨這種差距。

  從投入的結構上,實際上我們有一個更清晰的認識,我們大家從這個表上可以看到,我國在網路安全方面投入絕大多數花在硬體上,一部分花在買軟體上,很少一部分放在服務上,但看國外、看日本,他們絕大投入放在了安全服務商。這實際上説明瞭一個問題,就是説到底我們對於網路安全的認識,什麼是決定你網路安全保障能力的根本要求,是設備,是軟體,還是人才?我們説通過我們這些年的實踐發現,你買了一堆網路安全設備放在那裏,如果沒有人去始終跟蹤,沒有人始終對它升級,最終用不了一年甚至半年它就是一堆沒用的東西。但如果我有非常強大的一個團隊在那裏跟蹤,實際上我的人才隊伍跟上了以後,我能夠有一個很好的團隊跟上了以後,即使這個設備能力稍微弱一點,我也能夠始終跟上,自然你的能力是可持續保證的,這就是一個認識上的差距。我們現在還是把物質上的東西放在首位,而沒有把我們的人才上的能力放在第一位。這樣最後導致的結果是什麼?導致我們面臨網路安全人才儲備上的隱憂。

  這些年來我們培養了很少的網路安全的人才,即使這一部分很少的網路安全人才,很大一部分也跑到了國外這種頂級的公司,還有一部分覺得在國內的體制內掙不到錢,幹別的事去了,到地下黑色産業鏈去掙錢了。與此同時,在培養體系上,我們在實際工作中發現,確實我們的培養體系培養出來的人才和實際需求是差距比較大的,在我們的高校進行培養的時候更多是以學歷認定為主,大家有很多這種所謂的理論經驗,但培養出來以後有多少在實踐的能力上有很強的這種能力呢?我們發現差距是很大的。怎樣能夠把我們培養出來的人才更適應于我們網路安全實踐的這種需要,怎樣使我們培養出來的優秀人才能夠留在國內和我們自己的保障體系中,為我國的安全服務,這是我們需要不斷考慮的一個問題。

  怎麼來解決這個問題?我們先給大家看看這幾年我們嘗試做的一些工作。我們覺得要想解決整個的國家網路安全保障體系能力提升的問題,實際上一個根本的最重要的一點就是還要強調合作,網際網路是一個複雜的系統,不是靠哪個國家哪個人就能把安全問題解決的,一定是大家攜起手來一起合作才有可能把整個能力提高。這些年我們一直嘗試著和國內相關的安全企業、我們的用戶部門,我們資訊系統單位和政府部門合作,我們通過這種合作體系發現有了一個很廣泛的合作體系,一旦出現這種大規模安全事件的時候,實際上就有一個很暢通的渠道,能夠很容易或者相對迅速把一些我們看似很重要、很複雜的安全問題給解決掉。

  這些年來我們覺得面對安全問題的時候,大家知道網路安全一個非常重要的根本性問題是因為存在著漏洞,如果我們能夠預先知道漏洞,在這個漏洞整個被利用前能夠找到和把它修補起來,自然而然網路安全的保障能力就會有一個很大的提升。因此我們如果想把整個的安全,把整個漏洞的發現問題提升,恐怕我們需要構建一個漏洞的整體的防禦體系。在這裡我們覺得對於一個整體的漏洞防禦體系來説,有一個很好的報告平臺非常重要。我們試圖説依賴於某一個人和某一個團體把所有的漏洞都發現,這是不可能的事情。漏洞這件事層出不窮,只有發揮全社會的力量,大家一起來幹,才有可能把盡可能多的漏洞發現,因此我們構建這樣一個報告平臺,能夠鼓勵大家的力量、全社會的力量來發現漏洞。

  同時有了漏洞發現以後,我們有專業的團隊進行檢驗和評估,判斷它的危害性。當然漏洞出現了以後,相應的廠商要結合到體系內,把他自己産品的漏洞能夠及時快速的修補起來,甚至做産品的召回,同時對用戶來説,接到漏洞的通報資訊以後,也能夠迅速的按照要求把補丁打上。這樣只有把報告平臺、專業隊伍、生産廠商、産品用戶大家合作起來,才有可能構成一個比較完整的漏洞防禦體系。

  我們在2010年成立了一個CNVD國家資訊漏洞安全平臺,在這個平台中我們有國內2000多個白帽子群體加入進來,國內主要的像360等安全廠商介入了進來,基於這個平臺每天都能處置50到100起漏洞事件,建立了和多個廠家的合作渠道,能夠開展持續有效的監督。

  這是一個簡單的示意圖,OpenSSL我們特意做了這樣一個曲線,藍線是全部用戶的檢測情況,到了現在為止還有16%的用戶沒有修補,但因為我國的重要的資訊系統都已經加入了整個漏洞的通報體系內,我們用戶的修復率就要高不少,這從另外一個方面反映了正要大家一起協作團結到一個體系中,這對於提升和強化我們自己的安全保障能力具有非常重要。

  這些年我們做的另一個工作是在網際網路協會下打造了一個反網路病毒聯盟,在這個反網路病毒聯盟中主要做了三件事實一,一個是舉報報送,二是定期發佈黑白名單,三是一旦出現大規模的病毒發作的時候要進行聯合打擊。

  現在在舉報報送方面,已經有了一個惡意程式的舉報平臺,能夠面向企業和個人線上實時文件,同時提供線上的文件連接檢測,我們會定期發送黑名單,通過我們的平臺體系發佈出去。同時我們建立了一個移動網際網路的白名單體系,建立這個體系是因為大家知道,每天都有一大量的移動網際網路的APP出現,但用戶判斷不出來哪個是惡意,哪個是正常的,所以我們有這麼一個想法,有沒有可能給用戶構建一個白名單體系,告訴他哪個是好的。因為我們不可能也很難確保每一個惡意的APP都能夠及時被發現,但我有條件把沒有惡意的移動程式及時發佈出來,因此現在構建了白名單的這麼一個體系。實際上白名體系在開發者、應用商店和安全軟體之間形成了一個良性迴圈,我們引導開發者來開發這種白應用,引導應用商店上架這種白應用,引導我們的安全軟體防護這種白應用,同時引導我們網民使用這種白應用。

  在今年8月2號當時曾經出現了“XX神器”這麼一個網路病毒,在一天時間內1200多萬用戶被感染了該病毒,但是這就是一個反網路病毒成功處置的案例。我們也是在工信部、網信辦的指導下,和運營商和域名解析服務商一起合作,快速的在域名解析環節,大家利用它的垃圾短信平臺,在短信傳播環節迅速把它阻斷,同時把證據提交給公安部門,把整個的傳染大幅度的、快速的切斷了,這就是一個非常典型的,我們説通過大家一起合作,能夠迅速有效處置整個網路安全事件的案例。

  回到構建整個國家網路安全體系來説。我們很多看似很難的網路安全事件實際上都能夠有效解決,把它進一步擴充到國家的網路安全體系中怎麼辦?在中國實際上有一個根深蒂固的想法,國家的東西要國家投入和建設,所以打造國家網路安全保障體系的時候,大家一個基本思路就是由國家來建設這件事。但網際網路太複雜了,這麼一個複雜的體系,而且是不斷增長和膨脹的體系,如果完全靠國家的投入和驅動,我們覺得無論在服務還是在體制上很難持續,因此我們提出一個倡議,我們參考整個網際網路的發展歷程。因為我們知道網際網路這些年來得到了蓬勃發展,它不是哪個國家和組織主導驅動的,而是世界各國大家一起出於共同的目的和共同的利益,在共同規則的基礎上一起自願參與和自主驅動,最後實現了目前這個大規模的網際網路。

  我們的網路安全是不是能夠也按照這種發展體系,我們的行業內和網路安全領域內,大家一起自主自願自由的來驅動整個網路安全體系,我們結合和聯合起來,以一種聯盟的形式,我來提升網路安全的保障能力,這樣的話實際上我們大家攜手起來就有可能構建一個我國的網路安全保障體系,而且由於是大家不停的、不斷的、自己的自發的來進行建設,這個體系就不是一個固定的、靜態的這麼一個體系,它本身自然而然就會是一個能夠自發增長的這麼一個體系。在技術的環節上,我們覺得我們應該能夠通過大家一起協商構建大家認可的技術標準,把運營商、網際網路企業、黨政機關、用戶部門一起基於這個共同的技術標準,我們把我們的系統能夠結合起來,這樣做到能夠資源共用,能夠做到相互之間能夠互相提供這種協作的防範能力,擴大我們整個的監測範圍,這樣對於企業來説能夠把它的全局態勢的破解能力和整個國家全局資源進行對接,對於我們整個運營商來説,對於它落實監管要求和增強自身的防控能力也是非常強的,對於黨政機關自然而然它自身的防控需求和能力也會有一個提高。實際上在整個合作體系方面,我們大家有條件的都加入到我們整個的這種協作體系中一起合作,這樣在出現了問題以後,我們能夠一起在整個全世界公認的CNCERT的理念和價值觀驅動下,我們能夠一起出現問題快速協作,把問題解決。

  同時在人才的體系方面,我們也認為應該不但利用體制內高效的體制,還應該把整個社會力量發動起來,全局性的一起協作,培養真正有用的、實踐上需要的這種網路安全人才。

  最後我們希望能夠通過大家行業內、領域內的一起協作,能夠資源共用、標準化、建立合作體系,協同發展,最後打造我們國家的網路安全的、自增長的熱帶雨林。謝謝大家。

  • 股票名稱 最新價 漲跌幅