杜躍進(jìn):“棱鏡”凸顯中國信息安全能力亟待增強(qiáng)
原創(chuàng)斯諾登爆出的“棱鏡”事件在中國信息安全界引起不小震動(dòng),“棱鏡”折射出中國信息安全產(chǎn)業(yè)存在哪些問題?“棱鏡”事件被爆,對(duì)中國信息安全產(chǎn)業(yè)走向會(huì)帶來怎樣的影響?近日,國家網(wǎng)絡(luò)信息安全技術(shù)研究所所長、中國國家互聯(lián)網(wǎng)應(yīng)急中心(CNCERT/CC)副總工程師杜躍進(jìn)就相關(guān)話題接受了51CTO記者的采訪。
杜躍進(jìn)認(rèn)為,“棱鏡”事件被爆出,暴露出中國信息安全能力存在的諸多問題,從讓我們痛定思痛、加快產(chǎn)業(yè)發(fā)展的角度來講是好事。目前,中國信息安全在漏洞處理、應(yīng)急響應(yīng)到攻防研究等各個(gè)方面都存在能力不足的情況。在實(shí)現(xiàn)信息安全自主可控之前的過渡期,短期內(nèi)可通過加強(qiáng)外圍技術(shù)保障以及產(chǎn)品互相制約來降低安全風(fēng)險(xiǎn)。長期看來,中國信息產(chǎn)業(yè)亟需增強(qiáng)自主可控性,從整體上全面增強(qiáng)信息安全能力。
“棱鏡”折射出中國信息安全能力嚴(yán)重不足
51CTO:“棱鏡”事件被爆出對(duì)中國信息及安全產(chǎn)業(yè)會(huì)帶來什么影響?
杜躍進(jìn):中國的信息安全能力存在的問題,通過這樣一種特殊的方式被暴露出來,從我們痛定思痛,加快產(chǎn)業(yè)發(fā)展的角度來講,是個(gè)好消息。斯諾登爆出棱鏡門事件對(duì)信息安全產(chǎn)業(yè)有較大震動(dòng),至于這件事對(duì)產(chǎn)業(yè)的具體影響,目前還沒有特別精確的答案,我的直觀感覺是:大型核心網(wǎng)絡(luò)設(shè)備、大型系統(tǒng)國產(chǎn)化需求會(huì)更迫切,此事對(duì)純粹的信息安全領(lǐng)域國產(chǎn)化也會(huì)有所促進(jìn)。斯諾登爆出棱鏡門后,我們會(huì)更加清醒,我們?cè)谛畔踩I(lǐng)域確實(shí)存在很大的問題。過去,我們的防御主要針對(duì)計(jì)算機(jī)破壞分子、純粹的黑客,但現(xiàn)在看來,用原有信息安全技術(shù)、產(chǎn)品和服務(wù)理念顯然很難擋住國家層面的攻擊,需要?jiǎng)?chuàng)新性的工作。
51CTO:“棱鏡”事件折射出我國信息安全產(chǎn)業(yè)存在哪些問題?
杜躍進(jìn):棱鏡事件表明,我們近幾年研究提出的對(duì)我國安全能力的反思、重構(gòu)等,大方向是正確的。棱鏡門事件爆出后,我們更應(yīng)該反思自己在網(wǎng)絡(luò)安全能力上的全面不足,包括:漏洞研究與漏洞處理、事件發(fā)現(xiàn)與早期預(yù)警、事件處置與應(yīng)急響應(yīng)、應(yīng)急預(yù)案與應(yīng)急演練、安全測(cè)試與滲透測(cè)試、軟件安全與安全編程、攻防研究與演練驗(yàn)證,都存在能力缺陷。
漏洞處理方面,系統(tǒng)化漏洞處理過程應(yīng)該包括:漏洞挖掘、漏洞信息收集、漏洞驗(yàn)證、漏洞威脅評(píng)估、漏洞信息分發(fā)、補(bǔ)丁研制、補(bǔ)丁驗(yàn)證、補(bǔ)丁分發(fā)、漏洞利用行為監(jiān)測(cè)、工具研制和分發(fā)。但由于成本和技術(shù)等原因,有些環(huán)節(jié)并沒有全面落實(shí),比如重點(diǎn)行業(yè)的漏洞信息詳細(xì)驗(yàn)證等;漏洞威脅評(píng)估做得不到位,我們現(xiàn)在評(píng)估漏洞是與應(yīng)用系統(tǒng)相脫離的,評(píng)估時(shí)可能只是說這是一個(gè)高危漏洞,但還沒有到這些漏洞具體給哪些行業(yè)哪個(gè)系統(tǒng)帶來哪些風(fēng)險(xiǎn)等方面。面對(duì)國家間的攻擊,原有的漏洞發(fā)現(xiàn)與共享機(jī)制出現(xiàn)了重大問題。過去,安全防守方發(fā)現(xiàn)漏洞的渠道跟攻方基本一樣(各種漏洞共享圈甚至地下經(jīng)濟(jì)鏈),但攻方如果是國家的話,一些漏洞會(huì)被當(dāng)作戰(zhàn)略資源儲(chǔ)備,防守方無法再通過原來的渠道獲得這些漏洞信息。
風(fēng)險(xiǎn)評(píng)估方面,風(fēng)險(xiǎn)評(píng)估讓整體安全水平提升了,但在保護(hù)重點(diǎn)目標(biāo)方面還不夠。一方面,我們的風(fēng)險(xiǎn)評(píng)估中使用的已知漏洞,但是重點(diǎn)目標(biāo)可能受到來自敵對(duì)國家的攻擊,使用我們不知道的漏洞;另一方面,今天的網(wǎng)絡(luò)環(huán)境下,網(wǎng)絡(luò)中不同的應(yīng)用、系統(tǒng)、設(shè)備等的相互關(guān)聯(lián)關(guān)系異常復(fù)雜,但我們的風(fēng)險(xiǎn)評(píng)估還只是單點(diǎn)的,很難看出復(fù)雜網(wǎng)絡(luò)的整體風(fēng)險(xiǎn)。
安全測(cè)評(píng)方面,國內(nèi)對(duì)于設(shè)備、軟件、大型系統(tǒng)的安全性測(cè)試能力還比較弱。針對(duì)功能和性能的測(cè)試性比較多,但對(duì)安全性的測(cè)試不充分。另外,我們多數(shù)測(cè)試設(shè)備都依賴進(jìn)口,如果是國家間攻擊行為,你從攻方國家購買的測(cè)試設(shè)備和規(guī)則支持,怎么可能發(fā)現(xiàn)該國產(chǎn)品的問題呢?我們?cè)诎踩珳y(cè)試所需要的方法研究、經(jīng)驗(yàn)和數(shù)據(jù)積累、專用設(shè)備與平臺(tái)等方面都還十分欠缺。
攻防技術(shù)方面,缺乏系統(tǒng)化,分析能力不足。像Flame、Stuxnet這樣的高級(jí)惡意軟件都是體系化團(tuán)隊(duì)合作的結(jié)果。如果我們?cè)诠シ兰夹g(shù)上自己沒有做過相關(guān)嘗試,我們也就不知道別人有什么樣的能力。對(duì)國家間的對(duì)抗來說,攻防技術(shù)的研究和意義跟過去也不同了。
在事件處置方面,我們不僅是在一些核心軟硬件產(chǎn)品方面依賴國外,在一些重要系統(tǒng)的運(yùn)行上也依賴國外,而且在宏觀數(shù)據(jù)方面也處于與戰(zhàn)略被動(dòng)地位,這會(huì)導(dǎo)致在事件處置(包括打擊犯罪)時(shí)很被動(dòng),尤其是國家間網(wǎng)絡(luò)對(duì)抗氣氛越來越濃的時(shí)候。
在應(yīng)急響應(yīng)方面,面對(duì)新的威脅我們可以說是完敗。應(yīng)急最關(guān)鍵的是時(shí)間,需要在足夠短的時(shí)間內(nèi)發(fā)現(xiàn)問題和解決問題,可是我們發(fā)現(xiàn)Flame的時(shí)候,它都傳播好幾年了,發(fā)現(xiàn)之后也分析不了,更談不上應(yīng)急。我們過去的應(yīng)急能力可以適應(yīng)過去那種大規(guī)模或者大范圍攻擊,可是國家間的攻擊是高有目標(biāo)的高威脅攻擊,不一定是大規(guī)模或者大范圍的攻擊,這導(dǎo)致我們?cè)瓉淼哪芰υ谕{發(fā)現(xiàn)方面嚴(yán)重不足。而對(duì)于國家間的網(wǎng)絡(luò)攻擊,如果我們前期什么都不知道,想應(yīng)對(duì)最后的致命攻擊是完全不可能的。
應(yīng)急演練方面,我們有多幾百萬份應(yīng)急預(yù)案,也有很多演練,演練過后預(yù)案很少有調(diào)整的。我們是在演而不是在練,其實(shí)我們需要通過演練發(fā)現(xiàn)問題,再據(jù)此調(diào)整預(yù)案。演練方面,除了規(guī)則的演練,還要有單項(xiàng)技能演練、綜合情況下攻擊的防范和演練,以及真實(shí)環(huán)境下的實(shí)際演練。但是我們現(xiàn)在還沒有這樣系統(tǒng)化的演練,配套的演練手段和環(huán)境支持也十分缺乏。#p#
中國信息安全綜合能力亟待增強(qiáng)
51CTO:目前,我們?cè)谛畔⒑桶踩矫鎸?duì)國外依賴程度如何?在短期內(nèi)無法完全實(shí)現(xiàn)自主可控的情況下,我們目前能做什么?
杜躍進(jìn):目前,我們?cè)谌齻€(gè)大的領(lǐng)域?qū)庥幸蕾嚕荒軐?shí)現(xiàn)自主可控:一是技術(shù)產(chǎn)品;二是運(yùn)行層面(除了互聯(lián)網(wǎng)之外,我們還有很多大型系統(tǒng)無法自主,要靠國外運(yùn)維);三是數(shù)據(jù)層面,一些國家依靠全球化的互聯(lián)網(wǎng)企業(yè)實(shí)際上掌握著全世界的數(shù)據(jù),比其他國家自己還了解他們。
自主可控是個(gè)長期目標(biāo),需要有一個(gè)比較長的過程。在實(shí)現(xiàn)自主可控之前,我們也不能坐以待斃。短期內(nèi)可以考慮的思路是:通過第三方安全測(cè)試和安全產(chǎn)品互相制約來緩解可能出現(xiàn)的問題。比如,如果你的大型服務(wù)器只能用A國的產(chǎn)品,那與此相連的其他環(huán)節(jié)就盡量不用B國的產(chǎn)品,如審計(jì)監(jiān)測(cè)系統(tǒng)。此外,需要加強(qiáng)自身的第三方安全測(cè)試、安全監(jiān)測(cè)、協(xié)議和數(shù)據(jù)分析等方面的研究和能力建設(shè)。
51CTO:您如何看待中國的網(wǎng)絡(luò)空間戰(zhàn)略?
杜躍進(jìn):在頂層戰(zhàn)略規(guī)劃方面,中國確實(shí)需要改進(jìn)。美國2011年推出《網(wǎng)絡(luò)空間國際戰(zhàn)略》后,我國很多人開始研究類似戰(zhàn)略,但這種倉促的研究難以達(dá)到美國的水平,而且研究的多,出臺(tái)的少。另外,網(wǎng)絡(luò)空間戰(zhàn)略里,除了政策、技術(shù)、產(chǎn)業(yè)發(fā)展,還應(yīng)該包括清晰的系統(tǒng)的網(wǎng)絡(luò)空間安全外交戰(zhàn)略。這些年來,在維護(hù)國際網(wǎng)絡(luò)空間安全方面,中國其實(shí)做了很多有意義的和創(chuàng)新性的事情,但似乎咱們自己沒重視,對(duì)外更是沒有宣傳,所做的事情也似乎沒有持續(xù)推進(jìn)。
51CTO:面對(duì)像“棱鏡”這樣的監(jiān)控行動(dòng),我們今后如何去應(yīng)對(duì)?
杜躍進(jìn):嚴(yán)格說,“棱鏡”事件凸顯出我們對(duì)國家級(jí)攻擊的應(yīng)對(duì)能力不足。未來要努力改進(jìn)的不只是某個(gè)點(diǎn)上的技術(shù)措施,而是綜合安全能力的提升。例如,目前我們總體上還是基于特征來發(fā)現(xiàn)安全事件,但對(duì)于未知漏洞和攻擊程序,基于特征的事件發(fā)現(xiàn)模式完全不行。所以,在未來安全能力建設(shè)中不能僅僅使用基于特征的模式。新的模式需要能發(fā)現(xiàn)異常,這就需要確定很多的正常指標(biāo),就好像是將人體的健康指標(biāo)描述清晰后,才有參照值,才能知道身體哪里不對(duì)勁了。這個(gè)正常指標(biāo)的研究是很基礎(chǔ)的工作,難度比較大,但卻非常重要。
對(duì)于重要的事情要進(jìn)行深度分析,要從中浪里淘沙,從眾多事情找出異常。斯諾登爆出的“棱鏡”事件之前不可能沒任何跡象,但過去人們可能只把它當(dāng)成普通的事件,為什么?就是因?yàn)槿狈ι疃确治觥N磥恚覀冃枰訌?qiáng)深度分析,并且在漏洞的主動(dòng)性研究上要加強(qiáng),把它當(dāng)作國家戰(zhàn)略來做。
