斯諾登爆出的“棱鏡”事件在中國信息安全界引起不小震動，“棱鏡”折射出中國信息安全產(chǎn)業(yè)存在哪些問題?“棱鏡”事件被爆，對中國信息安全產(chǎn)業(yè)走向會帶來怎樣的影響?近日，國家網(wǎng)絡(luò)信息安全技術(shù)研究所所長、中國國家互聯(lián)網(wǎng)應(yīng)急中心(CNCERT/CC)副總工程師杜躍進(jìn)就相關(guān)話題接受了51CTO記者的采訪。

[[76343]]  

杜躍進(jìn)認(rèn)為，“棱鏡”事件被爆出，暴露出中國信息安全能力存在的諸多問題，從讓我們痛定思痛、加快產(chǎn)業(yè)發(fā)展的角度來講是好事。目前，中國信息安全在漏洞處理、應(yīng)急響應(yīng)到攻防研究等各個方面都存在能力不足的情況。在實現(xiàn)信息安全自主可控之前的過渡期，短期內(nèi)可通過加強(qiáng)外圍技術(shù)保障以及產(chǎn)品互相制約來降低安全風(fēng)險。長期看來，中國信息產(chǎn)業(yè)亟需增強(qiáng)自主可控性，從整體上全面增強(qiáng)信息安全能力。

“棱鏡”折射出中國信息安全能力嚴(yán)重不足

51CTO：“棱鏡”事件被爆出對中國信息及安全產(chǎn)業(yè)會帶來什么影響?

杜躍進(jìn)：中國的信息安全能力存在的問題，通過這樣一種特殊的方式被暴露出來，從我們痛定思痛，加快產(chǎn)業(yè)發(fā)展的角度來講，是個好消息。斯諾登爆出棱鏡門事件對信息安全產(chǎn)業(yè)有較大震動，至于這件事對產(chǎn)業(yè)的具體影響，目前還沒有特別精確的答案，我的直觀感覺是：大型核心網(wǎng)絡(luò)設(shè)備、大型系統(tǒng)國產(chǎn)化需求會更迫切，此事對純粹的信息安全領(lǐng)域國產(chǎn)化也會有所促進(jìn)。斯諾登爆出棱鏡門后，我們會更加清醒，我們在信息安全領(lǐng)域確實存在很大的問題。過去，我們的防御主要針對計算機(jī)破壞分子、純粹的黑客，但現(xiàn)在看來，用原有信息安全技術(shù)、產(chǎn)品和服務(wù)理念顯然很難擋住國家層面的攻擊，需要創(chuàng)新性的工作。

51CTO：“棱鏡”事件折射出我國信息安全產(chǎn)業(yè)存在哪些問題?

杜躍進(jìn)：棱鏡事件表明，我們近幾年研究提出的對我國安全能力的反思、重構(gòu)等，大方向是正確的。棱鏡門事件爆出后，我們更應(yīng)該反思自己在網(wǎng)絡(luò)安全能力上的全面不足，包括：漏洞研究與漏洞處理、事件發(fā)現(xiàn)與早期預(yù)警、事件處置與應(yīng)急響應(yīng)、應(yīng)急預(yù)案與應(yīng)急演練、安全測試與滲透測試、軟件安全與安全編程、攻防研究與演練驗證，都存在能力缺陷。

漏洞處理方面，系統(tǒng)化漏洞處理過程應(yīng)該包括：漏洞挖掘、漏洞信息收集、漏洞驗證、漏洞威脅評估、漏洞信息分發(fā)、補丁研制、補丁驗證、補丁分發(fā)、漏洞利用行為監(jiān)測、工具研制和分發(fā)。但由于成本和技術(shù)等原因，有些環(huán)節(jié)并沒有全面落實，比如重點行業(yè)的漏洞信息詳細(xì)驗證等;漏洞威脅評估做得不到位，我們現(xiàn)在評估漏洞是與應(yīng)用系統(tǒng)相脫離的，評估時可能只是說這是一個高危漏洞，但還沒有到這些漏洞具體給哪些行業(yè)哪個系統(tǒng)帶來哪些風(fēng)險等方面。面對國家間的攻擊，原有的漏洞發(fā)現(xiàn)與共享機(jī)制出現(xiàn)了重大問題。過去，安全防守方發(fā)現(xiàn)漏洞的渠道跟攻方基本一樣(各種漏洞共享圈甚至地下經(jīng)濟(jì)鏈)，但攻方如果是國家的話，一些漏洞會被當(dāng)作戰(zhàn)略資源儲備，防守方無法再通過原來的渠道獲得這些漏洞信息。

風(fēng)險評估方面，風(fēng)險評估讓整體安全水平提升了，但在保護(hù)重點目標(biāo)方面還不夠。一方面，我們的風(fēng)險評估中使用的已知漏洞，但是重點目標(biāo)可能受到來自敵對國家的攻擊，使用我們不知道的漏洞;另一方面，今天的網(wǎng)絡(luò)環(huán)境下，網(wǎng)絡(luò)中不同的應(yīng)用、系統(tǒng)、設(shè)備等的相互關(guān)聯(lián)關(guān)系異常復(fù)雜，但我們的風(fēng)險評估還只是單點的，很難看出復(fù)雜網(wǎng)絡(luò)的整體風(fēng)險。

安全測評方面，國內(nèi)對于設(shè)備、軟件、大型系統(tǒng)的安全性測試能力還比較弱。針對功能和性能的測試性比較多，但對安全性的測試不充分。另外，我們多數(shù)測試設(shè)備都依賴進(jìn)口，如果是國家間攻擊行為，你從攻方國家購買的測試設(shè)備和規(guī)則支持，怎么可能發(fā)現(xiàn)該國產(chǎn)品的問題呢?我們在安全測試所需要的方法研究、經(jīng)驗和數(shù)據(jù)積累、專用設(shè)備與平臺等方面都還十分欠缺。

攻防技術(shù)方面，缺乏系統(tǒng)化，分析能力不足。像Flame、Stuxnet這樣的高級惡意軟件都是體系化團(tuán)隊合作的結(jié)果。如果我們在攻防技術(shù)上自己沒有做過相關(guān)嘗試，我們也就不知道別人有什么樣的能力。對國家間的對抗來說，攻防技術(shù)的研究和意義跟過去也不同了。

在事件處置方面，我們不僅是在一些核心軟硬件產(chǎn)品方面依賴國外，在一些重要系統(tǒng)的運行上也依賴國外，而且在宏觀數(shù)據(jù)方面也處于與戰(zhàn)略被動地位，這會導(dǎo)致在事件處置(包括打擊犯罪)時很被動，尤其是國家間網(wǎng)絡(luò)對抗氣氛越來越濃的時候。

在應(yīng)急響應(yīng)方面，面對新的威脅我們可以說是完敗。應(yīng)急最關(guān)鍵的是時間，需要在足夠短的時間內(nèi)發(fā)現(xiàn)問題和解決問題，可是我們發(fā)現(xiàn)Flame的時候，它都傳播好幾年了，發(fā)現(xiàn)之后也分析不了，更談不上應(yīng)急。我們過去的應(yīng)急能力可以適應(yīng)過去那種大規(guī)模或者大范圍攻擊，可是國家間的攻擊是高有目標(biāo)的高威脅攻擊，不一定是大規(guī)模或者大范圍的攻擊，這導(dǎo)致我們原來的能力在威脅發(fā)現(xiàn)方面嚴(yán)重不足。而對于國家間的網(wǎng)絡(luò)攻擊，如果我們前期什么都不知道，想應(yīng)對最后的致命攻擊是完全不可能的。

應(yīng)急演練方面，我們有多幾百萬份應(yīng)急預(yù)案，也有很多演練，演練過后預(yù)案很少有調(diào)整的。我們是在演而不是在練，其實我們需要通過演練發(fā)現(xiàn)問題，再據(jù)此調(diào)整預(yù)案。演練方面，除了規(guī)則的演練，還要有單項技能演練、綜合情況下攻擊的防范和演練，以及真實環(huán)境下的實際演練。但是我們現(xiàn)在還沒有這樣系統(tǒng)化的演練，配套的演練手段和環(huán)境支持也十分缺乏。#p#

中國信息安全綜合能力亟待增強(qiáng)

51CTO：目前，我們在信息和安全方面對國外依賴程度如何?在短期內(nèi)無法完全實現(xiàn)自主可控的情況下，我們目前能做什么?

杜躍進(jìn)：目前，我們在三個大的領(lǐng)域?qū)庥幸蕾?，不能實現(xiàn)自主可控：一是技術(shù)產(chǎn)品;二是運行層面(除了互聯(lián)網(wǎng)之外，我們還有很多大型系統(tǒng)無法自主，要靠國外運維);三是數(shù)據(jù)層面，一些國家依靠全球化的互聯(lián)網(wǎng)企業(yè)實際上掌握著全世界的數(shù)據(jù)，比其他國家自己還了解他們。

自主可控是個長期目標(biāo)，需要有一個比較長的過程。在實現(xiàn)自主可控之前，我們也不能坐以待斃。短期內(nèi)可以考慮的思路是：通過第三方安全測試和安全產(chǎn)品互相制約來緩解可能出現(xiàn)的問題。比如，如果你的大型服務(wù)器只能用A國的產(chǎn)品，那與此相連的其他環(huán)節(jié)就盡量不用B國的產(chǎn)品，如審計監(jiān)測系統(tǒng)。此外，需要加強(qiáng)自身的第三方安全測試、安全監(jiān)測、協(xié)議和數(shù)據(jù)分析等方面的研究和能力建設(shè)。

51CTO：您如何看待中國的網(wǎng)絡(luò)空間戰(zhàn)略?

杜躍進(jìn)：在頂層戰(zhàn)略規(guī)劃方面，中國確實需要改進(jìn)。美國2011年推出《網(wǎng)絡(luò)空間國際戰(zhàn)略》后，我國很多人開始研究類似戰(zhàn)略，但這種倉促的研究難以達(dá)到美國的水平，而且研究的多，出臺的少。另外，網(wǎng)絡(luò)空間戰(zhàn)略里，除了政策、技術(shù)、產(chǎn)業(yè)發(fā)展，還應(yīng)該包括清晰的系統(tǒng)的網(wǎng)絡(luò)空間安全外交戰(zhàn)略。這些年來，在維護(hù)國際網(wǎng)絡(luò)空間安全方面，中國其實做了很多有意義的和創(chuàng)新性的事情，但似乎咱們自己沒重視，對外更是沒有宣傳，所做的事情也似乎沒有持續(xù)推進(jìn)。

51CTO：面對像“棱鏡”這樣的監(jiān)控行動，我們今后如何去應(yīng)對?

杜躍進(jìn)：嚴(yán)格說，“棱鏡”事件凸顯出我們對國家級攻擊的應(yīng)對能力不足。未來要努力改進(jìn)的不只是某個點上的技術(shù)措施，而是綜合安全能力的提升。例如，目前我們總體上還是基于特征來發(fā)現(xiàn)安全事件，但對于未知漏洞和攻擊程序，基于特征的事件發(fā)現(xiàn)模式完全不行。所以，在未來安全能力建設(shè)中不能僅僅使用基于特征的模式。新的模式需要能發(fā)現(xiàn)異常，這就需要確定很多的正常指標(biāo)，就好像是將人體的健康指標(biāo)描述清晰后，才有參照值，才能知道身體哪里不對勁了。這個正常指標(biāo)的研究是很基礎(chǔ)的工作，難度比較大，但卻非常重要。

對于重要的事情要進(jìn)行深度分析，要從中浪里淘沙，從眾多事情找出異常。斯諾登爆出的“棱鏡”事件之前不可能沒任何跡象，但過去人們可能只把它當(dāng)成普通的事件，為什么？就是因為缺乏深度分析。未來，我們需要加強(qiáng)深度分析，并且在漏洞的主動性研究上要加強(qiáng)，把它當(dāng)作國家戰(zhàn)略來做。