2014中国互联网安全大会上,国家计算机网络信息安全专家云晓春在发言中表示:中国的网络安全形势不容乐观,网络安全保障体系与发达国家相比存在很大差距,在应对高强度的网络攻击时,我们缺乏系统的,成体系的应对机制和产业协同。云晓春提出网络安全的核心在于安全人才队伍的建设,即使再好的网络安全设备没有专门的人才进行维护,只能算是废铜烂铁。
在过去二十年中国的互联网得到了长足发展,在互联网发展的同时始终伴随着一些网络安全问题,在整个发展过程中,我国整个网络安全的保障能力也在持续的往上上升着,但在上升的同时,走到今天,因为新形势变了,新技术出现了,我们发现在保障能力方面仍然还有着很多的不足和差距。
下面我们看两个案例,第一个是关于移动互联网安全方面。今年中国移动互联网发展非常快,每天都有成千上万的APP出现,而这些APP里面实际上有很多是不规范的,有很多恶意程序,这是我们曾经处理的一个APP的例子。这是一个很好的APP,它实际上就是一个小的创业文档的APP,但在这个软件里内置了一些行为,包括读取手机联系人信息,包括能够向后台把这些信息回传回去。我们对它的后台进行检查发现,在后台里存储了130多万个联系人信息,于是,我们协调相应的应用商店把它下架了。下架以后他又找另外一个应用商店上架了,因为我们没有充分的法律依据,没有办法从根本上来解决这个问题,那么它这种恶意行为仍然是存在的。
第二个例子算是非常有名的一个大事件,这就是众所周知6月份出现的斯诺登事件,在整个事件中让大家很震惊的是所谓的“八大金刚”配合美国的NSA所做的一系列监控工作。当我们谴责这种行为的同时,我们也必须思考另外一个问题。涉及到国家安全方面的问题,我们发现美国公司涉及到美国安全的时候,他们能够完全摒弃相互之间的利益之争,合作和携手来一同应对国家的安全问题。
反过来看我们是什么情况呢?我们这些年来在整个国家总体部署下,各个单位和各个部门自身网络安全的保障能力都在持续不断的提高,实际真正发生这种大规模的网络安全事件的时候还是各干各的,相互之间没有任何的协作,最后导致的一个结果是什么?
在现代这种高水平、高强度的攻击下,一方面绝大部分的部门没有这种专业能力应对这种高强度攻击的时候根本就是无能为力的。另一方面,因为大家是各干各的,最后形不成整体合力,因此真正的大规模攻击发生的时候各单位都顾此失彼,最后没有办法有效应对。从这里我们想说的一个问题,我们现在面临的问题是分而有余,合而不足,之所以出现越来越多的网络安全问题,当然一个基础性的问题是在于我们现在在网络安全方面的法律体系本身是不健全的,这种法律体系不健全,实际上意味着在网络上进行犯罪的成本非常低。低成本的犯罪自然而然就促进了网络各种攻击行为的出现,但更重要的是我们觉得在目前的情况下,我国在整个网络安全保障体系上,这方面的工作,我们这种体系化能力是不足的,没有一个有效整体的防御体系和规划,最后导致的结果是真正面临这种攻击的时候,我们在处理的时候难度非常大。网络安全体系保障的困局最终的结果导致了我们在互联网安全方面治理的困难。
这是今年上半年我们监测发现的我国移动互联网在恶意程序方面的趋势,光今年上半年新增了移动恶意程序36.7万,和去年同期相比增长了13%,每年都有一个大幅度的增长。在这里我们发现移动恶意程序的趋利性越发明显,传播渠道非常广泛,防不胜防,在应用商店、一些下载站点都是它的主要的传播渠道。甚至我们发现有一个单个域名所包含的恶意程序最多达到了1700多个。
今年上半年我们有很多的主机和网站是被植入后门攻击,84.8%是被境外所控制的。针对境内网站的钓鱼站点,针对我们持续的打击,境内这种钓鱼站点越来越少了,现在发现境内少了,都跑到境外去了。而且因为大家都知道,今年上半年的时候,整个的国际形势尤其我们周边的形势越来越复杂,因此,今年上半年也是发生了一系列的这种大规模的黑客攻击,我们发现在今年5月份就发生了菲律宾匿名者组织进行的攻击行动,在2月份的时候篡改了一大批的网站,其中包括153个政府网站和41个民间商业网站。在今年6月份他们发动了所谓的中国行动,这是由越南、菲律宾等20多个黑客组织参与的,在今年篡改了境内多个网站。
今年上半年对于中国一个用户影响比较大的微软XP停服的事件,停服以后我们和微软进行过交流,微软声称它的初衷是通过XP停服能够推动用户从不安全的XP上迁移到更安全的win7、win8上,但我们实际监测发现,在4-8月停服四个多月的时间里,使用XP的中国用户比例基本没有明显减少。用户使用XP的数量没有减少,但是又没有相应的厂家应该给予的这种安全保障服务,最后的结果是什么?在打补丁的同时还有各种各样的安全威胁出现,不打补丁的时候问题就更大了。在今年7月份我们就发现了一个XP的漏洞,但XP停服了,没有人管这件事,我们的用户就面临高度危险中,怎么办?用户不知道。
今年上半年还有一个非常著名的事例是“心脏出血”漏洞,震惊了互联网。大家一直认为在互联网上https是一个非常安全的访问形式,但大家发现普遍使用的OpenSSL是有漏洞的,它的使用面和受众是非常广的,危害非常严重,影响到了各个行业。
与此同时涉及到重要单位的漏洞事件越来越多,上半年漏洞数量就有极大的增多。而且漏洞这件事今年看来,不只是在每天都有新的危险,而是漏洞出现了以后,不仅每天有增量出现,存量也在不断的往前走。像OpenSSL已经引起了全世界最大程度的重视,实际上一直到现在,还有16%没有进行修补。所以,这个问题就变得非常严重了,每天有新情况出现,新的风险出现,但是原来的风险始终修补不了,这给我们带来的风险压力和威胁就会变得越来越大。
跟世界各国发达国家相比,我们在网络安全保障方面,我们有哪些差距呢?
我们说差距还是很大的,首先是从技术的角度来说,因为大家知道去年两件非常轰动世界的事,都是和中国相关的:一个是在去年2月份的时候,美国发布了一个所谓的APT的分析报告,第二个就是在6月份的时候斯诺登的棱镜事件。我们通过分析报告获悉,棱镜事件的资料分析发现,确实在技术上,我们和美国相比差距还是非常大的,在这种发现的技术方面,在威胁评估方面,在追踪溯源方面,在取证能力方面,我们的差距还是比较大的。对于美国来说,我看到的公开资料来看,它拥有这种全面的监管和精确制造能力,而我们在网络安全基础设施方面仍然非常薄弱,防渗透能力非常差,从公开资料上我们可以看到。从棱镜事件中我们可以看到,美国在面临网络安全问题的时候能够有效协调这种安全厂商、技术机构、媒体形成常态化优势,而我们在技术标准、监管机制和产业联合引导方面还是非常不足的,特别是在产业方面,我们平时接触国内很多安全厂商就发现中国网络安全厂商,每一家都希望做大而全的完整的产品线,更多的大家追求的是这种商业模式上的创新,商业上的这种能力,在技术方面,实际上我们所投入的是非常少的。
这种结果导致我们厂商盈利能力越来越差,导致我们整个技术创新能力方面也是始终提高幅度比较有限。反过来我们看美国安全产业总体格局有非常完善的布局,在最底层它有非常强大的,全世界都要使用的基础的信息巨头,在上面有一系列网络安全的产业聚集,而且它有一系列的专业安全厂商,同时针对相应的政府的部门来说,它有一系列的这种专业的技术企业,整个这一系列的企业最后构成了一个非常完整的网络安全的产业格局。这种体系格局自然而然对提高它的整体网络安全能力变得尤为重要。
而且非常重要的一点,大家现在都在谈APT,APT很重要,因为它是一个未知的东西,我们谁也不知道下一步会面临什么样的网络安全威胁,下一步会面临什么样的网络安全攻击,我们不知道?怎么办?大家都在研究反APT技术,美国是怎么做的呢,美国为了应对这个反APT,从公开资料上看,它形成了一个反APT的产业联盟,很多家公司各自都在某一个非常具体的点上做它的这种特色技术,最后大家结合起来,结合起来最后形成一个完整的解决方案,这样最终拿出来的一个东西肯定它的能力是非常强的。
回过头看我们国家的情况,我们每个企业都试图将这整个链条上的每一件事都要做全了,在每一个点上我们做一块,每个点上我们似乎都做了,但每一个点上我们做得都很粗糙。
从国内外网络安全产业投入结构比上可以看出,从公开IDC统计数据可以看到,中国信息安全产业投入占IT产业总体支出的比例不足1%,这是2012年的数据,美国、欧洲、日本则投入达到9%左右,投入就决定了能力,投入少自然决定了这种差距。
我国在网络安全方面投入绝大多数花在硬件上,一部分花在买软件上,很少一部分放在服务上,我们对这一点需要有更清晰的认识,但国外、日本,他们绝大投入放在了安全服务商。这实际上说明了一个问题,就是说到底我们对于网络安全的认识,什么是决定你网络安全保障能力的根本要求,是设备,是软件,还是人才?我们说通过我们这些年的实践发现,你买了一堆网络安全设备放在那里,如果没有人去始终跟踪,没有人始终对它升级,最终用不了一年甚至半年它就是一堆没用的东西。但如果我有非常强大的一个团队在那里跟踪,实际上我的人才队伍跟上了以后,我能够有一个很好的团队跟上了以后,即使这个设备能力稍微弱一点,我也能够始终跟上,自然你的能力是可持续保证的,这就是一个认识上的差距。我们现在还是把物质上的东西放在首位,而没有把我们的人才上的能力放在第一位。这样最后导致的结果是什么?导致我们面临网络安全人才储备上的隐忧。
这些年来我们培养了很少的网络安全的人才,即使这一部分很少的网络安全人才,很大一部分也跑到了国外这种顶级的公司,还有一部分觉得在国内的体制内挣不到钱,干别的事去了,到地下黑色产业链去挣钱了。与此同时,在培养体系上,我们在实际工作中发现,确实我们的培养体系培养出来的人才和实际需求是差距比较大的,在我们的高校进行培养的时候更多是以学历认定为主,大家有很多这种所谓的理论经验,但培养出来以后有多少在实践的能力上有很强的这种能力呢?我们发现差距是很大的。怎样能够把我们培养出来的人才更适应于我们网络安全实践的这种需要,怎样使我们培养出来的优秀人才能够留在国内和我们自己的保障体系中,为我国的安全服务,这是我们需要不断考虑的一个问题。
怎么来解决这个问题?我们先给大家看看这几年我们尝试做的一些工作。我们觉得要想解决整个的国家网络安全保障体系能力提升的问题,实际上一个根本的最重要的一点就是还要强调合作,互联网是一个复杂的系统,不是靠哪个国家哪个人就能把安全问题解决的,一定是大家携起手来一起合作才有可能把整个能力提高。这些年我们一直尝试着和国内相关的安全企业、我们的用户部门,我们信息系统单位和政府部门合作,我们通过这种合作体系发现有了一个很广泛的合作体系,一旦出现这种大规模安全事件的时候,实际上就有一个很畅通的渠道,能够很容易或者相对迅速把一些我们看似很重要、很复杂的安全问题给解决掉。
这些年来我们觉得面对安全问题的时候,大家知道网络安全一个非常重要的根本性问题是因为存在着漏洞,如果我们能够预先知道漏洞,在这个漏洞整个被利用前能够找到和把它修补起来,自然而然网络安全的保障能力就会有一个很大的提升。因此我们如果想把整个的安全,把整个漏洞的发现问题提升,恐怕我们需要构建一个漏洞的整体的防御体系。在这里我们觉得对于一个整体的漏洞防御体系来说,有一个很好的报告平台非常重要。我们试图说依赖于某一个人和某一个团体把所有的漏洞都发现,这是不可能的事情。漏洞这件事层出不穷,只有发挥全社会的力量,大家一起来干,才有可能把尽可能多的漏洞发现,因此我们构建这样一个报告平台,能够鼓励大家的力量、全社会的力量来发现漏洞。
同时有了漏洞发现以后,我们有专业的团队进行检验和评估,判断它的危害性。当然漏洞出现了以后,相应的厂商要结合到体系内,把他自己产品的漏洞能够及时快速的修补起来,甚至做产品的召回,同时对用户来说,接到漏洞的通报信息以后,也能够迅速的按照要求把补丁打上。这样只有把报告平台、专业队伍、生产厂商、产品用户大家合作起来,才有可能构成一个比较完整的漏洞防御体系。
我们在2010年成立了一个CNVD国家信息漏洞安全平台,在这个平台中我们有国内2000多个白帽子群体加入进来,国内主要的像360等安全厂商介入了进来,基于这个平台每天都能处置50到100起漏洞事件,建立了和多个厂家的合作渠道,能够开展持续有效的监督。
这是一个简单的示意图,OpenSSL我们特意做了这样一个曲线,蓝线是全部用户的检测情况,到了现在为止还有16%的用户没有修补,但因为我国的重要的信息系统都已经加入了整个漏洞的通报体系内,我们用户的修复率就要高不少,这从另外一个方面反映了正要大家一起协作团结到一个体系中,这对于提升和强化我们自己的安全保障能力具有非常重要。
这些年我们做的另一个工作是在互联网协会下打造了一个反网络病毒联盟,在这个反网络病毒联盟中主要做了三件事实一,一个是举报报送,二是定期发布黑白名单,三是一旦出现大规模的病毒发作的时候要进行联合打击。
现在在举报报送方面,已经有了一个恶意程序的举报平台,能够面向企业和个人在线实时文件,同时提供在线的文件连接检测,我们会定期发送黑名单,通过我们的平台体系发布出去。同时我们建立了一个移动互联网的白名单体系,建立这个体系是因为大家知道,每天都有一大量的移动互联网的APP出现,但用户判断不出来哪个是恶意,哪个是正常的,所以我们有这么一个想法,有没有可能给用户构建一个白名单体系,告诉他哪个是好的。因为我们不可能也很难确保每一个恶意的APP都能够及时被发现,但我有条件把没有恶意的移动程序及时发布出来,因此现在构建了白名单的这么一个体系。实际上白名体系在开发者、应用商店和安全软件之间形成了一个良性循环,我们引导开发者来开发这种白应用,引导应用商店上架这种白应用,引导我们的安全软件防护这种白应用,同时引导我们网民使用这种白应用。
在今年8月2号当时曾经出现了“XX神器”这么一个网络病毒,在一天时间内1200多万用户被感染了该病毒,但是这就是一个反网络病毒成功处置的案例。我们也是在工信部、网信办的指导下,和运营商和域名解析服务商一起合作,快速的在域名解析环节,大家利用它的垃圾短信平台,在短信传播环节迅速把它阻断,同时把证据提交给公安部门,把整个的传染大幅度的、快速的切断了,这就是一个非常典型的,我们说通过大家一起合作,能够迅速有效处置整个网络安全事件的案例。
回到构建整个国家网络安全体系来说。我们很多看似很难的网络安全事件实际上都能够有效解决,把它进一步扩充到国家的网络安全体系中怎么办?在中国实际上有一个根深蒂固的想法,国家的东西要国家投入和建设,所以打造国家网络安全保障体系的时候,大家一个基本思路就是由国家来建设这件事。但互联网太复杂了,这么一个复杂的体系,而且是不断增长和膨胀的体系,如果完全靠国家的投入和驱动,我们觉得无论在服务还是在体制上很难持续,因此我们提出一个倡议,我们参考整个互联网的发展历程。因为我们知道互联网这些年来得到了蓬勃发展,它不是哪个国家和组织主导驱动的,而是世界各国大家一起出于共同的目的和共同的利益,在共同规则的基础上一起自愿参与和自主驱动,最后实现了目前这个大规模的互联网。
我们的网络安全是不是能够也按照这种发展体系,我们的行业内和网络安全领域内,大家一起自主自愿自由的来驱动整个网络安全体系,我们结合和联合起来,以一种联盟的形式,我来提升网络安全的保障能力,这样的话实际上我们大家携手起来就有可能构建一个我国的网络安全保障体系,而且由于是大家不停的、不断的、自己的自发的来进行建设,这个体系就不是一个固定的、静态的这么一个体系,它本身自然而然就会是一个能够自发增长的这么一个体系。在技术的环节上,我们觉得我们应该能够通过大家一起协商构建大家认可的技术标准,把运营商、互联网企业、党政机关、用户部门一起基于这个共同的技术标准,我们把我们的系统能够结合起来,这样做到能够资源共享,能够做到相互之间能够互相提供这种协作的防范能力,扩大我们整个的监测范围,这样对于企业来说能够把它的全局态势的破解能力和整个国家全局资源进行对接,对于我们整个运营商来说,对于它落实监管要求和增强自身的防控能力也是非常强的,对于党政机关自然而然它自身的防控需求和能力也会有一个提高。实际上在整个合作体系方面,我们大家有条件的都加入到我们整个的这种协作体系中一起合作,这样在出现了问题以后,我们能够一起在整个全世界公认的CNCERT的理念和价值观驱动下,我们能够一起出现问题快速协作,把问题解决。
同时在人才的体系方面,我们也认为应该不但利用体制内高效的体制,还应该把整个社会力量发动起来,全局性的一起协作,培养真正有用的、实践上需要的这种网络安全人才。
