网络安全必须坚持自主创新与开放合作并重

作者:邓虎、田志宏 来源:光明网-理论频道
2016-09-23 21:54:25

作者:中国工程物理研究院计算机应用研究所 邓虎、田志宏

2016年4月19日,习近平总书记在网络安全和信息化工作座谈会上发表重要讲话,对我国网络安全和信息化发展作出了系统论述,为网信事业发展指明了前进方向,提供了根本遵循。习近平总书记曾指出:“网络安全和信息化是一体之两翼、驱动之双轮,必须统一谋划、统一部署、统一推进、统一实施。做好网络安全和信息化工作,要处理好安全和发展的关系,做到协调一致、齐头并进,以安全保发展、以发展促安全,努力建久安之势、成长治之业。”

一、树立正确的网络安全观

习总书记论述到:“网络安全是动态的而不是静态的。信息技术变化越来越快,过去分散独立的网络变得高度关联、相互依赖,网络安全的威胁来源和攻击手段不断变化,那种依靠装几个安全设备和安全软件就想永保安全的想法已不合时宜,需要树立动态、综合的防护理念。”

当前形势下,我国网络面对的是“国家级、有组织的高强度网络攻击”,从斯诺登披露的资料看,除了“棱镜门(PRISM)”,美国还开展了针对中国电信巨头的“狙击巨人”(Shotgaint)、针对中国网络和通信系统的“定制入口组织”(Tailored Access Operations)等多项电子监听窃密计划。如果不了解新的攻击方式,仅靠增加防御设施的数量,并不能确保网络安全。如果防御者没有真正地实战过,就不会有黑客的思维,也不会知道黑客将会如何攻击。结果就是:“黑掉你,根本不在你认为的那个点上”。

基于风险的态势感知是网络安全的基础。习总书记论述到:“知己知彼,才能百战不殆。没有意识到风险是最大的风险。网络安全具有很强的隐蔽性,一个技术漏洞、安全风险可能隐藏几年都发现不了,结果是‘谁进来了不知道、是敌是友不知道、干了什么不知道’,长期‘潜伏’在里面,一旦有事就发作了。维护网络安全,首先要知道风险在哪里,是什么样的风险,什么时候发生风险,正所谓‘聪者听于无声,明者见于未形’。感知网络安全态势是最基本最基础的工作。”

在网络安全态势感知上,美国国家核安全局(NNSA)主要采取了三个措施:第一,建立威胁识别与优先排序机制。将资源投入与识别到的威胁相匹配,重点保护最具价值的信息系统,重点应对残余风险最高的薄弱环节;第二,建立基于风险的入侵探测系统和网络监测系统。对所有入站、出站的网络活动进行检查,并基于可疑入侵的预设规则发出警报。当警报触动时,捕捉与问题事件相关的网络与安全设备数据,并对数据进行分析与总结展示,辅助安全分析师进行事故响应审查;第三,建立远程实时的企业取证系统。监控所有机器上的操作存储器、物理存储设备和虚拟机制,实现对所有数据在二进制级别上的远程实时监测。

了解网络攻防是理解网络威胁的根本。习总书记论述到:“网络安全的本质在对抗,对抗的本质在攻防两端能力较量。要落实网络安全责任制,制定网络安全标准,明确保护对象、保护层级、保护措施。人家用的是飞机大炮,我们这里还用大刀长矛,那是不行的,攻防力量要对等。要以技术对技术,以技术管技术,做到魔高一尺、道高一丈。”

通常意义上的软件漏洞种类繁多,比如windows系统漏洞、数据库漏洞、浏览器漏洞等。但是在真实的网络攻击中,这些软件漏洞并不一定能够形成“完整的攻击链路”。要识别真正的网络威胁,需要建立符合相应技术特征的国家级网络攻防靶场,进行实战化模拟,确定哪些软件漏洞可以被攻击者利用,更重要的是,确定哪些防御措施(管理和技术)是无效的。

网络攻防靶场最早在美国起步,英、德、俄、日、韩等国也借鉴美国经验,建设了同类项目。2008年,美国国会向DARPA(国防高级研究计划局)下达了“国家网络靶场”项目,靶场涵盖政府、国防、金融、电信、工业等领域,为模拟真实的网络攻防作战提供虚拟环境。这是自20世纪50年代实施“人造地球卫星计划”以来,美国国会向DARPA直接下达的唯一指示。

安全是一个博弈对抗的过程,攻击者会不断寻找防护方的弱点,防护方也会不断探索对付新攻击的手段。在这种真实的对抗中,安全保障的能力才会得到不断提升。

二、正确处理自主创新与开放合作的辩证关系

第一,关键核心技术要立足自主创新。习总书记论述到:“核心技术受制于人是我们最大的隐患。如果核心元器件严重依赖外国,供应链的‘命门’掌握在别人手里,那就好比在别人的墙基上砌房子,再大再漂亮也可能经不起风雨,甚至会不堪一击。最关键最核心的技术要立足自主创新、自立自强。市场换不来核心技术,有钱也买不来核心技术,必须靠自己研发、自己发展。”缺乏核心技术自主化的情况下,仅靠物理隔离不能确保绝对安全。2014年,《纽约时报》曝光了美国国安局的“量子项目”,通过将无线收发模块秘密植入未联网的电脑,再使用专门设备与这些隐蔽插件在一定范围内进行无线通信,实现对物理隔离目标的远程入侵。

2006年开始,我国启动了“核高基”工程(核心电子元器件、高端通用芯片、基础软件产品),作为与载人航天、探月工程并列的16个重大科技专项之一,初步取得了一系列成果:2013年7月,阿里巴巴建立“飞天云计算平台”,成为第一家成功“去IOE”的中国公司;2014年10月,曙光公司发布首款“完全自主可控的国产服务器”,CPU、操作系统等关键技术均有完全自主知识产权;2014年12月,银监会联合工信部制定了《应用安全可控信息技术的推进指南》。

IT自主化是一个庞大的体系性工程,目前国内的互联网安全企业、高校、科研院所已取得了诸多成果,但尚不能完全有效满足我国的信息安全需求,某些单点技术和单点产品有所突破,但在“整体解决方案”上的能力还需努力提高。

第二,挑战赛是整合顶尖攻防力量的有效方式。由于信息系统的高度复杂性,即使高水平的开发团队也难以靠自身发现所有的bug。为了鼓励“白帽黑客”抢在真正黑客的恶意攻击之前发现并堵住网络漏洞,facebook从2011年起为2400个漏洞发放奖金430万美元。谷歌也设立了“安卓安全奖励”,为发现不同级别的漏洞提供相应奖金,“白帽黑客”如提供补丁则奖金翻倍、实现兼容性后奖金再翻一倍。

2016年4月,美国国防部举行了信息安全竞赛“来黑五角大楼(Hack the Pentagon)”,本次大赛的参与者必须是美国公民,注册后提交背景调查报告。共有1400名参赛者通过审查后参赛,他们在五角大楼5个对外开放网站中找到1189项薄弱点,其中138项被认定为“独特、有效”。五角大楼为此次竞赛花费15万美元,其中半数是奖金。如果按传统做法,邀请承包商来查找安全隐患,花费至少超过100万美元。五角大楼还制定了一系列后续计划,打算把这类活动扩大到部队和军方承包商。近年来,国内“白帽黑客”的技术水平进步迅速。每年都有安全团队为谷歌、微软、苹果和Adobe提交上百个漏洞而获得公开致谢,在世界黑客大赛Pwn2Own上也屡获殊荣。

安全挑战赛的运作模式已较为成熟,国内相关技术力量也已具备,通过开展此类竞赛,至少带来两大好处:第一,使用少量资源,就可以整合调动国内顶尖技术力量,解决了“在信息安全上投入有限,难以聘用大量专业人才”的问题。第二,每一次成功的模拟攻击,都为提升防御指明了方向,解决了“一味增加安全产品,却不知道能否防住攻击”的问题。第三,评价机制是用好高端安全人才的关键。习总书记论述到:“得人者兴,失人者崩。网络空间的竞争,归根结底是人才竞争。网信领域的人才,不少是怪才、奇才,他们往往不走一般套路,有很多奇思妙想。对待特殊人才要有特殊政策,不要求全责备,不要论资排辈,不要都用一把尺子衡量。要建立适应网信特点的人才评价机制,以实际能力为衡量标准,不唯学历,不唯论文,不唯资历,突出专业性、创新性、实用性。要建立灵活的人才激励机制,让作出贡献的人才有成就感、获得感。”

根据2013年工信部和教育部联合启动的信息安全人才普查,全国每年培养的信息安全人才约1万人,而现有缺口已达50万人。“国以人兴,政以才治”。网络强国的国家核心竞争力的提升,关键在于人才的培养和利用,相信随着政府机构、高校、科研院所以及民间网络安全公司的推动,我国网络安全人才短缺的现状将得到极大缓解,网络强国建设宏伟蓝图必将实现!