斯諾登爆出的“棱鏡”事件在中國(guó)信息安全界引起不小震動(dòng)，“棱鏡”折射出中國(guó)信息安全產(chǎn)業(yè)存在哪些問題?“棱鏡”事件被爆，對(duì)中國(guó)信息安全產(chǎn)業(yè)走向會(huì)帶來怎樣的影響?近日，國(guó)家網(wǎng)絡(luò)信息安全技術(shù)研究所所長(zhǎng)、中國(guó)國(guó)家互聯(lián)網(wǎng)應(yīng)急中心(CNCERT/CC)副總工程師杜躍進(jìn)就相關(guān)話題接受了51CTO記者的采訪。

[[76343]]  

杜躍進(jìn)認(rèn)為，“棱鏡”事件被爆出，暴露出中國(guó)信息安全能力存在的諸多問題，從讓我們痛定思痛、加快產(chǎn)業(yè)發(fā)展的角度來講是好事。目前，中國(guó)信息安全在漏洞處理、應(yīng)急響應(yīng)到攻防研究等各個(gè)方面都存在能力不足的情況。在實(shí)現(xiàn)信息安全自主可控之前的過渡期，短期內(nèi)可通過加強(qiáng)外圍技術(shù)保障以及產(chǎn)品互相制約來降低安全風(fēng)險(xiǎn)。長(zhǎng)期看來，中國(guó)信息產(chǎn)業(yè)亟需增強(qiáng)自主可控性，從整體上全面增強(qiáng)信息安全能力。

“棱鏡”折射出中國(guó)信息安全能力嚴(yán)重不足

51CTO：“棱鏡”事件被爆出對(duì)中國(guó)信息及安全產(chǎn)業(yè)會(huì)帶來什么影響?

杜躍進(jìn)：中國(guó)的信息安全能力存在的問題，通過這樣一種特殊的方式被暴露出來，從我們痛定思痛，加快產(chǎn)業(yè)發(fā)展的角度來講，是個(gè)好消息。斯諾登爆出棱鏡門事件對(duì)信息安全產(chǎn)業(yè)有較大震動(dòng)，至于這件事對(duì)產(chǎn)業(yè)的具體影響，目前還沒有特別精確的答案，我的直觀感覺是：大型核心網(wǎng)絡(luò)設(shè)備、大型系統(tǒng)國(guó)產(chǎn)化需求會(huì)更迫切，此事對(duì)純粹的信息安全領(lǐng)域國(guó)產(chǎn)化也會(huì)有所促進(jìn)。斯諾登爆出棱鏡門后，我們會(huì)更加清醒，我們?cè)谛畔踩I(lǐng)域確實(shí)存在很大的問題。過去，我們的防御主要針對(duì)計(jì)算機(jī)破壞分子、純粹的黑客，但現(xiàn)在看來，用原有信息安全技術(shù)、產(chǎn)品和服務(wù)理念顯然很難擋住國(guó)家層面的攻擊，需要?jiǎng)?chuàng)新性的工作。

51CTO：“棱鏡”事件折射出我國(guó)信息安全產(chǎn)業(yè)存在哪些問題?

杜躍進(jìn)：棱鏡事件表明，我們近幾年研究提出的對(duì)我國(guó)安全能力的反思、重構(gòu)等，大方向是正確的。棱鏡門事件爆出后，我們更應(yīng)該反思自己在網(wǎng)絡(luò)安全能力上的全面不足，包括：漏洞研究與漏洞處理、事件發(fā)現(xiàn)與早期預(yù)警、事件處置與應(yīng)急響應(yīng)、應(yīng)急預(yù)案與應(yīng)急演練、安全測(cè)試與滲透測(cè)試、軟件安全與安全編程、攻防研究與演練驗(yàn)證，都存在能力缺陷。

漏洞處理方面，系統(tǒng)化漏洞處理過程應(yīng)該包括：漏洞挖掘、漏洞信息收集、漏洞驗(yàn)證、漏洞威脅評(píng)估、漏洞信息分發(fā)、補(bǔ)丁研制、補(bǔ)丁驗(yàn)證、補(bǔ)丁分發(fā)、漏洞利用行為監(jiān)測(cè)、工具研制和分發(fā)。但由于成本和技術(shù)等原因，有些環(huán)節(jié)并沒有全面落實(shí)，比如重點(diǎn)行業(yè)的漏洞信息詳細(xì)驗(yàn)證等;漏洞威脅評(píng)估做得不到位，我們現(xiàn)在評(píng)估漏洞是與應(yīng)用系統(tǒng)相脫離的，評(píng)估時(shí)可能只是說這是一個(gè)高危漏洞，但還沒有到這些漏洞具體給哪些行業(yè)哪個(gè)系統(tǒng)帶來哪些風(fēng)險(xiǎn)等方面。面對(duì)國(guó)家間的攻擊，原有的漏洞發(fā)現(xiàn)與共享機(jī)制出現(xiàn)了重大問題。過去，安全防守方發(fā)現(xiàn)漏洞的渠道跟攻方基本一樣(各種漏洞共享圈甚至地下經(jīng)濟(jì)鏈)，但攻方如果是國(guó)家的話，一些漏洞會(huì)被當(dāng)作戰(zhàn)略資源儲(chǔ)備，防守方無法再通過原來的渠道獲得這些漏洞信息。

風(fēng)險(xiǎn)評(píng)估方面，風(fēng)險(xiǎn)評(píng)估讓整體安全水平提升了，但在保護(hù)重點(diǎn)目標(biāo)方面還不夠。一方面，我們的風(fēng)險(xiǎn)評(píng)估中使用的已知漏洞，但是重點(diǎn)目標(biāo)可能受到來自敵對(duì)國(guó)家的攻擊，使用我們不知道的漏洞;另一方面，今天的網(wǎng)絡(luò)環(huán)境下，網(wǎng)絡(luò)中不同的應(yīng)用、系統(tǒng)、設(shè)備等的相互關(guān)聯(lián)關(guān)系異常復(fù)雜，但我們的風(fēng)險(xiǎn)評(píng)估還只是單點(diǎn)的，很難看出復(fù)雜網(wǎng)絡(luò)的整體風(fēng)險(xiǎn)。

安全測(cè)評(píng)方面，國(guó)內(nèi)對(duì)于設(shè)備、軟件、大型系統(tǒng)的安全性測(cè)試能力還比較弱。針對(duì)功能和性能的測(cè)試性比較多，但對(duì)安全性的測(cè)試不充分。另外，我們多數(shù)測(cè)試設(shè)備都依賴進(jìn)口，如果是國(guó)家間攻擊行為，你從攻方國(guó)家購買的測(cè)試設(shè)備和規(guī)則支持，怎么可能發(fā)現(xiàn)該國(guó)產(chǎn)品的問題呢?我們?cè)诎踩珳y(cè)試所需要的方法研究、經(jīng)驗(yàn)和數(shù)據(jù)積累、專用設(shè)備與平臺(tái)等方面都還十分欠缺。

攻防技術(shù)方面，缺乏系統(tǒng)化，分析能力不足。像Flame、Stuxnet這樣的高級(jí)惡意軟件都是體系化團(tuán)隊(duì)合作的結(jié)果。如果我們?cè)诠シ兰夹g(shù)上自己沒有做過相關(guān)嘗試，我們也就不知道別人有什么樣的能力。對(duì)國(guó)家間的對(duì)抗來說，攻防技術(shù)的研究和意義跟過去也不同了。

在事件處置方面，我們不僅是在一些核心軟硬件產(chǎn)品方面依賴國(guó)外，在一些重要系統(tǒng)的運(yùn)行上也依賴國(guó)外，而且在宏觀數(shù)據(jù)方面也處于與戰(zhàn)略被動(dòng)地位，這會(huì)導(dǎo)致在事件處置(包括打擊犯罪)時(shí)很被動(dòng)，尤其是國(guó)家間網(wǎng)絡(luò)對(duì)抗氣氛越來越濃的時(shí)候。

在應(yīng)急響應(yīng)方面，面對(duì)新的威脅我們可以說是完敗。應(yīng)急最關(guān)鍵的是時(shí)間，需要在足夠短的時(shí)間內(nèi)發(fā)現(xiàn)問題和解決問題，可是我們發(fā)現(xiàn)Flame的時(shí)候，它都傳播好幾年了，發(fā)現(xiàn)之后也分析不了，更談不上應(yīng)急。我們過去的應(yīng)急能力可以適應(yīng)過去那種大規(guī)?；蛘叽蠓秶簦墒菄?guó)家間的攻擊是高有目標(biāo)的高威脅攻擊，不一定是大規(guī)模或者大范圍的攻擊，這導(dǎo)致我們?cè)瓉淼哪芰υ谕{發(fā)現(xiàn)方面嚴(yán)重不足。而對(duì)于國(guó)家間的網(wǎng)絡(luò)攻擊，如果我們前期什么都不知道，想應(yīng)對(duì)最后的致命攻擊是完全不可能的。

應(yīng)急演練方面，我們有多幾百萬份應(yīng)急預(yù)案，也有很多演練，演練過后預(yù)案很少有調(diào)整的。我們是在演而不是在練，其實(shí)我們需要通過演練發(fā)現(xiàn)問題，再據(jù)此調(diào)整預(yù)案。演練方面，除了規(guī)則的演練，還要有單項(xiàng)技能演練、綜合情況下攻擊的防范和演練，以及真實(shí)環(huán)境下的實(shí)際演練。但是我們現(xiàn)在還沒有這樣系統(tǒng)化的演練，配套的演練手段和環(huán)境支持也十分缺乏。#p#

中國(guó)信息安全綜合能力亟待增強(qiáng)

51CTO：目前，我們?cè)谛畔⒑桶踩矫鎸?duì)國(guó)外依賴程度如何?在短期內(nèi)無法完全實(shí)現(xiàn)自主可控的情況下，我們目前能做什么?

杜躍進(jìn)：目前，我們?cè)谌齻€(gè)大的領(lǐng)域?qū)?guó)外有依賴，不能實(shí)現(xiàn)自主可控：一是技術(shù)產(chǎn)品;二是運(yùn)行層面(除了互聯(lián)網(wǎng)之外，我們還有很多大型系統(tǒng)無法自主，要靠國(guó)外運(yùn)維);三是數(shù)據(jù)層面，一些國(guó)家依靠全球化的互聯(lián)網(wǎng)企業(yè)實(shí)際上掌握著全世界的數(shù)據(jù)，比其他國(guó)家自己還了解他們。

自主可控是個(gè)長(zhǎng)期目標(biāo)，需要有一個(gè)比較長(zhǎng)的過程。在實(shí)現(xiàn)自主可控之前，我們也不能坐以待斃。短期內(nèi)可以考慮的思路是：通過第三方安全測(cè)試和安全產(chǎn)品互相制約來緩解可能出現(xiàn)的問題。比如，如果你的大型服務(wù)器只能用A國(guó)的產(chǎn)品，那與此相連的其他環(huán)節(jié)就盡量不用B國(guó)的產(chǎn)品，如審計(jì)監(jiān)測(cè)系統(tǒng)。此外，需要加強(qiáng)自身的第三方安全測(cè)試、安全監(jiān)測(cè)、協(xié)議和數(shù)據(jù)分析等方面的研究和能力建設(shè)。

51CTO：您如何看待中國(guó)的網(wǎng)絡(luò)空間戰(zhàn)略?

杜躍進(jìn)：在頂層戰(zhàn)略規(guī)劃方面，中國(guó)確實(shí)需要改進(jìn)。美國(guó)2011年推出《網(wǎng)絡(luò)空間國(guó)際戰(zhàn)略》后，我國(guó)很多人開始研究類似戰(zhàn)略，但這種倉促的研究難以達(dá)到美國(guó)的水平，而且研究的多，出臺(tái)的少。另外，網(wǎng)絡(luò)空間戰(zhàn)略里，除了政策、技術(shù)、產(chǎn)業(yè)發(fā)展，還應(yīng)該包括清晰的系統(tǒng)的網(wǎng)絡(luò)空間安全外交戰(zhàn)略。這些年來，在維護(hù)國(guó)際網(wǎng)絡(luò)空間安全方面，中國(guó)其實(shí)做了很多有意義的和創(chuàng)新性的事情，但似乎咱們自己沒重視，對(duì)外更是沒有宣傳，所做的事情也似乎沒有持續(xù)推進(jìn)。

51CTO：面對(duì)像“棱鏡”這樣的監(jiān)控行動(dòng)，我們今后如何去應(yīng)對(duì)?

杜躍進(jìn)：嚴(yán)格說，“棱鏡”事件凸顯出我們對(duì)國(guó)家級(jí)攻擊的應(yīng)對(duì)能力不足。未來要努力改進(jìn)的不只是某個(gè)點(diǎn)上的技術(shù)措施，而是綜合安全能力的提升。例如，目前我們總體上還是基于特征來發(fā)現(xiàn)安全事件，但對(duì)于未知漏洞和攻擊程序，基于特征的事件發(fā)現(xiàn)模式完全不行。所以，在未來安全能力建設(shè)中不能僅僅使用基于特征的模式。新的模式需要能發(fā)現(xiàn)異常，這就需要確定很多的正常指標(biāo)，就好像是將人體的健康指標(biāo)描述清晰后，才有參照值，才能知道身體哪里不對(duì)勁了。這個(gè)正常指標(biāo)的研究是很基礎(chǔ)的工作，難度比較大，但卻非常重要。

對(duì)于重要的事情要進(jìn)行深度分析，要從中浪里淘沙，從眾多事情找出異常。斯諾登爆出的“棱鏡”事件之前不可能沒任何跡象，但過去人們可能只把它當(dāng)成普通的事件，為什么？就是因?yàn)槿狈ι疃确治觥Ｎ磥?，我們需要加?qiáng)深度分析，并且在漏洞的主動(dòng)性研究上要加強(qiáng)，把它當(dāng)作國(guó)家戰(zhàn)略來做。