網(wǎng)絡(luò)安全必須堅(jiān)持自主創(chuàng)新與開(kāi)放合作并重

作者：中國(guó)工程物理研究院計(jì)算機(jī)應(yīng)用研究所 鄧虎、田志宏

2016年4月19日，習(xí)近平總書(shū)記在網(wǎng)絡(luò)安全和信息化工作座談會(huì)上發(fā)表重要講話，對(duì)我國(guó)網(wǎng)絡(luò)安全和信息化發(fā)展作出了系統(tǒng)論述，為網(wǎng)信事業(yè)發(fā)展指明了前進(jìn)方向，提供了根本遵循。習(xí)近平總書(shū)記曾指出：“網(wǎng)絡(luò)安全和信息化是一體之兩翼、驅(qū)動(dòng)之雙輪，必須統(tǒng)一謀劃、統(tǒng)一部署、統(tǒng)一推進(jìn)、統(tǒng)一實(shí)施。做好網(wǎng)絡(luò)安全和信息化工作，要處理好安全和發(fā)展的關(guān)系，做到協(xié)調(diào)一致、齊頭并進(jìn)，以安全保發(fā)展、以發(fā)展促安全，努力建久安之勢(shì)、成長(zhǎng)治之業(yè)。”

一、樹(shù)立正確的網(wǎng)絡(luò)安全觀

習(xí)總書(shū)記論述到：“網(wǎng)絡(luò)安全是動(dòng)態(tài)的而不是靜態(tài)的。信息技術(shù)變化越來(lái)越快，過(guò)去分散獨(dú)立的網(wǎng)絡(luò)變得高度關(guān)聯(lián)、相互依賴(lài)，網(wǎng)絡(luò)安全的威脅來(lái)源和攻擊手段不斷變化，那種依靠裝幾個(gè)安全設(shè)備和安全軟件就想永保安全的想法已不合時(shí)宜，需要樹(shù)立動(dòng)態(tài)、綜合的防護(hù)理念。”

當(dāng)前形勢(shì)下，我國(guó)網(wǎng)絡(luò)面對(duì)的是“國(guó)家級(jí)、有組織的高強(qiáng)度網(wǎng)絡(luò)攻擊”，從斯諾登披露的資料看，除了“棱鏡門(mén)(PRISM)”，美國(guó)還開(kāi)展了針對(duì)中國(guó)電信巨頭的“狙擊巨人”(Shotgaint)、針對(duì)中國(guó)網(wǎng)絡(luò)和通信系統(tǒng)的“定制入口組織”(Tailored Access Operations)等多項(xiàng)電子監(jiān)聽(tīng)竊密計(jì)劃。如果不了解新的攻擊方式，僅靠增加防御設(shè)施的數(shù)量，并不能確保網(wǎng)絡(luò)安全。如果防御者沒(méi)有真正地實(shí)戰(zhàn)過(guò)，就不會(huì)有黑客的思維，也不會(huì)知道黑客將會(huì)如何攻擊。結(jié)果就是：“黑掉你，根本不在你認(rèn)為的那個(gè)點(diǎn)上”。

基于風(fēng)險(xiǎn)的態(tài)勢(shì)感知是網(wǎng)絡(luò)安全的基礎(chǔ)。習(xí)總書(shū)記論述到：“知己知彼，才能百戰(zhàn)不殆。沒(méi)有意識(shí)到風(fēng)險(xiǎn)是最大的風(fēng)險(xiǎn)。網(wǎng)絡(luò)安全具有很強(qiáng)的隱蔽性，一個(gè)技術(shù)漏洞、安全風(fēng)險(xiǎn)可能隱藏幾年都發(fā)現(xiàn)不了，結(jié)果是‘誰(shuí)進(jìn)來(lái)了不知道、是敵是友不知道、干了什么不知道’，長(zhǎng)期‘潛伏’在里面，一旦有事就發(fā)作了。維護(hù)網(wǎng)絡(luò)安全，首先要知道風(fēng)險(xiǎn)在哪里，是什么樣的風(fēng)險(xiǎn)，什么時(shí)候發(fā)生風(fēng)險(xiǎn)，正所謂‘聰者聽(tīng)于無(wú)聲，明者見(jiàn)于未形’。感知網(wǎng)絡(luò)安全態(tài)勢(shì)是最基本最基礎(chǔ)的工作。”

在網(wǎng)絡(luò)安全態(tài)勢(shì)感知上，美國(guó)國(guó)家核安全局（NNSA）主要采取了三個(gè)措施：第一，建立威脅識(shí)別與優(yōu)先排序機(jī)制。將資源投入與識(shí)別到的威脅相匹配，重點(diǎn)保護(hù)最具價(jià)值的信息系統(tǒng)，重點(diǎn)應(yīng)對(duì)殘余風(fēng)險(xiǎn)最高的薄弱環(huán)節(jié)；第二，建立基于風(fēng)險(xiǎn)的入侵探測(cè)系統(tǒng)和網(wǎng)絡(luò)監(jiān)測(cè)系統(tǒng)。對(duì)所有入站、出站的網(wǎng)絡(luò)活動(dòng)進(jìn)行檢查，并基于可疑入侵的預(yù)設(shè)規(guī)則發(fā)出警報(bào)。當(dāng)警報(bào)觸動(dòng)時(shí)，捕捉與問(wèn)題事件相關(guān)的網(wǎng)絡(luò)與安全設(shè)備數(shù)據(jù)，并對(duì)數(shù)據(jù)進(jìn)行分析與總結(jié)展示，輔助安全分析師進(jìn)行事故響應(yīng)審查；第三，建立遠(yuǎn)程實(shí)時(shí)的企業(yè)取證系統(tǒng)。監(jiān)控所有機(jī)器上的操作存儲(chǔ)器、物理存儲(chǔ)設(shè)備和虛擬機(jī)制，實(shí)現(xiàn)對(duì)所有數(shù)據(jù)在二進(jìn)制級(jí)別上的遠(yuǎn)程實(shí)時(shí)監(jiān)測(cè)。

了解網(wǎng)絡(luò)攻防是理解網(wǎng)絡(luò)威脅的根本。習(xí)總書(shū)記論述到：“網(wǎng)絡(luò)安全的本質(zhì)在對(duì)抗，對(duì)抗的本質(zhì)在攻防兩端能力較量。要落實(shí)網(wǎng)絡(luò)安全責(zé)任制，制定網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，明確保護(hù)對(duì)象、保護(hù)層級(jí)、保護(hù)措施。人家用的是飛機(jī)大炮，我們這里還用大刀長(zhǎng)矛，那是不行的，攻防力量要對(duì)等。要以技術(shù)對(duì)技術(shù)，以技術(shù)管技術(shù)，做到魔高一尺、道高一丈。”

通常意義上的軟件漏洞種類(lèi)繁多，比如windows系統(tǒng)漏洞、數(shù)據(jù)庫(kù)漏洞、瀏覽器漏洞等。但是在真實(shí)的網(wǎng)絡(luò)攻擊中，這些軟件漏洞并不一定能夠形成“完整的攻擊鏈路”。要識(shí)別真正的網(wǎng)絡(luò)威脅，需要建立符合相應(yīng)技術(shù)特征的國(guó)家級(jí)網(wǎng)絡(luò)攻防靶場(chǎng)，進(jìn)行實(shí)戰(zhàn)化模擬，確定哪些軟件漏洞可以被攻擊者利用，更重要的是，確定哪些防御措施（管理和技術(shù)）是無(wú)效的。

網(wǎng)絡(luò)攻防靶場(chǎng)最早在美國(guó)起步，英、德、俄、日、韓等國(guó)也借鑒美國(guó)經(jīng)驗(yàn)，建設(shè)了同類(lèi)項(xiàng)目。2008年，美國(guó)國(guó)會(huì)向DARPA（國(guó)防高級(jí)研究計(jì)劃局）下達(dá)了“國(guó)家網(wǎng)絡(luò)靶場(chǎng)”項(xiàng)目，靶場(chǎng)涵蓋政府、國(guó)防、金融、電信、工業(yè)等領(lǐng)域，為模擬真實(shí)的網(wǎng)絡(luò)攻防作戰(zhàn)提供虛擬環(huán)境。這是自20世紀(jì)50年代實(shí)施“人造地球衛(wèi)星計(jì)劃”以來(lái)，美國(guó)國(guó)會(huì)向DARPA直接下達(dá)的唯一指示。

安全是一個(gè)博弈對(duì)抗的過(guò)程，攻擊者會(huì)不斷尋找防護(hù)方的弱點(diǎn)，防護(hù)方也會(huì)不斷探索對(duì)付新攻擊的手段。在這種真實(shí)的對(duì)抗中，安全保障的能力才會(huì)得到不斷提升。