作者:中國工程物理研究院計算機應用研究所 鄧虎�、田志宏
2016年4月19日,習近平總書記在網(wǎng)絡(luò)安全和信息化工作座談會上發(fā)表重要講話�,對我國網(wǎng)絡(luò)安全和信息化發(fā)展作出了系統(tǒng)論述,為網(wǎng)信事業(yè)發(fā)展指明了前進方向�����,提供了根本遵循���。習近平總書記曾指出:“網(wǎng)絡(luò)安全和信息化是一體之兩翼�����、驅(qū)動之雙輪����,必須統(tǒng)一謀劃�����、統(tǒng)一部署����、統(tǒng)一推進、統(tǒng)一實施�。做好網(wǎng)絡(luò)安全和信息化工作,要處理好安全和發(fā)展的關(guān)系,做到協(xié)調(diào)一致�、齊頭并進����,以安全保發(fā)展、以發(fā)展促安全�����,努力建久安之勢���、成長治之業(yè)�����。”
一�、樹立正確的網(wǎng)絡(luò)安全觀
習總書記論述到:“網(wǎng)絡(luò)安全是動態(tài)的而不是靜態(tài)的����。信息技術(shù)變化越來越快,過去分散獨立的網(wǎng)絡(luò)變得高度關(guān)聯(lián)���、相互依賴�����,網(wǎng)絡(luò)安全的威脅來源和攻擊手段不斷變化���,那種依靠裝幾個安全設(shè)備和安全軟件就想永保安全的想法已不合時宜�,需要樹立動態(tài)����、綜合的防護理念。”
當前形勢下����,我國網(wǎng)絡(luò)面對的是“國家級、有組織的高強度網(wǎng)絡(luò)攻擊”��,從斯諾登披露的資料看���,除了“棱鏡門(PRISM)”���,美國還開展了針對中國電信巨頭的“狙擊巨人”(Shotgaint)、針對中國網(wǎng)絡(luò)和通信系統(tǒng)的“定制入口組織”(Tailored Access Operations)等多項電子監(jiān)聽竊密計劃���。如果不了解新的攻擊方式����,僅靠增加防御設(shè)施的數(shù)量,并不能確保網(wǎng)絡(luò)安全�����。如果防御者沒有真正地實戰(zhàn)過���,就不會有黑客的思維,也不會知道黑客將會如何攻擊���。結(jié)果就是:“黑掉你�,根本不在你認為的那個點上”�。
基于風險的態(tài)勢感知是網(wǎng)絡(luò)安全的基礎(chǔ)。習總書記論述到:“知己知彼�����,才能百戰(zhàn)不殆��。沒有意識到風險是最大的風險�����。網(wǎng)絡(luò)安全具有很強的隱蔽性,一個技術(shù)漏洞���、安全風險可能隱藏幾年都發(fā)現(xiàn)不了����,結(jié)果是‘誰進來了不知道��、是敵是友不知道����、干了什么不知道’,長期‘潛伏’在里面�����,一旦有事就發(fā)作了�。維護網(wǎng)絡(luò)安全,首先要知道風險在哪里����,是什么樣的風險,什么時候發(fā)生風險���,正所謂‘聰者聽于無聲�,明者見于未形’。感知網(wǎng)絡(luò)安全態(tài)勢是最基本最基礎(chǔ)的工作���。”
在網(wǎng)絡(luò)安全態(tài)勢感知上�,美國國家核安全局(NNSA)主要采取了三個措施:第一����,建立威脅識別與優(yōu)先排序機制。將資源投入與識別到的威脅相匹配�����,重點保護最具價值的信息系統(tǒng)�����,重點應對殘余風險最高的薄弱環(huán)節(jié)�;第二�����,建立基于風險的入侵探測系統(tǒng)和網(wǎng)絡(luò)監(jiān)測系統(tǒng)��。對所有入站�、出站的網(wǎng)絡(luò)活動進行檢查���,并基于可疑入侵的預設(shè)規(guī)則發(fā)出警報。當警報觸動時��,捕捉與問題事件相關(guān)的網(wǎng)絡(luò)與安全設(shè)備數(shù)據(jù)����,并對數(shù)據(jù)進行分析與總結(jié)展示,輔助安全分析師進行事故響應審查��;第三����,建立遠程實時的企業(yè)取證系統(tǒng)。監(jiān)控所有機器上的操作存儲器���、物理存儲設(shè)備和虛擬機制����,實現(xiàn)對所有數(shù)據(jù)在二進制級別上的遠程實時監(jiān)測���。
了解網(wǎng)絡(luò)攻防是理解網(wǎng)絡(luò)威脅的根本�。習總書記論述到:“網(wǎng)絡(luò)安全的本質(zhì)在對抗���,對抗的本質(zhì)在攻防兩端能力較量�。要落實網(wǎng)絡(luò)安全責任制,制定網(wǎng)絡(luò)安全標準��,明確保護對象����、保護層級、保護措施���。人家用的是飛機大炮���,我們這里還用大刀長矛����,那是不行的,攻防力量要對等�。要以技術(shù)對技術(shù),以技術(shù)管技術(shù)�����,做到魔高一尺�����、道高一丈。”
通常意義上的軟件漏洞種類繁多�,比如windows系統(tǒng)漏洞、數(shù)據(jù)庫漏洞�、瀏覽器漏洞等。但是在真實的網(wǎng)絡(luò)攻擊中���,這些軟件漏洞并不一定能夠形成“完整的攻擊鏈路”��。要識別真正的網(wǎng)絡(luò)威脅���,需要建立符合相應技術(shù)特征的國家級網(wǎng)絡(luò)攻防靶場,進行實戰(zhàn)化模擬�,確定哪些軟件漏洞可以被攻擊者利用,更重要的是��,確定哪些防御措施(管理和技術(shù))是無效的����。
網(wǎng)絡(luò)攻防靶場最早在美國起步,英�、德、俄、日����、韓等國也借鑒美國經(jīng)驗,建設(shè)了同類項目�����。2008年�����,美國國會向DARPA(國防高級研究計劃局)下達了“國家網(wǎng)絡(luò)靶場”項目����,靶場涵蓋政府、國防�����、金融�、電信�、工業(yè)等領(lǐng)域,為模擬真實的網(wǎng)絡(luò)攻防作戰(zhàn)提供虛擬環(huán)境�����。這是自20世紀50年代實施“人造地球衛(wèi)星計劃”以來,美國國會向DARPA直接下達的唯一指示�����。
安全是一個博弈對抗的過程�����,攻擊者會不斷尋找防護方的弱點���,防護方也會不斷探索對付新攻擊的手段���。在這種真實的對抗中,安全保障的能力才會得到不斷提升����。
二、正確處理自主創(chuàng)新與開放合作的辯證關(guān)系
第一���,關(guān)鍵核心技術(shù)要立足自主創(chuàng)新����。習總書記論述到:“核心技術(shù)受制于人是我們最大的隱患。如果核心元器件嚴重依賴外國��,供應鏈的‘命門’掌握在別人手里����,那就好比在別人的墻基上砌房子,再大再漂亮也可能經(jīng)不起風雨����,甚至會不堪一擊。最關(guān)鍵最核心的技術(shù)要立足自主創(chuàng)新���、自立自強�。市場換不來核心技術(shù)����,有錢也買不來核心技術(shù),必須靠自己研發(fā)�、自己發(fā)展。”缺乏核心技術(shù)自主化的情況下�����,僅靠物理隔離不能確保絕對安全����。2014年,《紐約時報》曝光了美國國安局的“量子項目”��,通過將無線收發(fā)模塊秘密植入未聯(lián)網(wǎng)的電腦����,再使用專門設(shè)備與這些隱蔽插件在一定范圍內(nèi)進行無線通信,實現(xiàn)對物理隔離目標的遠程入侵����。
2006年開始,我國啟動了“核高基”工程(核心電子元器件���、高端通用芯片���、基礎(chǔ)軟件產(chǎn)品),作為與載人航天�、探月工程并列的16個重大科技專項之一,初步取得了一系列成果:2013年7月��,阿里巴巴建立“飛天云計算平臺”�����,成為第一家成功“去IOE”的中國公司;2014年10月�,曙光公司發(fā)布首款“完全自主可控的國產(chǎn)服務器”,CPU���、操作系統(tǒng)等關(guān)鍵技術(shù)均有完全自主知識產(chǎn)權(quán)�����;2014年12月��,銀監(jiān)會聯(lián)合工信部制定了《應用安全可控信息技術(shù)的推進指南》����。
IT自主化是一個龐大的體系性工程�,目前國內(nèi)的互聯(lián)網(wǎng)安全企業(yè)、高校���、科研院所已取得了諸多成果��,但尚不能完全有效滿足我國的信息安全需求��,某些單點技術(shù)和單點產(chǎn)品有所突破�����,但在“整體解決方案”上的能力還需努力提高�����。
第二��,挑戰(zhàn)賽是整合頂尖攻防力量的有效方式����。由于信息系統(tǒng)的高度復雜性���,即使高水平的開發(fā)團隊也難以靠自身發(fā)現(xiàn)所有的bug�。為了鼓勵“白帽黑客”搶在真正黑客的惡意攻擊之前發(fā)現(xiàn)并堵住網(wǎng)絡(luò)漏洞�,facebook從2011年起為2400個漏洞發(fā)放獎金430萬美元。谷歌也設(shè)立了“安卓安全獎勵”�����,為發(fā)現(xiàn)不同級別的漏洞提供相應獎金�,“白帽黑客”如提供補丁則獎金翻倍、實現(xiàn)兼容性后獎金再翻一倍�����。
2016年4月,美國國防部舉行了信息安全競賽“來黑五角大樓(Hack the Pentagon)”�,本次大賽的參與者必須是美國公民,注冊后提交背景調(diào)查報告�。共有1400名參賽者通過審查后參賽,他們在五角大樓5個對外開放網(wǎng)站中找到1189項薄弱點�,其中138項被認定為“獨特、有效”�。五角大樓為此次競賽花費15萬美元,其中半數(shù)是獎金�。如果按傳統(tǒng)做法,邀請承包商來查找安全隱患����,花費至少超過100萬美元。五角大樓還制定了一系列后續(xù)計劃����,打算把這類活動擴大到部隊和軍方承包商。近年來�,國內(nèi)“白帽黑客”的技術(shù)水平進步迅速。每年都有安全團隊為谷歌�、微軟、蘋果和Adobe提交上百個漏洞而獲得公開致謝���,在世界黑客大賽Pwn2Own上也屢獲殊榮����。
安全挑戰(zhàn)賽的運作模式已較為成熟,國內(nèi)相關(guān)技術(shù)力量也已具備��,通過開展此類競賽�����,至少帶來兩大好處:第一����,使用少量資源�,就可以整合調(diào)動國內(nèi)頂尖技術(shù)力量,解決了“在信息安全上投入有限�,難以聘用大量專業(yè)人才”的問題。第二���,每一次成功的模擬攻擊����,都為提升防御指明了方向����,解決了“一味增加安全產(chǎn)品���,卻不知道能否防住攻擊”的問題。第三�����,評價機制是用好高端安全人才的關(guān)鍵��。習總書記論述到:“得人者興�����,失人者崩�����。網(wǎng)絡(luò)空間的競爭��,歸根結(jié)底是人才競爭�。網(wǎng)信領(lǐng)域的人才,不少是怪才����、奇才,他們往往不走一般套路,有很多奇思妙想���。對待特殊人才要有特殊政策���,不要求全責備,不要論資排輩���,不要都用一把尺子衡量���。要建立適應網(wǎng)信特點的人才評價機制,以實際能力為衡量標準����,不唯學歷����,不唯論文,不唯資歷��,突出專業(yè)性���、創(chuàng)新性���、實用性�。要建立靈活的人才激勵機制�����,讓作出貢獻的人才有成就感�����、獲得感�����。”
根據(jù)2013年工信部和教育部聯(lián)合啟動的信息安全人才普查��,全國每年培養(yǎng)的信息安全人才約1萬人���,而現(xiàn)有缺口已達50萬人���。“國以人興,政以才治”����。網(wǎng)絡(luò)強國的國家核心競爭力的提升�����,關(guān)鍵在于人才的培養(yǎng)和利用�����,相信隨著政府機構(gòu)���、高校、科研院所以及民間網(wǎng)絡(luò)安全公司的推動�,我國網(wǎng)絡(luò)安全人才短缺的現(xiàn)狀將得到極大緩解,網(wǎng)絡(luò)強國建設(shè)宏偉藍圖必將實現(xiàn)����!
