网络安全：全国产还不够 攻防更有效

　　【赛迪网讯】今天，网络技术的飞速发展并没有带来网络环境的净化，反而是安全问题越来越严重。有关部门监测到，仅今年上半年，新增的移动恶意程序相比去年同期就增长了13%。如此形式下，以现有的安全技术和ICT产业基础，国家的安全该如何保障？企业的安全该如何防御？在2014互联网安全大会上，各专家抛出新一轮的观点，集中指向在当前薄弱的信息安全基础设施下，网络安全应以攻防结合为主。

　　不团结就不安全

　　每一家安全厂商都希望做大而全的完整的产品线，但每一个点上都做得很粗糙。想的是怎么分蛋糕，而不是怎么把蛋糕做大。

　　其实，中国的网络安全薄弱到何种程度，很多人并不知晓。

　　去年有两件非常轰动世界的事都和中国相关：一个是在2月份美国发布了APT分析报告，另一个是6月份发生的斯诺登棱镜门事件。

　　国家计算机网络应急技术处理协调中心副主任兼总工程师云晓春透露，从APT分析报告和斯诺登公布的资料发现，中国的技术和美国相比差距还是非常大的，包括威胁评估、追踪溯源、取证能力。美国拥有全面的监管和精确制造能力，而中国在网络安全基础设施方面仍然非常薄弱，防渗透能力非常差。而且，从棱镜门事件可以看到，美国在面临网络安全问题的时候能够有效协调安全厂商、技术机构、媒体形成常态化优势，而中国在技术标准、监管机制和产业联合引导方面还是非常不足。

　　今年上半年的“心脏出血”漏洞，引起全世界高度重视。有机构初步统计了约20个国家的OpenSLL漏洞修复水平，能在漏洞被发现72个小时后修复的，全球平均水平是40%，但中国仅有18%的网站修复了漏洞。直到现在，还有16%的网站没有进行修补。

　　另外，产业界的不团结也是导致安全技术和安全防护能力不高的原因。“每一家安全厂商都希望做大而全的完整的产品线，但实际上每个点上我们似乎都做了，每一个点上我们却做得都很粗糙。大家更多的追求的是商业模式上的创新，在技术方面，实际上我们投入得非常少。”云晓春说，“这样的结果是大家都聚焦在一个有限的市场上，想的是怎么分蛋糕，而不是怎么把蛋糕做大。同质竞争的结果往往是高质量的安全产品卖出了一个白菜价，导致厂商盈利能力越来越差，也导致整个技术创新能力提高幅度有限。”

　　反过来看，美国的安全产业总体格局非常完善，在最底层有强大的、全世界都要使用的基础信息巨头IBM、微软、思科等，在上面有一系列网络安全的产业聚集，而且有一系列的专业安全厂商，同时针对相应的政府部门有一系列的专业技术企业，所有这些企业就构成了一个完整的网络安全产业格局，这种体系格局自然而然对提高美国整体网络安全能力变得非常重要。

　　全国产不是唯一保障

　　就算全世界用的都是华为的路由器，也依然解决不了数据会在世界上绕一圈再回来，这就无法保证根本性的安全。

　　现在，很多人强调要实现网络安全，首要是要IT基础设施和信息系统从上至下都是国产。但是，全是国产的，并不能解决问题。

　　网络安全应急技术国家工程实验室主任杜跃进认为，因为今天的网络本身就存在很强的依赖关系，例如需要域名解析和国外企业的认证，需要国际的计费和路由系统的支撑。网络安全对抗不仅仅是说数据本身的保护，也包括系统运行本身的保护。“震网”病毒侵入伊朗，提醒了我们只从系统安全的角度来看今天的网络安全是有问题的。因为从系统安全思考网络安全，会想如果用国产的CPU、国产的操作系统、国产的数据库不就安全了吗？其实不是的。处在网络环境中，就算全世界用的都是华为的路由器，也依然解决不了数据会在世界上绕一圈再回来，这就无法保证根本性的安全。

　　一味防御不如攻防结合、抓住机会进攻。据悉，今年5月周边某国匿名者组织了对我国的网络攻击行动，篡改了一大批网站。今年6月，又有几个周边国家20多个黑客组织联合起来攻击中国，篡改了境内多个网站。思科系统亚太区、大中华区首席信息安全官江明灶就指出，在安全事件中，29%~54%的企业或机构都是超过几个星期或\几个月才发现自己的网络被攻破了，此时数据早就已经泄漏。很多企业安全管理的做法主要针对防控，但是预防是针对知道的问题才能预防，不知道的根本无法预防。当一些新的漏洞被发现、新的攻击大量出现时，对方利用这些漏洞攻击系统时自己是不知道的，如果只顾着防御，很快就会被攻破。

　　所以，攻击才能有效牵制对方发动攻击的意图。对于安全基础薄弱的一方来说，如果已经成为对方攻击的目标，与其被动挨打，不如主动出击，扰乱对方视线。

　　不拘一格出人才

　　安全行业未来一定是人才的竞争。网络安全保障能力其实取决于服务、取决于提供服务的安全人员技术水平。

　　在杜跃进看来，网络安全的本质是人和人之间的攻防对抗。中国对网络安全提出了“战略清晰、技术先进、产业发达、攻防兼备”十六字方针，杜跃进将其解读为：这些方针实现的基础是人才。

　　云晓春指出，我国在网络安全方面的投入绝大多数花在硬件上，一部分花在软件上，很少一部分放在服务上，但是国外是将绝大部分投入放在了购买安全服务上。这说明，国际上通常认为的网络安全保障能力其实是取决于服务、取决于提供服务的安全人员技术水平。如果有非常强大的安全团队跟踪网络设备的运行情况，即使设备能力稍微弱一点，安全保障能力也能跟得上。所以，人才的能力对网络安全始终是最重要的。如果整个国家、整个产业重视安全服务，那么安全队伍也会人才辈出。

　　其实很多企业抱怨，高校培养出来的科班信息安全人员往往不能用在企业的安全技术研发创新上，也胜任不了攻防任务。偏偏很多不是学软件、安全、计算机专业的人，以前没有接触过编程的人，成了网络安全高手。他们以前有做律师的、做医生的，也有做金融的、学数学的等等，因为兴趣而投身到网络安全中，成为顶尖的黑客。

　　360公司董事长兼CEO周鸿祎认为，安全行业未来一定是人才的竞争。美国已经有网络部队了，中国到目前为止还没有，这方面的人才其实比较缺乏。而美国的网络安全除了靠网络部队，还有很多民间承包商和民间公司帮助她做很多国家安全的事情，中国要学习这一点。以前，中国的安全人才有三个流向，一个是去了美国，另一个是落入了黑色产业链，还有一个是白帽子。现在搞攻防大赛、XP挑战赛，就是要将落入黑产的安全人才拉到白帽子行列，而重视安全服务，给安全人才更好的待遇，也能为培养安全队伍打下基础。

　　专家观点

　　国家计算机网络应急技术处理协调中心副主任兼总工程师云晓春

　　合作才能构建完整的漏洞防御体系

　　在现代这种高水平、高强度的攻击下，一方面绝大部分的部门没有专业能力应对高强度的攻击，另一方面，因为各干各的，最后形不成整体合力，因此真正大规模攻击发生的时候各单位都顾此失彼，最后没有办法有效应对。我们面临的问题是分而有余，合而不足。之所以出现越来越多的网络安全问题，一个基础的原因是我们现在在网络安全方面的法律体系不健全，这种不健全，意味着在网络上进行犯罪的成本非常低。低成本的犯罪自然而然就纵容了网络各种攻击行为的出现。但更重要的是在目前的情况下，我国网络安全保障工作体系化能力不足，没有一个有效的、整体的防御体系和规划，最后导致当真正的攻击来临的时候，处理的难度非常大。网络安全体系保障的困局，最终导致了我们在互联网安全方面治理的困难。