斯诺登爆出的“棱镜”事件在中国信息安全界引起不小震动,“棱镜”折射出中国信息安全产业存在哪些问题?“棱镜”事件被爆,对中国信息安全产业走向会带来怎样的影响?近日,国家网络信息安全技术研究所所长、中国国家互联网应急中心(CNCERT/CC)副总工程师杜跃进就相关话题接受了51CTO记者的采访。
杜跃进认为,“棱镜”事件被爆出,暴露出中国信息安全能力存在的诸多问题,从让我们痛定思痛、加快产业发展的角度来讲是好事。目前,中国信息安全在漏洞处理、应急响应到攻防研究等各个方面都存在能力不足的情况。在实现信息安全自主可控之前的过渡期,短期内可通过加强外围技术保障以及产品互相制约来降低安全风险。长期看来,中国信息产业亟需增强自主可控性,从整体上全面增强信息安全能力。
“棱镜”折射出中国信息安全能力严重不足
51CTO:“棱镜”事件被爆出对中国信息及安全产业会带来什么影响?
杜跃进:中国的信息安全能力存在的问题,通过这样一种特殊的方式被暴露出来,从我们痛定思痛,加快产业发展的角度来讲,是个好消息。斯诺登爆出棱镜门事件对信息安全产业有较大震动,至于这件事对产业的具体影响,目前还没有特别精确的答案,我的直观感觉是:大型核心网络设备、大型系统国产化需求会更迫切,此事对纯粹的信息安全领域国产化也会有所促进。斯诺登爆出棱镜门后,我们会更加清醒,我们在信息安全领域确实存在很大的问题。过去,我们的防御主要针对计算机破坏分子、纯粹的黑客,但现在看来,用原有信息安全技术、产品和服务理念显然很难挡住国家层面的攻击,需要创新性的工作。
51CTO:“棱镜”事件折射出我国信息安全产业存在哪些问题?
杜跃进:棱镜事件表明,我们近几年研究提出的对我国安全能力的反思、重构等,大方向是正确的。棱镜门事件爆出后,我们更应该反思自己在网络安全能力上的全面不足,包括:漏洞研究与漏洞处理、事件发现与早期预警、事件处置与应急响应、应急预案与应急演练、安全测试与渗透测试、软件安全与安全编程、攻防研究与演练验证,都存在能力缺陷。
漏洞处理方面,系统化漏洞处理过程应该包括:漏洞挖掘、漏洞信息收集、漏洞验证、漏洞威胁评估、漏洞信息分发、补丁研制、补丁验证、补丁分发、漏洞利用行为监测、工具研制和分发。但由于成本和技术等原因,有些环节并没有全面落实,比如重点行业的漏洞信息详细验证等;漏洞威胁评估做得不到位,我们现在评估漏洞是与应用系统相脱离的,评估时可能只是说这是一个高危漏洞,但还没有到这些漏洞具体给哪些行业哪个系统带来哪些风险等方面。面对国家间的攻击,原有的漏洞发现与共享机制出现了重大问题。过去,安全防守方发现漏洞的渠道跟攻方基本一样(各种漏洞共享圈甚至地下经济链),但攻方如果是国家的话,一些漏洞会被当作战略资源储备,防守方无法再通过原来的渠道获得这些漏洞信息。
风险评估方面,风险评估让整体安全水平提升了,但在保护重点目标方面还不够。一方面,我们的风险评估中使用的已知漏洞,但是重点目标可能受到来自敌对国家的攻击,使用我们不知道的漏洞;另一方面,今天的网络环境下,网络中不同的应用、系统、设备等的相互关联关系异常复杂,但我们的风险评估还只是单点的,很难看出复杂网络的整体风险。
安全测评方面,国内对于设备、软件、大型系统的安全性测试能力还比较弱。针对功能和性能的测试性比较多,但对安全性的测试不充分。另外,我们多数测试设备都依赖进口,如果是国家间攻击行为,你从攻方国家购买的测试设备和规则支持,怎么可能发现该国产品的问题呢?我们在安全测试所需要的方法研究、经验和数据积累、专用设备与平台等方面都还十分欠缺。
攻防技术方面,缺乏系统化,分析能力不足。像Flame、Stuxnet这样的高级恶意软件都是体系化团队合作的结果。如果我们在攻防技术上自己没有做过相关尝试,我们也就不知道别人有什么样的能力。对国家间的对抗来说,攻防技术的研究和意义跟过去也不同了。
在事件处置方面,我们不仅是在一些核心软硬件产品方面依赖国外,在一些重要系统的运行上也依赖国外,而且在宏观数据方面也处于与战略被动地位,这会导致在事件处置(包括打击犯罪)时很被动,尤其是国家间网络对抗气氛越来越浓的时候。
在应急响应方面,面对新的威胁我们可以说是完败。应急最关键的是时间,需要在足够短的时间内发现问题和解决问题,可是我们发现Flame的时候,它都传播好几年了,发现之后也分析不了,更谈不上应急。我们过去的应急能力可以适应过去那种大规模或者大范围攻击,可是国家间的攻击是高有目标的高威胁攻击,不一定是大规模或者大范围的攻击,这导致我们原来的能力在威胁发现方面严重不足。而对于国家间的网络攻击,如果我们前期什么都不知道,想应对最后的致命攻击是完全不可能的。
应急演练方面,我们有多几百万份应急预案,也有很多演练,演练过后预案很少有调整的。我们是在演而不是在练,其实我们需要通过演练发现问题,再据此调整预案。演练方面,除了规则的演练,还要有单项技能演练、综合情况下攻击的防范和演练,以及真实环境下的实际演练。但是我们现在还没有这样系统化的演练,配套的演练手段和环境支持也十分缺乏。#p#
中国信息安全综合能力亟待增强
51CTO:目前,我们在信息和安全方面对国外依赖程度如何?在短期内无法完全实现自主可控的情况下,我们目前能做什么?
杜跃进:目前,我们在三个大的领域对国外有依赖,不能实现自主可控:一是技术产品;二是运行层面(除了互联网之外,我们还有很多大型系统无法自主,要靠国外运维);三是数据层面,一些国家依靠全球化的互联网企业实际上掌握着全世界的数据,比其他国家自己还了解他们。
自主可控是个长期目标,需要有一个比较长的过程。在实现自主可控之前,我们也不能坐以待毙。短期内可以考虑的思路是:通过第三方安全测试和安全产品互相制约来缓解可能出现的问题。比如,如果你的大型服务器只能用A国的产品,那与此相连的其他环节就尽量不用B国的产品,如审计监测系统。此外,需要加强自身的第三方安全测试、安全监测、协议和数据分析等方面的研究和能力建设。
51CTO:您如何看待中国的网络空间战略?
杜跃进:在顶层战略规划方面,中国确实需要改进。美国2011年推出《网络空间国际战略》后,我国很多人开始研究类似战略,但这种仓促的研究难以达到美国的水平,而且研究的多,出台的少。另外,网络空间战略里,除了政策、技术、产业发展,还应该包括清晰的系统的网络空间安全外交战略。这些年来,在维护国际网络空间安全方面,中国其实做了很多有意义的和创新性的事情,但似乎咱们自己没重视,对外更是没有宣传,所做的事情也似乎没有持续推进。
51CTO:面对像“棱镜”这样的监控行动,我们今后如何去应对?
杜跃进:严格说,“棱镜”事件凸显出我们对国家级攻击的应对能力不足。未来要努力改进的不只是某个点上的技术措施,而是综合安全能力的提升。例如,目前我们总体上还是基于特征来发现安全事件,但对于未知漏洞和攻击程序,基于特征的事件发现模式完全不行。所以,在未来安全能力建设中不能仅仅使用基于特征的模式。新的模式需要能发现异常,这就需要确定很多的正常指标,就好像是将人体的健康指标描述清晰后,才有参照值,才能知道身体哪里不对劲了。这个正常指标的研究是很基础的工作,难度比较大,但却非常重要。
对于重要的事情要进行深度分析,要从中浪里淘沙,从众多事情找出异常。斯诺登爆出的“棱镜”事件之前不可能没任何迹象,但过去人们可能只把它当成普通的事件,为什么?就是因为缺乏深度分析。未来,我们需要加强深度分析,并且在漏洞的主动性研究上要加强,把它当作国家战略来做。