中国网络安全防护：四个自问

中国网络安全防护：四个自问

“网络攻击中大玩家的出现，针对具有重要战略价值的防护目标，将逐渐区别于业余类的对抗，形成网络安全对抗的两个分支。这两类分支的区别越来越大，对抗传统黑客的方式，不适应于对抗大玩家。网络安全对抗进入全新的一页，需要研究新的思路，建设新的能力。”

杜跃进

教授、博士，互联网安全专家。曾任国家网络信息安全技术研究所所长、国家计算机网络应急技术处理协调中心副总工程师。主持或参与了2001年至2008年我国几乎所有大规模网络安全事件的数据监测、技术分析和应急协调等工作。

应对APT的挑战

震网出来之后的4年内，围绕其的分析主要有：它是如何攻击位于Natanz的伊朗核设施的？它是如何隐藏自己的？它是如何违背开发者的期望并扩散到Natanz之外的？但是这些分析的主要内容要么是错误的要么是不完整的。这些问题困扰着网络安全专家、军事战略家、信息安全专家、政治决策者和广大公众。

与之前出现的病毒、木马全然不同，类似于震网这样的。APT（高级持续性感染）种类的攻击是另外完全不同的一种,那么，如何有效应对APT攻击？

业内专家分析说，在早期感染式病毒为主导的时代，我们面对的是对文件完整性的焦虑，因此，我们要进行人工分析，编写清除病毒的参数、脚本或模块，把文件恢复到感染前的状态；而对于蠕虫，我们面对的是及时性焦虑，类似Slammer在不到十分钟的时间就感染了全球百万台SQL Server服务器的等情况，让产业界更关注发现并遏制蠕虫的及时性；而对于木马，我们主要担心其数量级数的膨胀，是一种数量级和处理能力焦虑，我们需要增强海量计算资源的自动分析和终端上的主动防御能力与之抗衡；而对于APT，我们却是难以预见和防御的，我们对APT的恐惧是对其后果的焦虑，那么我们应如何有效应对APT？我们所能做的是如何更快速的感知和深度分析APT，以及对APT的回溯评估。

他进一步尖锐地指出，“面对类似APT等新兴威胁，传统查杀率统计已经失去了意义，安全厂商能力表现的度量衡又是什么呢？”

在过去，大部分蠕虫病毒虽然让安全企业很困扰，但大部分病毒可以在24小时内被捕获，有的时间稍长但也是以天来计算。而APT时代，“我们对相关恶意代码的感知时间则以年为单位来计算，比如，Flame是在初始活动近5年后才被发现的，这是由于投放的定向性、条件触发、自毁等方法导致的攻守不平衡。而另一原因也是境内外能力与信息的不对称，无法得到国外工控等厂商的技术支持。”

不同的时代，由于威胁对象和方法的不同，引发了需求和焦虑感的不同，进而导致我们工作方法也随之产生相应地改变。

对抗方式的改变

攻击方式的改变，攻击思维的改变，意味着对抗方式必须改变。最初的安全对抗只是单纯的加密与解密的对抗；之后的系统安全也相对简单。但APT出现后的网络攻防的复杂程度已经超越以往。

那么，中国网络安全防护的现状如何？相关人士分析说，仅在漏洞发现方面，我们就远远落后于我们的对手。

就APT 攻击而言，攻击者通常会组合使用“零日漏洞”(0day)、用社会工程学攻击方法、使用特征未知尚不能检测的攻击程序等。杜跃进认为，有三类漏洞影响着中国的网络安全。一类是隐藏多年的“战略级储备漏洞”，它们具有重大利用价值、被攻击者长期秘密掌握而不为外人所知。第二类是多如牛毛的“自主开发的漏洞”。这些漏洞是因为我们的软件开发人员不懂得安全编程、所用的软件也不经过安全检测和审计，最终导致大量的自主开发软件存在多如牛毛的漏洞( 因为如今都是联网环境，这些漏洞都比较容易被攻击者探测和利用)。第三类是复杂关联的“代码共用漏洞”，指的是现在大量软件互相共用代码模块，导致某个软件的漏洞实际上会影响大量其他软件，但是这种漏洞的关联影响常常从用户到开发者都没注意到。

2012年，国外媒体刊登了一篇文章《玻璃龙》，玻璃，意味着透明。作者是一个技术人员，他花了一年半的时间每天花费7个小时探测和研究中国的网站。种种观察之后，这篇文章最后得出观点：“中国的网络攻击能力与其经济大国的地位不相称，能力偏低；网站缺少基本的防护，数以万计的网络和数据库难以抵挡远程攻击；中国黑客使用的工具质量低下、隐蔽能力差、加密技术落后，代码重复使用普遍；攻击方式比较低级，似乎只在攻击某一特定行业时比较在行。这名黑客还分析了之所以出现这种情况的原因，包括，人才培养不够，缺乏有效的安全管理等等。

杜跃进认为，这个分析是比较客观的。“值得关注的是，我们的很多软件，系统，包括承载着许多敏感信息的系统都漏洞百出。因为我们不懂怎么做安全的设计和安全的开发与测试，但是今天互联网与全球连接，有的是人对我们感兴趣，如果不解决这些问题，未来的网络安全状况可想而知。”

拷问网络安全防护能力

不得不提的是，斯诺登爆料之后，国内议论纷纷，有一种极保守的观点是，如果不接入互联网就不存在这么多安全问题了。

就如同一个命题：向左走？向右走？“向左走退出互联网意味着彻底认输，等于彻底出局。而只有迎接挑战才有一线生机。”杜跃进认为。Gartner在去年的一个论断是，全世界所有的公司都是IT公司，无论何种公司未来都将采用IT的方式做财务，IT的方式做生意。 “IT意味着很多风险，但是这是必须承受的。”

就此，杜跃进分析：“网络攻击中大玩家的出现，针对具有重要战略价值的防护目标，将逐渐区别于业余类的对抗，形成网络安全对抗的两个分支。这两类分支的区别越来越大，对抗传统黑客的方式，不适应于来对抗大玩家。网络安全对抗进入全新的一页，需要研究新的思路，建设新的能力。”

2014中国互联网安全大会现场

但目前来看，中国急需从各种网络安全事件中审视自身的安全应对能力，并全面提升安全思路。“不得不说，在大玩家时代，我们面临着残酷的现实——能力不足。”杜跃进认为，“网络安全讲究知己知彼，但从Stuxnet到Duqu到Flame，我们的发现能力、分析能力、应急能力如何？我们的知彼能力如何？ 2009暴风影音事件、2013中国域名受攻击事件中，我们的知己能力又如何？ 斯诺登事件、棱镜事件中，我们的安全防护能力如何？”

针对这些问题，杜跃进对当前网络提出了几个自问。

自问之一：

直到今天，谁能说得清整网的安全风险？

自问之二：

Flame等攻击，如果是针对我国的，我们能应对吗？除了Stuxnet系列的攻击，别人的武器库中还有别的我们目前想像不到的攻击方法吗？ 是不是已经有针对我国的高级攻击早已潜伏在我们的关键部位呢？ 为什么发现不了APT，哪怕不是那么高级的？ 为什么我们对事件、恶意代码、漏洞的发现与分析能力屡屡失效？

自问之三：

所谓自主可控。过渡期有多长？这期间怎么办？不仅仅是产品的问题，运行上的问题呢？（自己的产品，就能实现自主可控吗？） 有一天这些自主可控的设备都会上线，在这种过渡时期，安全如何做？

自问之四：

BYOD，准备好了吗？未来网络环境更复杂，面对如此纷繁复杂的网络环境，如何提升网络安全能力？

杜认为，针对大玩家时代的网络攻击，人工的成分比以往更加重要，因此情报、资源和能力的整合将更加重要，现有的监测、预警、响应以及风险管理，在应用到新分支时，恐怕都需要进行针对性的升级。

（本文根据综合资料整理而成，整理：王左利）