云晓春：携手共建网络安全保障体系

云晓春：携手共建网络安全保障体系

在人才的体系建设方面，不光要利用高校的体制，还要把整个社会力量发动起来，全局性地进行协作。

国家计算机网络应急技术处理协调中心副主任兼总工程师、安全专家 云晓春

过去二十年，中国的互联网得到了长足发展。在整个发展过程中，我国网络安全的保障能力也在持续上升。在上升的同时，由于新形势、新技术的出现，我们在安全保障能力方面还有很多的不足和差距。

从技术角度来看，我国在技术标准、监管机制和产业联合引导方面尚存在不足，特别是在产业方面，每一家企业都希望做“大而全”完整的产品线。人们普遍追求商业模式上的创新，在技术方面实际上的投入非常少。从2012年公开的IDC统计数据可以看到，中国信息安全产业投入占IT产业总体支出的比例不足1%，而美国、欧洲、日本的投入则达到9%左右。要想解决整个国家网络安全保障体系能力提升的问题，最重要的一点就是加强合作，互联网是一个复杂的系统，需要大家携起手来一起合作。

众所周知，网络安全的根本性问题是因为存在漏洞。如果能够预先知道漏洞所在，在漏洞被利用前发现并进行修补，那么自然而然就会使网络安全的保障能力有很大的提升，这就需要构建一个整体的漏洞防御体系，其中，建立一个整体的漏洞报告平台非常重要。

图1 我国与日本网络安全产业投入和结构对比

漏洞整体防御体系

当发现漏洞以后，通过专业的团队进行检验和评估后，相关企业就要结合实际，把自身产品的漏洞及时修补起来。同时，对用户来说，接收到漏洞的通报信息以后，也能够迅速地按照要求下载相关补丁。这样，通过报告平台、专业队伍、生产厂商、产品用户的共同合作，才有可能构成一个比较完整的漏洞防御体系。

OpenSSL漏洞引起很大的反响。表1是一个简单的示意图，蓝线是全部用户的检测情况。到目前为止，有16%的用户没有进行修补，由于我国重要的信息系统都已加入整个漏洞通报体系内，因此我们用户的修复率就要高不少。这也从另一个方面反映，只要大家一起团结协作支持漏洞平台体系，对于提升和强化我国的安全保障能力具有非常重要的意义。

近年来，我们在互联网协会的支持下着力打造了一个反网络病毒联盟，主要从事三件事：一是举报报送，二是定期发布黑白名单，三是一旦出现大规模的病毒发作要进行联合打击。 在举报报送方面，已经搭建了一个恶意程序的举报平台，面向企业和个人用户，提供在线的文件连接检测。联盟会定期发送黑名单，并通过平台体系发布。随着大量的移动互联网APP出现，用户很难判断哪些APP是恶意的，哪些是正常的应用，因此，我们建立了一个移动互联网白名单体系。

表1 OpenSSL“心脏出血”漏洞修复情况监测

在中国有一个根深蒂固的想法，那就是国家的事情要依靠国家投入和建设。因此，在打造国家网络安全保障体系的时候，大家的一个基本思路就是要由国家来建设这件事。但是基于互联网的复杂性，如果完全依靠国家的投入和驱动，无论在服务还是在体制上很难持续。互联网近年来的蓬勃发展，是世界各国以共同的目的和利益为前提，在共同规则的基础上一起自愿参与和自主驱动，最后实现了如今的规模。

在技术的环节上，通过协商构建大家共同认可的技术标准，把运营商、互联网企业、党政机关、用户基于这个共同的技术标准结合起来，实现资源共享，实现相互之间提供协作的防范能力，扩大监测范围。这样一来，对于企业而言，就能够把其全局态势的破解能力和整个国家的全局资源进行对接，对于运营商而言，落实监管要求和增强自身的防控能力也是非常重要的，对于党政机关而言，其自身防控需求和能力也会有一定提高。

此外，在人才的体系建设方面，不光要利用高校的体制，还要把整个社会力量发动起来，全局性地协作，培养真正有用的、实践需要的网络安全人才。

希望能够通过行业内、领域内的共同协作，建立资源共享、标准化的合作体系，实现协同发展，进一步打造我国网络安全的热带雨林。

（本文根据国家计算机网络应急技术处理协调中心副主任兼总工程师云晓春在2014互联网安全大会上的发言整理而成，整理：杨洁）