作者：中國工程物理研究院計算機應用研究所 鄧虎、田志宏

2016年4月19日，習近平總書記在網(wǎng)絡安全和信息化工作座談會上發(fā)表重要講話，對我國網(wǎng)絡安全和信息化發(fā)展作出了系統(tǒng)論述，為網(wǎng)信事業(yè)發(fā)展指明了前進方向，提供了根本遵循。習近平總書記曾指出：“網(wǎng)絡安全和信息化是一體之兩翼、驅動之雙輪，必須統(tǒng)一謀劃、統(tǒng)一部署、統(tǒng)一推進、統(tǒng)一實施。做好網(wǎng)絡安全和信息化工作，要處理好安全和發(fā)展的關系，做到協(xié)調一致、齊頭并進，以安全保發(fā)展、以發(fā)展促安全，努力建久安之勢、成長治之業(yè)。”

　　一、樹立正確的網(wǎng)絡安全觀

　　習總書記論述到：“網(wǎng)絡安全是動態(tài)的而不是靜態(tài)的。信息技術變化越來越快，過去分散獨立的網(wǎng)絡變得高度關聯(lián)、相互依賴，網(wǎng)絡安全的威脅來源和攻擊手段不斷變化，那種依靠裝幾個安全設備和安全軟件就想永保安全的想法已不合時宜，需要樹立動態(tài)、綜合的防護理念。”

　　當前形勢下，我國網(wǎng)絡面對的是“國家級、有組織的高強度網(wǎng)絡攻擊”，從斯諾登披露的資料看，除了“棱鏡門(PRISM)”，美國還開展了針對中國電信巨頭的“狙擊巨人”(Shotgaint)、針對中國網(wǎng)絡和通信系統(tǒng)的“定制入口組織”(Tailored Access Operations)等多項電子監(jiān)聽竊密計劃。如果不了解新的攻擊方式，僅靠增加防御設施的數(shù)量，并不能確保網(wǎng)絡安全。如果防御者沒有真正地實戰(zhàn)過，就不會有黑客的思維，也不會知道黑客將會如何攻擊。結果就是：“黑掉你，根本不在你認為的那個點上”。

　　基于風險的態(tài)勢感知是網(wǎng)絡安全的基礎。習總書記論述到：“知己知彼，才能百戰(zhàn)不殆。沒有意識到風險是最大的風險。網(wǎng)絡安全具有很強的隱蔽性，一個技術漏洞、安全風險可能隱藏幾年都發(fā)現(xiàn)不了，結果是‘誰進來了不知道、是敵是友不知道、干了什么不知道’，長期‘潛伏’在里面，一旦有事就發(fā)作了。維護網(wǎng)絡安全，首先要知道風險在哪里，是什么樣的風險，什么時候發(fā)生風險，正所謂‘聰者聽于無聲，明者見于未形’。感知網(wǎng)絡安全態(tài)勢是最基本最基礎的工作。”

　　在網(wǎng)絡安全態(tài)勢感知上，美國國家核安全局（NNSA）主要采取了三個措施：第一，建立威脅識別與優(yōu)先排序機制。將資源投入與識別到的威脅相匹配，重點保護最具價值的信息系統(tǒng)，重點應對殘余風險最高的薄弱環(huán)節(jié)；第二，建立基于風險的入侵探測系統(tǒng)和網(wǎng)絡監(jiān)測系統(tǒng)。對所有入站、出站的網(wǎng)絡活動進行檢查，并基于可疑入侵的預設規(guī)則發(fā)出警報。當警報觸動時，捕捉與問題事件相關的網(wǎng)絡與安全設備數(shù)據(jù)，并對數(shù)據(jù)進行分析與總結展示，輔助安全分析師進行事故響應審查；第三，建立遠程實時的企業(yè)取證系統(tǒng)。監(jiān)控所有機器上的操作存儲器、物理存儲設備和虛擬機制，實現(xiàn)對所有數(shù)據(jù)在二進制級別上的遠程實時監(jiān)測。

　　了解網(wǎng)絡攻防是理解網(wǎng)絡威脅的根本。習總書記論述到：“網(wǎng)絡安全的本質在對抗，對抗的本質在攻防兩端能力較量。要落實網(wǎng)絡安全責任制，制定網(wǎng)絡安全標準，明確保護對象、保護層級、保護措施。人家用的是飛機大炮，我們這里還用大刀長矛，那是不行的，攻防力量要對等。要以技術對技術，以技術管技術，做到魔高一尺、道高一丈。”

　　通常意義上的軟件漏洞種類繁多，比如windows系統(tǒng)漏洞、數(shù)據(jù)庫漏洞、瀏覽器漏洞等。但是在真實的網(wǎng)絡攻擊中，這些軟件漏洞并不一定能夠形成“完整的攻擊鏈路”。要識別真正的網(wǎng)絡威脅，需要建立符合相應技術特征的國家級網(wǎng)絡攻防靶場，進行實戰(zhàn)化模擬，確定哪些軟件漏洞可以被攻擊者利用，更重要的是，確定哪些防御措施（管理和技術）是無效的。

　　網(wǎng)絡攻防靶場最早在美國起步，英、德、俄、日、韓等國也借鑒美國經(jīng)驗，建設了同類項目。2008年，美國國會向DARPA（國防高級研究計劃局）下達了“國家網(wǎng)絡靶場”項目，靶場涵蓋政府、國防、金融、電信、工業(yè)等領域，為模擬真實的網(wǎng)絡攻防作戰(zhàn)提供虛擬環(huán)境。這是自20世紀50年代實施“人造地球衛(wèi)星計劃”以來，美國國會向DARPA直接下達的唯一指示。

　　安全是一個博弈對抗的過程，攻擊者會不斷尋找防護方的弱點，防護方也會不斷探索對付新攻擊的手段。在這種真實的對抗中，安全保障的能力才會得到不斷提升。

　　二、正確處理自主創(chuàng)新與開放合作的辯證關系

　　第一，關鍵核心技術要立足自主創(chuàng)新。習總書記論述到：“核心技術受制于人是我們最大的隱患。如果核心元器件嚴重依賴外國，供應鏈的‘命門’掌握在別人手里，那就好比在別人的墻基上砌房子，再大再漂亮也可能經(jīng)不起風雨，甚至會不堪一擊。最關鍵最核心的技術要立足自主創(chuàng)新、自立自強。市場換不來核心技術，有錢也買不來核心技術，必須靠自己研發(fā)、自己發(fā)展。”缺乏核心技術自主化的情況下，僅靠物理隔離不能確保絕對安全。2014年，《紐約時報》曝光了美國國安局的“量子項目”，通過將無線收發(fā)模塊秘密植入未聯(lián)網(wǎng)的電腦，再使用專門設備與這些隱蔽插件在一定范圍內進行無線通信，實現(xiàn)對物理隔離目標的遠程入侵。

　　2006年開始，我國啟動了“核高基”工程（核心電子元器件、高端通用芯片、基礎軟件產品），作為與載人航天、探月工程并列的16個重大科技專項之一，初步取得了一系列成果：2013年7月，阿里巴巴建立“飛天云計算平臺”，成為第一家成功“去IOE”的中國公司；2014年10月，曙光公司發(fā)布首款“完全自主可控的國產服務器”，CPU、操作系統(tǒng)等關鍵技術均有完全自主知識產權；2014年12月，銀監(jiān)會聯(lián)合工信部制定了《應用安全可控信息技術的推進指南》。

　　IT自主化是一個龐大的體系性工程，目前國內的互聯(lián)網(wǎng)安全企業(yè)、高校、科研院所已取得了諸多成果，但尚不能完全有效滿足我國的信息安全需求，某些單點技術和單點產品有所突破，但在“整體解決方案”上的能力還需努力提高。

　　第二，挑戰(zhàn)賽是整合頂尖攻防力量的有效方式。由于信息系統(tǒng)的高度復雜性，即使高水平的開發(fā)團隊也難以靠自身發(fā)現(xiàn)所有的bug。為了鼓勵“白帽黑客”搶在真正黑客的惡意攻擊之前發(fā)現(xiàn)并堵住網(wǎng)絡漏洞，facebook從2011年起為2400個漏洞發(fā)放獎金430萬美元。谷歌也設立了“安卓安全獎勵”，為發(fā)現(xiàn)不同級別的漏洞提供相應獎金，“白帽黑客”如提供補丁則獎金翻倍、實現(xiàn)兼容性后獎金再翻一倍。

　　2016年4月，美國國防部舉行了信息安全競賽“來黑五角大樓（Hack the Pentagon）”，本次大賽的參與者必須是美國公民，注冊后提交背景調查報告。共有1400名參賽者通過審查后參賽，他們在五角大樓5個對外開放網(wǎng)站中找到1189項薄弱點，其中138項被認定為“獨特、有效”。五角大樓為此次競賽花費15萬美元，其中半數(shù)是獎金。如果按傳統(tǒng)做法，邀請承包商來查找安全隱患，花費至少超過100萬美元。五角大樓還制定了一系列后續(xù)計劃，打算把這類活動擴大到部隊和軍方承包商。近年來，國內“白帽黑客”的技術水平進步迅速。每年都有安全團隊為谷歌、微軟、蘋果和Adobe提交上百個漏洞而獲得公開致謝，在世界黑客大賽Pwn2Own上也屢獲殊榮。

　　安全挑戰(zhàn)賽的運作模式已較為成熟，國內相關技術力量也已具備，通過開展此類競賽，至少帶來兩大好處：第一，使用少量資源，就可以整合調動國內頂尖技術力量，解決了“在信息安全上投入有限，難以聘用大量專業(yè)人才”的問題。第二，每一次成功的模擬攻擊，都為提升防御指明了方向，解決了“一味增加安全產品，卻不知道能否防住攻擊”的問題。第三，評價機制是用好高端安全人才的關鍵。習總書記論述到：“得人者興，失人者崩。網(wǎng)絡空間的競爭，歸根結底是人才競爭。網(wǎng)信領域的人才，不少是怪才、奇才，他們往往不走一般套路，有很多奇思妙想。對待特殊人才要有特殊政策，不要求全責備，不要論資排輩，不要都用一把尺子衡量。要建立適應網(wǎng)信特點的人才評價機制，以實際能力為衡量標準，不唯學歷，不唯論文，不唯資歷，突出專業(yè)性、創(chuàng)新性、實用性。要建立靈活的人才激勵機制，讓作出貢獻的人才有成就感、獲得感。”

　　根據(jù)2013年工信部和教育部聯(lián)合啟動的信息安全人才普查，全國每年培養(yǎng)的信息安全人才約1萬人，而現(xiàn)有缺口已達50萬人。“國以人興，政以才治”。網(wǎng)絡強國的國家核心競爭力的提升，關鍵在于人才的培養(yǎng)和利用，相信隨著政府機構、高校、科研院所以及民間網(wǎng)絡安全公司的推動，我國網(wǎng)絡安全人才短缺的現(xiàn)狀將得到極大緩解，網(wǎng)絡強國建設宏偉藍圖必將實現(xiàn)！