今天,网络技术的飞速发展并没有带来网络环境的净化,反而是安全问题越来越严重。有关部门监测到,仅今年上半年,新增的移动恶意程序相比去年同期就增长了13%。如此形式下,以现有的安全技术和ICT产业基础,国家的安全该如何保障?企业的安全该如何防御?
每一家安全厂商都希望做大而全的完整的产品线,但每一个点上都做得很粗糙。想的是怎么分蛋糕,而不是怎么把蛋糕做大。其实,中国的网络安全薄弱到何种程度,很多人并不知晓。
去年有两件非常轰动世界的事都和中国相关:一个是在2月份美国发布了APT分析报告,另一个是6月份发生的斯诺登棱镜门事件。
国家计算机网络应急技术处理协调中心副主任兼总工程师云晓春透露,从APT分析报告和斯诺登公布的资料发现,中国的技术和美国相比差距还是非常大的,包括威胁评估、追踪溯源、取证能力。美国拥有全面的监管和精确制造能力,而中国在网络安全基础设施方面仍然非常薄弱,防渗透能力非常差。而且,从棱镜门事件可以看到,美国在面临网络安全问题的时候能够有效协调安全厂商、技术机构、媒体形成常态化优势,而中国在技术标准、监管机制和产业联合引导方面还是非常不足。
今年上半年的“心脏出血”漏洞,引起全世界高度重视。有机构初步统计了约20个国家的OpenSLL漏洞修复水平,能在漏洞被发现72个小时后修复的,全球平均水平是40%,但中国仅有18%的网站修复了漏洞。直到现在,还有16%的网站没有进行修补。
另外,产业界的不团结也是导致安全技术和安全防护能力不高的原因。“每一家安全厂商都希望做大而全的完整的产品线,但实际上每个点上我们似乎都做了,每一个点上我们却做得都很粗糙。大家更多的追求的是商业模式上的创新,在技术方面,实际上我们投入得非常少。”云晓春说,“这样的结果是大家都聚焦在一个有限的市场上,想的是怎么分蛋糕,而不是怎么把蛋糕做大。同质竞争的结果往往是高质量的安全产品卖出了一个白菜价,导致厂商盈利能力越来越差,也导致整个技术创新能力提高幅度有限。”
反过来看,美国的安全产业总体格局非常完善,在最底层有强大的、全世界都要使用的基础信息巨头IBM、微软、思科等,在上面有一系列网络安全的产业聚集,而且有一系列的专业安全厂商,同时针对相应的政府部门有一系列的专业技术企业,所有这些企业就构成了一个完整的网络安全产业格局,这种体系格局自然而然对提高美国整体网络安全能力变得非常重要。
因此,在现代这种高水平、高强度的攻击下,一方面绝大部分的部门没有专业能力应对高强度的攻击,另一方面,因为各干各的,最后形不成整体合力,因此真正大规模攻击发生的时候各单位都顾此失彼,最后没有办法有效应对。我们面临的问题是分而有余,合而不足。之所以出现越来越多的网络安全问题,一个基础的原因是我们现在在网络安全方面的法律体系不健全,这种不健全,意味着在网络上进行犯罪的成本非常低。低成本的犯罪自然而然就纵容了网络各种攻击行为的出现。
但更重要的是在目前的情况下,我国网络安全保障工作体系化能力不足,没有一个有效的、整体的防御体系和规划,最后导致当真正的攻击来临的时候,处理的难度非常大。网络安全体系保障的困局,最终导致了我们在互联网安全方面治理的困难。
要想解决整个国家网络安全保障体系能力提升的问题,实际上最重要的一点就是合作。我们知道网络安全根本性的问题是因为存在漏洞,如果我们能够预先知道漏洞,在这个漏洞被利用前能找到并把它修补起来,自然而然网络安全的保障能力就能很大提升。如果想提高发现漏洞的能力,就需要构建一个漏洞防御体系。其中,构建一个好的漏洞报告平台非常重要。依赖于某一个人或某一个团体就把所有的漏洞都发现,是不可能的事情。只有发挥全社会的力量,大家一起来干,才有可能把尽可能多的漏洞发现。
此外,还需要有专业的团队进行检验和评估,判断漏洞的危害性。当然漏洞出现了以后,相应的厂商要结合到体系内,把他自己产品的漏洞及时快速地修补起来,甚至做产品的召回。同时用户接到漏洞的通报信息以后,也要能够迅速地按照要求把补丁打上。
只有把报告平台、专业队伍、生产厂商、产品用户团结起来合作,才有可能构成一个比较完整的漏洞防御体系,形成一个全面的安全的防护体系。