斯諾登爆出的“棱鏡”事件在中國信息安全界引起不小震動，“棱鏡”折射出中國信息安全產業存在哪些問題?“棱鏡”事件被爆，對中國信息安全產業走向會帶來怎樣的影響?近日，國家網絡信息安全技術研究所所長、中國國家互聯網應急中心(CNCERT/CC)副總工程師杜躍進就相關話題接受了51CTO記者的采訪。

[[76343]]  

杜躍進認為，“棱鏡”事件被爆出，暴露出中國信息安全能力存在的諸多問題，從讓我們痛定思痛、加快產業發展的角度來講是好事。目前，中國信息安全在漏洞處理、應急響應到攻防研究等各個方面都存在能力不足的情況。在實現信息安全自主可控之前的過渡期，短期內可通過加強外圍技術保障以及產品互相制約來降低安全風險。長期看來，中國信息產業亟需增強自主可控性，從整體上全面增強信息安全能力。

“棱鏡”折射出中國信息安全能力嚴重不足

51CTO：“棱鏡”事件被爆出對中國信息及安全產業會帶來什么影響?

杜躍進：中國的信息安全能力存在的問題，通過這樣一種特殊的方式被暴露出來，從我們痛定思痛，加快產業發展的角度來講，是個好消息。斯諾登爆出棱鏡門事件對信息安全產業有較大震動，至于這件事對產業的具體影響，目前還沒有特別精確的答案，我的直觀感覺是：大型核心網絡設備、大型系統國產化需求會更迫切，此事對純粹的信息安全領域國產化也會有所促進。斯諾登爆出棱鏡門后，我們會更加清醒，我們在信息安全領域確實存在很大的問題。過去，我們的防御主要針對計算機破壞分子、純粹的黑客，但現在看來，用原有信息安全技術、產品和服務理念顯然很難擋住國家層面的攻擊，需要創新性的工作。

51CTO：“棱鏡”事件折射出我國信息安全產業存在哪些問題?

杜躍進：棱鏡事件表明，我們近幾年研究提出的對我國安全能力的反思、重構等，大方向是正確的。棱鏡門事件爆出后，我們更應該反思自己在網絡安全能力上的全面不足，包括：漏洞研究與漏洞處理、事件發現與早期預警、事件處置與應急響應、應急預案與應急演練、安全測試與滲透測試、軟件安全與安全編程、攻防研究與演練驗證，都存在能力缺陷。

漏洞處理方面，系統化漏洞處理過程應該包括：漏洞挖掘、漏洞信息收集、漏洞驗證、漏洞威脅評估、漏洞信息分發、補丁研制、補丁驗證、補丁分發、漏洞利用行為監測、工具研制和分發。但由于成本和技術等原因，有些環節并沒有全面落實，比如重點行業的漏洞信息詳細驗證等;漏洞威脅評估做得不到位，我們現在評估漏洞是與應用系統相脫離的，評估時可能只是說這是一個高危漏洞，但還沒有到這些漏洞具體給哪些行業哪個系統帶來哪些風險等方面。面對國家間的攻擊，原有的漏洞發現與共享機制出現了重大問題。過去，安全防守方發現漏洞的渠道跟攻方基本一樣(各種漏洞共享圈甚至地下經濟鏈)，但攻方如果是國家的話，一些漏洞會被當作戰略資源儲備，防守方無法再通過原來的渠道獲得這些漏洞信息。

風險評估方面，風險評估讓整體安全水平提升了，但在保護重點目標方面還不夠。一方面，我們的風險評估中使用的已知漏洞，但是重點目標可能受到來自敵對國家的攻擊，使用我們不知道的漏洞;另一方面，今天的網絡環境下，網絡中不同的應用、系統、設備等的相互關聯關系異常復雜，但我們的風險評估還只是單點的，很難看出復雜網絡的整體風險。

安全測評方面，國內對于設備、軟件、大型系統的安全性測試能力還比較弱。針對功能和性能的測試性比較多，但對安全性的測試不充分。另外，我們多數測試設備都依賴進口，如果是國家間攻擊行為，你從攻方國家購買的測試設備和規則支持，怎么可能發現該國產品的問題呢?我們在安全測試所需要的方法研究、經驗和數據積累、專用設備與平臺等方面都還十分欠缺。

攻防技術方面，缺乏系統化，分析能力不足。像Flame、Stuxnet這樣的高級惡意軟件都是體系化團隊合作的結果。如果我們在攻防技術上自己沒有做過相關嘗試，我們也就不知道別人有什么樣的能力。對國家間的對抗來說，攻防技術的研究和意義跟過去也不同了。

在事件處置方面，我們不僅是在一些核心軟硬件產品方面依賴國外，在一些重要系統的運行上也依賴國外，而且在宏觀數據方面也處于與戰略被動地位，這會導致在事件處置(包括打擊犯罪)時很被動，尤其是國家間網絡對抗氣氛越來越濃的時候。

在應急響應方面，面對新的威脅我們可以說是完敗。應急最關鍵的是時間，需要在足夠短的時間內發現問題和解決問題，可是我們發現Flame的時候，它都傳播好幾年了，發現之后也分析不了，更談不上應急。我們過去的應急能力可以適應過去那種大規?；蛘叽蠓秶?，可是國家間的攻擊是高有目標的高威脅攻擊，不一定是大規?；蛘叽蠓秶墓?，這導致我們原來的能力在威脅發現方面嚴重不足。而對于國家間的網絡攻擊，如果我們前期什么都不知道，想應對最后的致命攻擊是完全不可能的。

應急演練方面，我們有多幾百萬份應急預案，也有很多演練，演練過后預案很少有調整的。我們是在演而不是在練，其實我們需要通過演練發現問題，再據此調整預案。演練方面，除了規則的演練，還要有單項技能演練、綜合情況下攻擊的防范和演練，以及真實環境下的實際演練。但是我們現在還沒有這樣系統化的演練，配套的演練手段和環境支持也十分缺乏。#p#

中國信息安全綜合能力亟待增強

51CTO：目前，我們在信息和安全方面對國外依賴程度如何?在短期內無法完全實現自主可控的情況下，我們目前能做什么?

杜躍進：目前，我們在三個大的領域對國外有依賴，不能實現自主可控：一是技術產品;二是運行層面(除了互聯網之外，我們還有很多大型系統無法自主，要靠國外運維);三是數據層面，一些國家依靠全球化的互聯網企業實際上掌握著全世界的數據，比其他國家自己還了解他們。

自主可控是個長期目標，需要有一個比較長的過程。在實現自主可控之前，我們也不能坐以待斃。短期內可以考慮的思路是：通過第三方安全測試和安全產品互相制約來緩解可能出現的問題。比如，如果你的大型服務器只能用A國的產品，那與此相連的其他環節就盡量不用B國的產品，如審計監測系統。此外，需要加強自身的第三方安全測試、安全監測、協議和數據分析等方面的研究和能力建設。

51CTO：您如何看待中國的網絡空間戰略?

杜躍進：在頂層戰略規劃方面，中國確實需要改進。美國2011年推出《網絡空間國際戰略》后，我國很多人開始研究類似戰略，但這種倉促的研究難以達到美國的水平，而且研究的多，出臺的少。另外，網絡空間戰略里，除了政策、技術、產業發展，還應該包括清晰的系統的網絡空間安全外交戰略。這些年來，在維護國際網絡空間安全方面，中國其實做了很多有意義的和創新性的事情，但似乎咱們自己沒重視，對外更是沒有宣傳，所做的事情也似乎沒有持續推進。

51CTO：面對像“棱鏡”這樣的監控行動，我們今后如何去應對?

杜躍進：嚴格說，“棱鏡”事件凸顯出我們對國家級攻擊的應對能力不足。未來要努力改進的不只是某個點上的技術措施，而是綜合安全能力的提升。例如，目前我們總體上還是基于特征來發現安全事件，但對于未知漏洞和攻擊程序，基于特征的事件發現模式完全不行。所以，在未來安全能力建設中不能僅僅使用基于特征的模式。新的模式需要能發現異常，這就需要確定很多的正常指標，就好像是將人體的健康指標描述清晰后，才有參照值，才能知道身體哪里不對勁了。這個正常指標的研究是很基礎的工作，難度比較大，但卻非常重要。

對于重要的事情要進行深度分析，要從中浪里淘沙，從眾多事情找出異常。斯諾登爆出的“棱鏡”事件之前不可能沒任何跡象，但過去人們可能只把它當成普通的事件，為什么？就是因為缺乏深度分析。未來，我們需要加強深度分析，并且在漏洞的主動性研究上要加強，把它當作國家戰略來做。