ISC2014 云春：共建国家网络安全防御体系.doc

9月24日，ISC2014(2014中国互联网安全大会)在国家会议中心召开。在上午召开的产业领袖峰会上，国家计算机网络应急技术处理协调中心副主任兼总工程师，网络信息安全专家云晓春先生，做了“携手共建国家网络安全防御 体系”的演讲。云晓春分别从国家网络安全的困局和形势、与先进国家的差距、网络安全保障体系的工作思路三大方面解析如何携手共建国家网络安全保障体系。 云晓春 互联网安全的威胁 今年上半年对中国用户影响比较大微软XP停服的事件，微软声称其初衷是通过XP系统停服，推动用户从不安全的XP上迁移到更安全的win7、win8上。但根据从事互联网安全的公司实际监测发现，在4-8月停服四个多月的时间里，使用XP的中国用户比例基本没有明显减少。用户使用XP的数量没有减少，但是又没有相应的厂家应该给予安全保障服务，最后的结果只能是用户处于高度危险中。 上半年另一个“心脏出血”漏洞，震惊了互联网行业。一直被认为非常安全的HTTPS访问形式，被发现OpenSSL是存在漏洞的。但它使用面和受众的广泛性导致非常严重的危害，影响了各个行业。 与此同时涉及到重要单位的漏洞事件越来越多，上半年漏洞数量就有极大的增多。漏洞出现了以后，不仅每天有增量出现，存量也在不断的往前走。像Openssl已经引起了全世界最大程度的重视，实际上一直到现在，还有16%没有进行修补。原来的风险未能修补，新漏洞却已出现，风险压力和威胁就会变得越来越大。这就是互联网下保障体系下的不足和挑战。 中国在互联网安全方面的劣势 分析完我国网络安全存在的困局和形式，云晓春又详细的描述了我国与先进国家的差距。“我们可以看到美国网络安全行业厚积薄发以及新兴网络安全厂商的崛起。综合对于中美两国的实力，实际上体现出来我国与美国可以说是隔代的差距。”云晓春说。 从技术的角度来说，美国有非常完备的布局，例如美国在操作系统、网络设备、基础应用、大数据应用等关键技术领域拥有大量巨头企业，占据主导和先发优势，此外，美国还拥网络安全产业的巨头公司以及更多的专业安全厂商。在网络安全产业支撑方面，美国政府和军方机构具备将专业技术交给民间企业的条件，并建立了自己的专用技术企业(即政府承包商)队伍，形成政府、民间分工协作、相互促进的产业格局。 此外，美国在反APT方面，已经形成了事实上的“产业联盟”。这个“产业联盟”事实上并不是有公约或机制的实质联盟，它是美国产业界在实践上针对APT领域形成的技术分工精细、协作共享紧密的联盟式运作机制。这些企业在APT多个单点技术上都极具特色，代表了美国APT相关技术的最高水平，通过联合协作形成一个高水平的协作联合体。 从网络安全产业在IT领域的投入来看，中国只有1%的比例，而国外发达国家则远超该比例，一般有9%左右。而我国的安全人才储备也远远不足，本来已经很稀缺的一些高精尖的人才，还由于国内网络安全产业发展空间不足而流失到国外的一些大型企业。此外，一些人才也转而进入了游戏、移动互联网等应用领域，更令人痛心的是一些人还进入了黑色产业。 共建国家网络安全防御体系 面对我国网络安全的困局和与先进国家的差距，“在我们多年的探索中，合作共赢的理念帮助我们做出了很多成绩。”云晓春说。 目前，CNCERT通过通信行业信息通报、事件报告接受和处置等工作，以及依托所主办的CNVD和ANVA等行业联盟组织，积极构建我国互联网网络安全领域的广泛的合作体系。目前与境内711家单位建立了合作机制，在此范围内能够进行信息共享和事件的协调处置。在CNCERT的推动下，目前我国已经基本建立了一个漏洞防御体系。从漏洞的发现接收、验证评估、协调处置、补丁修复等环节形成了一个完整的闭环。对于如何共建国家网络安全保障体系，云晓春讲述了国家需要建立的三大体系。 首先是打造自增长的技术体系。通过以CNCERT建设的技术系统为核心资源，以运营商、互联网企业建设的系统为关键扩展，以党政机关等重要用户建设的系统为重要组成，通过开放的标准接口实现各个系统间的有机对接和共享，逐步有机整合各方的资源和能力，形成国家级、多层次的纵深防御体系。核心平台是国家投诉建设，而运营商、互联网企业、党政机关等单位的外延平台则是最具活力的组成部门，通过系统对接、能力共享，实现监测范围和技术能力上的自增长。 其次是打造自增长的合作体系。在互利共赢的原则下，我中心在强化稳固与基础电信企业、非经营性互联单位、域名服务机构、安全厂商等单位协作关系的基础之上，重点拓展与互联网接入服务商、互联网数据中心、内容分发网络提供商、互联网内容提供商、移动互联网应用服务提供商的合作。 最后是形成人才的自增长体系。这首先离不开国家扶持和产业发展，从国家战略角度出发，可以在重点急需人才方面大胆引起尖端人才，发挥以点带面的作用，对网络安全产业人力资源方面重点给予企业政策优惠