云曉春：攜手共建網絡安全保障體系

云曉春：攜手共建網絡安全保障體系

在人才的體系建設方面，不光要利用高校的體制，還要把整個社會力量發動起來，全局性地進行協作。

國家計算機網絡應急技術處理協調中心副主任兼總工程師、安全專家 云曉春

過去二十年，中國的互聯網得到了長足發展。在整個發展過程中，我國網絡安全的保障能力也在持續上升。在上升的同時，由于新形勢、新技術的出現，我們在安全保障能力方面還有很多的不足和差距。

從技術角度來看，我國在技術標準、監管機制和產業聯合引導方面尚存在不足，特別是在產業方面，每一家企業都希望做“大而全”完整的產品線。人們普遍追求商業模式上的創新，在技術方面實際上的投入非常少。從2012年公開的IDC統計數據可以看到，中國信息安全產業投入占IT產業總體支出的比例不足1%，而美國、歐洲、日本的投入則達到9%左右。要想解決整個國家網絡安全保障體系能力提升的問題，最重要的一點就是加強合作，互聯網是一個復雜的系統，需要大家攜起手來一起合作。

眾所周知，網絡安全的根本性問題是因為存在漏洞。如果能夠預先知道漏洞所在，在漏洞被利用前發現并進行修補，那么自然而然就會使網絡安全的保障能力有很大的提升，這就需要構建一個整體的漏洞防御體系，其中，建立一個整體的漏洞報告平臺非常重要。

圖1 我國與日本網絡安全產業投入和結構對比

漏洞整體防御體系

當發現漏洞以后，通過專業的團隊進行檢驗和評估后，相關企業就要結合實際，把自身產品的漏洞及時修補起來。同時，對用戶來說，接收到漏洞的通報信息以后，也能夠迅速地按照要求下載相關補丁。這樣，通過報告平臺、專業隊伍、生產廠商、產品用戶的共同合作，才有可能構成一個比較完整的漏洞防御體系。

OpenSSL漏洞引起很大的反響。表1是一個簡單的示意圖，藍線是全部用戶的檢測情況。到目前為止，有16%的用戶沒有進行修補，由于我國重要的信息系統都已加入整個漏洞通報體系內，因此我們用戶的修復率就要高不少。這也從另一個方面反映，只要大家一起團結協作支持漏洞平臺體系，對于提升和強化我國的安全保障能力具有非常重要的意義。

近年來，我們在互聯網協會的支持下著力打造了一個反網絡病毒聯盟，主要從事三件事：一是舉報報送，二是定期發布黑白名單，三是一旦出現大規模的病毒發作要進行聯合打擊。 在舉報報送方面，已經搭建了一個惡意程序的舉報平臺，面向企業和個人用戶，提供在線的文件連接檢測。聯盟會定期發送黑名單，并通過平臺體系發布。隨著大量的移動互聯網APP出現，用戶很難判斷哪些APP是惡意的，哪些是正常的應用，因此，我們建立了一個移動互聯網白名單體系。

表1 OpenSSL“心臟出血”漏洞修復情況監測

在中國有一個根深蒂固的想法，那就是國家的事情要依靠國家投入和建設。因此，在打造國家網絡安全保障體系的時候，大家的一個基本思路就是要由國家來建設這件事。但是基于互聯網的復雜性，如果完全依靠國家的投入和驅動，無論在服務還是在體制上很難持續。互聯網近年來的蓬勃發展，是世界各國以共同的目的和利益為前提，在共同規則的基礎上一起自愿參與和自主驅動，最后實現了如今的規模。

在技術的環節上，通過協商構建大家共同認可的技術標準，把運營商、互聯網企業、黨政機關、用戶基于這個共同的技術標準結合起來，實現資源共享，實現相互之間提供協作的防范能力，擴大監測范圍。這樣一來，對于企業而言，就能夠把其全局態勢的破解能力和整個國家的全局資源進行對接，對于運營商而言，落實監管要求和增強自身的防控能力也是非常重要的，對于黨政機關而言，其自身防控需求和能力也會有一定提高。

此外，在人才的體系建設方面，不光要利用高校的體制，還要把整個社會力量發動起來，全局性地協作，培養真正有用的、實踐需要的網絡安全人才。

希望能夠通過行業內、領域內的共同協作，建立資源共享、標準化的合作體系，實現協同發展，進一步打造我國網絡安全的熱帶雨林。

（本文根據國家計算機網絡應急技術處理協調中心副主任兼總工程師云曉春在2014互聯網安全大會上的發言整理而成，整理：楊潔）