我国网络安全裸奔状态亟需改变

　　摘要：“当前，我国的络安全仍然存在较大隐患。一方面，基于合规性要求和已知安全风险防护的基础安全防护体系建设取得了良好成效，基本形成了针对商业级安全风险的应对能力；但与此同时，由于存在体系的缺失，安全问题仍会频繁发生。

　　“当前，我国的络安全仍然存在较大隐患。一方面，基于合规性要求和已知安全风险防护的基础安全防护体系建设取得了良好成效，基本形成了针对商业级安全风险的应对能力；但与此同时，由于存在体系的缺失，安全问题仍会频繁发生。从国家对抗的风险来看，目前我国的络安全在这个场景下无异于‘裸奔’。”近日，中电长城际系统应用有限公司总经理贺卫东在接受采访时如此表示。

　　贺卫东说，无论是央企还是其他安全企业，针对所面临的商业级和国家级威胁风险的新变化，迫切需要打造支撑国家安全的自主可控IT产品系统和全新动态安全体系，实现本质安全（国产化替代）和过程安全（产业链安全）的深度融合。

　　一面是“保护得好”一面是还在“裸奔”

　　近年来，我国络安全工作以落实等级保护要求为目标，扎实做好各项工作，组织体系、管理体系、技术体系和建设与运维体系都基本完善，基于合规性要求和已知安全风险防护的基础安全防护体系建设取得良好成效（“保护得好”），基本构成了针对商业级安全风险的应对能力。

　　但在获得成绩的同时，也要看到，从动态攻防对抗的视角来看，当前还存在着大量未知或已知的“后门”和“漏洞”风险。而这些风险背后体现的实质是，由于对抗能力不可能马上转化成为防护产品，并部署构成防护能力，处置这些风险就必须依托实时或快速响应。因而可知，安全对抗能力快速运用需要构建对抗服务体系来应对，即用高能力的安全服务去弥补。由于存在体系的缺失，安全问题就会频繁发生。所以从国家对抗的风险来看，目前我国的络安全在这个场景下，无异于“裸奔”。

　　据贺卫东介绍，“保护得好”和“裸奔”的根本原因在于新形势下面对的威胁产生了重大变化。当前，我国面临的络安全威逼可以分为商业级威逼和国家级威胁。国家络安全面临的核心威胁是国家级络威胁，即国家间的络攻击和威慑。“棱镜门”、伊朗核电站等一系列事件表明目前的国家络空间安全就是国家级络安全能力的体系化对抗。

　　通过分析国外络安全的发展趋势，我们发现，发达国家已处于智能迭代为特点的智能防御 .0时代，发展中国家部份进入安全可控为特点的主动防御2.0时期，欠发达国家处于合规保障为特点的被动防御1.0时代。而我国现在就处于合规保障被动防御1.0时期，防护级别仅属于商业级安全范畴。与发达国家的现阶段情况相比，我国防护能力与国家级对抗的要求差距明显，且集中体现在发展阶段差异、技术代差、能力代差和投入有限四个方面。

　　国家络安全与商业络安全存在差异

　　贺卫东介绍，在风险来源、攻击目的、攻击手段、投入方式和防护模式上，国家络安全与商业络安全存在显著的差异。

　　国家络安全的风险来源于国家络战部队及国家能力；对方攻击目的为控制或破坏国家关键基础设施；采取的攻击手段为软硬件后门，络战武器，国家级安全能力；投入方式以国家投入，实现对抗威慑为目标；技术上，采取自主可控、基于威胁的主动防御模式。而商业络安全的风险来源为黑客团队；攻击目的为获取商业利益；采用的攻击手段为寻找漏洞，层层渗透；投入方式追求合规性和性价比，企业自主投入；采取合规性防御模式；防护能力是产业单一厂商的安全能力。

　　国家络安全面对的是国家级对抗的威胁，是国家之间顶级智慧的较量。应当采取的是国家络安全策略，以能力威慑为基础，对标对抗先进国家的攻防能力，采取国家级安全经济投入，建设全产业技术支持体系，健全法律威慑为辅，研究突破核心技术打造公共性产品，建设基于国家技术鉴别能力的技术信任体系，支持关键信息基础设施保护。需要专项投入，有序推进。

　　商业络安全面临极端个人、黑客团体和经济犯罪的威胁，应采取商业络安全策略，以法律威慑为核心，突出技术追溯与执法能力，满足商业络安全目标；基于投资能力建设单一厂家或部分厂家有限对抗能力的技术支撑体系，健全攻防能力，采购部署大规模可复制的非公共性产品和服务，其技术能力是基于商业信任和市场竞争形成的。

　　三大策略解决国家络安全问题

　　贺卫东表示，我们国家非常重视络安全，成立了中央信办，制定并颁布了国家络安全法，络安全与信息化已经上升为国家战略。

　　解决国家络安全问题，首先要遵守络安全的经济规律。面对“攻击的本钱越来越低，防御的成本愈来愈高”的客观现实，花多少钱，怎样花钱来保障安全，一直是这些年安全界所关心的重要问题。络安全覆盖从终端到络，从应用到系统，从软件到硬件，从管理到法律，范围之广、门类之多容易造成络安全防不胜防。那么，究竟需要在安全上投入多少钱？这个问题仿佛没有一个绝对的答案。安全是动态的，从技术的视角来看，任何信息化系统都是存在缺陷的。络安全产品本身就是对现有技术的固化（产品化），所以当它面市时，它的技术就已过时。所以安全应该是相对的，绝对的安全恐怕只在理论上存在。在实际中，需要进行安全与本钱的平衡，即用“最小”的成本来达到“最好”的效果，这也导致新的信息安全理论转向了“基于攻击环境下的主动防御”模式，主要技术特点体现为自主可控、可信计算和动态监控。而在商业模式上则体现为平台与服务厂商聚合化。

　　其次，要洞察络产业的演变方向。目前络安全技术已走向实时监测及风险预防控制，络安全业态也从原先的“产品业态”走向了“服务业态”。络安全的提供将由专业的络安全服务商来完成，而非某些特定产品厂商。

　　最后，把握络安全技术演进线路。针对面临的商业级和国家级威逼风险，为实现国家安全的目标，迫切需要打造支撑国家安全的安全服务体系，打造国之重器：发现之眼——练就风险和威胁预警监测的火眼金睛；防护之穹——构建国家关键信息基础设施防护的金刚罩；追踪之剑——锻造一招制敌、有效威慑的杀手锏；应急之队——构成响应迅速、指挥有序、保障有力的快反之师；重建之能——提升络空间基础设施重构的恢复之力；长久之才——筑建络空间攻防人才队伍培养的新高地。

　　“漏洞”与“后门”的应对之道

　　贺卫东建议，以平台同享经济模式，有效聚合服务能力，以结果付费解决动态安全的“漏洞”问题和国家能力传导互动问题。

　　聚合模式就是充分发挥共享经济、平台经济、智慧经济的优越性，通过平台积聚各类资源，有效实现能力与需求的协同。这就好比，医院看病的“专家会诊”模式。络安全与看病类似，满足客户需求的方式已由“单个医生问诊”转向“专家会诊”，促成产业链由单一的供应链向复合供应体系转型升级，以军民融会的方式解决国家安全和商业安全不同安全服务能力的要求。通过构筑基于建立国家、产品供应商、安全服务商、用户“四位一体”的络安全保障平台，将多维度的安全监测、监管与商业服务体系融会作为国家络安全体系的重要组成部分。推动动态能力转换，以结果论英雄，解决滥竽充数、劣币驱逐良币的问题。因此，平台化是安全服务产业规模化、集约化、聚合化的产业升级和科学发展的必由之路。

　　与此同时，以安全服务产业链的全过程安全的深度融合，建立基于攻击语境下的主动防护体系，推动IT产品自带免疫能力，成为安全的IT产品，解决“后门问题”。

　　从全球络安全产业格局的发展可以发现，络安全产品的发展趋势逐步开始转向“安全的IT产品”。络安全产品走向专业化，横向并购明显，小型络安全产品开发商不断被大型IT厂商合并以完善本身产品，使得新的IT产品不唯一业务处理能力也有安全免疫的能力。

　　当前我们的自主可信的产业生态体系有序推动。已经构成基本完全的产业链。具备包括CPU（中央处理器）、DDR4（第四代内存）、络芯片、络装备、灾备、基础软件、运用系统开发平台在内的关键核心技术。以可信技术为纽带，本质安全和过程安全深度融合的全新动态安全体系，基本实现自主可控安全的IT产品系统与应用。

　　中国电子超前布局构成多重经验

　　据贺卫东介绍，基于国家安全需求这个最终目标，中国电子打造络安全的保护体系，即本质安全（国产化替代）和过程安全（产业链安全）。

　　中国电子结合下属企业情况，明确长城际为“过程安全”的牵头企业，面向成都、中山等地方政府和能源广电等重要行业信息系统的安全需求，采取聚合、同享、共建、共御策略，按照“可发现、可防护、可控制、可替换、有能力”目标框架，创造性、定制化地开展信息安全服务，基本建立了本质安全、进程安全和可信技术体系产业链。

　　一是平台建设构成体系格局。搭建了“1个安全数据分析中心、5个区域节点、2个直辖市、9个地区子节点”的络化产业服务体系格局。安全服务模式、行业定制化服务模式、安全的IT资源服务外包模式均在多地得到应用。

　　二是核心技术攻关取得实质性突破。长城际所属企业可信华泰围绕可信计算打造本质安全，建立起主动防御免疫体系和计算体系合一的双体系系统，在计算和可信双结构构建等方面具有重大创新，总体达到国际先进水平，可信主动动态度量控制等技术达到国际领先水平。

　　三是生态圈建设成效显著。构建产业生态圈和用户生态圈，形成安全服务生态链。加强与公安、安全、工信、保密等部门的密切合作，建立了由80多家合作伙伴组成的生态圈，提高了国际对抗的产业能力，构成了“国进民升”的产业格局。

　　四是构建新的信产业体系。本质安全方面具有包括CPU（中央处理器）、DDR4（第四代内存）、络芯片等关键核心技术；进程安全方面实现了从防护、发现、控制、处置、能力建设到生态圈的信息安全高端服务业的产业链打造；构建新的安全体系方面，构成以可信技术为纽带，将本质安全和过程安全深度融合的全新动态安全体系。

　　五是探索构成新的商业模式。探索实践了“IOS”服务模式、聚合服务模式，平台在项目上得到了实践，充分表明众测众分、线下线上相结合、按分析结果付费的聚合服务模式能够有效提升安全服务能力。通过“国进民升”，建立了安全大数据开放性分析平台，推出了可信计算双创社区，以行业化联合推动“双创”，建设了国企进入、带动民企的共赢产业环境。