评论观点评论观点
构建端到端联动机制,敏捷应对国家级网络威胁
2017-09-15 10:04:27

   当今,信息化已深刻融入我国经济、社会和科技的方方面面,成为国家发展的重要推动力之一。习近平总书记将农业革命、工业革命与信息革命作为三个时代:“农业革命增强了人类生存能力,使人类从野蛮时代走向文明社会。工业革命拓展了人类体力,以机器取代了人力。而信息革命则增强了人类脑力,带来生产力又一次质的飞跃。”2014年2月27日,中央网络安全和信息化领导小组成立,充分体现了党中央对网信工作的高度重视。

   中国是网络大国,也是面临网络安全威胁最严重的国家之一。为提高信息安全水平,在国家层面出台了一系列专题性的信息安全法律法规,如《计算机信息系统安全保护条例》、《计算机病毒防治管理办法》、《信息安全等级保护管理办法》等。2017年6月1日起正式施行的《中华人民共和国网络安全法》(以下简称《网络安全法》),与之前出台的《国家安全法》、《反恐怖主义法》等属同一位阶,对于确立国家网络安全基本管理制度具有里程碑式的重要意义。《网络安全法》中高度重视信息安全的联动机制,强调由国家网信部门统筹,协调网络运营者、行业组织、关键信息基础设施运营者等相关方,共同做好网络威胁的监测预警和应急处置工作。

   5月12日20时起,WannaCry勒索病毒在全世界大范围爆发,一旦感染该蠕虫病毒变种,系统重要资料文件就会被加密,并勒索高额的比特币赎金。5个小时内,该攻击覆盖到包括美国、中国、欧洲在内的近百个国家和地区;在72小时之内,已有150多个国家和地区的超过20万台电脑中招,影响领域包括政府部门、医疗服务、公共交通、邮政、通信、汽车制造业等。

   本次病毒攻击之所以危害巨大,是因为其利用了“永恒之蓝”(Eternal Blue)网络攻击工具。永恒之蓝只是NSA(美国国家安全局)近期遭窃取后公布的12种网络武器之一,据斯诺登确认,此类武器在2013年就已超过1000种。因此,可以肯定地说,未来必将再次发生类似的网络攻击事件,并对我国网络安全造成全局性影响。为了有效应对此类“国家级网络威胁”,我国应在《网络安全法》的指导下,进一步构建新型的国家级信息安全联动机制。

   一、以“黄金24小时”为目标,实现迅速联动。

   在地震救援中,震后72小时被称为救援的黄金时间。据统计,唐山大地震后的抢险救灾中,抢救时间与救活率的关系为:半小时内99.3%,第一天81.0%,第二天33.7%,第三天36.7%,第四天就下降到19.0%,第五天仅为7.4%。

   专业黑客开发的网络攻击工具,往往利用了Oday漏洞,因此可以在短时间内大范围传播和破坏。但这种大范围攻击也必然会引起信息安全专业机构的重视,一般在24-48小时就能找到相应的解决方案。因此,应对“国家级网络威胁”的关键,就在于能否抓住“黄金24小时”。

   抓住“黄金24小时”的前提是明确“国家级网络威胁”的认定标准。《网络安全法》第五十一条规定:“国家建立网络安全监测预警和信息通报制度。国家网信部门应当统筹协调有关部门加强网络安全信息收集、分析和通报工作,按照规定统一发布网络安全监测预警信息”。启动“国家级网络威胁”的应急措施,不仅涉及面广,而且动员成本很高。只有对“国家级网络威胁”给出明确的技术标准之后,网络安全机构发现新型威胁时,才能按标准进行测试鉴定,并根据初步鉴定的威胁级别按相应流程上报国家网信部门。

   二、以“端到端流程”为目标,实现到用户桌面的全程打通。

   在国内受到WannaCry攻击的单位中,大都制定了网络安全应急预案并进行过演练,之所以未能起到应有的作用,主要有三方面原因:一是观念落后,认为“有了内网的物理隔绝就没事”,仅仅为了应付上级检查而采取一些临时性措施,信息安全管理并没有真正落实到位;二是缺乏“跨层级”的标准流程,决策层次多,导致反应缓慢。在国家网信部门已经公开发布应急通告两天之后,仍有一些单位未能采取应对措施,导致了不必要的损失。

   “端到端流程”是指“从客户需求端出发,到满足客户需求端去”。对应到信息安全联动机制,就是从发现网络威胁开始,到完成每一个用户桌面的安全部署。

   《网络安全法》第五十三条规定:“国家网信部门协调有关部门建立健全网络安全风险评估和应急工作机制,制定网络安全事件应急预案,并定期组织演练。”为了应对“国家级网络威胁”,应制定“全国一盘棋”的网络安全应急预案,将各级政府机关、重要企事业单位和高等学校等都包括进来。在确认“国家级网络威胁”后,不再采取传统的“层层传达、层层决策”的信息传递模式,而是以扁平化流程和信息化手段,让事先备案的第一线的网络安全和运维人员尽快获得相关信息,从而迅速启动针对性措施。由于“国家级网络威胁”是非常罕见的,为确保应急预案切实发挥“端到端”作用,应进一步强化“实战化演练”,以低威胁的Oday漏洞为例,启动全国性的应急措施,并对相关单位的贯彻情况进行抽查。

   三、以“能力共享”为目标,实现网络安全力量的大协同。

   复杂的应用软件如Windows操作系统,往往有多达数亿行代码,出现逻辑漏洞是不可避免的。各国黑客组织经常性通过互联网进行Oday漏洞和网络武器交易,实现了某种意义上的“大协同”。例如本次WannaCry攻击中使用的“永恒之蓝”,就是黑客组织“影子经纪人”(Shadow Brokers)作为免费试用发布到网上的,目的是为了高价出售其他窃自NSA的网络武器。

   为了对抗各国黑客的大协同,必须进一步加强国内网络安全力量的协同。《网络安全法》第三十九条规定:“促进有关部门、关键信息基础设施的运营者以及有关研究机构、网络安全服务机构等之间的网络安全信息共享”。本次WannaCry攻击发生后,国内大部分安全公司,均在较短时间内发布了自己的安全补丁,但反应时间和防护效果还是存在一定差异。如能建立合理的技术共享和利益激励机制,再发生“国家级网络威胁”时,国内的网络安全力量就能够实现更快速、更有效的响应。

   除了在攻击后的应急响应,更主动的策略是在抢黑客之前发现潜在的Oday漏洞,将思维方式从事后的“亡羊补牢”转为事前的“未雨绸缪”,从“单纯防御”转为“以攻促防”,最终实现“网络攻击”和“网络防御”的大协同。《网络安全法》第十六条规定“国务院和省、自治区、直辖市人民政府应当统筹规划,加大投入,扶持重点网络安全技术产业和项目,支持网络安全技术的研究开发和应用”。网络攻防靶场是“以攻促防”的关键,通过提供模拟的网络攻防环境,鼓励“白帽黑客”抢在真正黑客的恶意攻击之前发现并堵住网络漏洞。由于我国政府机关和国防军工单位大都使用物理隔离的内网,因此,建设基于涉密网的网络靶场对国家安全有着更为重大的意义,通过让我方的安全防御体系和自主应用软件得到实战检验,加快漏洞的发现和修复,并且对外部黑客形成一定程度的“信息迷雾”,增加其攻击的难度和复杂度。

   随着人工智能技术的爆发,机器智能和人脑智能的“大协同”已经成为未来网络安全的发展趋势。2013年开始,美国DARPA(国防高级研究计划局)发起自动化网络防御挑战赛(Cyber Grand Challenge,CGC),参赛队伍全部由计算机组成,无任何人为干预,自动地实时识别系统缺陷和漏洞,并自动完成打补丁和系统防御。2016年8月,在世界信息安全界顶级赛事—Defcon CTF上,CGC的优胜者Mayhem机器战队与十四支人类战队上演了人机黑客对战,并一度超过两只人类战队。人工智能能够比人类团队更快、更有效地连续扫描系统缺陷或漏洞,提升在数十亿行代码中迅速修补这些程序缺陷的能力,但由于缺乏人类的灵活性,还无法自动检测逻辑漏洞,无法应对许多由人类黑客发起的更微妙攻击,并有一定概率导致信息安全事故(如机密信息泄露、服务器宕机、重要文件删除等)。因此,未来的发展趋势是推进AI与人类的协同工作,通过人工智能系统过滤掉网络的大部分可疑信息,大幅削减需要人类专家处理的潜在威胁数量。

   《网络安全法》是国家总体安全观的重要体现,必将会全方位地提高公民网络安全意识,在确保国家利益和人民群众切身利益的基础上,使我国的网络更加安全、更加开放、更加便利,也更加充满活力!(中国工程物理研究院计算机应用研究所 邓虎 中国网络空间安全协会竞评演练工作委员会秘书长 田志宏)

| 微矩阵

扬子晚报网(江苏扬子晚报有限公司)版权所有,未经授权不得转载或建立镜像 版权声明

地址:南京市建邺区江东中路369号新华报业传媒广场 邮编:210092 联系我们:025-96096(24小时)