國家計算機應急中心 杜躍進

現(xiàn)在沒有人再懷疑互聯(lián)網（IP網絡）的重要性了，甚至作為重要基礎設施的電話網等傳統(tǒng)通信領域，也開始逐漸向IP網絡過渡。然而，當原來主要用作學術研究、資料共享和休閑娛樂的互聯(lián)網，開始要成為承擔涉及全社會重大利益的關鍵基礎設施的時候，我們必須從更加嚴格的角度來審視其安全保障問題。可是這時候，我們卻發(fā)現(xiàn)問題非常嚴重，甚至在安全可靠方面出現(xiàn)了倒退。導致這種現(xiàn)象出現(xiàn)的原因，一方面是互聯(lián)網技術和運行管理機制本身存在嚴重問題，不能適應基礎設施安全運行的特點和高標準要求；另一方面則是傳統(tǒng)的網絡運營商對新興的互聯(lián)網如何進行運行管理不適應。本文試圖對后一個問題進行初步的探討。

一、為什么要分析不適應的問題

在第29屆奧運會、60年國慶之前，根據(jù)工業(yè)和信息化部和其它有關部門的要求，CNCERT/CC對一些互聯(lián)網運營單位進行了安全風險評估。在評估的過程中，發(fā)現(xiàn)了不少問題。在后來的分析總結中，具有多年傳統(tǒng)電信網運維管理經驗的工信部保障局領導指出，運營商對互聯(lián)網存在嚴重的不適應。結合CNCERT/CC多年的經驗和體會，我們對此也深有同感，并且意識到對這個問題的深入研究，有助于更加系統(tǒng)地研究解決安全保障的問題。

二、在制度設計上的不適應

這種不適應首先體現(xiàn)在制度設計上。制度設計的不同表現(xiàn)出來的效果非常不同，在現(xiàn)實生活中可以有非常明顯的體會。例如亂停車的問題，在北京你會看到大院門口安排一個人守著，等院子里面有一個空位子了，才放一個車進去，而院子外面車子堵得一塌糊涂甚至堵塞了主干道，司機們進退兩難全無辦法。假設同樣的事情（希望院子里面沒有亂停的車輛）發(fā)生在美國西雅圖會怎么樣呢？首先不會有人在那里看著，然后每個車位以及院子入口都會說明什么車輛什么時間可以停，并且給出拖車公司的電話：如果你違反了規(guī)定，主人會打電話把車拖走。然后你不得不繳納拖車的費用，并且搞不好你的信用記錄上會被記上一筆，之后你每月的汽車保險就會跟著漲。如果你跑到拖車公司鬧事，恐怕警方會來處理，你也不要指望你能像在中國那樣扇警察二十幾個耳光警察不還手：他們可能開槍，而你的信用記錄中一定會被記上這件事，從而導致你之后找工作、租房子等都會受到影響。于是，沒人會跑到院子里亂停，最多進去轉一圈發(fā)現(xiàn)沒位置就到其他地方去停了，自然也不會發(fā)生大家被堵在主干道上進退不得的情況。

在傳統(tǒng)電信領域里，有很多非常成熟的、成套的制度，在多年的實踐中被證明是非常有效的。但是現(xiàn)在面對互聯(lián)網或者用互聯(lián)網技術構建的傳統(tǒng)電信業(yè)務承載網的時候，原來很多制度的執(zhí)行效果如何，就需要重新加以審視了。這里就現(xiàn)在的一些相關制度作一個初步分析。

會商制度。會商是集思廣益、匯總情況、展開綜合判斷，進行科學決策等的重要手段。傳統(tǒng)的會商方式，是召集有關人員坐在一起進行商討。但是在互聯(lián)網時代，很多事情的發(fā)展演變速度有了戲劇性的提高。2001年的紅色代碼蠕蟲，24小時傳遍全球；當年的美加大停電，有效的響應時間（即“黃金時間”）只有半小時；美國電視劇《反恐24小時》，也假設只有24小時的響應時間來挫敗重大的恐怖襲擊。在這種情況下，如果還使用原來的模式進行會商，則完全無法滿足黃金時間的要求，自然也不可能避免事件惡化到危機狀態(tài)（錯過黃金時間，意味著事態(tài)的失控）。針對特定的問題場景，目前有一些成功的新方法的嘗試。例如，2002年在原信產部支持下，CNCERT/CC和運營商建立的應急合作體系，在2003年SQL SLAMMER事件中，一小時之內就完成了所有運營商的情況匯總和事件判斷，數(shù)小時之內就完成了應急處理；2005年初步建成的863-917網絡安全平臺，更是將發(fā)現(xiàn)涉及全網的大規(guī)模網絡安全事件的時間縮短到以分鐘記。但是，針對更加復雜的狀況，還沒有有效的實踐。

信息報送制度。很多規(guī)章制度都要求了信息報送，在這些制度中經常會要求“遵循及時、客觀、真實、準確、完整的原則”。在傳統(tǒng)網絡中，“線路故障”、“設備故障”等事件，都比較簡單明了。但是互聯(lián)網中的安全事件，除了前面提到的快速的特點之外，還經常具有隱蔽性和復雜性的特點。2003年SQL SLAMMER蠕蟲，第一個運營商應急小組的電話打過來的時候，尚不能確信發(fā)生了什么安全事件，只是看到異常的流量增長。這恐怕不算完整的信息。但是如果沒有這第一個電話，啟動全網狀況核實進而明確判斷這是蠕蟲的時間恐怕會很晚，我國可能也會發(fā)生類似韓國那樣的大面積網絡癱瘓的情況了?？梢娺@幾個原則有時候是矛盾的，而且對一些情況的判斷，是需要多層面、多次的信息交換和分析才可以完成的。再舉一個例子：2003年“口令蠕蟲（deloader）”，如果遵循及時的原則，發(fā)現(xiàn)這個蠕蟲就要立即報；但是如果就此打住，就無法通過代碼分析發(fā)現(xiàn)這個蠕蟲會把那幾萬臺服務器的管理員口令送到境外的一些服務器中，從而在具體的應對措施中錯失非常關鍵的步驟。

屬地化和責任制。責任制的重要性毋須多說，但是網絡中的很多事件很復雜，責任難以清晰區(qū)分。例如5.19DNS癱瘓事件，以及當年的巴基斯坦-YouTube事件，對很多運營商來說很難說就是他們的責任。責任制還體現(xiàn)在別的方面，例如信息上報的時候要求一層一層的領導簽字，但是這樣做經常會嚴重耽誤時間要求，可是不簽字顯然也是不行的（而且越是重大事件越是緊急時間越如此）。屬地化更是一個全球性的難題，有邊界的法律法規(guī)和管理體系，如何適應無邊界的網絡安全事件和網絡犯罪。

封網制度。傳統(tǒng)電信里還有一個非常重要的封網制度，每逢到重要的時刻，一段時間內禁止任何的網絡建設、升級、調整等工作。這本來是為了避免人為因素導致運行事故，但是互聯(lián)網本身的開放性卻帶來了一個新問題：很多運行事故是外界攻擊導致的，如果不能及時應對，可能不能消除問題。

應急演練。我國從2003年開始重視應急這個概念，現(xiàn)在已經普及到幾乎各個行業(yè)，制訂的應急預案達到數(shù)百萬個。應急預案是否有效，取決于很多因素，其中一個是是否經歷了充分的應急演練。但是網絡安全領域的應急演練十分復雜，難度很大。美國國土安全部在應急演練上投入巨大，而我國則還在相當?shù)偷乃缴吓腔病?/p>

三、在組織結構上的不適應

組織結構的設計直接關系到相關制度能否順暢地施行?，F(xiàn)實社會中這樣的例子不勝枚舉。在網絡安全領域中，首席信息安全官究竟應該設在什么地方才能更好的幫助企業(yè)或者機構降低安全風險，也一直都是一個在討論的話題。不合適的位置，可能會因為不掌握足夠的信息而無法準確判斷風險的嚴重性和作出應對措施建議，因為無法協(xié)調相關資源而不能及時采取有效的風險規(guī)避措施等等。

傳統(tǒng)運營商的網絡安全工作主要體現(xiàn)在可靠性保障方面，由運維部門直接承擔。2002年以前，運營商中沒有專門的機構做網絡安全，個別運營商中一些一線運維人員自發(fā)組成了興趣小組。2002年底，在CNCERT/CC的建議下，原信產部發(fā)文要求運營商都成立應急小組，不過一直沒有要求成立專門的機構。在實踐中，發(fā)現(xiàn)有些運營商的應急小組人員因為不在運維一線，不能及時掌握有關情況。后來有些運營商成立了專門的機構從事網絡安全保障，好處是這樣不光是運維階段才考慮安全問題，而是在建設、運行、標準等方面可以統(tǒng)籌考慮了。然而，這個機構如何和其他機構的工作密切配合，應該還在進一步磨合中。

中國電信的吳湘東處長指出了運營商組織機構上的另外一個明顯的不適應：傳統(tǒng)的按地域按專業(yè)劃分邊界的維護管理體系，不適應IP網絡下無邊界的特點?！霸瓉淼娜夡w系難度很大，定位難，速度慢，全IP網絡下故障或事件可能導致短時間內影響迅速傳播，最終演變成全網性故障”。

四、在技術和人員能力上的不適應

（1）技術能力。技術能力上的不適應，指的是技術產品的能力不能滿足網絡運營商的要求。很多運營商還是按照傳統(tǒng)電信網絡的思路，主要通過多節(jié)點、多鏈路冗余備份等手段來保證網絡的可用性。但是現(xiàn)在的IP網絡下，攻擊者的攻擊能力十分強大，會導致原來這種辦法的效果十分有限?？墒桥c此同時，現(xiàn)有的網絡安全產品滿足“電信級”要求的本來就不多，更不要說對運營商網絡的全網性安全監(jiān)測、事件定位等要求了。實際上，基礎網絡安全保障到底需要什么樣的技術能力，現(xiàn)在都還不能說已經徹底想清楚了。

CNCERT/CC已經花了九年來研究和建設這種技術能力，863-917平臺也已經比原來有了很多的擴充?？瓷先ニ坪踅Y構已經清楚了，但是在很多細節(jié)上，還在進行深入的研究實踐。很多運營商在建設安全運行中心（SOC），而且通信標準委員會已經出臺了SOC的一些標準，但是對SOC的理解和建設細節(jié)，也還存在爭論。

（2）人員能力。傳統(tǒng)電信網絡十分成熟而且歷史悠久，運營商有大批熟悉這個領域的人才?；ヂ?lián)網則是一個還在快速發(fā)展的新興事物，運營商缺乏足夠的專業(yè)人才來支撐起龐大的覆蓋全國的運行維護和安全保障工作。運營商的專業(yè)人才培養(yǎng)，并非一朝一夕能解決的，恐怕需要一個較長的過程。在這個過程中，則需要想出過渡性的辦法來盡量降低風險。

值得一提的是，雖然近些年很多大學建立了網絡安全或者信息安全專業(yè)，但是實際上大學里的教師資源也很緊張，導致很多教學都是照本宣科，嚴重脫離實際和缺乏針對性。這樣的情況，培養(yǎng)出來的學生，也不能滿足社會上的需要。

五、根源的分析

為什么會存在這么多不適應呢？主要原因是傳統(tǒng)電信網和互聯(lián)網有很多不同。首先，傳統(tǒng)電信網結構化非常好，而互聯(lián)網是純扁平化的。現(xiàn)在電信網也在往扁平化發(fā)展，但是原來適應結構化的各種能力，現(xiàn)在就變得難以適應；第二，傳統(tǒng)電信網絡是封閉的，用戶沒有什么機會去干擾控制網絡?？墒腔ヂ?lián)網是開放的，任何一個用戶都可能干擾甚至癱瘓控制網絡；第三，傳統(tǒng)網絡承載的業(yè)務比較簡單、清楚、可控，用戶自身的錯誤也不會影響到網絡，但是互聯(lián)網中應用十分復雜多樣，應用的問題會直接影響到網絡；第四，傳統(tǒng)電信網絡有很好的頂層規(guī)劃設計，而包括IPv6在內的互聯(lián)網，在網絡的運維管理等方面考慮得很不充分?；ヂ?lián)網中甚至曾經推崇的觀點是“只要沒出問題就先不要修”。如果拿這樣的態(tài)度建設我們的基礎設施，就如同拿別人的生命來開玩笑；第五，傳統(tǒng)電信網絡的建設，是政府起主導作用的，而互聯(lián)網的發(fā)展則是私營部門主導。私營部門主導帶來了效率和活力，但是在安全上面卻表現(xiàn)出很多不足。

在這種情況下，傳統(tǒng)電信網絡在逐漸轉向互聯(lián)網，出現(xiàn)那么多的不適應就不足為奇了。重要的是，面對這些不適應，回避不是辦法，必須深入研究和分析，以便調整自己，同時改造互聯(lián)網中有問題的地方，以達到相互適應的目標。當然，對于互聯(lián)網技術和管理體制存在哪些問題，如何改造才能適應作為基礎網絡的要求，就不是本文所要闡述的內容了。