在過去二十年中國的互聯(lián)網(wǎng)得到了長足發(fā)展，在互聯(lián)網(wǎng)發(fā)展的同時(shí)始終伴隨著一些網(wǎng)絡(luò)安全問題，在整個(gè)發(fā)展過程中，我國整個(gè)網(wǎng)絡(luò)安全的保障能力也在持續(xù)的往上升。但在上升的同時(shí)，走到今天，因?yàn)樾滦蝿葑兞?，新技術(shù)出現(xiàn)了，我們在保障能力方面仍然還有著很多的不足和差距。

困局形勢

近幾年中國移動(dòng)互聯(lián)網(wǎng)發(fā)展非?？?，每天都有成千上萬的APP出現(xiàn)，但實(shí)際上這些APP里面有很多不規(guī)范的、惡意的行為。

我們曾處理過這樣一個(gè)APP的例子：它實(shí)際上是一個(gè)小的創(chuàng)業(yè)文檔的APP，主要功能是分享一些文檔，完全不需要用戶的聯(lián)系人信息。但是它卻在用戶不知情的情況下偷偷讀取用戶聯(lián)系人信息并上傳。雖然它有明顯的越界行為，但由于當(dāng)下法律依據(jù)不足，就無法對這個(gè)APP的制作者進(jìn)行徹底打擊。

第二個(gè)例子是去年6月份出現(xiàn)的斯諾登事件，在這個(gè)事件里讓大家很震驚的是所謂的“八大金剛”配合美國的NSA所做的一系列監(jiān)控工作。當(dāng)我們譴責(zé)這種行為的同時(shí)，我們也想思考另外一個(gè)問題：在涉及到國家安全方面的問題時(shí)，美國的公司能夠完全摒棄相互之間的利益之爭，合作并攜手應(yīng)對國家的安全問題。反過來，我們是什么情況呢？我們這些年來在整個(gè)國家總體部署下，各個(gè)單位和各個(gè)部門自身網(wǎng)絡(luò)安全的保障能力都在持續(xù)地、不斷地提高，但真正發(fā)生這種大規(guī)模的網(wǎng)絡(luò)安全事件時(shí)，實(shí)際上還是各干各的，相互之間沒有任何的協(xié)作。

我們現(xiàn)在面臨的問題是分而有余，合而不足，之所以出現(xiàn)越來越多的網(wǎng)絡(luò)安全問題，當(dāng)然目前我國在網(wǎng)絡(luò)安全方面的法律體系本身是不健全的。但更重要的是，我國在整個(gè)網(wǎng)絡(luò)安全保障體系上能力不足，沒有一個(gè)有效整體的防御體系和規(guī)劃。網(wǎng)絡(luò)安全體系保障的困局導(dǎo)致了我們在互聯(lián)網(wǎng)安全方面治理的困難。

今年上半年我們監(jiān)測發(fā)現(xiàn)，我國移動(dòng)互聯(lián)網(wǎng)在惡意程序方面，光今年上半年就新增了36.7萬，和去年同期相比增長了13%。在這里我們發(fā)現(xiàn)移動(dòng)惡意程序的趨利性越發(fā)明顯，傳播渠道非常廣泛，防不勝防。甚至我們發(fā)現(xiàn)有一個(gè)單個(gè)域名所包含的惡意程序最多達(dá)到了1700多個(gè)。這種惡意程序的改主機(jī)的規(guī)模是非常大的，今年境內(nèi)感染木馬僵尸網(wǎng)絡(luò)的主機(jī)就達(dá)到了262萬臺(tái)。

此外涉及到重要單位的漏洞事件越來越多，而且漏洞出現(xiàn)了以后，不僅每天有增量出現(xiàn)，存量也在不斷往前走。像OpenSSL已經(jīng)引起了全世界最大程度的重視，實(shí)際上一直到現(xiàn)在，還有16%沒有修補(bǔ)。新的風(fēng)險(xiǎn)出現(xiàn)，但是原來的風(fēng)險(xiǎn)始終修補(bǔ)不了，這帶給我們的風(fēng)險(xiǎn)壓力和威脅就會(huì)變得越來越大。

差距現(xiàn)狀

也就是說，目前我們面臨著很大的類似于保障體系不足的問題。跟世界各國發(fā)達(dá)國家相比，我們在網(wǎng)絡(luò)安全保障方面有哪些差距呢？

事實(shí)上，差距還是很大的。首先是從技術(shù)的角度來說，去年有兩件轟動(dòng)世界的事都與中國有關(guān)：一個(gè)是在去年2月份的時(shí)候，美國發(fā)布了一個(gè)所謂的APT的分析報(bào)告，第二個(gè)就是在6月份的時(shí)候斯諾登的棱鏡事件。從棱鏡事件中我們可以看到，美國在面臨網(wǎng)絡(luò)安全問題的時(shí)候能夠有效協(xié)調(diào)安全廠商、技術(shù)機(jī)構(gòu)、媒體形成常態(tài)化優(yōu)勢，而我們在技術(shù)標(biāo)準(zhǔn)、監(jiān)管機(jī)制和產(chǎn)業(yè)聯(lián)合引導(dǎo)方面仍舊不足，特別是在產(chǎn)業(yè)方面，國內(nèi)很多安全廠商都希望做大而全的完整的產(chǎn)品線，大家更多是追求商業(yè)模式上的創(chuàng)新，在相關(guān)的技術(shù)方面的投入是非常少的。這樣使得廠商都聚焦在一個(gè)有限的市場上，拼命想分蛋糕，而不是想怎么把蛋糕做大。同質(zhì)競爭導(dǎo)致廠商盈利能力越來越差，整個(gè)技術(shù)創(chuàng)新能力始終提高幅度比較有限。

反過來，美國安全產(chǎn)業(yè)總體格局非常完善，在最底層它有非常強(qiáng)大的，全世界都要使用的基礎(chǔ)的信息巨頭，在上面有一系列網(wǎng)絡(luò)安全的產(chǎn)業(yè)聚集和一系列的專業(yè)安全廠商，同時(shí)針對相應(yīng)的政府的部門，它有一系列的專業(yè)技術(shù)企業(yè)，整個(gè)這一系列的企業(yè)最后構(gòu)成了一個(gè)非常完整的網(wǎng)絡(luò)安全的產(chǎn)業(yè)格局。這種體系格局自然而然對提高它的整體網(wǎng)絡(luò)安全能力就變得非常重要。

從網(wǎng)絡(luò)安全產(chǎn)業(yè)在IT領(lǐng)域的投入來看，中國只有1%的比例，而國外發(fā)達(dá)國家則遠(yuǎn)超該比例，一般有9%左右。而我國的安全人才儲(chǔ)備也遠(yuǎn)遠(yuǎn)不足，本來已經(jīng)很稀缺的一些高精尖的人才，還由于國內(nèi)網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展空間不足而流失國外。此外，一些人才也轉(zhuǎn)而進(jìn)入了游戲、移動(dòng)互聯(lián)網(wǎng)等應(yīng)用領(lǐng)域，更令人痛心的是一些人還進(jìn)入了黑色產(chǎn)業(yè)。

工作思路

要想解決整個(gè)國家網(wǎng)絡(luò)安全保障體系能力提升的問題，最重要的一點(diǎn)就是要強(qiáng)調(diào)合作。

這些年我們一直嘗試著和國內(nèi)相關(guān)的安全企業(yè)、用戶部門以及信息系統(tǒng)單位和政府部門合作。通過這種合作體系我們發(fā)現(xiàn)如果有了一個(gè)很廣泛的合作體系，那么一旦出現(xiàn)大規(guī)模安全事件時(shí)，實(shí)際上就有一個(gè)很暢通的渠道，能夠很容易或者相對迅速地把安全問題解決掉。

這些年來我們覺得面對安全問題的時(shí)候，一個(gè)非常重要的問題是存在著漏洞，如果我們能夠預(yù)先知道漏洞，在這個(gè)漏洞整個(gè)被利用前能夠找到和把它修補(bǔ)起來，自然而然網(wǎng)絡(luò)安全的保障能力就會(huì)有一個(gè)很大的提升。對于一個(gè)整體的漏洞防御體系來說，有一個(gè)好的報(bào)告平臺(tái)非常重要。

我們在2010年成立了一個(gè)CNVD國家信息漏洞安全平臺(tái)，在這個(gè)平臺(tái)中有國內(nèi)2000多個(gè)白帽子群體加入進(jìn)來，基于這個(gè)平臺(tái)每天都能處置50到100起漏洞事件，建立了和多個(gè)廠家的合作渠道，能夠開展持續(xù)有效的監(jiān)督。

互聯(lián)網(wǎng)這些年得到了蓬勃發(fā)展，它是大家一起出于共同的目的和共同的利益，在共同規(guī)則的基礎(chǔ)上一起自愿參與和自主驅(qū)動(dòng)，最后實(shí)現(xiàn)了目前這個(gè)大規(guī)模的互聯(lián)網(wǎng)。我們的網(wǎng)絡(luò)安全也可以按照這種發(fā)展體系，大家一起自主自愿自由的來驅(qū)動(dòng)整個(gè)網(wǎng)絡(luò)安全體系，以一種聯(lián)盟的形式，攜手共建保障我國網(wǎng)絡(luò)安全自增長體系。

打造自增長技術(shù)體系 在技術(shù)的環(huán)節(jié)上，通過大家一起協(xié)商構(gòu)建大家認(rèn)可的技術(shù)標(biāo)準(zhǔn)，把運(yùn)營商、互聯(lián)網(wǎng)企業(yè)、用戶部門一起基于這個(gè)共同的技術(shù)標(biāo)準(zhǔn)，把系統(tǒng)結(jié)合起來，擴(kuò)大監(jiān)測范圍。這樣對于企業(yè)來說能夠把它的全局態(tài)勢的破解能力和整個(gè)國家全局資源進(jìn)行對接，對于整個(gè)運(yùn)營商來說，它落實(shí)監(jiān)管要求和增強(qiáng)自身的防控能力也是非常強(qiáng)的，對于黨政機(jī)關(guān)其自身的防控需求和能力也會(huì)有一個(gè)提高。

打造自增長合作體系 在整個(gè)合作體系方面，有條件的運(yùn)營商、企業(yè)等都可以加入到我們整個(gè)的協(xié)作體系中一起合作，這樣在出現(xiàn)了問題以后，能夠一起在整個(gè)全世界公認(rèn)的CNCERT的理念和價(jià)值觀驅(qū)動(dòng)下快速協(xié)作，把問題解決。

打造人才自增長體系 在人才的體系方面，我們不但要利用高效的體制，還應(yīng)該把整個(gè)社會(huì)力量發(fā)動(dòng)起來，全局性的一起協(xié)作，培養(yǎng)真正有用的、實(shí)踐上需要的網(wǎng)絡(luò)安全人才。

最后我們希望能通過行業(yè)內(nèi)、領(lǐng)域內(nèi)的協(xié)作，實(shí)現(xiàn)資源共享、標(biāo)準(zhǔn)化，建立合作體系，協(xié)同發(fā)展，打造我國自增長的網(wǎng)絡(luò)安全熱帶雨林。

（以上內(nèi)容系根據(jù)云曉春先生在“2014中國互聯(lián)網(wǎng)安全大會(huì)”上的演講整理而成）