國家計(jì)算機(jī)應(yīng)急中心 杜躍進(jìn)

現(xiàn)在沒有人再懷疑互聯(lián)網(wǎng)（IP網(wǎng)絡(luò)）的重要性了，甚至作為重要基礎(chǔ)設(shè)施的電話網(wǎng)等傳統(tǒng)通信領(lǐng)域，也開始逐漸向IP網(wǎng)絡(luò)過渡。然而，當(dāng)原來主要用作學(xué)術(shù)研究、資料共享和休閑娛樂的互聯(lián)網(wǎng)，開始要成為承擔(dān)涉及全社會重大利益的關(guān)鍵基礎(chǔ)設(shè)施的時候，我們必須從更加嚴(yán)格的角度來審視其安全保障問題?？墒沁@時候，我們卻發(fā)現(xiàn)問題非常嚴(yán)重，甚至在安全可靠方面出現(xiàn)了倒退。導(dǎo)致這種現(xiàn)象出現(xiàn)的原因，一方面是互聯(lián)網(wǎng)技術(shù)和運(yùn)行管理機(jī)制本身存在嚴(yán)重問題，不能適應(yīng)基礎(chǔ)設(shè)施安全運(yùn)行的特點(diǎn)和高標(biāo)準(zhǔn)要求；另一方面則是傳統(tǒng)的網(wǎng)絡(luò)運(yùn)營商對新興的互聯(lián)網(wǎng)如何進(jìn)行運(yùn)行管理不適應(yīng)。本文試圖對后一個問題進(jìn)行初步的探討。

一、為什么要分析不適應(yīng)的問題

在第29屆奧運(yùn)會、60年國慶之前，根據(jù)工業(yè)和信息化部和其它有關(guān)部門的要求，CNCERT/CC對一些互聯(lián)網(wǎng)運(yùn)營單位進(jìn)行了安全風(fēng)險評估。在評估的過程中，發(fā)現(xiàn)了不少問題。在后來的分析總結(jié)中，具有多年傳統(tǒng)電信網(wǎng)運(yùn)維管理經(jīng)驗(yàn)的工信部保障局領(lǐng)導(dǎo)指出，運(yùn)營商對互聯(lián)網(wǎng)存在嚴(yán)重的不適應(yīng)。結(jié)合CNCERT/CC多年的經(jīng)驗(yàn)和體會，我們對此也深有同感，并且意識到對這個問題的深入研究，有助于更加系統(tǒng)地研究解決安全保障的問題。

二、在制度設(shè)計(jì)上的不適應(yīng)

這種不適應(yīng)首先體現(xiàn)在制度設(shè)計(jì)上。制度設(shè)計(jì)的不同表現(xiàn)出來的效果非常不同，在現(xiàn)實(shí)生活中可以有非常明顯的體會。例如亂停車的問題，在北京你會看到大院門口安排一個人守著，等院子里面有一個空位子了，才放一個車進(jìn)去，而院子外面車子堵得一塌糊涂甚至堵塞了主干道，司機(jī)們進(jìn)退兩難全無辦法。假設(shè)同樣的事情（希望院子里面沒有亂停的車輛）發(fā)生在美國西雅圖會怎么樣呢？首先不會有人在那里看著，然后每個車位以及院子入口都會說明什么車輛什么時間可以停，并且給出拖車公司的電話：如果你違反了規(guī)定，主人會打電話把車拖走。然后你不得不繳納拖車的費(fèi)用，并且搞不好你的信用記錄上會被記上一筆，之后你每月的汽車保險就會跟著漲。如果你跑到拖車公司鬧事，恐怕警方會來處理，你也不要指望你能像在中國那樣扇警察二十幾個耳光警察不還手：他們可能開槍，而你的信用記錄中一定會被記上這件事，從而導(dǎo)致你之后找工作、租房子等都會受到影響。于是，沒人會跑到院子里亂停，最多進(jìn)去轉(zhuǎn)一圈發(fā)現(xiàn)沒位置就到其他地方去停了，自然也不會發(fā)生大家被堵在主干道上進(jìn)退不得的情況。

在傳統(tǒng)電信領(lǐng)域里，有很多非常成熟的、成套的制度，在多年的實(shí)踐中被證明是非常有效的。但是現(xiàn)在面對互聯(lián)網(wǎng)或者用互聯(lián)網(wǎng)技術(shù)構(gòu)建的傳統(tǒng)電信業(yè)務(wù)承載網(wǎng)的時候，原來很多制度的執(zhí)行效果如何，就需要重新加以審視了。這里就現(xiàn)在的一些相關(guān)制度作一個初步分析。

會商制度。會商是集思廣益、匯總情況、展開綜合判斷，進(jìn)行科學(xué)決策等的重要手段。傳統(tǒng)的會商方式，是召集有關(guān)人員坐在一起進(jìn)行商討。但是在互聯(lián)網(wǎng)時代，很多事情的發(fā)展演變速度有了戲劇性的提高。2001年的紅色代碼蠕蟲，24小時傳遍全球；當(dāng)年的美加大停電，有效的響應(yīng)時間（即“黃金時間”）只有半小時；美國電視劇《反恐24小時》，也假設(shè)只有24小時的響應(yīng)時間來挫敗重大的恐怖襲擊。在這種情況下，如果還使用原來的模式進(jìn)行會商，則完全無法滿足黃金時間的要求，自然也不可能避免事件惡化到危機(jī)狀態(tài)（錯過黃金時間，意味著事態(tài)的失控）。針對特定的問題場景，目前有一些成功的新方法的嘗試。例如，2002年在原信產(chǎn)部支持下，CNCERT/CC和運(yùn)營商建立的應(yīng)急合作體系，在2003年SQL SLAMMER事件中，一小時之內(nèi)就完成了所有運(yùn)營商的情況匯總和事件判斷，數(shù)小時之內(nèi)就完成了應(yīng)急處理；2005年初步建成的863-917網(wǎng)絡(luò)安全平臺，更是將發(fā)現(xiàn)涉及全網(wǎng)的大規(guī)模網(wǎng)絡(luò)安全事件的時間縮短到以分鐘記。但是，針對更加復(fù)雜的狀況，還沒有有效的實(shí)踐。

信息報(bào)送制度。很多規(guī)章制度都要求了信息報(bào)送，在這些制度中經(jīng)常會要求“遵循及時、客觀、真實(shí)、準(zhǔn)確、完整的原則”。在傳統(tǒng)網(wǎng)絡(luò)中，“線路故障”、“設(shè)備故障”等事件，都比較簡單明了。但是互聯(lián)網(wǎng)中的安全事件，除了前面提到的快速的特點(diǎn)之外，還經(jīng)常具有隱蔽性和復(fù)雜性的特點(diǎn)。2003年SQL SLAMMER蠕蟲，第一個運(yùn)營商應(yīng)急小組的電話打過來的時候，尚不能確信發(fā)生了什么安全事件，只是看到異常的流量增長。這恐怕不算完整的信息。但是如果沒有這第一個電話，啟動全網(wǎng)狀況核實(shí)進(jìn)而明確判斷這是蠕蟲的時間恐怕會很晚，我國可能也會發(fā)生類似韓國那樣的大面積網(wǎng)絡(luò)癱瘓的情況了?？梢娺@幾個原則有時候是矛盾的，而且對一些情況的判斷，是需要多層面、多次的信息交換和分析才可以完成的。再舉一個例子：2003年“口令蠕蟲（deloader）”，如果遵循及時的原則，發(fā)現(xiàn)這個蠕蟲就要立即報(bào)；但是如果就此打住，就無法通過代碼分析發(fā)現(xiàn)這個蠕蟲會把那幾萬臺服務(wù)器的管理員口令送到境外的一些服務(wù)器中，從而在具體的應(yīng)對措施中錯失非常關(guān)鍵的步驟。

屬地化和責(zé)任制。責(zé)任制的重要性毋須多說，但是網(wǎng)絡(luò)中的很多事件很復(fù)雜，責(zé)任難以清晰區(qū)分。例如5.19DNS癱瘓事件，以及當(dāng)年的巴基斯坦-YouTube事件，對很多運(yùn)營商來說很難說就是他們的責(zé)任。責(zé)任制還體現(xiàn)在別的方面，例如信息上報(bào)的時候要求一層一層的領(lǐng)導(dǎo)簽字，但是這樣做經(jīng)常會嚴(yán)重耽誤時間要求，可是不簽字顯然也是不行的（而且越是重大事件越是緊急時間越如此）。屬地化更是一個全球性的難題，有邊界的法律法規(guī)和管理體系，如何適應(yīng)無邊界的網(wǎng)絡(luò)安全事件和網(wǎng)絡(luò)犯罪。

封網(wǎng)制度。傳統(tǒng)電信里還有一個非常重要的封網(wǎng)制度，每逢到重要的時刻，一段時間內(nèi)禁止任何的網(wǎng)絡(luò)建設(shè)、升級、調(diào)整等工作。這本來是為了避免人為因素導(dǎo)致運(yùn)行事故，但是互聯(lián)網(wǎng)本身的開放性卻帶來了一個新問題：很多運(yùn)行事故是外界攻擊導(dǎo)致的，如果不能及時應(yīng)對，可能不能消除問題。

應(yīng)急演練。我國從2003年開始重視應(yīng)急這個概念，現(xiàn)在已經(jīng)普及到幾乎各個行業(yè)，制訂的應(yīng)急預(yù)案達(dá)到數(shù)百萬個。應(yīng)急預(yù)案是否有效，取決于很多因素，其中一個是是否經(jīng)歷了充分的應(yīng)急演練。但是網(wǎng)絡(luò)安全領(lǐng)域的應(yīng)急演練十分復(fù)雜，難度很大。美國國土安全部在應(yīng)急演練上投入巨大，而我國則還在相當(dāng)?shù)偷乃缴吓腔病?/p>

三、在組織結(jié)構(gòu)上的不適應(yīng)

組織結(jié)構(gòu)的設(shè)計(jì)直接關(guān)系到相關(guān)制度能否順暢地施行?，F(xiàn)實(shí)社會中這樣的例子不勝枚舉。在網(wǎng)絡(luò)安全領(lǐng)域中，首席信息安全官究竟應(yīng)該設(shè)在什么地方才能更好的幫助企業(yè)或者機(jī)構(gòu)降低安全風(fēng)險，也一直都是一個在討論的話題。不合適的位置，可能會因?yàn)椴徽莆兆銐虻男畔⒍鵁o法準(zhǔn)確判斷風(fēng)險的嚴(yán)重性和作出應(yīng)對措施建議，因?yàn)闊o法協(xié)調(diào)相關(guān)資源而不能及時采取有效的風(fēng)險規(guī)避措施等等。

傳統(tǒng)運(yùn)營商的網(wǎng)絡(luò)安全工作主要體現(xiàn)在可靠性保障方面，由運(yùn)維部門直接承擔(dān)。2002年以前，運(yùn)營商中沒有專門的機(jī)構(gòu)做網(wǎng)絡(luò)安全，個別運(yùn)營商中一些一線運(yùn)維人員自發(fā)組成了興趣小組。2002年底，在CNCERT/CC的建議下，原信產(chǎn)部發(fā)文要求運(yùn)營商都成立應(yīng)急小組，不過一直沒有要求成立專門的機(jī)構(gòu)。在實(shí)踐中，發(fā)現(xiàn)有些運(yùn)營商的應(yīng)急小組人員因?yàn)椴辉谶\(yùn)維一線，不能及時掌握有關(guān)情況。后來有些運(yùn)營商成立了專門的機(jī)構(gòu)從事網(wǎng)絡(luò)安全保障，好處是這樣不光是運(yùn)維階段才考慮安全問題，而是在建設(shè)、運(yùn)行、標(biāo)準(zhǔn)等方面可以統(tǒng)籌考慮了。然而，這個機(jī)構(gòu)如何和其他機(jī)構(gòu)的工作密切配合，應(yīng)該還在進(jìn)一步磨合中。

中國電信的吳湘東處長指出了運(yùn)營商組織機(jī)構(gòu)上的另外一個明顯的不適應(yīng)：傳統(tǒng)的按地域按專業(yè)劃分邊界的維護(hù)管理體系，不適應(yīng)IP網(wǎng)絡(luò)下無邊界的特點(diǎn)?！霸瓉淼娜夡w系難度很大，定位難，速度慢，全I(xiàn)P網(wǎng)絡(luò)下故障或事件可能導(dǎo)致短時間內(nèi)影響迅速傳播，最終演變成全網(wǎng)性故障”。

四、在技術(shù)和人員能力上的不適應(yīng)

（1）技術(shù)能力。技術(shù)能力上的不適應(yīng)，指的是技術(shù)產(chǎn)品的能力不能滿足網(wǎng)絡(luò)運(yùn)營商的要求。很多運(yùn)營商還是按照傳統(tǒng)電信網(wǎng)絡(luò)的思路，主要通過多節(jié)點(diǎn)、多鏈路冗余備份等手段來保證網(wǎng)絡(luò)的可用性。但是現(xiàn)在的IP網(wǎng)絡(luò)下，攻擊者的攻擊能力十分強(qiáng)大，會導(dǎo)致原來這種辦法的效果十分有限。可是與此同時，現(xiàn)有的網(wǎng)絡(luò)安全產(chǎn)品滿足“電信級”要求的本來就不多，更不要說對運(yùn)營商網(wǎng)絡(luò)的全網(wǎng)性安全監(jiān)測、事件定位等要求了。實(shí)際上，基礎(chǔ)網(wǎng)絡(luò)安全保障到底需要什么樣的技術(shù)能力，現(xiàn)在都還不能說已經(jīng)徹底想清楚了。

CNCERT/CC已經(jīng)花了九年來研究和建設(shè)這種技術(shù)能力，863-917平臺也已經(jīng)比原來有了很多的擴(kuò)充?？瓷先ニ坪踅Y(jié)構(gòu)已經(jīng)清楚了，但是在很多細(xì)節(jié)上，還在進(jìn)行深入的研究實(shí)踐。很多運(yùn)營商在建設(shè)安全運(yùn)行中心（SOC），而且通信標(biāo)準(zhǔn)委員會已經(jīng)出臺了SOC的一些標(biāo)準(zhǔn)，但是對SOC的理解和建設(shè)細(xì)節(jié)，也還存在爭論。

（2）人員能力。傳統(tǒng)電信網(wǎng)絡(luò)十分成熟而且歷史悠久，運(yùn)營商有大批熟悉這個領(lǐng)域的人才?；ヂ?lián)網(wǎng)則是一個還在快速發(fā)展的新興事物，運(yùn)營商缺乏足夠的專業(yè)人才來支撐起龐大的覆蓋全國的運(yùn)行維護(hù)和安全保障工作。運(yùn)營商的專業(yè)人才培養(yǎng)，并非一朝一夕能解決的，恐怕需要一個較長的過程。在這個過程中，則需要想出過渡性的辦法來盡量降低風(fēng)險。

值得一提的是，雖然近些年很多大學(xué)建立了網(wǎng)絡(luò)安全或者信息安全專業(yè)，但是實(shí)際上大學(xué)里的教師資源也很緊張，導(dǎo)致很多教學(xué)都是照本宣科，嚴(yán)重脫離實(shí)際和缺乏針對性。這樣的情況，培養(yǎng)出來的學(xué)生，也不能滿足社會上的需要。

五、根源的分析

為什么會存在這么多不適應(yīng)呢？主要原因是傳統(tǒng)電信網(wǎng)和互聯(lián)網(wǎng)有很多不同。首先，傳統(tǒng)電信網(wǎng)結(jié)構(gòu)化非常好，而互聯(lián)網(wǎng)是純扁平化的?，F(xiàn)在電信網(wǎng)也在往扁平化發(fā)展，但是原來適應(yīng)結(jié)構(gòu)化的各種能力，現(xiàn)在就變得難以適應(yīng)；第二，傳統(tǒng)電信網(wǎng)絡(luò)是封閉的，用戶沒有什么機(jī)會去干擾控制網(wǎng)絡(luò)?？墒腔ヂ?lián)網(wǎng)是開放的，任何一個用戶都可能干擾甚至癱瘓控制網(wǎng)絡(luò)；第三，傳統(tǒng)網(wǎng)絡(luò)承載的業(yè)務(wù)比較簡單、清楚、可控，用戶自身的錯誤也不會影響到網(wǎng)絡(luò)，但是互聯(lián)網(wǎng)中應(yīng)用十分復(fù)雜多樣，應(yīng)用的問題會直接影響到網(wǎng)絡(luò)；第四，傳統(tǒng)電信網(wǎng)絡(luò)有很好的頂層規(guī)劃設(shè)計(jì)，而包括IPv6在內(nèi)的互聯(lián)網(wǎng)，在網(wǎng)絡(luò)的運(yùn)維管理等方面考慮得很不充分?；ヂ?lián)網(wǎng)中甚至曾經(jīng)推崇的觀點(diǎn)是“只要沒出問題就先不要修”。如果拿這樣的態(tài)度建設(shè)我們的基礎(chǔ)設(shè)施，就如同拿別人的生命來開玩笑；第五，傳統(tǒng)電信網(wǎng)絡(luò)的建設(shè)，是政府起主導(dǎo)作用的，而互聯(lián)網(wǎng)的發(fā)展則是私營部門主導(dǎo)。私營部門主導(dǎo)帶來了效率和活力，但是在安全上面卻表現(xiàn)出很多不足。

在這種情況下，傳統(tǒng)電信網(wǎng)絡(luò)在逐漸轉(zhuǎn)向互聯(lián)網(wǎng)，出現(xiàn)那么多的不適應(yīng)就不足為奇了。重要的是，面對這些不適應(yīng)，回避不是辦法，必須深入研究和分析，以便調(diào)整自己，同時改造互聯(lián)網(wǎng)中有問題的地方，以達(dá)到相互適應(yīng)的目標(biāo)。當(dāng)然，對于互聯(lián)網(wǎng)技術(shù)和管理體制存在哪些問題，如何改造才能適應(yīng)作為基礎(chǔ)網(wǎng)絡(luò)的要求，就不是本文所要闡述的內(nèi)容了。