國(guó)家計(jì)算機(jī)應(yīng)急中心 杜躍進(jìn)

現(xiàn)在沒(méi)有人再懷疑互聯(lián)網(wǎng)（IP網(wǎng)絡(luò)）的重要性了，甚至作為重要基礎(chǔ)設(shè)施的電話網(wǎng)等傳統(tǒng)通信領(lǐng)域，也開(kāi)始逐漸向IP網(wǎng)絡(luò)過(guò)渡。然而，當(dāng)原來(lái)主要用作學(xué)術(shù)研究、資料共享和休閑娛樂(lè)的互聯(lián)網(wǎng)，開(kāi)始要成為承擔(dān)涉及全社會(huì)重大利益的關(guān)鍵基礎(chǔ)設(shè)施的時(shí)候，我們必須從更加嚴(yán)格的角度來(lái)審視其安全保障問(wèn)題?？墒沁@時(shí)候，我們卻發(fā)現(xiàn)問(wèn)題非常嚴(yán)重，甚至在安全可靠方面出現(xiàn)了倒退。導(dǎo)致這種現(xiàn)象出現(xiàn)的原因，一方面是互聯(lián)網(wǎng)技術(shù)和運(yùn)行管理機(jī)制本身存在嚴(yán)重問(wèn)題，不能適應(yīng)基礎(chǔ)設(shè)施安全運(yùn)行的特點(diǎn)和高標(biāo)準(zhǔn)要求；另一方面則是傳統(tǒng)的網(wǎng)絡(luò)運(yùn)營(yíng)商對(duì)新興的互聯(lián)網(wǎng)如何進(jìn)行運(yùn)行管理不適應(yīng)。本文試圖對(duì)后一個(gè)問(wèn)題進(jìn)行初步的探討。

一、為什么要分析不適應(yīng)的問(wèn)題

在第29屆奧運(yùn)會(huì)、60年國(guó)慶之前，根據(jù)工業(yè)和信息化部和其它有關(guān)部門(mén)的要求，CNCERT/CC對(duì)一些互聯(lián)網(wǎng)運(yùn)營(yíng)單位進(jìn)行了安全風(fēng)險(xiǎn)評(píng)估。在評(píng)估的過(guò)程中，發(fā)現(xiàn)了不少問(wèn)題。在后來(lái)的分析總結(jié)中，具有多年傳統(tǒng)電信網(wǎng)運(yùn)維管理經(jīng)驗(yàn)的工信部保障局領(lǐng)導(dǎo)指出，運(yùn)營(yíng)商對(duì)互聯(lián)網(wǎng)存在嚴(yán)重的不適應(yīng)。結(jié)合CNCERT/CC多年的經(jīng)驗(yàn)和體會(huì)，我們對(duì)此也深有同感，并且意識(shí)到對(duì)這個(gè)問(wèn)題的深入研究，有助于更加系統(tǒng)地研究解決安全保障的問(wèn)題。

二、在制度設(shè)計(jì)上的不適應(yīng)

這種不適應(yīng)首先體現(xiàn)在制度設(shè)計(jì)上。制度設(shè)計(jì)的不同表現(xiàn)出來(lái)的效果非常不同，在現(xiàn)實(shí)生活中可以有非常明顯的體會(huì)。例如亂停車的問(wèn)題，在北京你會(huì)看到大院門(mén)口安排一個(gè)人守著，等院子里面有一個(gè)空位子了，才放一個(gè)車進(jìn)去，而院子外面車子堵得一塌糊涂甚至堵塞了主干道，司機(jī)們進(jìn)退兩難全無(wú)辦法。假設(shè)同樣的事情（希望院子里面沒(méi)有亂停的車輛）發(fā)生在美國(guó)西雅圖會(huì)怎么樣呢？首先不會(huì)有人在那里看著，然后每個(gè)車位以及院子入口都會(huì)說(shuō)明什么車輛什么時(shí)間可以停，并且給出拖車公司的電話：如果你違反了規(guī)定，主人會(huì)打電話把車拖走。然后你不得不繳納拖車的費(fèi)用，并且搞不好你的信用記錄上會(huì)被記上一筆，之后你每月的汽車保險(xiǎn)就會(huì)跟著漲。如果你跑到拖車公司鬧事，恐怕警方會(huì)來(lái)處理，你也不要指望你能像在中國(guó)那樣扇警察二十幾個(gè)耳光警察不還手：他們可能開(kāi)槍，而你的信用記錄中一定會(huì)被記上這件事，從而導(dǎo)致你之后找工作、租房子等都會(huì)受到影響。于是，沒(méi)人會(huì)跑到院子里亂停，最多進(jìn)去轉(zhuǎn)一圈發(fā)現(xiàn)沒(méi)位置就到其他地方去停了，自然也不會(huì)發(fā)生大家被堵在主干道上進(jìn)退不得的情況。

在傳統(tǒng)電信領(lǐng)域里，有很多非常成熟的、成套的制度，在多年的實(shí)踐中被證明是非常有效的。但是現(xiàn)在面對(duì)互聯(lián)網(wǎng)或者用互聯(lián)網(wǎng)技術(shù)構(gòu)建的傳統(tǒng)電信業(yè)務(wù)承載網(wǎng)的時(shí)候，原來(lái)很多制度的執(zhí)行效果如何，就需要重新加以審視了。這里就現(xiàn)在的一些相關(guān)制度作一個(gè)初步分析。

會(huì)商制度。會(huì)商是集思廣益、匯總情況、展開(kāi)綜合判斷，進(jìn)行科學(xué)決策等的重要手段。傳統(tǒng)的會(huì)商方式，是召集有關(guān)人員坐在一起進(jìn)行商討。但是在互聯(lián)網(wǎng)時(shí)代，很多事情的發(fā)展演變速度有了戲劇性的提高。2001年的紅色代碼蠕蟲(chóng)，24小時(shí)傳遍全球；當(dāng)年的美加大停電，有效的響應(yīng)時(shí)間（即“黃金時(shí)間”）只有半小時(shí)；美國(guó)電視劇《反恐24小時(shí)》，也假設(shè)只有24小時(shí)的響應(yīng)時(shí)間來(lái)挫敗重大的恐怖襲擊。在這種情況下，如果還使用原來(lái)的模式進(jìn)行會(huì)商，則完全無(wú)法滿足黃金時(shí)間的要求，自然也不可能避免事件惡化到危機(jī)狀態(tài)（錯(cuò)過(guò)黃金時(shí)間，意味著事態(tài)的失控）。針對(duì)特定的問(wèn)題場(chǎng)景，目前有一些成功的新方法的嘗試。例如，2002年在原信產(chǎn)部支持下，CNCERT/CC和運(yùn)營(yíng)商建立的應(yīng)急合作體系，在2003年SQL SLAMMER事件中，一小時(shí)之內(nèi)就完成了所有運(yùn)營(yíng)商的情況匯總和事件判斷，數(shù)小時(shí)之內(nèi)就完成了應(yīng)急處理；2005年初步建成的863-917網(wǎng)絡(luò)安全平臺(tái)，更是將發(fā)現(xiàn)涉及全網(wǎng)的大規(guī)模網(wǎng)絡(luò)安全事件的時(shí)間縮短到以分鐘記。但是，針對(duì)更加復(fù)雜的狀況，還沒(méi)有有效的實(shí)踐。

信息報(bào)送制度。很多規(guī)章制度都要求了信息報(bào)送，在這些制度中經(jīng)常會(huì)要求“遵循及時(shí)、客觀、真實(shí)、準(zhǔn)確、完整的原則”。在傳統(tǒng)網(wǎng)絡(luò)中，“線路故障”、“設(shè)備故障”等事件，都比較簡(jiǎn)單明了。但是互聯(lián)網(wǎng)中的安全事件，除了前面提到的快速的特點(diǎn)之外，還經(jīng)常具有隱蔽性和復(fù)雜性的特點(diǎn)。2003年SQL SLAMMER蠕蟲(chóng)，第一個(gè)運(yùn)營(yíng)商應(yīng)急小組的電話打過(guò)來(lái)的時(shí)候，尚不能確信發(fā)生了什么安全事件，只是看到異常的流量增長(zhǎng)。這恐怕不算完整的信息。但是如果沒(méi)有這第一個(gè)電話，啟動(dòng)全網(wǎng)狀況核實(shí)進(jìn)而明確判斷這是蠕蟲(chóng)的時(shí)間恐怕會(huì)很晚，我國(guó)可能也會(huì)發(fā)生類似韓國(guó)那樣的大面積網(wǎng)絡(luò)癱瘓的情況了。可見(jiàn)這幾個(gè)原則有時(shí)候是矛盾的，而且對(duì)一些情況的判斷，是需要多層面、多次的信息交換和分析才可以完成的。再舉一個(gè)例子：2003年“口令蠕蟲(chóng)（deloader）”，如果遵循及時(shí)的原則，發(fā)現(xiàn)這個(gè)蠕蟲(chóng)就要立即報(bào)；但是如果就此打住，就無(wú)法通過(guò)代碼分析發(fā)現(xiàn)這個(gè)蠕蟲(chóng)會(huì)把那幾萬(wàn)臺(tái)服務(wù)器的管理員口令送到境外的一些服務(wù)器中，從而在具體的應(yīng)對(duì)措施中錯(cuò)失非常關(guān)鍵的步驟。

屬地化和責(zé)任制。責(zé)任制的重要性毋須多說(shuō)，但是網(wǎng)絡(luò)中的很多事件很復(fù)雜，責(zé)任難以清晰區(qū)分。例如5.19DNS癱瘓事件，以及當(dāng)年的巴基斯坦-YouTube事件，對(duì)很多運(yùn)營(yíng)商來(lái)說(shuō)很難說(shuō)就是他們的責(zé)任。責(zé)任制還體現(xiàn)在別的方面，例如信息上報(bào)的時(shí)候要求一層一層的領(lǐng)導(dǎo)簽字，但是這樣做經(jīng)常會(huì)嚴(yán)重耽誤時(shí)間要求，可是不簽字顯然也是不行的（而且越是重大事件越是緊急時(shí)間越如此）。屬地化更是一個(gè)全球性的難題，有邊界的法律法規(guī)和管理體系，如何適應(yīng)無(wú)邊界的網(wǎng)絡(luò)安全事件和網(wǎng)絡(luò)犯罪。

封網(wǎng)制度。傳統(tǒng)電信里還有一個(gè)非常重要的封網(wǎng)制度，每逢到重要的時(shí)刻，一段時(shí)間內(nèi)禁止任何的網(wǎng)絡(luò)建設(shè)、升級(jí)、調(diào)整等工作。這本來(lái)是為了避免人為因素導(dǎo)致運(yùn)行事故，但是互聯(lián)網(wǎng)本身的開(kāi)放性卻帶來(lái)了一個(gè)新問(wèn)題：很多運(yùn)行事故是外界攻擊導(dǎo)致的，如果不能及時(shí)應(yīng)對(duì)，可能不能消除問(wèn)題。

應(yīng)急演練。我國(guó)從2003年開(kāi)始重視應(yīng)急這個(gè)概念，現(xiàn)在已經(jīng)普及到幾乎各個(gè)行業(yè)，制訂的應(yīng)急預(yù)案達(dá)到數(shù)百萬(wàn)個(gè)。應(yīng)急預(yù)案是否有效，取決于很多因素，其中一個(gè)是是否經(jīng)歷了充分的應(yīng)急演練。但是網(wǎng)絡(luò)安全領(lǐng)域的應(yīng)急演練十分復(fù)雜，難度很大。美國(guó)國(guó)土安全部在應(yīng)急演練上投入巨大，而我國(guó)則還在相當(dāng)?shù)偷乃缴吓腔病?/p>

三、在組織結(jié)構(gòu)上的不適應(yīng)

組織結(jié)構(gòu)的設(shè)計(jì)直接關(guān)系到相關(guān)制度能否順暢地施行?，F(xiàn)實(shí)社會(huì)中這樣的例子不勝枚舉。在網(wǎng)絡(luò)安全領(lǐng)域中，首席信息安全官究竟應(yīng)該設(shè)在什么地方才能更好的幫助企業(yè)或者機(jī)構(gòu)降低安全風(fēng)險(xiǎn)，也一直都是一個(gè)在討論的話題。不合適的位置，可能會(huì)因?yàn)椴徽莆兆銐虻男畔⒍鵁o(wú)法準(zhǔn)確判斷風(fēng)險(xiǎn)的嚴(yán)重性和作出應(yīng)對(duì)措施建議，因?yàn)闊o(wú)法協(xié)調(diào)相關(guān)資源而不能及時(shí)采取有效的風(fēng)險(xiǎn)規(guī)避措施等等。

傳統(tǒng)運(yùn)營(yíng)商的網(wǎng)絡(luò)安全工作主要體現(xiàn)在可靠性保障方面，由運(yùn)維部門(mén)直接承擔(dān)。2002年以前，運(yùn)營(yíng)商中沒(méi)有專門(mén)的機(jī)構(gòu)做網(wǎng)絡(luò)安全，個(gè)別運(yùn)營(yíng)商中一些一線運(yùn)維人員自發(fā)組成了興趣小組。2002年底，在CNCERT/CC的建議下，原信產(chǎn)部發(fā)文要求運(yùn)營(yíng)商都成立應(yīng)急小組，不過(guò)一直沒(méi)有要求成立專門(mén)的機(jī)構(gòu)。在實(shí)踐中，發(fā)現(xiàn)有些運(yùn)營(yíng)商的應(yīng)急小組人員因?yàn)椴辉谶\(yùn)維一線，不能及時(shí)掌握有關(guān)情況。后來(lái)有些運(yùn)營(yíng)商成立了專門(mén)的機(jī)構(gòu)從事網(wǎng)絡(luò)安全保障，好處是這樣不光是運(yùn)維階段才考慮安全問(wèn)題，而是在建設(shè)、運(yùn)行、標(biāo)準(zhǔn)等方面可以統(tǒng)籌考慮了。然而，這個(gè)機(jī)構(gòu)如何和其他機(jī)構(gòu)的工作密切配合，應(yīng)該還在進(jìn)一步磨合中。

中國(guó)電信的吳湘東處長(zhǎng)指出了運(yùn)營(yíng)商組織機(jī)構(gòu)上的另外一個(gè)明顯的不適應(yīng)：傳統(tǒng)的按地域按專業(yè)劃分邊界的維護(hù)管理體系，不適應(yīng)IP網(wǎng)絡(luò)下無(wú)邊界的特點(diǎn)。“原來(lái)的三級(jí)體系難度很大，定位難，速度慢，全I(xiàn)P網(wǎng)絡(luò)下故障或事件可能導(dǎo)致短時(shí)間內(nèi)影響迅速傳播，最終演變成全網(wǎng)性故障”。

四、在技術(shù)和人員能力上的不適應(yīng)

（1）技術(shù)能力。技術(shù)能力上的不適應(yīng)，指的是技術(shù)產(chǎn)品的能力不能滿足網(wǎng)絡(luò)運(yùn)營(yíng)商的要求。很多運(yùn)營(yíng)商還是按照傳統(tǒng)電信網(wǎng)絡(luò)的思路，主要通過(guò)多節(jié)點(diǎn)、多鏈路冗余備份等手段來(lái)保證網(wǎng)絡(luò)的可用性。但是現(xiàn)在的IP網(wǎng)絡(luò)下，攻擊者的攻擊能力十分強(qiáng)大，會(huì)導(dǎo)致原來(lái)這種辦法的效果十分有限?？墒桥c此同時(shí)，現(xiàn)有的網(wǎng)絡(luò)安全產(chǎn)品滿足“電信級(jí)”要求的本來(lái)就不多，更不要說(shuō)對(duì)運(yùn)營(yíng)商網(wǎng)絡(luò)的全網(wǎng)性安全監(jiān)測(cè)、事件定位等要求了。實(shí)際上，基礎(chǔ)網(wǎng)絡(luò)安全保障到底需要什么樣的技術(shù)能力，現(xiàn)在都還不能說(shuō)已經(jīng)徹底想清楚了。

CNCERT/CC已經(jīng)花了九年來(lái)研究和建設(shè)這種技術(shù)能力，863-917平臺(tái)也已經(jīng)比原來(lái)有了很多的擴(kuò)充?？瓷先ニ坪踅Y(jié)構(gòu)已經(jīng)清楚了，但是在很多細(xì)節(jié)上，還在進(jìn)行深入的研究實(shí)踐。很多運(yùn)營(yíng)商在建設(shè)安全運(yùn)行中心（SOC），而且通信標(biāo)準(zhǔn)委員會(huì)已經(jīng)出臺(tái)了SOC的一些標(biāo)準(zhǔn)，但是對(duì)SOC的理解和建設(shè)細(xì)節(jié)，也還存在爭(zhēng)論。

（2）人員能力。傳統(tǒng)電信網(wǎng)絡(luò)十分成熟而且歷史悠久，運(yùn)營(yíng)商有大批熟悉這個(gè)領(lǐng)域的人才?；ヂ?lián)網(wǎng)則是一個(gè)還在快速發(fā)展的新興事物，運(yùn)營(yíng)商缺乏足夠的專業(yè)人才來(lái)支撐起龐大的覆蓋全國(guó)的運(yùn)行維護(hù)和安全保障工作。運(yùn)營(yíng)商的專業(yè)人才培養(yǎng)，并非一朝一夕能解決的，恐怕需要一個(gè)較長(zhǎng)的過(guò)程。在這個(gè)過(guò)程中，則需要想出過(guò)渡性的辦法來(lái)盡量降低風(fēng)險(xiǎn)。

值得一提的是，雖然近些年很多大學(xué)建立了網(wǎng)絡(luò)安全或者信息安全專業(yè)，但是實(shí)際上大學(xué)里的教師資源也很緊張，導(dǎo)致很多教學(xué)都是照本宣科，嚴(yán)重脫離實(shí)際和缺乏針對(duì)性。這樣的情況，培養(yǎng)出來(lái)的學(xué)生，也不能滿足社會(huì)上的需要。

五、根源的分析

為什么會(huì)存在這么多不適應(yīng)呢？主要原因是傳統(tǒng)電信網(wǎng)和互聯(lián)網(wǎng)有很多不同。首先，傳統(tǒng)電信網(wǎng)結(jié)構(gòu)化非常好，而互聯(lián)網(wǎng)是純扁平化的。現(xiàn)在電信網(wǎng)也在往扁平化發(fā)展，但是原來(lái)適應(yīng)結(jié)構(gòu)化的各種能力，現(xiàn)在就變得難以適應(yīng)；第二，傳統(tǒng)電信網(wǎng)絡(luò)是封閉的，用戶沒(méi)有什么機(jī)會(huì)去干擾控制網(wǎng)絡(luò)。可是互聯(lián)網(wǎng)是開(kāi)放的，任何一個(gè)用戶都可能干擾甚至癱瘓控制網(wǎng)絡(luò)；第三，傳統(tǒng)網(wǎng)絡(luò)承載的業(yè)務(wù)比較簡(jiǎn)單、清楚、可控，用戶自身的錯(cuò)誤也不會(huì)影響到網(wǎng)絡(luò)，但是互聯(lián)網(wǎng)中應(yīng)用十分復(fù)雜多樣，應(yīng)用的問(wèn)題會(huì)直接影響到網(wǎng)絡(luò)；第四，傳統(tǒng)電信網(wǎng)絡(luò)有很好的頂層規(guī)劃設(shè)計(jì)，而包括IPv6在內(nèi)的互聯(lián)網(wǎng)，在網(wǎng)絡(luò)的運(yùn)維管理等方面考慮得很不充分?；ヂ?lián)網(wǎng)中甚至曾經(jīng)推崇的觀點(diǎn)是“只要沒(méi)出問(wèn)題就先不要修”。如果拿這樣的態(tài)度建設(shè)我們的基礎(chǔ)設(shè)施，就如同拿別人的生命來(lái)開(kāi)玩笑；第五，傳統(tǒng)電信網(wǎng)絡(luò)的建設(shè)，是政府起主導(dǎo)作用的，而互聯(lián)網(wǎng)的發(fā)展則是私營(yíng)部門(mén)主導(dǎo)。私營(yíng)部門(mén)主導(dǎo)帶來(lái)了效率和活力，但是在安全上面卻表現(xiàn)出很多不足。

在這種情況下，傳統(tǒng)電信網(wǎng)絡(luò)在逐漸轉(zhuǎn)向互聯(lián)網(wǎng)，出現(xiàn)那么多的不適應(yīng)就不足為奇了。重要的是，面對(duì)這些不適應(yīng)，回避不是辦法，必須深入研究和分析，以便調(diào)整自己，同時(shí)改造互聯(lián)網(wǎng)中有問(wèn)題的地方，以達(dá)到相互適應(yīng)的目標(biāo)。當(dāng)然，對(duì)于互聯(lián)網(wǎng)技術(shù)和管理體制存在哪些問(wèn)題，如何改造才能適應(yīng)作為基礎(chǔ)網(wǎng)絡(luò)的要求，就不是本文所要闡述的內(nèi)容了。