在過去二十年中國的互聯(lián)網(wǎng)得到了長足發(fā)展，在互聯(lián)網(wǎng)發(fā)展的同時始終伴隨著一些網(wǎng)絡安全問題，在整個發(fā)展過程中，我國整個網(wǎng)絡安全的保障能力也在持續(xù)的往上升。但在上升的同時，走到今天，因為新形勢變了，新技術出現(xiàn)了，我們在保障能力方面仍然還有著很多的不足和差距。

困局形勢

近幾年中國移動互聯(lián)網(wǎng)發(fā)展非?？?，每天都有成千上萬的APP出現(xiàn)，但實際上這些APP里面有很多不規(guī)范的、惡意的行為。

我們曾處理過這樣一個APP的例子：它實際上是一個小的創(chuàng)業(yè)文檔的APP，主要功能是分享一些文檔，完全不需要用戶的聯(lián)系人信息。但是它卻在用戶不知情的情況下偷偷讀取用戶聯(lián)系人信息并上傳。雖然它有明顯的越界行為，但由于當下法律依據(jù)不足，就無法對這個APP的制作者進行徹底打擊。

第二個例子是去年6月份出現(xiàn)的斯諾登事件，在這個事件里讓大家很震驚的是所謂的“八大金剛”配合美國的NSA所做的一系列監(jiān)控工作。當我們譴責這種行為的同時，我們也想思考另外一個問題：在涉及到國家安全方面的問題時，美國的公司能夠完全摒棄相互之間的利益之爭，合作并攜手應對國家的安全問題。反過來，我們是什么情況呢？我們這些年來在整個國家總體部署下，各個單位和各個部門自身網(wǎng)絡安全的保障能力都在持續(xù)地、不斷地提高，但真正發(fā)生這種大規(guī)模的網(wǎng)絡安全事件時，實際上還是各干各的，相互之間沒有任何的協(xié)作。

我們現(xiàn)在面臨的問題是分而有余，合而不足，之所以出現(xiàn)越來越多的網(wǎng)絡安全問題，當然目前我國在網(wǎng)絡安全方面的法律體系本身是不健全的。但更重要的是，我國在整個網(wǎng)絡安全保障體系上能力不足，沒有一個有效整體的防御體系和規(guī)劃。網(wǎng)絡安全體系保障的困局導致了我們在互聯(lián)網(wǎng)安全方面治理的困難。

今年上半年我們監(jiān)測發(fā)現(xiàn)，我國移動互聯(lián)網(wǎng)在惡意程序方面，光今年上半年就新增了36.7萬，和去年同期相比增長了13%。在這里我們發(fā)現(xiàn)移動惡意程序的趨利性越發(fā)明顯，傳播渠道非常廣泛，防不勝防。甚至我們發(fā)現(xiàn)有一個單個域名所包含的惡意程序最多達到了1700多個。這種惡意程序的改主機的規(guī)模是非常大的，今年境內(nèi)感染木馬僵尸網(wǎng)絡的主機就達到了262萬臺。

此外涉及到重要單位的漏洞事件越來越多，而且漏洞出現(xiàn)了以后，不僅每天有增量出現(xiàn)，存量也在不斷往前走。像OpenSSL已經(jīng)引起了全世界最大程度的重視，實際上一直到現(xiàn)在，還有16%沒有修補。新的風險出現(xiàn)，但是原來的風險始終修補不了，這帶給我們的風險壓力和威脅就會變得越來越大。

差距現(xiàn)狀

也就是說，目前我們面臨著很大的類似于保障體系不足的問題。跟世界各國發(fā)達國家相比，我們在網(wǎng)絡安全保障方面有哪些差距呢？

事實上，差距還是很大的。首先是從技術的角度來說，去年有兩件轟動世界的事都與中國有關：一個是在去年2月份的時候，美國發(fā)布了一個所謂的APT的分析報告，第二個就是在6月份的時候斯諾登的棱鏡事件。從棱鏡事件中我們可以看到，美國在面臨網(wǎng)絡安全問題的時候能夠有效協(xié)調(diào)安全廠商、技術機構、媒體形成常態(tài)化優(yōu)勢，而我們在技術標準、監(jiān)管機制和產(chǎn)業(yè)聯(lián)合引導方面仍舊不足，特別是在產(chǎn)業(yè)方面，國內(nèi)很多安全廠商都希望做大而全的完整的產(chǎn)品線，大家更多是追求商業(yè)模式上的創(chuàng)新，在相關的技術方面的投入是非常少的。這樣使得廠商都聚焦在一個有限的市場上，拼命想分蛋糕，而不是想怎么把蛋糕做大。同質(zhì)競爭導致廠商盈利能力越來越差，整個技術創(chuàng)新能力始終提高幅度比較有限。

反過來，美國安全產(chǎn)業(yè)總體格局非常完善，在最底層它有非常強大的，全世界都要使用的基礎的信息巨頭，在上面有一系列網(wǎng)絡安全的產(chǎn)業(yè)聚集和一系列的專業(yè)安全廠商，同時針對相應的政府的部門，它有一系列的專業(yè)技術企業(yè)，整個這一系列的企業(yè)最后構成了一個非常完整的網(wǎng)絡安全的產(chǎn)業(yè)格局。這種體系格局自然而然對提高它的整體網(wǎng)絡安全能力就變得非常重要。

從網(wǎng)絡安全產(chǎn)業(yè)在IT領域的投入來看，中國只有1%的比例，而國外發(fā)達國家則遠超該比例，一般有9%左右。而我國的安全人才儲備也遠遠不足，本來已經(jīng)很稀缺的一些高精尖的人才，還由于國內(nèi)網(wǎng)絡安全產(chǎn)業(yè)發(fā)展空間不足而流失國外。此外，一些人才也轉而進入了游戲、移動互聯(lián)網(wǎng)等應用領域，更令人痛心的是一些人還進入了黑色產(chǎn)業(yè)。

工作思路

要想解決整個國家網(wǎng)絡安全保障體系能力提升的問題，最重要的一點就是要強調(diào)合作。

這些年我們一直嘗試著和國內(nèi)相關的安全企業(yè)、用戶部門以及信息系統(tǒng)單位和政府部門合作。通過這種合作體系我們發(fā)現(xiàn)如果有了一個很廣泛的合作體系，那么一旦出現(xiàn)大規(guī)模安全事件時，實際上就有一個很暢通的渠道，能夠很容易或者相對迅速地把安全問題解決掉。

這些年來我們覺得面對安全問題的時候，一個非常重要的問題是存在著漏洞，如果我們能夠預先知道漏洞，在這個漏洞整個被利用前能夠找到和把它修補起來，自然而然網(wǎng)絡安全的保障能力就會有一個很大的提升。對于一個整體的漏洞防御體系來說，有一個好的報告平臺非常重要。

我們在2010年成立了一個CNVD國家信息漏洞安全平臺，在這個平臺中有國內(nèi)2000多個白帽子群體加入進來，基于這個平臺每天都能處置50到100起漏洞事件，建立了和多個廠家的合作渠道，能夠開展持續(xù)有效的監(jiān)督。

互聯(lián)網(wǎng)這些年得到了蓬勃發(fā)展，它是大家一起出于共同的目的和共同的利益，在共同規(guī)則的基礎上一起自愿參與和自主驅動，最后實現(xiàn)了目前這個大規(guī)模的互聯(lián)網(wǎng)。我們的網(wǎng)絡安全也可以按照這種發(fā)展體系，大家一起自主自愿自由的來驅動整個網(wǎng)絡安全體系，以一種聯(lián)盟的形式，攜手共建保障我國網(wǎng)絡安全自增長體系。

打造自增長技術體系 在技術的環(huán)節(jié)上，通過大家一起協(xié)商構建大家認可的技術標準，把運營商、互聯(lián)網(wǎng)企業(yè)、用戶部門一起基于這個共同的技術標準，把系統(tǒng)結合起來，擴大監(jiān)測范圍。這樣對于企業(yè)來說能夠把它的全局態(tài)勢的破解能力和整個國家全局資源進行對接，對于整個運營商來說，它落實監(jiān)管要求和增強自身的防控能力也是非常強的，對于黨政機關其自身的防控需求和能力也會有一個提高。

打造自增長合作體系 在整個合作體系方面，有條件的運營商、企業(yè)等都可以加入到我們整個的協(xié)作體系中一起合作，這樣在出現(xiàn)了問題以后，能夠一起在整個全世界公認的CNCERT的理念和價值觀驅動下快速協(xié)作，把問題解決。

打造人才自增長體系 在人才的體系方面，我們不但要利用高效的體制，還應該把整個社會力量發(fā)動起來，全局性的一起協(xié)作，培養(yǎng)真正有用的、實踐上需要的網(wǎng)絡安全人才。

最后我們希望能通過行業(yè)內(nèi)、領域內(nèi)的協(xié)作，實現(xiàn)資源共享、標準化，建立合作體系，協(xié)同發(fā)展，打造我國自增長的網(wǎng)絡安全熱帶雨林。

（以上內(nèi)容系根據(jù)云曉春先生在“2014中國互聯(lián)網(wǎng)安全大會”上的演講整理而成）