2013年以来网络安全概念日益火爆,Mandiant于2013年初发布了《APT1》报告,2015年4月发布了《APT 28》, 《APT 30》,都是在讲述国家间网络渗透的故事;习近平主席在2014年2月27日中央网络安全和信息化领导小组第一次会议上明确提出的“没有网络安全就没有国家安全”更是让网络安全在国内得到空前重视;2015年4月21日,著名的DLP厂商Websense被美国大型国防合作商雷神(Raytheon Company)收购, 让人们惊呼:军火商开始收购网络安全公司,网络战在未来的战争形态中的地位不言而喻!资本市场上,2013年以来国内网络安全企业“启明星辰”的股价从不足11元人民币涨到了60元人民币,美国Anti-APT与威胁情报服务商 FireEye上市,市值一度突破100亿美金,美国下一代防火墙厂商PaloAlto Networks的股价从不足50美金到现在超过150美金,国内网络安全企业“绿盟科技”上市,市值突破200亿人民币。在火热的网络安全概念背后,我们需要一些冷静的思考:我们在网络安全基础技术研究方面,是否能支撑这个行业持续的发展?先看以下前面所提到的两家美国的网络安全企业:PaloAlto Networks,依靠重新定义防火墙,提出了下一代防火墙概念以及体系架构来奠定自己的地位并获得市场红利,下一代防火墙已经变成防火墙的标准并清洗传统防火墙市场;FireEye,在2013年捕获10多个用于APT攻击的0 Day漏洞,2014年初所收购的Mandiant 在2013-2015年间发布了数个能让同行服气的APT报告:《APT 1》、《APT 28》、《APT 30》,在沙箱检测、污点数据追踪、大数据分析、威胁情报方面有若干创新并居于世界领先地位,拥有超过百人的安全研究团队,最近在指纹识别安全性研究方面又取得令人瞩目的进展。反观过去两年被追捧的国内的网络安全公司,在网络安全的技术基础研究上的成果却乏善可陈:数家公司宣称在开发下一代防火墙,做得好点的是在跟随PaloAlto Networks的技术路线,做得差点的干脆就是在传统防火墙架构上打补丁,叠加应用层分析就号称是下一代防火墙,实际测试的时候在协议还原、性能、智能IPS上都存在比较大的问题;数家公司号称开发Anti-APT产品,但在技术思路上缺乏创新,FireEye所采用的路线在中国的Anti-APT环境下是否适用都不能很好回答。
在网络安全技术相对先进的美国,现任国土安全部部长Jeh Charles Johnson 和前任NSA局长 Keith Alexander 在2015年RSA大会上都在号召网络安全企业与政府合作,共同保障国家网络安全,认为单凭政府或单凭企业都无法解决网络安全问题。在严峻的网络安全形势下,我们是否能如同当年的两弹一星一样,整合政府、企业、科研院所的力量,从网络安全的基础技术研究到产品、应用、服务的开发多个层面入手,尤其是在网络安全的基础技术研究上,投入足够资源来确保可持续发展能力?以下是笔者一线工作中所体会到的,我们需要加强的基础技术研究领域: 1、高安全等级(EAL 5级以上)的操作系统这是可信计算的重要一环,我们今天所用的Windows与Linux只能达到EAL 4级,有至少一个安全等级高、能使用的、自主可控的操作系统。 2、芯片的安全性设计及安全性验证技术;攻击已经不仅仅是在操作系统、通信协议、应用层接口层面,物联网的普及、供应链安全等问题已经让我们不得不关注芯片本身的漏洞/后门可能给系统带来的安全风险。 3、系统化的软件漏洞挖掘技术;中国有世界顶尖的漏洞挖掘(脆弱性研究)人员,但在系统化、自动化、大规模的漏洞挖掘上,缺乏理论层面的有力支持。 4、密码技术密码技术是信息安全的基石之一,我国在这方面的投入本身比较大,但密码技术也是不断进步的,数据加密会越来越被普遍采用,一个领先的密码编码/破译技术,会让信息安全攻与防都处于有利地位。 5、基于大数据、机器学习的异常检测、威胁发现技术将大数据、机器学习技术用于威胁检测是最近几年被证明为有效的新方法,这其中有大数据平台技术、深度学习、异构计算、异常检测算法、威胁检测算法等一系列值得研究的领域。 6、无线通信协议脆弱性研究物联网务必会广泛采用无线通信,无线通信协议的安全性隐患较大,Wifi、蓝牙等协议都已经多次被破解,对无线通信协议脆弱性研究、更安全的无线通信协议的研发势在必行。
网络安全基础技术研究该由谁承担?在中国,与国家安全有关的研究基本至今基本由科研院所、高校、大型国企承担,过去几十年的成就有目共睹,但其弊端也逐渐显露:相对较低的报酬水平、比较陈旧的管理体系、不甚透明的评奖机制一定程度上影响了对优秀人才的吸引,抑制了创新,商业公司,尤其是互联网公司依靠技术、商业模式的创新从市场上获得了雄厚的资金,采用优厚的报酬吸引优秀人才,采用鼓励创新、奖励创新的管理方法,“赢家通吃”的互联网业务特点使得这些企业积累了海量的用户、积累了海量数据并建造出几十万、上百万台服务器的处理集群并开发了能支持在这样规模集群上进行海量数据计算的软件系统,数据与计算能力的提升又使得过去因受限于数据收集能力和计算能力而难以进行的大数据关联分析、深度神经网络等得以进行。这些新的方法已经开始改变我们的生活,语音识别、精准广告推送就是有力例证。如同RSA大会上美国政府官员们所呼吁的,未来的网络安全基础技术研究应该会是政府与企业合作进行,在公共的利益框架下,由政府、政府支持的科研院所、大型国企、创新型民营企业(包括互联网公司)共同合作,共同维护网络空间的安全,最终各方从安全的互联网上获得发展的红利,这方面,需要政府出面建立合作共赢的合作框架。