互联网给基础网络运营商带来的不适应

国家计算机应急中心 杜跃进

现在没有人再怀疑互联网（IP网络）的重要性了，甚至作为重要基础设施的电话网等传统通信领域，也开始逐渐向IP网络过渡。然而，当原来主要用作学术研究、资料共享和休闲娱乐的互联网，开始要成为承担涉及全社会重大利益的关键基础设施的时候，我们必须从更加严格的角度来审视其安全保障问题。可是这时候，我们却发现问题非常严重，甚至在安全可靠方面出现了倒退。导致这种现象出现的原因，一方面是互联网技术和运行管理机制本身存在严重问题，不能适应基础设施安全运行的特点和高标准要求；另一方面则是传统的网络运营商对新兴的互联网如何进行运行管理不适应。本文试图对后一个问题进行初步的探讨。

一、为什么要分析不适应的问题

在第29届奥运会、60年国庆之前，根据工业和信息化部和其它有关部门的要求，CNCERT/CC对一些互联网运营单位进行了安全风险评估。在评估的过程中，发现了不少问题。在后来的分析总结中，具有多年传统电信网运维管理经验的工信部保障局领导指出，运营商对互联网存在严重的不适应。结合CNCERT/CC多年的经验和体会，我们对此也深有同感，并且意识到对这个问题的深入研究，有助于更加系统地研究解决安全保障的问题。

二、在制度设计上的不适应

这种不适应首先体现在制度设计上。制度设计的不同表现出来的效果非常不同，在现实生活中可以有非常明显的体会。例如乱停车的问题，在北京你会看到大院门口安排一个人守着，等院子里面有一个空位子了，才放一个车进去，而院子外面车子堵得一塌糊涂甚至堵塞了主干道，司机们进退两难全无办法。假设同样的事情（希望院子里面没有乱停的车辆）发生在美国西雅图会怎么样呢？首先不会有人在那里看着，然后每个车位以及院子入口都会说明什么车辆什么时间可以停，并且给出拖车公司的电话：如果你违反了规定，主人会打电话把车拖走。然后你不得不缴纳拖车的费用，并且搞不好你的信用记录上会被记上一笔，之后你每月的汽车保险就会跟着涨。如果你跑到拖车公司闹事，恐怕警方会来处理，你也不要指望你能像在中国那样扇警察二十几个耳光警察不还手：他们可能开枪，而你的信用记录中一定会被记上这件事，从而导致你之后找工作、租房子等都会受到影响。于是，没人会跑到院子里乱停，最多进去转一圈发现没位置就到其他地方去停了，自然也不会发生大家被堵在主干道上进退不得的情况。

在传统电信领域里，有很多非常成熟的、成套的制度，在多年的实践中被证明是非常有效的。但是现在面对互联网或者用互联网技术构建的传统电信业务承载网的时候，原来很多制度的执行效果如何，就需要重新加以审视了。这里就现在的一些相关制度作一个初步分析。

会商制度。会商是集思广益、汇总情况、展开综合判断，进行科学决策等的重要手段。传统的会商方式，是召集有关人员坐在一起进行商讨。但是在互联网时代，很多事情的发展演变速度有了戏剧性的提高。2001年的红色代码蠕虫，24小时传遍全球；当年的美加大停电，有效的响应时间（即“黄金时间”）只有半小时；美国电视剧《反恐24小时》，也假设只有24小时的响应时间来挫败重大的恐怖袭击。在这种情况下，如果还使用原来的模式进行会商，则完全无法满足黄金时间的要求，自然也不可能避免事件恶化到危机状态（错过黄金时间，意味着事态的失控）。针对特定的问题场景，目前有一些成功的新方法的尝试。例如，2002年在原信产部支持下，CNCERT/CC和运营商建立的应急合作体系，在2003年SQL SLAMMER事件中，一小时之内就完成了所有运营商的情况汇总和事件判断，数小时之内就完成了应急处理；2005年初步建成的863-917网络安全平台，更是将发现涉及全网的大规模网络安全事件的时间缩短到以分钟记。但是，针对更加复杂的状况，还没有有效的实践。

信息报送制度。很多规章制度都要求了信息报送，在这些制度中经常会要求“遵循及时、客观、真实、准确、完整的原则”。在传统网络中，“线路故障”、“设备故障”等事件，都比较简单明了。但是互联网中的安全事件，除了前面提到的快速的特点之外，还经常具有隐蔽性和复杂性的特点。2003年SQL SLAMMER蠕虫，第一个运营商应急小组的电话打过来的时候，尚不能确信发生了什么安全事件，只是看到异常的流量增长。这恐怕不算完整的信息。但是如果没有这第一个电话，启动全网状况核实进而明确判断这是蠕虫的时间恐怕会很晚，我国可能也会发生类似韩国那样的大面积网络瘫痪的情况了。可见这几个原则有时候是矛盾的，而且对一些情况的判断，是需要多层面、多次的信息交换和分析才可以完成的。再举一个例子：2003年“口令蠕虫（deloader）”，如果遵循及时的原则，发现这个蠕虫就要立即报；但是如果就此打住，就无法通过代码分析发现这个蠕虫会把那几万台服务器的管理员口令送到境外的一些服务器中，从而在具体的应对措施中错失非常关键的步骤。

属地化和责任制。责任制的重要性毋须多说，但是网络中的很多事件很复杂，责任难以清晰区分。例如5.19DNS瘫痪事件，以及当年的巴基斯坦-YouTube事件，对很多运营商来说很难说就是他们的责任。责任制还体现在别的方面，例如信息上报的时候要求一层一层的领导签字，但是这样做经常会严重耽误时间要求，可是不签字显然也是不行的（而且越是重大事件越是紧急时间越如此）。属地化更是一个全球性的难题，有边界的法律法规和管理体系，如何适应无边界的网络安全事件和网络犯罪。

封网制度。传统电信里还有一个非常重要的封网制度，每逢到重要的时刻，一段时间内禁止任何的网络建设、升级、调整等工作。这本来是为了避免人为因素导致运行事故，但是互联网本身的开放性却带来了一个新问题：很多运行事故是外界攻击导致的，如果不能及时应对，可能不能消除问题。

应急演练。我国从2003年开始重视应急这个概念，现在已经普及到几乎各个行业，制订的应急预案达到数百万个。应急预案是否有效，取决于很多因素，其中一个是是否经历了充分的应急演练。但是网络安全领域的应急演练十分复杂，难度很大。美国国土安全部在应急演练上投入巨大，而我国则还在相当低的水平上徘徊。

三、在组织结构上的不适应

组织结构的设计直接关系到相关制度能否顺畅地施行。现实社会中这样的例子不胜枚举。在网络安全领域中，首席信息安全官究竟应该设在什么地方才能更好的帮助企业或者机构降低安全风险，也一直都是一个在讨论的话题。不合适的位置，可能会因为不掌握足够的信息而无法准确判断风险的严重性和作出应对措施建议，因为无法协调相关资源而不能及时采取有效的风险规避措施等等。

传统运营商的网络安全工作主要体现在可靠性保障方面，由运维部门直接承担。2002年以前，运营商中没有专门的机构做网络安全，个别运营商中一些一线运维人员自发组成了兴趣小组。2002年底，在CNCERT/CC的建议下，原信产部发文要求运营商都成立应急小组，不过一直没有要求成立专门的机构。在实践中，发现有些运营商的应急小组人员因为不在运维一线，不能及时掌握有关情况。后来有些运营商成立了专门的机构从事网络安全保障，好处是这样不光是运维阶段才考虑安全问题，而是在建设、运行、标准等方面可以统筹考虑了。然而，这个机构如何和其他机构的工作密切配合，应该还在进一步磨合中。

中国电信的吴湘东处长指出了运营商组织机构上的另外一个明显的不适应：传统的按地域按专业划分边界的维护管理体系，不适应IP网络下无边界的特点。“原来的三级体系难度很大，定位难，速度慢，全IP网络下故障或事件可能导致短时间内影响迅速传播，最终演变成全网性故障”。

四、在技术和人员能力上的不适应

（1）技术能力。技术能力上的不适应，指的是技术产品的能力不能满足网络运营商的要求。很多运营商还是按照传统电信网络的思路，主要通过多节点、多链路冗余备份等手段来保证网络的可用性。但是现在的IP网络下，攻击者的攻击能力十分强大，会导致原来这种办法的效果十分有限。可是与此同时，现有的网络安全产品满足“电信级”要求的本来就不多，更不要说对运营商网络的全网性安全监测、事件定位等要求了。实际上，基础网络安全保障到底需要什么样的技术能力，现在都还不能说已经彻底想清楚了。

CNCERT/CC已经花了九年来研究和建设这种技术能力，863-917平台也已经比原来有了很多的扩充。看上去似乎结构已经清楚了，但是在很多细节上，还在进行深入的研究实践。很多运营商在建设安全运行中心（SOC），而且通信标准委员会已经出台了SOC的一些标准，但是对SOC的理解和建设细节，也还存在争论。

（2）人员能力。传统电信网络十分成熟而且历史悠久，运营商有大批熟悉这个领域的人才。互联网则是一个还在快速发展的新兴事物，运营商缺乏足够的专业人才来支撑起庞大的覆盖全国的运行维护和安全保障工作。运营商的专业人才培养，并非一朝一夕能解决的，恐怕需要一个较长的过程。在这个过程中，则需要想出过渡性的办法来尽量降低风险。

值得一提的是，虽然近些年很多大学建立了网络安全或者信息安全专业，但是实际上大学里的教师资源也很紧张，导致很多教学都是照本宣科，严重脱离实际和缺乏针对性。这样的情况，培养出来的学生，也不能满足社会上的需要。

五、根源的分析

为什么会存在这么多不适应呢？主要原因是传统电信网和互联网有很多不同。首先，传统电信网结构化非常好，而互联网是纯扁平化的。现在电信网也在往扁平化发展，但是原来适应结构化的各种能力，现在就变得难以适应；第二，传统电信网络是封闭的，用户没有什么机会去干扰控制网络。可是互联网是开放的，任何一个用户都可能干扰甚至瘫痪控制网络；第三，传统网络承载的业务比较简单、清楚、可控，用户自身的错误也不会影响到网络，但是互联网中应用十分复杂多样，应用的问题会直接影响到网络；第四，传统电信网络有很好的顶层规划设计，而包括IPv6在内的互联网，在网络的运维管理等方面考虑得很不充分。互联网中甚至曾经推崇的观点是“只要没出问题就先不要修”。如果拿这样的态度建设我们的基础设施，就如同拿别人的生命来开玩笑；第五，传统电信网络的建设，是政府起主导作用的，而互联网的发展则是私营部门主导。私营部门主导带来了效率和活力，但是在安全上面却表现出很多不足。

在这种情况下，传统电信网络在逐渐转向互联网，出现那么多的不适应就不足为奇了。重要的是，面对这些不适应，回避不是办法，必须深入研究和分析，以便调整自己，同时改造互联网中有问题的地方，以达到相互适应的目标。当然，对于互联网技术和管理体制存在哪些问题，如何改造才能适应作为基础网络的要求，就不是本文所要阐述的内容了。