360网络安全研究院 李丰沛：我们坚持用大数据的方法防护安全 原创

今天，以“新技术•新架构•新网络”为主题的“GNTC全球网络技术大会”遍邀全球顶尖技术专家，增设多场峰会与热点Workshop，将在3天的会议里分享最纯粹的技术趋势，全方位呈现产业和技术最新发展情况，为各方代表提供一个沟通交流的平台，促进合作共赢，推动网络重构发展进程。

360网络安全研究院副院长李丰沛从安全的角度同与会嘉宾探讨了“关键信息基础设施的现状和未来”，他表示，安全问题已经上升到国家级别，现在业界的安全意识的建设是很值得肯定的，但是网络安全问题层出不穷，通过各种案例，360总结，要不断创新，通过实践寻找真正有效的安全防护方法。最后，李丰沛代表360呼吁，网络安全厂商要团结一致，让网络安全行业得到整体的提升，防护好关键信息基础设施的安全。

360网络安全研究院副院长 李丰沛

以下为演讲原文整理：

今天这个演讲的内容题目是“关键信息基础设施的现状和未来”，为什么要重点关注关键信息的基础设施的安全问题？我们可以看到，在刚刚结束党的十九大报告里，总体国家安全观已经成为了新时代的治国方略之一。在这里，非传统安全主要就是网络空间安全以及相关的互联网、物联网相关的安全问题，以及上升到和传统安全同样重要的地位。

在新的国家安全观的指导下，我们在去年的中华人民共和国网络安全法中已经提出，关键信息的基础设施重要性，要在已经实施的分级保护的基础上，再实行重点保护，并且在整个法律里有专门的一个节，来描述这部分的问题。我们已经知道，在关键信息基础设施领域，安全问题已经非常受重视了，那么360有什么资格讲这个问题呢？其实现在360在一定程度上可以被成为是网络安全的国家队，我们在过去的很多重要的安全保障工作里，做了非常多的努力。比如刚刚结束的十九大，大会的安全保障工作就是主要由360做的。除了此以外，我们还参与过一带一路国际合作高峰论坛、G20金砖会议、以及更早的乌镇互联网大会、贵阳数博会等等，在这些安全保障过程中，我们积累了很多经验，接下来我讲一讲我们看到的这些关键信息基础设施的现状情况。

先说一些大家可能已经公开的案例，这些都是针对关键基础设施的，这个案例我会稍微多花一点时间。第一个案例是关于伊朗核电站，它受到政网病毒的因为，破坏了核进程的过程，因为这个时间点其实还是比较敏感的，因为这件事情伊朗永久地失去了一个成为拥核国家的机会。乌克兰电力，乌克兰是一个相对敏感的地区，它的整个电力系统在过去几年反复糟到定向攻击，每次这种攻击的时候，整个城市的供电会有问题，那个地方挺冷的，如果冬天电力供应有问题，这个会出人命，而且这个事情在过去的几年中一再出现，某种程度上让我们觉得乌克兰电力已经成了几国黑客、网军一个攻防演练的游乐场。

美国东海岸网络瘫痪事件，这个事情发生在去年的10月，黑客利用超过10万个摄像头，操控物联网攻击了美国为全世界重要的互联网公司提供服务的一家DNS供应商，这次攻击造成了非常多的，包括推特、Facebook等大公司的网络问题，在一段时间内无法访问网站。在这个攻击事件中，一方面是物联网基础安全设施有问题需要修补，另外一方面整个DNS系统作为互联网，从域名到IP，或者说在所有应用协议中最基础的一环，它受到攻击也会带来它的问题。最后这个案例是今年5月12号爆发的一个勒索蠕虫病毒事件，它是由美国NSA军火库发生泄漏，它所使用的网络军火被泄漏以后，用来干了一个勒索下三烂的事情。在这个事情里，一个是网络库泄漏的问题，另外一方面是像Windows这种基础操作系统被攻击的问题。以上都是我们可以看到的公开的网络安全事件。

接下来汇报一下我们在过去的两年时间内做的一些工作。护网2016是由公安部在2016年10月份发起的一个项目，因为过去我们知道，当讨论到安全的时候，讨论到我们要怎么样防御安全的时候，我们上各种各样的安全设备和规则，如果到了要做安全保障的时候，要检查一些设备是不是都还在，规则是不是都还在，这个是静态的安全应对方式，这个现在已经习大大已经提出，我们要建立一个新的动态安全机制。从公安部的角度说，讲一百遍不如打一遍，要做一个实际的攻防演练，我们在这个前提下，我们在公安部的统一指挥下，做了一个实际的攻防演练，选了两个系统，一个是机场和航空的信息系统，另外一个是某个省的电力公司，我们在一周内获得了机场和航空信息系统的主要控制权，我们可以直接控制它离港的控制权，哪些飞机起飞，哪些飞机等待，这些指令可以篡改，或者机场城市交通的咽喉，主要生产系统是比较容易被攻破的。

后面这个案例里，电子系统原则上是隔离的，它跟互联网是分开的，严格上说看不见攻击入口，但是尽管如此，当一个网络体量大到一定程度上的时候，物理隔离很难做到，最会有一些没有注意到的入口，从那个地方可以进去。就像一个大楼，好像安全保障工作非常安全，但是当大楼足够大的时候，总是有一些你没有注意到的入口可以偷偷进来。我们对于电力公司系统，用差不多不到两周的时间，可以做到控制它的域名解析系统，一旦控制了它的DNS系统，基本上可以在网络上做任何事情，你可以做任意的域名劫持，你可以让任意一个域名经过你所控制的服务器，进而获得更多的密码和控制权。基本上这个就是我们在2016年看到的现在的国家关键基础设施的安全状况，而这些攻击只是一些我们同事做的，如果是修一些更正规的其他国家的网络军队进攻，这个恐怕问题会更严重。

到了2017年的时候，会更进一步做，整个攻防的范围会扩大，会参与的部门从原先公安部直属，到了一些省厅，他们的一些人来参加，360作为这几次演戏的承办单位，在其中帮助做一些事情。总得来说发现漏洞比较严重，我们在两次里，每次都发现400以上的严重漏洞，比如说一些系统，比如出租车的GPS系统，央企媒体做宣传的广场上的大屏幕，大屏幕信息推送系统，还有一些医院HRI控制系统，所有系统都是每个行业比较主要的生产系统，这种生产系统比较容易得到它的控制权，这是我们现在看到的互联网关键信息基础设施的安全状况。

其实这种状况，在安全圈里比较有共识，安全圈基本认为没有攻不破的网络，你花对应的时间和成本就可以攻破，但是讲的再多没有用，你做实际的演练，相应的单位安全防护意识会明显提高。

后面怎么办？虽然我们可能对于公众或者很多安全的受众，可能第一次经历这种事情，但是在安全圈里这些问题很多年了。我们觉得总得来说，现在是一个比以往都要好的多的机会来解决这些问题，首先整个安全的意识现在已经上升到了国家和法律保障层面，整个国家机器被动员起来，它所能产生的力量非常强大。从360的角度说，360把所有的事情有比较多的反思，这个在今年的互联网大会，360周鸿祎和戚向东两位创始人，他们对于当前的新的时代，大安全的时代，问题的一些反思。这里面每句话背后都有真实的案例。

从我们执行的角度来说，我们觉得靠现有的创新能力，我们还是可以做非常多的事情，这个是360在过去成立的快10年时间逐渐积累的安全创新中心，在这个创新中心里有非常多的团队，有一些负责挖漏洞，有一些负责做威胁的基础感知，有一些面向国家，有一些面向政府、面向企业，还有一些面向个人。我所在的网络安全研究院是其中一部分。

在新的问题下，数据驱动安全会是一个比较主要的解决方式，360拥有比较多的大数据，360现在是国内最大的，也是全世界最大的互联网安全公司，它能做到今天这个样子，很大程度上因为它安全加大数据的基因，在这个会上更多的谈到DNS，360有比较多全球DNS解析数据，现在总共DNS解析记录已经超过150亿，这个在整个网络的取证过程中，在抵抗底下网络经济的过程中，会发挥非常重要的作用。

最后，整个我们在做这些事情的过程中，也有非常多的技术平台积累，比如我们做事情的方法论，比如我们的技术平台，举个例子来说，我们在做关键基础设施的时候，它会有非常多的技术细节，比如说以前一个比较难以解决的问题，我要确定保卫一个单位，一个单位比较大，可能是一个央企，这个单位下面到底有多少域名，连他自己的人都说不清楚，发展时间太长了，有很多业务的变化，我们使用DNS的数据积累，能够找到它线网中存活的几乎所有的域名，可以进行对应IT资产的排查，这种排查能力会比它自身的IT资产排查能够都要强很多。

我的演讲到这里，总体来说并不只是360一家，而是要靠整个安全行业的整体能力提升，我们觉得在未来虽然前面看到我们的关键信息基础设施有这样那样的问题，我们现在都是在一个最好的时间点上，可以去参与解决这个问题。