大东话安全之——信息安全共性技术国家工程研究中心
2018/6/22 8:33:37 中科院计算所

     一、小剧场

     小白：大东啊，我最近在看一条新闻，上面写着2017年全球八大数据泄露案件，看的我真是胆战心惊的呀。

     大东：哦？小白最近关心时事了呀，我听听看你有什么新的感悟呀。

     小白：有关个人隐私数据泄露的新闻最近此起彼伏，前有趣店数据遭遇内鬼外泄，后有Uber曝光早在一年前发生数据泄露事件。你还不知道吧大东，2017.11的时候，Uber主动公开了去年曾向爱那个黑客支付10万美元封口费以隐瞒5700万账户数据泄露事件。

    

     UBER公司 图片来源：百度图片

     大东：这我哪能不知道啊，网络安全事件我都十分关注着呢。据了解，两名黑客通过GitHub(外部代码托管网站)获得了Uber工程师正在AWS上的账号密码，从而盗取了5000万乘客的姓名、电子邮件和电话号码，以及月60万名美国司机的姓名和驾照号码。

     小白：在这件事情中，CNBC还报道了，认为这不同于仅有用户地址和信用卡信息的数据泄密，Uber还记录了”有关用户运动和旅行历史的详细数据“，这也就意味着，”黑客可以根据这些数据找到用户的位置，甚至是家庭住址“，你看看，这有多可怕、

     大东：没错，可以看到啊，金融机构、社交平台都成为数据泄露的重灾区，根据与金雅拓(Gemalto)近期发布的一份报告“2017 Poor InternationalSecurity Practices Take a Toll”显示，2017年仅上半年被盗的数据，就已超过2016年全年被盗数据的总量。

     小白：哇，身处互联网时代，数据呈现方式的多样化，以及获取渠道的多元化都让我们的隐私被暴露在“光天化日”下，而随着由数据的非法获取、网上兜售，甚至违规利用所组成的利益链条悄然形成，我们都需要时刻警惕信息泄露的危险哇。

     大东：没错，这需要我们今天要讲的重头戏，那就是——信息安全共性技术国家工程研究中心要如何对我们国家、政府、人民的保护了。

     小白：哇，关于信息安全的研究中心，我都已经迫不及待啦!

     二、网安创新，联合协作

     小白：大东哇，这个信息安全共性技术国家工程研究中心具体是由哪些单位组成的？

     大东：这你可问到点子上了，整个研究中心分为四个科研队伍，分别是关键技术实验室、技术标准实验室、测评技术实验室、攻防技术实验室，四个实验室各司其职，拥有自己的研究方向和承担的职责，互相协调，互相配合。

     小白：哇那四个实验室之间是如何协调配合的呢？

     大东：你听听看这四个实验室的名字心里是不是就能略知一二了，你看关键技术实验室，就是在信息安全关键技术攻关以及成果的产品化，包括主要软硬件及系统关键技术的的研发能力和较强的成果转化能力。

     小白：然后呐然后呐。

     大东：然后就是技术标准实验室啦，承担了国际前沿标准研究，国家或行业信息安全技术标准研究与开发应用，参与信息安全国家标准、行业应用标准及规范的研究与制定工作。既然有国际前沿标准的研究，就一定需要测评技术实验室提供国内外信息安全标准、工程实施方法与经验及各种测评技术的深度研究、规划、分析、设计与研发啦。

     小白：那还有最后一个攻防技术实验室呢？

     大东：攻防技术实验室呢，承担了网攻防相关的技术服务，以及网络攻防类产品研发。这四个实验室互相协调，从技术研发、到标准制定、再到测试评估当前信息安全环境最后在网络安全攻防技术上也落实技术与产品研发，全面打造研究中心拳头产品。

     小白：这可太厉害了，四个方面层层递进，信息安全势在必得~

     大东：还不仅如此呢，对内研究中心联合协调，对外还有许多组织于机构强强联手，涉及到的合作部门领域从部委到公共事业集团，从民航到国企，从公检法到银行，信息安全需要的领域，就是信息安全共性技术国家工程研究中心合作的领域。

     小白：你详细给我说说呗。

     大东：在研究中心和政府单位的合作的典型案例中，有中国科学院信息安全保障体系建设规划、中国投资担保公司安全咨询规划及风险评估和北京市教委等级保护定级咨询等。在应急保障类合作中，还有国家税务总局应急保障体系建设、北京政务网站信息安全应急等，但也不仅如此，研究中心还承担了渗透测试类、企业安全测评与加固等合作。

     小白：研究中心也太厉害了，不仅可以与研究机构互帮互助，也可以对行业伙伴进行技术上的传递与支持。

     大东：没错，为了加强横向联合，充分利用和融合中国科学院信息工程研究所与北京电子科技学院等技术依托单位以及其他科研院所的科研力量实施联合技术攻关，构建资源共享、协助攻关的战略技术联盟，并形成联合协作的技术攻关机制。

     小白：我听说，研究中心对于外部技术合作和技术交流活动也很关心，不仅和固定的机构合作，也有拓展合作领域，本着合作共赢的发展思路，欢迎其他组织与机构加入到建立起区域行业战略合作体系，携手共同为祖国信息安全实业贡献力量。

     大东：没错~就是这么有责任心的我们的研究中心。

    

     信息安全共性技术国家工程研究中心

     图片来源：http://www.nercis.ac.cn/news.html

     三、网安威胁，优势应对

     小白：那大东，你刚刚给我们介绍了信息安全共性技术国家工程研究中心的科研队伍分工，那研究中心的主要任务是什么咧？

     大东：首先，中心致力于研究和参与制定信息安全技术标准，建设技术标准实现的一致性验证环境，研发信息安全系统，产品的测评技术和工具，为国家及行业信息安全标准和测评体系的建设提供技术支持。

     小白：这是在制定技术标准和测评~

     大东：其次是建立信息安全咨询服务体系和高级人才培养环境，为国家信息安全保障体系的建设提供咨询服务和高级人才培训。

     小白：我知道，这是在加强信息安全体系的人才储备~

     大东：然后是研究、掌握、研制我国信息安全保障体系建设需要的关键技术，为我国电子政务、电子商务、军队信息化、国家信息安全保障体系的提供技术支撑，提升我国信息安全行业的技术水平。

     小白：嘿嘿，这个一定就是信息安全关键技术的研究了，真的很有必要呢!

     大东：最后就是积极推进信息安全的应用研究，加速科研成果的转化，为国家信息安全保障体系的建设提供先进的产品、技术解决方案和系统集成服务，并参与相关的国家大型建设项目。

     小白：成果转化是技术研究中重要的一步哇，将辛苦研究的先进技术转化为实际可用的产品或服务，研究中心可真是棒棒哒~

     大东：这就是中心目前承担的四项任务，但也远不止于此，中心还在不停地为信息安全领域做出自己的贡献。

     小白：那研究中心的工作一定也完成得很优异吧？

     大东：那当然，研究中心获得的荣誉奖项可不少呢，比如获得2016获得年度全国网络安全等级保护测评机构先进单位，2011年度中国技术创新奖，电力行业第一测评实验室，国家高技术产业化示范工程等。

    

     2016年度全国网络安全等级保护测评机构先进单位

     图片来源：http://www.nercis.ac.cn/about.html

     小白：作为一个以制定标准和测评为主要任务的研究中心，中心的资质有哪些呢？

     大东：早在2014年，信息安全共性技术国家工程研究中心就获得了信息安全等级保护测评机构推荐整数、信息安全风险评估一级服务资质以及信息安全应急处理二级服务资质，还不止这些，研究中心还获得了CNAS中国合格评定国家认可委员会检查机构认可证书以及信息化密码保障基础设施工程监理资质证书等，资质可是刚刚的。

     小白：我还听说在国家标准的制定中，咱们研究中心出了不少力呢，比如信息安全技术/公钥基础设施/电子签名格式规范的标准建立，电力行业信息安全等级保护基本要求标准建立和中国人民解放军总装备部信息安全标准体系等。

     大东：这还不是研究中心全部的研究成果，截止今天，中心已取得19项专利权、94项软件著作权、在国内外知名会议发表了论文65篇。

     小白：我想知道有哪些专利成果哇？

     大东：张口就来，比如一种可信密码模块的测试用例生成方法及其测试系统、针对DNS服务的抗DDoS攻击安全网关系统、一种访问控制客体粒度测试框架及方法、一种提升WEB安全网关并发性能的方法……篇幅有限，我们就先讲到这哈。

    

     一种可信密码模块的测试用例生成方法及其测试系统发明专利证书

     图片来源：http://www.nercis.ac.cn/transformation_of_achievements.html

     小白：积极如我小白的朋友们肯定都会自己去查找剩下的，我们赶紧就进入实验室功能部分，好好理解一下这些专利背后都是中心里的工作人员做出了什么样的努力吧~

     四、实验室功能介绍

     小白：大东，可这研究中心到底是个什么样的中心呐？

     大东：信息安全共性技术国家工程研究中心是在国家发展和改革委员会批示成立的国家级工程研究中心。研究中心以增强我国信息安全产业核心竞争力为目标，开展信息安全保障体系相关的国家信息安全战略、安全体系结构、核心技术、产业标准、系统测评等共性支撑技术的研究、开发、服务于培训工作，加速我国信息安全领域科研成果向现实生产力的转化，推动我国信息安全产业的整体发展。

    

     信息安全共性技术国家工程研究中心是国家级工程研究中心

     图片来源：http://www.nercis.ac.cn/index.html

     小白：呜呜呜，你讲的太专业我都听不懂，你分细一点模块给我讲讲嘛。

     大东：谁让我宠你呢~从中心的名字就能看出来，中心的建立主要就是为了满足国家信息安全战略的需求，目前研究中心研究开发的方向分为九种，分别是密码应用检测技术研究、源代码安全分析检测技术研究、二进制代码安全检测分析技术研究、漏洞挖掘技术研究、恶意代码分析检测及应用技术研究、黑客/病毒及恶意代码攻击的分析取证技术、网络系统的实时监控技术研究、渗透测试技术研究和系统安全防护技术及应用解决方案研究。

     小白：原来是这样， 诶大东你提到的第一个是密码应用检测技术研究，就是针对用户身份的真实性的研究吧。

     大东：不止是这样，除了针对信息系统中身份的真实性、内容的机密性和完整性的研究之外，还需要研究密码应用技术的合规性、密码应用软件产品的安全性、密码技术应用的有效性等问题呢，可不是这么简单的哦小白。

     小白：哇塞，这么复杂的呢？

     大东：那可不是嘛，再和你讲讲源代码安全分析检测技术研究，这可不是随便看看代码这么简单的，它是以编译技术为基础，从底层入手开发源代码解析引擎。通过对源代码建立分析模型，创新性地引入了新的代码特征分析形式，为源代码安全检测分析提供了新的分析思路和视角。

     小白：我猜啊你后面还要再说一个，不仅如此，哈哈哈哈哈。

     大东：太了解我了，不仅如此，中心的研究还包括了从软件生命安全周期的角度，加入了从源代码层次对软件需求的分析、设计等规则，拓展了我们通常意义理解的源代码安全检测的范围。

    

     源代码审计具体实施流程：

     图片来源：http://www.nercis.ac.cn/research_development_four.html?scr=0

     小白：我就知道中心的标准一定是不断创新，不断突破自己~

     大东：你说得对，我们在网安领域，也得一直有这种的精神才行呢，你看在中心研究的二进制代码安全检测分析技术上，就结合逆向、反编译技术，从静态和动态两个方面分析了二进制代码的内部逻辑结构特征，跟踪二进制代码的数据流、控制流等行为和状态特征关系，深层次分析，为恶意代码分析及漏洞挖掘做准备。

     小白：漏洞挖掘是要做什么呢？

     大东：漏洞挖掘技术研究就是以样本分析、模糊测试、源代码分析、二进制分析为基础，从静态和动态分析两个角度挖掘漏洞，不仅是静态分析，还要结合软件系统在调试及运势时的行为和状态，抓取并分析系统的代码特征，实现全方位的漏洞挖掘哦。

     小白：那漏洞和恶意代码有什么不同呢？

     大东：这个问题问得好哦，恶意代码是指没有作用却会带来威胁的代码，而漏洞呢，许多学者给了它五花八门的解释，但在标准机构的定义中，它是存在于评估对象中的，在一定的环境条件下可能违反安全功能要求的弱点。所以虽然漏洞与恶意代码有重叠的一些定义部分，但其实是两个不同的概念哦。

     小白：所以除了有漏洞挖掘技术，还需要有恶意代码分析检测及应用技术研究咯，它们研究的方向都是比较类似的~

     大东：没错，研究了攻击出现的方式，接下来就是研究分析取证技术了，从网络、主机设备、硬盘等不同对象对攻击进行分析和取证，研究中心重点关注了内存代码实时取证分析技术研究。

     小白：那攻击的实时监控技术研究肯定也很重要了，所以它也成为了重点研究方向之一吧。

     大东：对哦，以刚刚的网络攻击取证技术为基础，检测网络系统内部运行时行为和状态特征，研究抽象黑客攻击、恶意代码攻击及病毒攻击的行为和状态特征，研究网络系统内部的行为和状态控制技术。

     小白：原来这些技术都是层层嵌套，彼此环环紧扣的呀。

     大东：当然啦，有了前面研究结果的基础，将样本分析、模糊测试、源代码分析、二进制分析等漏洞挖掘手段挖掘的0day漏洞，应用于工程化检测中来，这就是我们说的渗透测试技术研究啦。

     小白：我知道我知道，最后就是以安全操作系统的安全体系架构为基础，研究构建多种安全手段综合应用的多策略支持系统安全防护架构，实现系统安全防护的综合应用解决方案的系统安全防护技术及应用解决方案研究，嘿嘿，我是不是很胖胖(棒棒)。

     大东：胖(棒)死你算啦~

     五、新时代，新安全

     小白：其实信息安全的内容非常广泛，要保证信息的保密性、真实性、完整性、未授权拷贝和所寄生系统的安全性。其中又包括如何防范商业企业机密泄露、防范青少年对不良信息的浏览、个人信息的泄露等。

    

     信息安全 图片来源：百度图片

     大东：信息作为一种资源，它的普遍性、共享性、增值性、可处理性和多效用性，使其对人类具有特别重要的意义，在互联网时代各方面信息量的急剧增加，并要求大容量、高效率地传输这些信息，敏感信息正经过脆弱的通信线路在计算机系统之间传送，而在存储、处理和交换信息的过程中，都存在泄密、截收、窃听、篡改和伪造的可能性。

     小白：不难看出，单一的保密措施已很难保证通信和信息的安全，必须综合应用各种保密措施，即通过技术的、管理等的手段，实现信源、信号、信息三个环节的保护，藉以达到秘密信息安全的目的。

     大东：没错，目前中国信息安全产业与国际先进水平相比还尚有差距，无论是在核心技术、关键装备和应用创新等方面，面对严峻的网络与信息安全问题，保障信息安全和加强信息安全产业的发展迫切需要加强顶层设计，从政府引导和发挥各个相关部门的积极性两方面，推进信息安全产业发展。

     小白：随着信息安全产业步入高速发展阶段，整个互联网用户对安全产品的要求也转入”主动性安全防御“，随着用户安全防范意识逐渐增强，主动性安全产品将更受关注，而信息安全共性技术国家工程研究中心的两个面向，五项任务的工作今后会越来越艰巨。

     大东：任务虽然严峻，但研究中心的态度却是积极的，目前中心的团队建设正在如火如荼地进行，分咨询组、攻防组、实施组负责对外开展各类安全测评与服务，研发部依托工程中心和重点实验室负责为测评服务所需的方法研究、技术开发与工具平台研制提供支持。

     小白：我们相信，在研究中心的保护下，我们的国家、我们的企业、我们的人民，总有一天能享受到真正绿色、安全、健康的互联网环境，而到那时，我们的信息将是真正地实现了安全、可靠、完整的目标。信息安全就是人民安全，人民安全就是国家安全。

     大东：我们为中心加油打气，共同期待网络安全、网络繁荣的这一天~

     参考链接

     1.盘点 2017 全球八大数据泄露案件，刷新你的认知：

     http://bigdata.idcquan.com/news/131390.shtml

     2. 恶意代码与安全漏洞：

     https://wenku.baidu.com/view/d6ecf37af242336c1eb95ecb.html

     3. 信息安全 百度百科：

     https://baike.baidu.com/item/%E4%BF%A1%E6%81%AF%E5%AE%89%E5%85%A8/339810

     4.2014年信息安全共性技术国家工程研究中心简介：

     http://www.doc88.com/p-7344274306986.html

     5.高级DPA理论与实践-迈向安全嵌入式电路的安全极限：

     http://product.dangdang.com/1473721056.html

     6.信息安全共性技术国家工程研究中心：

     http://www.nercis.ac.cn/

     大东，何许人也：翟立东，博士，中科院计算所网络数据科学与技术重点实验室大数据与信息安全组组长，中国网络空间安全协会理事，网安新型科普第一人。主要研究方向为大数据隐私保护和网络空间安全。

     专栏“大东话安全”，凝注了翟立东团队对网络空间安全科普工作的心血和愿景。欢迎大家持续关注。

    

    

    http://weixin.100md.com
返回 中科院计算所 返回首页 返回百拇医药