一場雖為模擬但“真刀實槍”的網(wǎng)絡(luò)攻防賽于7月31日上演，國內(nèi)五大安全防護(hù)軟件作為“靶標(biāo)”，接受黑客、“白帽子”等來自不同渠道的200余名技術(shù)達(dá)人的網(wǎng)絡(luò)攻擊。360安全衛(wèi)士、騰訊安全管家等作為我國知名網(wǎng)絡(luò)安全防護(hù)軟件，安裝者數(shù)以億計。究竟誰能真正抗住網(wǎng)絡(luò)攻擊?

　　攻防演練上演 安全軟件接受考驗

　　微軟4月8日對XP系統(tǒng)停止更新服務(wù)后，中國仍有2億用戶在使用XP系統(tǒng)，而其中多數(shù)XP用戶都安裝了國內(nèi)安全廠商的電腦防護(hù)軟件。這些防護(hù)軟件是否可靠有效、能否經(jīng)得住黑客攻擊、一旦發(fā)現(xiàn)問題企業(yè)能否快速響應(yīng)?在國信辦網(wǎng)絡(luò)安全專家杜躍進(jìn)看來，“第三方安全防護(hù)軟件到底能不能保護(hù)其信息安全，還得用事實說話?！?

　　7月31日8時，由中國網(wǎng)絡(luò)空間安全協(xié)會(籌)競評演練工作組主辦的XP靶場挑戰(zhàn)賽準(zhǔn)時開賽，213名通過工作組審核的選手對“靶標(biāo)”進(jìn)行攻擊。

　　在XP靶場挑戰(zhàn)賽作戰(zhàn)指揮部內(nèi)，大屏幕上播放著各款軟件被攻擊的實況，360安全衛(wèi)士(XP盾甲)、百度殺毒、北信源金甲防線、金山毒霸(XP防護(hù)盾)和騰訊電腦管家(XP專屬版本)五款國產(chǎn)安全防護(hù)軟件作為“靶標(biāo)”，同時接受參賽者攻擊。

　　專家指出，比賽可能出現(xiàn)全部被攻破、部分被攻破以及都未被攻破三種結(jié)果。由于比賽結(jié)束后需對結(jié)果的真實性進(jìn)行校驗，因而會擇日公布賽事結(jié)果。

　　截至當(dāng)日12時，已有兩款安全防護(hù)產(chǎn)品被攻破。五家公司承諾臨時額外增加獎金，鼓勵參賽選手攻擊其新一代升級版本產(chǎn)品。

　　樹立動態(tài)安全觀 提升網(wǎng)絡(luò)防護(hù)水平

　　被攻破的安全防護(hù)軟件是否意味著不安全而應(yīng)該予以更換?此次挑戰(zhàn)賽負(fù)責(zé)人說，XP靶場挑戰(zhàn)賽的初期目標(biāo)是檢驗第三方安全防護(hù)軟件的防護(hù)效果，在不斷的被攻破的過程中，研究應(yīng)對措施，提高安全防護(hù)產(chǎn)品的水平。

　　杜躍進(jìn)表示，事實上，沒有哪個安全產(chǎn)品是永遠(yuǎn)不會被攻破的。安全是一個博弈對抗的過程，攻擊者會不斷尋找防護(hù)方的弱點，防護(hù)方也會不斷探索對付新攻擊的手段。在這種真實的對抗中，安全保障的水平和能力才會得到不斷提升。

　　中國科學(xué)院軟件研究所研究員丁麗萍帶領(lǐng)多名學(xué)生參加此次比賽。在她看來，對于整個網(wǎng)絡(luò)安全防護(hù)產(chǎn)業(yè)來說，安全防護(hù)能力的提升是其生存和發(fā)展的關(guān)鍵。持續(xù)性地開展“靶場挑戰(zhàn)賽”，有利于調(diào)動各方力量，通過攻擊靶商的參賽產(chǎn)品，發(fā)現(xiàn)存在的問題和尋找解決問題的技術(shù)方法，提升各個靶商的安全技術(shù)水平，從而提高我國整個網(wǎng)絡(luò)安全產(chǎn)業(yè)的水平。

　　網(wǎng)絡(luò)安全專家、中國工程院院士方濱興表示，從長遠(yuǎn)看，經(jīng)過定期、不定期、多維度地舉辦網(wǎng)絡(luò)攻防賽事，安全防護(hù)企業(yè)能夠從中積累更多的安全對抗經(jīng)驗，提升應(yīng)對日益復(fù)雜的高級安全威脅的能力。

　　與此同時，我國也在自主研發(fā)操作系統(tǒng)，長期開展“XP靶場挑戰(zhàn)賽”所鍛煉出來的安全防護(hù)能力，將來可以用于強(qiáng)化本國操作系統(tǒng)的安全防護(hù)。

　　以網(wǎng)絡(luò)攻防賽事帶動國內(nèi)人才培養(yǎng)

　　“中國網(wǎng)事”記者采訪了解到，我國相關(guān)部門希望通過舉辦網(wǎng)絡(luò)攻防賽等措施發(fā)掘優(yōu)秀網(wǎng)絡(luò)安全人才。

　　目前，我國網(wǎng)絡(luò)安全人才外流嚴(yán)重。網(wǎng)絡(luò)安全業(yè)界流傳著一張由知道創(chuàng)宇公司繪制的中國安全人才遷徙路線圖。遷徙圖顯示，我國網(wǎng)絡(luò)安全人才由早期網(wǎng)絡(luò)安全企業(yè)流向國外網(wǎng)絡(luò)安全公司和其他互聯(lián)網(wǎng)公司等，部分頂尖人才選擇到美國發(fā)展。

　　另一方面，國內(nèi)高校人才培養(yǎng)供不應(yīng)求。多位來自高校的網(wǎng)絡(luò)安全專家反映，國內(nèi)信息安全專業(yè)人才供給遠(yuǎn)不能滿足社會需求。據(jù)教育部高等學(xué)校信息安全專業(yè)教學(xué)指導(dǎo)委員會秘書長封化民介紹，我國高校從本世紀(jì)初開始設(shè)置信息安全本科專業(yè)。2013年11月，在工信部和教育部聯(lián)合指導(dǎo)下，我國信息安全人才普查啟動，結(jié)果顯示，截至今年7月，全國已有80余所高校開設(shè)了信息安全本科專業(yè)，每年全國能夠培養(yǎng)的信息安全專業(yè)人才約有1萬人，人才供需缺口巨大。人才問題已經(jīng)成為當(dāng)前嚴(yán)重制約網(wǎng)絡(luò)信息安全產(chǎn)業(yè)發(fā)展的瓶頸。

　　中科院微電子所助理研究員魯輝說，美、德、日、韓等國家均定期舉行在世界范圍內(nèi)具備影響力的黑客大賽，如美國舉辦的Pwn2Own是世界頂級黑客大賽之一。目前，國內(nèi)已經(jīng)開展過一些網(wǎng)絡(luò)攻防比賽，如BCTF“百度杯”全國網(wǎng)絡(luò)安全技術(shù)對抗賽，360公司聯(lián)合高校舉辦“全國大學(xué)生信息安全技術(shù)大賽”。通過舉辦這類賽事，既可以向大眾普及網(wǎng)絡(luò)安全知識，又可以發(fā)掘網(wǎng)絡(luò)攻防人才。

　　杜躍進(jìn)告訴新華社記者，由于國內(nèi)同類賽事不多，人們對于網(wǎng)絡(luò)信息安全的認(rèn)識也不充分，以往國內(nèi)網(wǎng)絡(luò)攻防比賽往往水平不高、規(guī)模較小。此次XP靶場挑戰(zhàn)賽是一場全國性質(zhì)的大賽，規(guī)格相對較高，但同國際上的網(wǎng)絡(luò)攻防賽事相比，仍然規(guī)模小、不規(guī)范、不成熟。

　　安天實驗室首席架構(gòu)師肖新光認(rèn)為，國家需要通過比賽吸引更多專業(yè)人才，這樣才能在以后舉辦水平更高、規(guī)模更大、更為成熟的信息安全和網(wǎng)絡(luò)攻防大賽，國家的整體安全防護(hù)能力也會逐步走向國際頂尖水平。(渠津、牛谷月參與采寫)