如何看待中美兩國網路防禦技術對比？

01-08

中國的網路安全防禦還未成熟，但相對於美國而言，我們真的很落後么？

我覺得不行。

無論是技術，意識還是體系。

一個國家的網路安全防禦體系不是靠一兩年，幾個公司，幾個人才就能做起來，這是一個長時間，全面化，立體化的綜合過程。

網路安全實際上是一個生態系統，需要法律，機構，合作，技術，企業等各方面的協調和統籌，需要經驗累積。

網路安全法出台肯定是好的，說明慢慢開始重視，但是要執法必嚴，違法必究，否則沒什麼實際效果。其實中國網路安全體系構建起步沒多長時間，和美國肯定存在不小的差距。

引用國家互聯網應急中心運行部主任嚴寒冰的幾段話:

「美國所體現出來的漏洞研究水平高度體系化、理論化，不僅挖掘出高價值的漏洞，還寫出了完美的漏洞代碼，這需要非常大的投入，不是簡單的兩三個團隊能夠完成的。因此，對於漏洞的挖掘、分析以及攻擊檢測方面，我國還有大量的工作要做。」

「一個國家網路安全的防禦體系由很多層面組成，任何單位都應該把自己的網路安全防護工作做好，這是對國家網路安全防護體系的一個重要支撐。如果僅僅是一兩家單位、一兩家公司有很好的防護水平，並不能改變我國整體網路安全防禦水平，必須讓每個公司的網路安全防護能力得到普遍提高。」

「要實現上述目標，一個重要手段就是要做到包括漏洞在內的各種網路安全信息的快速共享。美國早就重視到這一點，在柯林頓時代就出台了美國和企業進行信息共享方面的法律，後面各屆政府在這方面都有所加強，在推行的多個計劃中都有相關部署。」

聯合國國際電信聯盟弄了個全球網路安全指數，根據法律，技術，組織，能力建設，國際合作來排名。第一是新加坡，第二是美國，中國排名32，這就是直觀的差距。

嗯，真的很落後，但是在改善，我國做大事的魄力一貫很牛逼。

中國相比美國的確存有不小差距。我們可以從戰略、研發投入、防禦體系三個層面來看。

首先，美國很早就制定了國家層面的網路安全戰略。自金融危機起，幾乎所有的美國敵對勢力以及出於經濟、商業利益目的的攻擊體都開始改變傳統的攻擊手段，向隱匿性高、代價低廉的網路攻擊靠攏。逐年遞增的網路攻擊事件嚴重刺痛了美國的安全神經，迫使美國投入巨大精力、財力完善自身的網路安全戰略。

早在 2003 年，布希政府就已經頒布了《保護網路空間安全的國家戰略》以及一系列相關的政策法令。在布希政府執政末期，網路安全戰略已成雛形。自2008年國際金融危機以後，美國已然成為網路攻擊的橫行之地。上任伊始，奧巴馬政府就著手對美國網路安全政策和架構進行重新評估和調整，2009年白宮公布的《網路政策評估報告》吹響了政府提升和完善網路安全國家戰略的號角。奧巴馬執政7年來，聯邦政府在網路安全領域花費的精力和資金已達到史無前例的規模。至此，美國已經建立了相對完善且卓有成效的網路安全戰略體系。

我國網路安全防禦起步較晚，因此相較美國完善的戰略體系還有較大提升空間。但就近年我國積極制定網路空間安全相關規範的效率來看，我國已經明顯意識到安全戰略體系建立的必要性，也認識到這是網路強國的內在要求。從2015年7月起，人大常委會頒布了新的《國家安全法》，明確提出建設網路與信息安全保障體系; 8月底頒布了《刑法修正案( 九) 》，加大打擊網路犯罪力度; 12月通過了《反恐怖主義法》，規定了電信業務經營者、互聯網服務提供者在反恐中應承擔的義務。2016年年底，我國第一份關於網路空間安全的戰略文件——《國家網路空間安全戰略》，以及第一部網路安全的基礎性法律——《中華人民共和國網路安全法》相繼頒布，可見這方面我國已取得了一些成績。

其次，美國相當重視先進技術的研發與投入。美國國家科學基金會( NSF) 、國家標準技術研究所和國土安全部是負責網路防禦和攻擊技術研發的主要機構。其中，美國國家科學基金會一直致力於推行網路安全的技術研究，它的巨額投入已經產出了諸多創新成果，並應用於保護互聯網信息安全和隱私權的事業中。2015年10月，基金會投入7450萬美元來支持「安全可信的網路空間」系列項目，以鼓勵跨學科間的網路安全技術研究 ; 2016年4月，基金會下屬的「先進網路基礎設施中心」計劃投入700萬美元來進行「網路基礎設施安全創新」項目。自2016年1月以來，國家標註技術研究所也相繼支持了「智能生產系統的網路安全」「全球城市的網絡-物理系統」「智能電網系統的網路安全」等5個項目。此外，美國頂尖的學術機構也能為網路安全提供強有力的技術支持。

中國在網路信息安全方面的投入相較不足。騰訊公司首席運營官任宇昕在第三屆中國互聯網安全領袖峰會(簡稱CSS)上表示，國內信息安全投入不足1%，遠低於美國、日本。但隨著近年國家決策層對網路安全問題的日益重視，研發投入方面也愈發積極。去年，網路空間安全被列入國家重點研發計劃，2017 年國家擬安排國撥經費總概算為3.99億元，重點聚焦於「網路與系統安全防護技術研究」、「開放融合環境下的數據安全保護理論與關鍵技術研究」、「大規模異構網路空間中的可信管理關鍵技術研究」等創新鏈的研究。而騰訊安全玄武實驗室、騰訊安全反詐騙實驗室作為參與單位，分別負責承擔「軟體與系統漏洞分析與發現技術」與「多態勢指數模型協同的重點目標網路安全態勢感知技術」課題，相關成果在金融、通信等領域具備重要應用前景，也將進一步保障國家安全。

最後在防禦體系層面，美國網路安全防禦已建立成完整、一體化的成熟技術體系，並已投入國家層面應用。美國從2003年就開始實施愛因斯坦計劃。愛因斯坦1主要是收集、分析和共享信息安全情報；愛因斯坦2建立了一套入侵檢測系統，能夠掃描和檢測網路上的網路攻擊，並向美國計算機應急小組報警；愛因斯坦3不僅具有入侵檢測能力，還能進行實時態勢分析、態勢感知、主動防禦能力。2009年，美國政府啟動了國家網路空間安全計劃（CNCI），並將愛因斯坦計劃併入該計劃，更名為國家網路空間安全保護系統（NCPS）。2011年，愛因斯坦3進入全面部署和實施階段。目前，愛因斯坦計劃能夠依靠已知特徵識別網路威脅，可以通過啟發式分析方式來發現未知威脅，檢測位置攻擊行為。國土安全部下設的國家網路安全和通信集成中心（NCCIC）就是利用愛因斯坦（EINSTEIN）系統收集、關聯、分析並共享整個聯邦政府計算機安全信息。

這方面，雖然我國各個部門都在積極建立各自的檢測、防禦平台，但缺乏一個能夠在各個政府機構上統一部署的網路安全態勢感知與檢測預警平台。不過，目前中國也正在積極借鑒發達國家經驗，從產業和人才領域多方面補足，以推動網路安全發展步入快車道。

我有一條評論因為政治敏感被刪除了…

-----------------------

是的相對美國而言真的很落後

不過沒什麼奇怪的美國是個bug 全世界任何一個國家跟美國相比都是真的很落後

為什麼呢？因為網路這個東西從一開始就是人家美國人發明的。

引用自維基百科

互聯網的主要前身為阿帕網。1974年美國國防部國防高等研究計劃署（ARPA)的羅伯特·卡恩和斯坦福大學的文頓·瑟夫開發了TCP/IP協議，定義了在電腦網路之間傳送信息的方法。1983年1月1日，ARPA網將其網路核心協議由網路控制程序改變為TCP/IP協議。ARPA網使用的技術（如TCP/IP協議）成為了以後互聯網的核心。它採納的徵求修正意見書過程，一直是發展互聯網協議與標準所使用的機制，至今仍然發揮著作用。

最根本的網路協議、網路的理論基石由美國人奠定。

那麼有人說了，火藥還是中國人發明的呢，怎麼數百年後中國在軍事上就被人家碾壓了呢？

相關歷史其實沒有太考究過，總之是封建政府自己點錯了科技樹肯定是沒錯的。

但美國可沒有點錯科技樹幾十年來一大票科技公司、科研機構、各大高校在信息技術發展的道路上一路狂奔。

他們所研究出的理論成果、生產出的網路硬體設備、設計的各類核心軟體銷往全世界各地成為『互聯網』中的一個個關鍵的組成部分。

IBM、思科、甲骨文、微軟、英特爾等等每一個美國科技巨頭都在網路世界的構成當中有著舉足輕重的地位。

思科的路由器、微軟的操作系統、甲骨文的資料庫、IBM的主機、英特爾的處理器等等在網路空間中佔有著巨大的市場份額，以至於甚至無法被替代。

而他們所掌握的這些市場份額、這些知識產權是屬於美國公司的。說實話對於其他國家的ZF而言這些設備和軟體必然有黑盒部分的存在，但是對於美國ZF不是。

畢竟只要美國一天還是這個世界上軍事、經濟最強大的國家。這些科技公司必然是緊跟腳步不會反水的，在特殊時期一定是堅定的站在美國政府一邊的。

事實上你說美國政府現在跟他們沒有一些秘密的合作項目，反正我不信的。所以《網路安全法》在我國關鍵信息基礎設施的網路設備使用要求上，國產化是必然趨勢。不然人家要是給你偷偷留個後門？細思極恐。

說了這麼多我還沒提到具體的網路防禦技術，實際上我覺得也不用我再去單獨提出來了。對網路空間的掌控力世界第一的國家，無論去談論攻擊或者防禦都必然是世界第一。再看看NSA前一陣曝光出來的那些黑科技，真的細思極恐。

真的落後。

當年「稜鏡計劃」被捅開之後舉世震驚。多年後的今天，中國想要搞這麼個規模的計劃還是相當費勁的。

所以，有多落後該明白了吧。

非常落後.

當然, 這只是跟美國比起來.

要知道, Cisco、IBM、Microsoft、Oracle、Intel、Google 之流都是美國企業. 而且這些企業的產品遍布全球所有國家的計算機設備里. 你說以CIA為代表的美國情報機構對這些玩意沒有任何行政干預有可能嗎? 稜鏡門已經坐實了我們的猜測, Wanna Decryptor 更是被證實是利用了 NSA 泄露的 Windows 後門實施的攻擊. 要知道美國政府手裡還不知道有多少這樣故意預留的後門. 我個人懷疑美國政府甚至都可能擁有這些企業主要產品的源碼. 而中國對此則知之甚少, 如果現在中美翻臉, 美國ZF光利用中國各ZF機構和企事業單位電腦晶元和操作系統, 都可以給中國的信息和情報系統造成致命打擊. 這就是現實.

所以說為什麼中國ZF開始要求 Microsoft 提供 Windows 10 的源代碼. 就是這樣. 然而這種其實是治標不治本. 最根本的還是研發中國自主設計、研發的計算機和終端設備以及操作系統, 紅旗Linux 死掉並不能證明這條道路是錯誤的. 使用中國企業研發製造的軟體和操作系統、伺服器和網路設備才能徹底避免中國在信息安全方面被卡脖子的問題. 中國在這條道上, 任重而道遠.

至於說中國對信息安全不重視, 這大概只是民間不重視罷了. 真正涉及到信息、金融、情報、軍事方面的安全防護, 我相信中國ZF是不會大意的.

就看看https的比例就知道了，技術意識都落後……但是這兩年明顯有提高。

還不成熟啊？我們已經走在世界最前沿了（第二）

--------建議修改3.0版--------

根據觀察，我覺得中國相對落後。

先從個人角度來看，很多人安全意識實在不足。

電腦裡面裝360、百度管家，手機用微信、QQ，你告訴我你有多安全?

在跟中國朋友解釋VPN和Proxy的不同時，我的美國朋友正在Tor架網站。

我勸中國朋友卸載掉亂七八糟的軟體時，美國朋友自己知道用虛擬機和沙箱。

當然，母群太小，這可能只是特例。

再來從網站來說，https是199X年的產物，到現在很多中國網站還停留在http，根本不用破解，竊聽無難度。

安全技術普及率也太低。中國的騰訊夠大間了吧? 然而它的微信無法支援端對端加密。

不管是還是能力使然，這都讓大部分中國網民像在網路裸奔一樣。

。

1987年，中國發出第一封電郵: Across the Great Wall we can reach every corner in the world. 這句話到現在還成立。

有人在github放了"不該放的東西"，然後github被列入黑明單，結果真正被搞到的是中國程序員。

Google因為談判破裂而退出中國，變成了404。然後中國某度害死了某人，現在被某乎唾棄。

我認為政府對於人民學習技術的態度也是一個關鍵。

早期美國把強加密列為軍火的一種，因此禁止輸出，後來有人把代碼印在書上送了出國。(參考危機揭密一書)

但是到了現在，它把大量精力花費在研究最新進的技術，而不是阻止民眾使用既有技術。

阿聯宣布禁止VPN的時候，我和中國朋友笑他們落後，可是最近他們笑不出來了，

Youtube可以無條件上傳15分鐘以內影片的時候，有的網站還停留在綁手機、人工審核影片。

Reddit可以討論各種多元話題的時候，有些網站還停留在禁詞禁評。

不信嗎? 知乎搜尋暗網試試。

以前曾經紅極一時的紅客聯盟，現在變成什麼樣了?

人民想問問不到，想學學不到，怎麼學習技術?

從國家層面來說，其實中美老早看對眼了，每秒都在互打。

Live Cyber Attack Threat Map

Norse Attack Map

關於駭客技術(尤其DDos)，我想兩國都很有攻防經驗，不過我要提幾個例子，可以稍見勝負。

說個有趣的，從前有個武噹山遭小偷，被偷了一部練內功的書，結果小偷練著練著，還加了點花樣外傳。有人用這套功夫，不小心把另外一個沙林寺下面的一支滅門了，還波及到其他無辜百姓。小偷當然厲害，但請問武噹沙林哪個厲害些?

從前有個NSA，被The Shadow Brokers從武器庫偷走了EternalBlue，後來相關的WannaCry開始全球傳播，然後中國公安網掛掉了。

別看這警察掩面啊，我想NSA內部的人也是這種無奈的。

這絕不是NSA的本意。但如果美國決定用網路攻擊中國了，我相信戰爭會結束得無聲無息。

再說一個例子，還是老美NSA，武噹一招打天下的概念。

2001年開始就有電腦的硬碟韌體被NSA預裝後門竊聽，這件事到2015才被卡巴斯基(俄國公司)揭露。

卡巴說，「所有」的防毒軟體都無法觸及韌體，因此中招後就無力回天了。

Western Digital、希捷(Seagate)、東芝(Toshiba)..這些大廠都在名單內。

請問有多少人的電腦能倖免?

再再說一個例子，NSA被史諾登爆了許多料，其中一個就是RSA後門。

NSA用1000萬美元買通全球加密龍頭，讓它散播有弱點的亂碼產生機制，說白了就是讓加密容易被破解。

NSA不僅有實力，還很有錢，而且無所不用其極的想弱化美國之外國家的網路戰力(當然也波及部分美國人民)。

截至目前為止我還沒聽到中國出這麼大的事件(DDos南韓算小的了)，我想實力差距是一個原因。

綜上，我覺得從個人安全意識、網站安全意識、網路環境限制、政府態度到國家間的攻防，兩國間都有很大的差異。

「身處中國，與其等著國家來救，不如先把自己的網路安全顧好吧。」我是這麼跟我朋友說的。

簡單來說：

非常落後

這個問題不是差在哪裡的問題

中國安全技術人員和紅客的技術水平都是不錯的

但問題是這是個人層面上的技術

國家層次上的技術需要再深走一層

這就差多了，畢竟你個人的操作是建立在人家的規則之下的。

而國家不可能「授人以柄」

當然別的國家情況跟中國都差不多，老毛子跟中國特別像（老毛子黑客！）

這個問題目前也不是短時間內能解決的，國家目前也在想辦法解決，現在只能用一些權宜之計（如要windows源碼）

講道理，我始終有種這個問題國家一定會完美解決的蜜汁自信。

有一條培訓做假認證的產業鏈，提供各種工程師，建築師證，核心就是黑政府網站，在各政府民政網站公告新聞中添加一個查詢認證的鏈接，然後就成了可以網上驗證的工程師認證。

中國上線網路安全法都在知乎被人噴的一無是處，舔該法就敏感，噴該法就通過。

為中國網路安全擔憂。

======

確實差距很大，畢竟美國才是互聯網世界的核心，13個根伺服器，大部分都在美國。互聯網戰略很早就是美國國家戰略的一部分。16年還是15年，美國還通過了網路信息戰的法案。

中國雖然擁有大量網民，但是在網路使用主動權上還基本不存在。建設網路安全防禦機制需要共同努力，不過現在正在努力進步。

========

最後聊聊網安法，重要的保護網路安全的條文貴乎大v基本無視，倒是細枝末節的執法權利什麼有權封堵關閉，被一再放大。立個法連執法權都不能用？希望被敏感，這樣我就再也不回答這樣的答案了

我們的政策制定者，政策執行者，網安公司管理者，具體執行人，大家都有自己的小算盤，怎麼可能一起把事做好？

大陸地區如果真的要防禦

直接讓重要系統的內網和外網完全物理隔離就行了.

黑客技術再厲害

你總不能順著網線從外網跑到內網來砍我吧?

所以說理論上講那種黑客通過普通手段黑進國防部或者五角大樓竊取秘密文件的概率

非常小.

但是壞就壞在很多人不遵守保密規則.

好比內網外網的U盤混用

把內網終端連接到外網上.

不使用保密插座等等.

發的保密手機不用

說不好用,非要用智能手機.

還有就是傳統習慣不容易改正.

舉個例子,憑什麼非要用WIN系統

用別的系統就不能幹活了么?

Do you ever know great fire Wall?

目前世界上應該沒有能和美國比的了的吧，至於落後多少那就不清楚了，畢竟這個也是機密。但是現在中國在網路安全上，就算不是第二也是世界前五左右吧。就算干不過美國也能讓美國喝一壺的。

硬體方面，如果用國外硬體的話有相當概率會留bug

軟體方面，把訓練測試的方法全當做違法，校紀校規當違紀，不能從學校裡面訓練，除非天賦極高，不然訓練不起來