7月21日，在2022北京網(wǎng)絡(luò)安全大會(huì)（BCS 2022）技術(shù)峰會(huì)正式開幕。大會(huì)邀請(qǐng)了來(lái)自多國(guó)知名信息安全專家、科學(xué)家、互聯(lián)網(wǎng)巨頭技術(shù)高管、專業(yè)教授、第三方行業(yè)等嘉賓分享行業(yè)前沿新技術(shù)和新方案。其中，奇安信集團(tuán)網(wǎng)絡(luò)安全實(shí)驗(yàn)室主任鄭曉峰發(fā)表了《脆弱性依賴：互聯(lián)網(wǎng)基礎(chǔ)設(shè)施的系統(tǒng)性風(fēng)險(xiǎn)》的主題演講，圍繞互聯(lián)網(wǎng)基礎(chǔ)設(shè)施的脆弱性依賴和系統(tǒng)性風(fēng)險(xiǎn)問(wèn)題展開詳細(xì)分析。

　　演講伊始，鄭曉峰通過(guò)全球網(wǎng)絡(luò)空間穩(wěn)定委員會(huì)（GCSC）的一份報(bào)告指出，“大國(guó)間25年的全球網(wǎng)絡(luò)空間戰(zhàn)略穩(wěn)定與和平走到了歷史終點(diǎn)，我們清晰地看到，當(dāng)前社會(huì)背景為互聯(lián)網(wǎng)基礎(chǔ)設(shè)施安全帶來(lái)了更多不確定性。”關(guān)于互聯(lián)網(wǎng)基礎(chǔ)設(shè)施，鄭曉峰介紹到，與物理世界傳統(tǒng)的基礎(chǔ)設(shè)施相對(duì)應(yīng)，GCSC的專家通過(guò)投票篩選出了認(rèn)為至關(guān)重要的網(wǎng)絡(luò)基礎(chǔ)設(shè)施，包括路由和轉(zhuǎn)發(fā)系統(tǒng)、域名和編址系統(tǒng)、公鑰基礎(chǔ)設(shè)施、軟件等。進(jìn)一步歸納分類，軟件、域名和編址系統(tǒng)、公鑰基礎(chǔ)設(shè)施被認(rèn)為是互聯(lián)網(wǎng)公共核心。

　　談到互聯(lián)網(wǎng)基礎(chǔ)設(shè)施的脆弱性依賴，鄭曉峰為大家舉了一個(gè)直觀的例子。以多米諾骨牌來(lái)比喻互聯(lián)網(wǎng)基礎(chǔ)設(shè)施的脆弱性，即引發(fā)的單點(diǎn)故障的問(wèn)題，會(huì)像多米諾骨牌一樣環(huán)環(huán)相扣，形成連鎖反應(yīng)。回顧近一年的網(wǎng)絡(luò)安全事件，Log4j這個(gè)公認(rèn)的、影響力很大的網(wǎng)絡(luò)安全事件，一個(gè)日志組件可以影響成千上萬(wàn)的應(yīng)用，也是軟件供應(yīng)鏈安全的標(biāo)志性事件。

　　鄭曉峰分析：“當(dāng)我們替換掉Log4j直接引用的組件，或許我們解決了直接引用脆弱性的相關(guān)問(wèn)題，但所引用的其他組件或者替換的相應(yīng)組件，也有可能間接引用了Log4j或其他的一些脆弱性組件。”當(dāng)在軟件供應(yīng)鏈空間里對(duì)Log4j的相關(guān)依賴性進(jìn)行分析后發(fā)現(xiàn)，這種依賴關(guān)系已經(jīng)不再是單純的樹狀結(jié)構(gòu)，而是形成了復(fù)雜的圖的關(guān)系。

　　再進(jìn)一步來(lái)看軟件供應(yīng)鏈的脆弱性引用問(wèn)題，鄭曉峰表示：“如果再加上平臺(tái)的固化、碎片化等問(wèn)題，就會(huì)變成一個(gè)放大器，相應(yīng)的問(wèn)題會(huì)放大，更加影響整個(gè)生態(tài)。”這就是級(jí)聯(lián)依賴，平臺(tái)的固化、碎片化會(huì)導(dǎo)致軟件或軟件供應(yīng)鏈的脆弱性依賴問(wèn)題更加難以解決、難以根除。同樣，網(wǎng)絡(luò)服務(wù)、DNS解析等跟軟件供應(yīng)鏈一樣，也存在供應(yīng)鏈脆弱性依賴的缺陷和問(wèn)題。

　　鄭曉峰總結(jié)道：“網(wǎng)絡(luò)基礎(chǔ)設(shè)施的脆弱性依賴，讓相應(yīng)的防御不再是獨(dú)立的單點(diǎn)問(wèn)題，需要多方共同防御，共同采取相關(guān)措施才可能將整個(gè)生態(tài)里的脆弱性依賴關(guān)系帶來(lái)的問(wèn)題得到緩解。”可以說(shuō)，互聯(lián)網(wǎng)基礎(chǔ)設(shè)施的脆弱性依賴問(wèn)題是廣泛存在的，并由供應(yīng)鏈級(jí)聯(lián)效應(yīng)、平臺(tái)固化、平臺(tái)碎片化等問(wèn)題放大其影響，它難以檢測(cè)、難以根除，難以依靠單方防御力量緩解，總體可稱之為系統(tǒng)風(fēng)險(xiǎn)。

　　最后，鄭曉峰表示，上述系統(tǒng)風(fēng)險(xiǎn)需要我們?nèi)ミm應(yīng)網(wǎng)絡(luò)結(jié)構(gòu)帶來(lái)的新變化，把這些互聯(lián)網(wǎng)基礎(chǔ)設(shè)施的脆弱性問(wèn)題，通過(guò)協(xié)議規(guī)范，或通過(guò)檢測(cè)機(jī)制的更新來(lái)增強(qiáng)治理，多方共同完成對(duì)互聯(lián)網(wǎng)基礎(chǔ)設(shè)施脆弱性依賴問(wèn)題的緩解以及防御。