7月21日，在2022北京網(wǎng)絡(luò)安全大會（BCS 2022）技術(shù)峰會正式開幕。大會邀請了來自多國知名信息安全專家、科學(xué)家、互聯(lián)網(wǎng)巨頭技術(shù)高管、專業(yè)教授、第三方行業(yè)等嘉賓分享行業(yè)前沿新技術(shù)和新方案。其中，奇安信集團(tuán)網(wǎng)絡(luò)安全實(shí)驗(yàn)室主任鄭曉峰發(fā)表了《脆弱性依賴：互聯(lián)網(wǎng)基礎(chǔ)設(shè)施的系統(tǒng)性風(fēng)險(xiǎn)》的主題演講，圍繞互聯(lián)網(wǎng)基礎(chǔ)設(shè)施的脆弱性依賴和系統(tǒng)性風(fēng)險(xiǎn)問題展開詳細(xì)分析。

　　演講伊始，鄭曉峰通過全球網(wǎng)絡(luò)空間穩(wěn)定委員會（GCSC）的一份報(bào)告指出，“大國間25年的全球網(wǎng)絡(luò)空間戰(zhàn)略穩(wěn)定與和平走到了歷史終點(diǎn)，我們清晰地看到，當(dāng)前社會背景為互聯(lián)網(wǎng)基礎(chǔ)設(shè)施安全帶來了更多不確定性?！标P(guān)于互聯(lián)網(wǎng)基礎(chǔ)設(shè)施，鄭曉峰介紹到，與物理世界傳統(tǒng)的基礎(chǔ)設(shè)施相對應(yīng)，GCSC的專家通過投票篩選出了認(rèn)為至關(guān)重要的網(wǎng)絡(luò)基礎(chǔ)設(shè)施，包括路由和轉(zhuǎn)發(fā)系統(tǒng)、域名和編址系統(tǒng)、公鑰基礎(chǔ)設(shè)施、軟件等。進(jìn)一步歸納分類，軟件、域名和編址系統(tǒng)、公鑰基礎(chǔ)設(shè)施被認(rèn)為是互聯(lián)網(wǎng)公共核心。

　　談到互聯(lián)網(wǎng)基礎(chǔ)設(shè)施的脆弱性依賴，鄭曉峰為大家舉了一個(gè)直觀的例子。以多米諾骨牌來比喻互聯(lián)網(wǎng)基礎(chǔ)設(shè)施的脆弱性，即引發(fā)的單點(diǎn)故障的問題，會像多米諾骨牌一樣環(huán)環(huán)相扣，形成連鎖反應(yīng)?；仡櫧荒甑木W(wǎng)絡(luò)安全事件，Log4j這個(gè)公認(rèn)的、影響力很大的網(wǎng)絡(luò)安全事件，一個(gè)日志組件可以影響成千上萬的應(yīng)用，也是軟件供應(yīng)鏈安全的標(biāo)志性事件。

　　鄭曉峰分析：“當(dāng)我們替換掉Log4j直接引用的組件，或許我們解決了直接引用脆弱性的相關(guān)問題，但所引用的其他組件或者替換的相應(yīng)組件，也有可能間接引用了Log4j或其他的一些脆弱性組件?！碑?dāng)在軟件供應(yīng)鏈空間里對Log4j的相關(guān)依賴性進(jìn)行分析后發(fā)現(xiàn)，這種依賴關(guān)系已經(jīng)不再是單純的樹狀結(jié)構(gòu)，而是形成了復(fù)雜的圖的關(guān)系。

　　再進(jìn)一步來看軟件供應(yīng)鏈的脆弱性引用問題，鄭曉峰表示：“如果再加上平臺的固化、碎片化等問題，就會變成一個(gè)放大器，相應(yīng)的問題會放大，更加影響整個(gè)生態(tài)。”這就是級聯(lián)依賴，平臺的固化、碎片化會導(dǎo)致軟件或軟件供應(yīng)鏈的脆弱性依賴問題更加難以解決、難以根除。同樣，網(wǎng)絡(luò)服務(wù)、DNS解析等跟軟件供應(yīng)鏈一樣，也存在供應(yīng)鏈脆弱性依賴的缺陷和問題。

　　鄭曉峰總結(jié)道：“網(wǎng)絡(luò)基礎(chǔ)設(shè)施的脆弱性依賴，讓相應(yīng)的防御不再是獨(dú)立的單點(diǎn)問題，需要多方共同防御，共同采取相關(guān)措施才可能將整個(gè)生態(tài)里的脆弱性依賴關(guān)系帶來的問題得到緩解。”可以說，互聯(lián)網(wǎng)基礎(chǔ)設(shè)施的脆弱性依賴問題是廣泛存在的，并由供應(yīng)鏈級聯(lián)效應(yīng)、平臺固化、平臺碎片化等問題放大其影響，它難以檢測、難以根除，難以依靠單方防御力量緩解，總體可稱之為系統(tǒng)風(fēng)險(xiǎn)。

　　最后，鄭曉峰表示，上述系統(tǒng)風(fēng)險(xiǎn)需要我們?nèi)ミm應(yīng)網(wǎng)絡(luò)結(jié)構(gòu)帶來的新變化，把這些互聯(lián)網(wǎng)基礎(chǔ)設(shè)施的脆弱性問題，通過協(xié)議規(guī)范，或通過檢測機(jī)制的更新來增強(qiáng)治理，多方共同完成對互聯(lián)網(wǎng)基礎(chǔ)設(shè)施脆弱性依賴問題的緩解以及防御。