倪光南:三个例子说明网络安全的重要性

来源:观察者网

2017-11-14 11:18

倪光南

倪光南作者

中国工程院院士,联想创始人之一,《IT史记》

【建设网络强国就要争取网络空间斗争的主动权,为此,操作系统等核心技术必须使用自己研发的成果。十九大报告提出,要统筹传统安全和非传统安全,网络安全属于非传统安全,其中就包含可控性,目前有关方面正在推行“多维度测评”,其中包括自主可控评估,这样可以更好地保障网络安全。

11月7日,在全球网络安全产业创新论坛上,中国工程院院士倪光南发表了“掌握网络空间斗争主动权”的公开演讲。】

以下为演讲原文:

今天,和大家探讨中国网络安全的状况与网络空间斗争主动权的问题。首先,目前中国的网络整体规模上是世界的网络大国,我们所占的联网人数在全世界五分之一以上。这是我们在网络空间中的地位。

特别要提到现在物联网的发展,物联网联网的设备已经超过了人口(数量)。而且还会大大发展,因为联网的结果,使得人和人、人和万物联网,今后连在网络上的人和设备的数量将会越来越大,达到几百亿甚至更多。

ITU(注:国际电信联盟)有一个指标,即网络安全指数。这里不评论这个指标,只是中国同样用这个指标来比,看到中国是在发展。2017年在ITU的指标体系中,中国已经处于第32位。

由于网络安全的重要性,全世界已经有38%的国家发布了网络安全战略,有些国家还没有跟上,但这是大势所趋。我举最近网络安全的三件大事,不一定全面,但我觉得比较重要,有不同特色。第一件,徐玉玉事件,主要反映一个民众安全意识的问题,保护隐私的问题。第二件是关于物联网相关病毒的问题(Mirai开启僵尸物联网时代),再有是勒索病毒的问题(“永恒之蓝”勒索病毒全球爆发)。

第一例是徐玉玉事件。一个考取大学的女孩子由于隐私泄漏造成了悲剧,说明隐私信息的重要。这个问题的严重性,也唤起了全民对于网络安全意识加以重视。我们可以看到,目前公共部门是黑客攻击的重点,包括政府、金融、医疗等等。各种攻击主要手段包括网站篡改、植入后门、假冒、仿冒等等。在公共部门领域我们看到网络攻击态势的发展,总体来看是有增无减,所以网络安全是一个长期的事情。

徐玉玉事件引起我们的反思,有关部门也做了针对性的改革,比如说查处非法买卖银行卡信息,公安部进行专项整治,以及最高法、最高检等的整治行动。说明这个问题引起了全社会的重视。

第二例子就是Mirai病毒,在其攻击下形成了物联网僵尸网络,由此在2016年发生美国互联网瘫痪事件。

从中国CNVD(注:国家信息安全漏洞共享平台)的数据可看到这类攻击对网络安全的重大挑战。麻省理工科技评论认为,这些网络攻击是很难阻止的。中国的网络安全公司奇虎360也收集了有关数据,显示出问题的严重性。

第三个是勒索病毒对全球攻击的影响,它波及150多个国家地区、10万多组织机构,30万多网民,影响规模很大。触发点是从乌克兰和俄罗斯爆发,迅速蔓延到全球。

这些情况使我们注意到了一个问题,就是网络空间斗争的主动权问题。刚才沈院士也讲到了主动防御的问题。由于目前我们所使用的操作系统这些核心技术,往往不是我们自己研发的,所以我们会处于被动的情况。这是为什么要提出争取主动权的问题。因为如果事先发现漏洞,就可以做好准备。但是目前的情况,我们往往不能事先发现。像勒索病毒,往往是在发现了攻击之后才知道有这个漏洞。而且发现了漏洞,也不是你能修补的,你没法自行打补丁,得等待别人给你补丁。这个补丁有没有效、是什么机理,也说不清楚。只能“听天由命”。这使得我们在网络攻击中处于被动挨打地位,丧失了主动权。

前不久我们对开源Linux操作系统中新发现的脏牛漏洞(“Dirty Cow”)进行了分析,这是很有代表性的。它是由Linux系统中存在的一个“竞争”所导致的漏洞,如被黑客利用,可以轻易地用一个小程序就获得安卓手机的root权限。这个漏洞,在2007年以后的各个版本Linux中应该都有了,但直到去年10月份才发现。有人说开源软件在全世界有几百万只眼睛都在看,但是没有发现,就说明这个病毒隐藏是很深的,很难被发现。它的攻击都是通过正常的功能,所以用常规病毒检测方法是无效的。

鉴于此种情况,今年4月,中国网络空间安全协会召开了研讨会,对这个漏洞进行研讨。中国科学院大学杨力祥教授领导的团队介绍了他们的补丁方案,对现有补丁的评估等等。为什么要操作系统专家也来研究网络安全?因为像这种漏洞的发现、分析及打补丁,并不是一般人能够做的,实际上这个补丁是Linux的创始者Linus Torvalds本人打的,可见难度是很高的。

由于杨教授团队对Linux操作系统的研究很深,有能力进行评估,他们认为,这个补丁是能解决问题的,但并没有把“竞争”完全消除。他们自己提了一个变通方案,是将“竞争”完全消除,但要稍稍多消耗一些时间。这里我们且不说究竟哪一个补丁更好,而是强调,正因为Linux是开源软件,我们的专家能够自行研究,自行分析漏洞机理,自打补丁和评估补丁。而如果是Windows那种私有软件,源代码不开放或不充分开放,就根本做不到。

通过这个例子希望使大家知道,保障网络安全需要信息安全专家和操作系统专家,实现跨界融合,联手解决问题。

上面的实例可以说明,我们要基于开源软件发展自己的操作系统,或者完全通过创新来搞操作系统。另一种情况是:采用进口操作系统或者将进口操作系统“穿马甲”冒充自主操作系统,在这两种情况下,对下面的七个问题的答案是截然相反的,这就是:是否能事先发现漏洞?是否能独立分析漏洞的机理?是否能自打补丁?是否能评估补丁效果?是否有网络空间斗争主动权?是否能免除后门?是否能建设网络强国?总之,对这七个问题,第一种情况的答案都是“是”,而后一种情况的答案都是“否”。

最后,归结到我们的目标,按照习总书记的要求,我们要建设网络强国。可是如果我们用别人的操作系统,或者用别人的操作系统改头换面,能不能变成网络强国呢?不可能。所以从我们的目标来讲,未来要达到网络强国的要求,就必须将核心技术,特别是操作系统这类核心技术,必须用自己的研发的成果,或者基于开源的,或者自己研发的。这是很清楚的。

现在我们已经制定了网络安全法、网络安全审查办法等一系列的法规。十九大报告提出,要统筹传统安全和非传统安全,网络安全属于非传统安全,其中就包含可控性,目前有关方面正在推行“多维度测评”,其中包括自主可控评估,就是针对可控性的评估方案,这样做可以更好地保障网络安全。

按照最近中国信息安全测评中心制订的“中央处理器自主可控评估方案”和“操作系统自主可控评估方案”,这种评估是从“知识产权”、“技术能力”、“供应链安全”、“发展主动权”和“国产资质”等方面,对产品的自主可控进行全面的评估,能如实地反映中央处理器和操作系统的自主可控程度,可作为推进国产自主可控替代计划中,选择中央处理器及操作系统“自主可控”评估的依据,并视需求情况,将该方案扩展完善,可形成其他软硬件产品的自主可控评估依据。

责任编辑:程北墨
网络安全 操作系统 网络攻击 物联网
观察者APP,更好阅读体验

“我们美国说要做的事,中国人已经做到了”

荷兰“拼了”:阿斯麦,别走!

“嫌犯从乌克兰获大量资金和加密货币,有确凿数据”

美方对俄隐瞒了部分信息?克宫回应

这条中马“一带一路”重点铁路项目 “或延伸至泰国”