头条频道

网络安全危机离你多近?讲三个例子

2017-11-14 14:12:22 观察者网

【建设网络强国就要争取网络空间斗争的主动权,为此,操作系统等核心技术必须使用自己研发的成果。十九大报告提出,要统筹传统安全和非传统安全,网络安全属于非传统安全,其中就包含可控性,目前有关方面正在推行“多维度测评”,其中包括自主可控评估,这样可以更好地保障网络安全。

11月7日,在全球网络安全产业创新论坛上,中国工程院院士倪光南发表了“掌握网络空间斗争主动权”的公开演讲。】

网络安全危机离你多近?讲三个例子

以下为演讲原文:

今天,和大家探讨中国网络安全的状况与网络空间斗争主动权的问题。首先,目前中国的网络整体规模上是世界的网络大国,我们所占的联网人数在全世界五分之一以上。这是我们在网络空间中的地位。

特别要提到现在物联网的发展,物联网联网的设备已经超过了人口(数量)。而且还会大大发展,因为联网的结果,使得人和人、人和万物联网,今后连在网络上的人和设备的数量将会越来越大,达到几百亿甚至更多。

ITU(注:国际电信联盟)有一个指标,即网络安全指数。这里不评论这个指标,只是中国同样用这个指标来比,看到中国是在发展。2017年在ITU的指标体系中,中国已经处于第32位。

由于网络安全的重要性,全世界已经有38%的国家发布了网络安全战略,有些国家还没有跟上,但这是大势所趋。我举最近网络安全的三件大事,不一定全面,但我觉得比较重要,有不同特色。第一件,徐玉玉事件,主要反映一个民众安全意识的问题,保护隐私的问题。第二件是关于物联网相关病毒的问题(Mirai开启僵尸物联网时代),再有是勒索病毒的问题(“永恒之蓝”勒索病毒全球爆发)。

第一例是徐玉玉事件。一个考取大学的女孩子由于隐私泄漏造成了悲剧,说明隐私信息的重要。这个问题的严重性,也唤起了全民对于网络安全意识加以重视。我们可以看到,目前公共部门是黑客攻击的重点,包括政府、金融、医疗等等。各种攻击主要手段包括网站篡改、植入后门、假冒、仿冒等等。在公共部门领域我们看到网络攻击态势的发展,总体来看是有增无减,所以网络安全是一个长期的事情。

徐玉玉事件引起我们的反思,有关部门也做了针对性的改革,比如说查处非法买卖银行卡信息,公安部进行专项整治,以及最高法、最高检等的整治行动。说明这个问题引起了全社会的重视。

第二例子就是Mirai病毒,在其攻击下形成了物联网僵尸网络,由此在2016年发生美国互联网瘫痪事件。

从中国CNVD(注:国家信息安全漏洞共享平台)的数据可看到这类攻击对网络安全的重大挑战。麻省理工科技评论认为,这些网络攻击是很难阻止的。中国的网络安全公司奇虎360也收集了有关数据,显示出问题的严重性。

网络安全危机离你多近?讲三个例子

第三个是勒索病毒对全球攻击的影响,它波及150多个国家地区、10万多组织机构,30万多网民,影响规模很大。触发点是从乌克兰和俄罗斯爆发,迅速蔓延到全球。

这些情况使我们注意到了一个问题,就是网络空间斗争的主动权问题。刚才沈院士也讲到了主动防御的问题。由于目前我们所使用的操作系统这些核心技术,往往不是我们自己研发的,所以我们会处于被动的情况。这是为什么要提出争取主动权的问题。因为如果事先发现漏洞,就可以做好准备。但是目前的情况,我们往往不能事先发现。像勒索病毒,往往是在发现了攻击之后才知道有这个漏洞。而且发现了漏洞,也不是你能修补的,你没法自行打补丁,得等待别人给你补丁。这个补丁有没有效、是什么机理,也说不清楚。只能“听天由命”。这使得我们在网络攻击中处于被动挨打地位,丧失了主动权。

前不久我们对开源Linux操作系统中新发现的脏牛漏洞(“Dirty Cow”)进行了分析,这是很有代表性的。它是由Linux系统中存在的一个“竞争”所导致的漏洞,如被黑客利用,可以轻易地用一个小程序就获得安卓手机的root权限。这个漏洞,在2007年以后的各个版本Linux中应该都有了,但直到去年10月份才发现。有人说开源软件在全世界有几百万只眼睛都在看,但是没有发现,就说明这个病毒隐藏是很深的,很难被发现。它的攻击都是通过正常的功能,所以用常规病毒检测方法是无效的。

鉴于此种情况,今年4月,中国网络空间安全协会召开了研讨会,对这个漏洞进行研讨。中国科学院大学杨力祥教授领导的团队介绍了他们的补丁方案,对现有补丁的评估等等。为什么要操作系统专家也来研究网络安全?因为像这种漏洞的发现、分析及打补丁,并不是一般人能够做的,实际上这个补丁是Linux的创始者Linus Torvalds本人打的,可见难度是很高的。

由于杨教授团队对Linux操作系统的研究很深,有能力进行评估,他们认为,这个补丁是能解决问题的,但并没有把“竞争”完全消除。他们自己提了一个变通方案,是将“竞争”完全消除,但要稍稍多消耗一些时间。这里我们且不说究竟哪一个补丁更好,而是强调,正因为Linux是开源软件,我们的专家能够自行研究,自行分析漏洞机理,自打补丁和评估补丁。而如果是Windows那种私有软件,源代码不开放或不充分开放,就根本做不到。

网络安全危机离你多近?讲三个例子

通过这个例子希望使大家知道,保障网络安全需要信息安全专家和操作系统专家,实现跨界融合,联手解决问题。

上面的实例可以说明,我们要基于开源软件发展自己的操作系统,或者完全通过创新来搞操作系统。另一种情况是:采用进口操作系统或者将进口操作系统“穿马甲”冒充自主操作系统,在这两种情况下,对下面的七个问题的答案是截然相反的,这就是:是否能事先发现漏洞?是否能独立分析漏洞的机理?是否能自打补丁?是否能评估补丁效果?是否有网络空间斗争主动权?是否能免除后门?是否能建设网络强国?总之,对这七个问题,第一种情况的答案都是“是”,而后一种情况的答案都是“否”。

最后,归结到我们的目标,按照习总书记的要求,我们要建设网络强国。可是如果我们用别人的操作系统,或者用别人的操作系统改头换面,能不能变成网络强国呢?不可能。所以从我们的目标来讲,未来要达到网络强国的要求,就必须将核心技术,特别是操作系统这类核心技术,必须用自己的研发的成果,或者基于开源的,或者自己研发的。这是很清楚的。

现在我们已经制定了网络安全法、网络安全审查办法等一系列的法规。十九大报告提出,要统筹传统安全和非传统安全,网络安全属于非传统安全,其中就包含可控性,目前有关方面正在推行“多维度测评”,其中包括自主可控评估,就是针对可控性的评估方案,这样做可以更好地保障网络安全。

按照最近中国信息安全测评中心制订的“中央处理器自主可控评估方案”和“操作系统自主可控评估方案”,这种评估是从“知识产权”、“技术能力”、“供应链安全”、“发展主动权”和“国产资质”等方面,对产品的自主可控进行全面的评估,能如实地反映中央处理器和操作系统的自主可控程度,可作为推进国产自主可控替代计划中,选择中央处理器及操作系统“自主可控”评估的依据,并视需求情况,将该方案扩展完善,可形成其他软硬件产品的自主可控评估依据。

展开全文
责任编辑:孙鑫鑫 CN066

热点新闻

惨!男子无证驾驶遭前女友举报

2017-11-24 07:17:00

女子网购给差评 信息全被曝光

2017-11-24 07:16:00

男子摔倒共享单车手柄直插入眼

2017-11-24 07:15:00

男教师瞒妻儿与美女交往被骗惨

2017-11-24 07:05:00

工地惊现疑似“外星人”生物!

2017-11-23 18:22:18

湖北患癌村医坚守救护一线 7年看病4万余人次

2017-11-23 17:29:27

印医院给死者家属开天价账单:仅手套就有1600双

2017-11-23 17:28:51

调查:近3成巴西人将趁“黑五”打折提前圣诞采购

2017-11-23 17:28:10

等离子电视、宠物SPA:澳开设超豪华宠物酒店

2017-11-23 17:27:35

美国重新定义高血压标准 中国“准病人们”不用慌

2017-11-23 17:26:00

西班牙网购已成新趋势 消费者大部分为青年男性

2017-11-23 17:25:06

保姆抱着东家的孩子偷衣服 被售货员紧追

2017-11-23 17:24:21

留学生安全事件频发 有家长为孩子订安全准则

2017-11-23 17:21:49

OFO摩拜顶风违规 投放新车近三千辆

2017-11-23 17:16:39

夫妻“闪离”逃避3.5万元债务 还钱后仍被罚款

2017-11-23 17:13:11

发朋友圈免费领手机?大学生被骗800多

2017-11-23 17:11:18

美国将维持在叙军事存在 拟成立新政权抗衡叙政府

2017-11-23 17:10:35

日媒:中国人继续"爆买"日本电饭煲 9年增长23倍

2017-11-23 17:09:43

毕业17年后混成失业 英国男子状告大学当年教得差

2017-11-23 17:08:17

两女城管拆迁时被电线杆砸伤 其中一人伤重仍在治疗

2017-11-23 17:07:21

发病1年内致死的"人类疯牛病" 或通过皮肤蛋白传染

2017-11-23 17:06:29

幼儿园前捅割妻子多刀致其死亡 男子一审被判死刑

2017-11-23 17:05:49

山东青州一润滑油厂发生爆炸 千米外民房玻璃被震碎

2017-11-23 17:04:52

北京大兴火灾8名伤者已有6名出院 纪委介入调查

2017-11-23 17:03:36

北京一红黄蓝幼儿园被指虐童 园方:网传图片不可靠

2017-11-23 17:02:51

共享单车停放问题多 别让共享单车成为“共享负担”

2017-11-23 16:41:28

她探监男友 一个吻令男友丧命

2017-11-23 16:11:09

武汉一“黑中介”欺主瞒客截留房租 涉案金额90余万

2017-11-23 16:03:44

云南一县民政局超70%干部职工亲属违规吃低保

2017-11-23 15:57:26

日本首次针对遭受他国攻击开展模拟训练 230人参加

2017-11-23 15:56:31

内部分歧加外部压力:欧盟防务一体化走向深水区

2017-11-23 15:55:59

美旧金山市政府同意将慰安妇少女雕像市有化

2017-11-23 15:55:04

凌晨环卫车被撞坠入钱塘江 落水环卫工夫妇获救

2017-11-23 15:53:47

澳媒:澳建立一站式癌症网站 综合发表可靠数据

2017-11-23 15:52:13

“感冒高峰”来临 家庭“交叉感染”患者增多

2017-11-23 15:51:40

男子钓鱼不慎坠河 带病的民警小伙和辅警跳水救人

2017-11-23 15:50:50

紧急寻人:意大利一中国留学生留遗书欲跳海自杀

2017-11-23 15:49:54

江苏查获28种走私美容整形药品

2017-11-23 15:49:02

仅有240名居民 瑞士南方小镇欲斥重金吸引定居者

2017-11-23 15:48:00

喝烈酒让人更性感?英国研究称喝酒可激发各种情绪

2017-11-23 15:47:10