头条频道

网络安全危机离你多近?讲三个例子

2017-11-14 14:12:22 观察者网

【建设网络强国就要争取网络空间斗争的主动权,为此,操作系统等核心技术必须使用自己研发的成果。十九大报告提出,要统筹传统安全和非传统安全,网络安全属于非传统安全,其中就包含可控性,目前有关方面正在推行“多维度测评”,其中包括自主可控评估,这样可以更好地保障网络安全。

11月7日,在全球网络安全产业创新论坛上,中国工程院院士倪光南发表了“掌握网络空间斗争主动权”的公开演讲。】

网络安全危机离你多近?讲三个例子

以下为演讲原文:

今天,和大家探讨中国网络安全的状况与网络空间斗争主动权的问题。首先,目前中国的网络整体规模上是世界的网络大国,我们所占的联网人数在全世界五分之一以上。这是我们在网络空间中的地位。

特别要提到现在物联网的发展,物联网联网的设备已经超过了人口(数量)。而且还会大大发展,因为联网的结果,使得人和人、人和万物联网,今后连在网络上的人和设备的数量将会越来越大,达到几百亿甚至更多。

ITU(注:国际电信联盟)有一个指标,即网络安全指数。这里不评论这个指标,只是中国同样用这个指标来比,看到中国是在发展。2017年在ITU的指标体系中,中国已经处于第32位。

由于网络安全的重要性,全世界已经有38%的国家发布了网络安全战略,有些国家还没有跟上,但这是大势所趋。我举最近网络安全的三件大事,不一定全面,但我觉得比较重要,有不同特色。第一件,徐玉玉事件,主要反映一个民众安全意识的问题,保护隐私的问题。第二件是关于物联网相关病毒的问题(Mirai开启僵尸物联网时代),再有是勒索病毒的问题(“永恒之蓝”勒索病毒全球爆发)。

第一例是徐玉玉事件。一个考取大学的女孩子由于隐私泄漏造成了悲剧,说明隐私信息的重要。这个问题的严重性,也唤起了全民对于网络安全意识加以重视。我们可以看到,目前公共部门是黑客攻击的重点,包括政府、金融、医疗等等。各种攻击主要手段包括网站篡改、植入后门、假冒、仿冒等等。在公共部门领域我们看到网络攻击态势的发展,总体来看是有增无减,所以网络安全是一个长期的事情。

徐玉玉事件引起我们的反思,有关部门也做了针对性的改革,比如说查处非法买卖银行卡信息,公安部进行专项整治,以及最高法、最高检等的整治行动。说明这个问题引起了全社会的重视。

第二例子就是Mirai病毒,在其攻击下形成了物联网僵尸网络,由此在2016年发生美国互联网瘫痪事件。

从中国CNVD(注:国家信息安全漏洞共享平台)的数据可看到这类攻击对网络安全的重大挑战。麻省理工科技评论认为,这些网络攻击是很难阻止的。中国的网络安全公司奇虎360也收集了有关数据,显示出问题的严重性。

网络安全危机离你多近?讲三个例子

第三个是勒索病毒对全球攻击的影响,它波及150多个国家地区、10万多组织机构,30万多网民,影响规模很大。触发点是从乌克兰和俄罗斯爆发,迅速蔓延到全球。

这些情况使我们注意到了一个问题,就是网络空间斗争的主动权问题。刚才沈院士也讲到了主动防御的问题。由于目前我们所使用的操作系统这些核心技术,往往不是我们自己研发的,所以我们会处于被动的情况。这是为什么要提出争取主动权的问题。因为如果事先发现漏洞,就可以做好准备。但是目前的情况,我们往往不能事先发现。像勒索病毒,往往是在发现了攻击之后才知道有这个漏洞。而且发现了漏洞,也不是你能修补的,你没法自行打补丁,得等待别人给你补丁。这个补丁有没有效、是什么机理,也说不清楚。只能“听天由命”。这使得我们在网络攻击中处于被动挨打地位,丧失了主动权。

前不久我们对开源Linux操作系统中新发现的脏牛漏洞(“Dirty Cow”)进行了分析,这是很有代表性的。它是由Linux系统中存在的一个“竞争”所导致的漏洞,如被黑客利用,可以轻易地用一个小程序就获得安卓手机的root权限。这个漏洞,在2007年以后的各个版本Linux中应该都有了,但直到去年10月份才发现。有人说开源软件在全世界有几百万只眼睛都在看,但是没有发现,就说明这个病毒隐藏是很深的,很难被发现。它的攻击都是通过正常的功能,所以用常规病毒检测方法是无效的。

鉴于此种情况,今年4月,中国网络空间安全协会召开了研讨会,对这个漏洞进行研讨。中国科学院大学杨力祥教授领导的团队介绍了他们的补丁方案,对现有补丁的评估等等。为什么要操作系统专家也来研究网络安全?因为像这种漏洞的发现、分析及打补丁,并不是一般人能够做的,实际上这个补丁是Linux的创始者Linus Torvalds本人打的,可见难度是很高的。

由于杨教授团队对Linux操作系统的研究很深,有能力进行评估,他们认为,这个补丁是能解决问题的,但并没有把“竞争”完全消除。他们自己提了一个变通方案,是将“竞争”完全消除,但要稍稍多消耗一些时间。这里我们且不说究竟哪一个补丁更好,而是强调,正因为Linux是开源软件,我们的专家能够自行研究,自行分析漏洞机理,自打补丁和评估补丁。而如果是Windows那种私有软件,源代码不开放或不充分开放,就根本做不到。

网络安全危机离你多近?讲三个例子

通过这个例子希望使大家知道,保障网络安全需要信息安全专家和操作系统专家,实现跨界融合,联手解决问题。

上面的实例可以说明,我们要基于开源软件发展自己的操作系统,或者完全通过创新来搞操作系统。另一种情况是:采用进口操作系统或者将进口操作系统“穿马甲”冒充自主操作系统,在这两种情况下,对下面的七个问题的答案是截然相反的,这就是:是否能事先发现漏洞?是否能独立分析漏洞的机理?是否能自打补丁?是否能评估补丁效果?是否有网络空间斗争主动权?是否能免除后门?是否能建设网络强国?总之,对这七个问题,第一种情况的答案都是“是”,而后一种情况的答案都是“否”。

最后,归结到我们的目标,按照习总书记的要求,我们要建设网络强国。可是如果我们用别人的操作系统,或者用别人的操作系统改头换面,能不能变成网络强国呢?不可能。所以从我们的目标来讲,未来要达到网络强国的要求,就必须将核心技术,特别是操作系统这类核心技术,必须用自己的研发的成果,或者基于开源的,或者自己研发的。这是很清楚的。

现在我们已经制定了网络安全法、网络安全审查办法等一系列的法规。十九大报告提出,要统筹传统安全和非传统安全,网络安全属于非传统安全,其中就包含可控性,目前有关方面正在推行“多维度测评”,其中包括自主可控评估,就是针对可控性的评估方案,这样做可以更好地保障网络安全。

按照最近中国信息安全测评中心制订的“中央处理器自主可控评估方案”和“操作系统自主可控评估方案”,这种评估是从“知识产权”、“技术能力”、“供应链安全”、“发展主动权”和“国产资质”等方面,对产品的自主可控进行全面的评估,能如实地反映中央处理器和操作系统的自主可控程度,可作为推进国产自主可控替代计划中,选择中央处理器及操作系统“自主可控”评估的依据,并视需求情况,将该方案扩展完善,可形成其他软硬件产品的自主可控评估依据。

展开全文
责任编辑:孙鑫鑫 CN066

热点新闻

史上最差喜宴?丢尽了新人面子

2018-05-22 06:00:00

“逃犯克星” 张学友再显神通

2018-05-22 06:00:00

4人在官员私家车上偷装定位仪 跟踪拍照敲诈钱财

2018-05-21 18:31:39

湖南湘阴男子杀4人后服毒畏罪自杀未成 已被控制

2018-05-21 18:23:18

媒体:女生穿短裙进图书馆对男性属于性骚扰?

2018-05-21 18:22:12

武汉动物园大象少了一根牙 园方:"小夫妻"打架时断落

2018-05-21 18:14:17

女子怀孕后拒绝长途出差 被公司以"旷工"为由开除

2018-05-21 18:11:14

右腿摔伤左腿被开刀 媒体:真的是"低级错误"?

2018-05-21 18:10:13

湖南益阳回应"幼女被性侵不予立案":立即全面复查

2018-05-21 18:06:02

刚装修就出租?不能让租客当“人肉”净化器

2018-05-21 18:05:02

京雨雾绵绵影响周一早高峰 天气阴凉最高温18℃

2018-05-21 17:56:02

“共享”客户信息成装修业潜规则 5名装修人员被诉

2018-05-21 17:54:36

天津:杜绝户口空挂 为炒房、高考而挂靠户籍不行

2018-05-21 17:53:10

小伙疑因查出艾滋病被辞退 经法院调解重回工作岗位

2018-05-21 17:52:01

北京簋街夜间停车现"黑收费"团伙 记者采访遭恐吓

2018-05-21 17:48:39

张艺谋获波士顿大学博士学位 喜笑颜开

2018-05-21 17:43:56

古巴空难确认110人遇难 客机出租方安全记录不佳

2018-05-21 17:42:52

高校强制学生实习:每日工作11小时

2018-05-21 17:40:03

男子突发脑梗后不可思议事发生了

2018-05-21 17:37:56

男子花885万买房却见不到房子

2018-05-21 17:31:14

深圳400名警察突袭知名夜店 抓获涉毒人员25名

2018-05-21 17:21:21

杭州一路面凌晨突然塌陷 3辆车瞬间被吞没

2018-05-21 17:20:14

姑娘发最揪心遗书:我凉透了别救

2018-05-21 17:19:24

女友太生猛 男子舌头险被女友咬断

2018-05-21 16:48:41

他大肠跑到脖子上 几十年竟不知

2018-05-21 16:03:03

苹果没落了 华为比苹果更“正宗”

2018-05-21 12:18:59

董事长失联 上市公司紧急停牌

2018-05-21 12:08:45

刚买完就降价?网购陷阱遭曝光

2018-05-21 11:49:30

男子有特殊癖 富婆主动找上门

2018-05-21 11:47:13

女子被滴滴司机骚扰 聊天记录曝光

2018-05-21 11:43:50

情侣入职同一公司分别恋上他人

2018-05-21 11:31:46

美国夏威夷基拉韦厄火山喷发加剧 1人重伤

2018-05-21 11:20:46

泰国南部边境三府17处发生爆炸 已致3人受伤

2018-05-21 11:02:53

湖南警方回应“幼女被性侵不予立案”:将全面复查

2018-05-21 10:32:09

诈骗手法升级 受害人被“洗脑”后成不法分子帮凶

2018-05-21 10:10:19

网红主播成直播平台争抢对象 引发违约金认定问题

2018-05-21 10:08:25

受暴雨影响 湖北部分地区紧急救援疏散44名被困群众

2018-05-21 09:50:31

通州万达一男子商场四楼跳下身亡 警方初步认定自杀

2018-05-21 09:47:00

印度边境女警大秀逆天摩托车特技

2018-05-21 09:36:54

酒驾男被抓后突袭吻交警 场面辣眼

2018-05-21 09:03:15