中國(guó)工程院院士倪光南：中國(guó)必須掌控網(wǎng)絡(luò)空間主動(dòng)權(quán) 成為網(wǎng)絡(luò)強(qiáng)國(guó)

2017-11-07 14:32:40 電力頭條APP　點(diǎn)擊量：評(píng)論 (0)

2017年11月7日-9日，中國(guó)能源互聯(lián)網(wǎng)大會(huì)暨智慧能源產(chǎn)業(yè)博覽會(huì)（SmartEnergyChina簡(jiǎn)稱：SEC）國(guó)內(nèi)唯一的智慧能源全產(chǎn)業(yè)鏈的年度盛會(huì)在上海新國(guó)際博覽中心舉辦！開(kāi)幕式由國(guó)家發(fā)改委應(yīng)對(duì)氣候變化戰(zhàn)略研究和國(guó)際合作

開(kāi)幕式由國(guó)家發(fā)改委應(yīng)對(duì)氣候變化戰(zhàn)略研究和國(guó)際合作中心主任李俊峰先生主持。中國(guó)工程院院士發(fā)表演講，主要內(nèi)容是我國(guó)的互聯(lián)網(wǎng)安全狀況和網(wǎng)絡(luò)空間斗爭(zhēng)主動(dòng)權(quán)問(wèn)題，我國(guó)要掌控核心網(wǎng)絡(luò)技術(shù)，成為習(xí)總書記說(shuō)的網(wǎng)絡(luò)強(qiáng)國(guó)。

下面為您帶來(lái)中國(guó)工程院院士倪光南的發(fā)言：

倪光南：

尊敬的各位領(lǐng)導(dǎo)，來(lái)自國(guó)外的嘉賓。我今天有形參加中國(guó)能源互聯(lián)網(wǎng)大會(huì)，我今天的題目是我國(guó)的互聯(lián)網(wǎng)安全狀況和網(wǎng)絡(luò)空間斗爭(zhēng)主動(dòng)權(quán)問(wèn)題。主要給大家介紹一下中國(guó)目前我們有能源互聯(lián)網(wǎng)，我們應(yīng)用在互聯(lián)網(wǎng)安全的情況。

大家知道中國(guó)互聯(lián)網(wǎng)人口超過(guò)35億，同時(shí)我們現(xiàn)在面連物聯(lián)網(wǎng)，不僅任何人、人和設(shè)備、人和萬(wàn)物之間都要互聯(lián)。物聯(lián)網(wǎng)的設(shè)備，目前來(lái)講聯(lián)網(wǎng)的已經(jīng)超過(guò)了人口總數(shù)，而且按照這個(gè)趨勢(shì)來(lái)講，今后物聯(lián)網(wǎng)的數(shù)目遠(yuǎn)遠(yuǎn)超過(guò)人的數(shù)目。這是關(guān)于網(wǎng)絡(luò)安全的指數(shù)，ITU對(duì)全球網(wǎng)絡(luò)安全有一個(gè)評(píng)估，我們看按照他的指標(biāo)體系，中國(guó)目前是第32位，這也是一家體系，每個(gè)國(guó)家節(jié)奏不同，網(wǎng)信辦就不一定這樣，同一個(gè)指標(biāo)體系，中國(guó)的網(wǎng)絡(luò)安全還在發(fā)展。

世界各國(guó)已經(jīng)把網(wǎng)絡(luò)安全作為重大的戰(zhàn)略問(wèn)題。這里講到38%的國(guó)家發(fā)布了W網(wǎng)絡(luò)安全戰(zhàn)略。中國(guó)從十八大開(kāi)始高度重視網(wǎng)絡(luò)安全，習(xí)總書記對(duì)網(wǎng)絡(luò)安全有一系列的講話和指示。

下面講具體發(fā)生的事件，一個(gè)是徐玉玉事件，第二個(gè)是物聯(lián)網(wǎng)相關(guān)的僵尸網(wǎng)絡(luò)問(wèn)題。然后是勒索病毒的問(wèn)題。

徐玉玉是遭遇信息詐騙不幸離世。也是的很多人反省，有關(guān)部門相應(yīng)的做了一些措施，我們發(fā)現(xiàn)目前公共部門是網(wǎng)絡(luò)攻擊的重點(diǎn)，包括金融醫(yī)療教育的行業(yè)，我們希望響應(yīng)政府部門要予以重視和攻擊產(chǎn)生的后果。這里也講到了公共機(jī)構(gòu)安全漏洞時(shí)間，我們從整個(gè)態(tài)勢(shì)來(lái)看，還是有增加。我們必須提高相應(yīng)的措施，防止攻擊。

我剛剛舉到的徐玉玉時(shí)間，引起了我們一系列網(wǎng)絡(luò)安全改革。對(duì)象應(yīng)有關(guān)部門同事進(jìn)行整治，以及非法買賣銀行卡信息。公安部對(duì)整治網(wǎng)絡(luò)侵犯?jìng)€(gè)人隱私的問(wèn)題，網(wǎng)信辦也有相關(guān)的整治。這些問(wèn)題我們希望盡可能出現(xiàn)類似的事件。

第二個(gè)問(wèn)題是隨著物聯(lián)網(wǎng)健康能源的發(fā)展，我們更多的利用傳感器控制部件，物聯(lián)網(wǎng)將會(huì)得到廣泛的利用，這里就是Mirai僵尸網(wǎng)絡(luò)的問(wèn)題，美國(guó)2016年發(fā)現(xiàn)的問(wèn)題，美國(guó)互聯(lián)網(wǎng)達(dá)到了很大規(guī)模的癱瘓。同時(shí)發(fā)起了DDoS攻擊，他整個(gè)的供給次數(shù)達(dá)到了1萬(wàn)次以上。這也是關(guān)于DDoS供給服務(wù)產(chǎn)生的后果，我們看到非常嚴(yán)重的情況，我就不詳細(xì)講了。

這是中國(guó)的漏洞庫(kù)，收集的關(guān)于物聯(lián)網(wǎng)IoT的漏洞，我們可以看到漏洞的數(shù)量，和相應(yīng)影響的范圍。

目前來(lái)講，我們國(guó)內(nèi)所發(fā)現(xiàn)的僵尸木馬控制的IP地址的數(shù)目，可以看到這些有160萬(wàn)臺(tái)主機(jī)受到影響，所以看到很多人不太了解，實(shí)際上這個(gè)情況是非常嚴(yán)重的。如果不是我們加強(qiáng)措施的話，我們知道這個(gè)影響會(huì)很嚴(yán)重。

這個(gè)問(wèn)題我們引了《麻省理工科技評(píng)論》有關(guān)僵尸物聯(lián)網(wǎng)問(wèn)題的評(píng)論，我們知道這是比較難的，我們國(guó)家的360公司也在這方面做了很多工作。已經(jīng)可以看到目前每天受到感染的設(shè)備達(dá)到1萬(wàn)臺(tái)，這個(gè)問(wèn)題還是要引起很大的重視。

第三個(gè)，大家印象很深，就是勒索病毒的發(fā)現(xiàn)。目前來(lái)講5月開(kāi)始影響了150多個(gè)國(guó)家和地區(qū)，10多萬(wàn)組織和機(jī)構(gòu)，30萬(wàn)網(wǎng)民，有些部門中國(guó)也受到影響，整個(gè)部門癱瘓了，很多人工作受影響。這是勒索病毒目前的情況。

勒索病毒從開(kāi)始是烏克蘭和俄羅斯開(kāi)始的，蔓延到全球，目前切爾諾貝利核電站也受到了影響，這可能是冰山之一角，類似的網(wǎng)絡(luò)武器可能數(shù)以千計(jì)，也許我們現(xiàn)在碰到不過(guò)是其中很小的一塊，所以大家給我們的警示，不能認(rèn)為這個(gè)病毒過(guò)了就沒(méi)有了。我們應(yīng)該知道，這個(gè)也許是今后你會(huì)碰到更多更大更嚴(yán)重的問(wèn)題，必須有一些很和的措施。賽門鐵克統(tǒng)計(jì)達(dá)到了1000美元。

下面我講一個(gè)問(wèn)題我們比較關(guān)心的，就是網(wǎng)絡(luò)空間斗爭(zhēng)的主動(dòng)權(quán)。你面臨了那么多病毒木馬等等這些攻擊，怎么辦?而且我們覺(jué)得面臨這個(gè)問(wèn)題，我們受害非常嚴(yán)重，網(wǎng)民那么多，受到感染的以十萬(wàn)計(jì)，這種情況下如何掌握主動(dòng)權(quán)，目前我們有沒(méi)有呢?我認(rèn)為我們還沒(méi)有主動(dòng)權(quán)。為什么?因?yàn)槲覀儧](méi)有掌握，比如說(shuō)操作系統(tǒng)我們用的都是人家的操作系統(tǒng)，不是你的。這種操作系統(tǒng)不是自主的，發(fā)達(dá)國(guó)家都是自己的，美國(guó)的都是自己開(kāi)發(fā)的，我們中國(guó)用外國(guó)的，有沒(méi)有問(wèn)題呢?一般的沒(méi)問(wèn)題。但對(duì)于網(wǎng)絡(luò)技術(shù)產(chǎn)品有這個(gè)問(wèn)題。假設(shè)不是你自己控制的，你就沒(méi)法發(fā)現(xiàn)漏洞，沒(méi)法預(yù)先做準(zhǔn)備，既使是有很高水平的人，也沒(méi)法發(fā)揮作用。因?yàn)樗恢涝趺慈シ治雎┒矗l(fā)現(xiàn)漏洞怎么辦呢?智能等到人家供應(yīng)商給你補(bǔ)丁，你自己打不了補(bǔ)丁。這個(gè)補(bǔ)丁有沒(méi)有效呢?沒(méi)辦評(píng)估，只能試一試，好就好，不好也沒(méi)有辦法。

所以我們認(rèn)為像這種重要的網(wǎng)絡(luò)核心技術(shù)。要防止在網(wǎng)絡(luò)空間掌握主動(dòng)權(quán)，假如不掌握這些核心技術(shù)你沒(méi)有主動(dòng)權(quán)，就是“被動(dòng)捱打”。

舉個(gè)例子，這是去年2016年發(fā)現(xiàn)的漏洞“DirtyCow”，這個(gè)病毒在開(kāi)源人的系統(tǒng)內(nèi)核里存在的，可能被一個(gè)低特權(quán)的用戶變成用戶。我們很多手機(jī)要root，誰(shuí)拿到root權(quán)限誰(shuí)都可以做，他這個(gè)攻擊你他就可以拿到你的root特權(quán)，手機(jī)上的所有信息他用什么都可以。所以這個(gè)漏洞4很重要，這個(gè)漏洞已經(jīng)存在了，2007年之后的所有l(wèi)inux版本都有。這個(gè)為什么難以發(fā)現(xiàn)呢?那么多年沒(méi)有看出來(lái)什么，很隱蔽。因?yàn)樗墓舳际怯煤戏ǖ?，所有操作、代碼都是合法的，按一般的常規(guī)病毒檢測(cè)看不出來(lái)，這也就是說(shuō)明，開(kāi)源軟件那么多人審查都有那么多問(wèn)題，如果沒(méi)有審查過(guò)，你根本不知道。我們知道2016年十月份發(fā)布網(wǎng)站沒(méi)有他發(fā)布就沒(méi)有人知道這個(gè)漏洞。

這個(gè)是網(wǎng)絡(luò)空間協(xié)會(huì)特別召開(kāi)了一次研討會(huì)，我們覺(jué)得這個(gè)事情很重要，給我們中國(guó)網(wǎng)絡(luò)空間安全相關(guān)的公司、科技人員很好的例子來(lái)學(xué)習(xí)一下。這個(gè)會(huì)上我們請(qǐng)了中國(guó)科技大學(xué)楊教授團(tuán)隊(duì)做了介紹，對(duì)這個(gè)漏洞進(jìn)行介紹。而且評(píng)估了相關(guān)的補(bǔ)丁。我們知道這個(gè)補(bǔ)丁誰(shuí)打呢?就是linus本人打的。他認(rèn)為這個(gè)不定也可以商榷，楊教授自己也給了一個(gè)方案，安全性方面更加強(qiáng)，但可能消耗一定的代價(jià)。這個(gè)代價(jià)也不高，這是我們當(dāng)時(shí)發(fā)布會(huì)。

給我們的啟示，楊教授認(rèn)為現(xiàn)有的操作系統(tǒng)我們不可能避免這種漏洞，這些漏洞我們知道要防治是很難的。因?yàn)樗械牟僮鞫际呛戏ǖ?，一般的病毒程序沒(méi)有辦法，只能打補(bǔ)丁，不打補(bǔ)丁沒(méi)法檢測(cè)出來(lái)。所以他們認(rèn)為應(yīng)該吸取教訓(xùn)，發(fā)展一種安全的操作系統(tǒng)，可以免除一些攻擊。當(dāng)然我這個(gè)攻擊是黑客攻擊，不是你把電源拔掉，把計(jì)算機(jī)拔了都不算，就是正常的黑客攻擊可以防止，這樣需要對(duì)操作系統(tǒng)CPU都要做工作，我們相信這個(gè)是有可能的。也是我們通過(guò)DirtyCow這個(gè)漏洞，通過(guò)對(duì)這個(gè)漏洞的分析，認(rèn)為有可能我們需要發(fā)展更新操作系統(tǒng)。

我這里關(guān)于操作系統(tǒng)得出的經(jīng)驗(yàn)，我們有兩種方法來(lái)做，一個(gè)是用國(guó)外進(jìn)口的，比較簡(jiǎn)單。有人國(guó)合資公司，把進(jìn)口包裝做成國(guó)產(chǎn)的。第二種就是用國(guó)產(chǎn)的，自己開(kāi)發(fā)，在開(kāi)源技術(shù)上整個(gè)自己開(kāi)發(fā)。應(yīng)該用哪一種?第一種，能不能事先發(fā)現(xiàn)漏洞?用自己的才能事先發(fā)現(xiàn)漏洞，用別人的沒(méi)法分析。預(yù)先防范?也不能防范。合資公司能不能自己分析漏洞是什么原因?人家沒(méi)有這個(gè)條件讓你分析。只有用自己的系統(tǒng)才知道這個(gè)漏洞在那。還有能不能打補(bǔ)丁?打不了，我們用windows的打不了，等著人家發(fā)補(bǔ)丁，人家不給你你也沒(méi)辦法。

這個(gè)不定是不是有效?不知道。試一試碰碰運(yùn)氣，如果不好你也沒(méi)辦法。最后，我覺(jué)得很重要的，現(xiàn)在有兩派，有的說(shuō)用國(guó)外的簡(jiǎn)單，拿來(lái)就能用，合資公司包裝一下就是自己的了，另外一種不行。再難還是自己開(kāi)發(fā)，為什么?你要有主動(dòng)權(quán)，被動(dòng)捱打沒(méi)有辦法，聽(tīng)天由命。

我們最后的結(jié)論，如果說(shuō)網(wǎng)絡(luò)強(qiáng)國(guó)，我們現(xiàn)在是網(wǎng)絡(luò)大國(guó)，按習(xí)總書記說(shuō)要成為網(wǎng)絡(luò)強(qiáng)國(guó)。這種操作系統(tǒng)核心技術(shù)不掌握，在網(wǎng)絡(luò)空間就束手無(wú)措，被動(dòng)捱打?？赡艹汕€(gè)網(wǎng)絡(luò)攻擊還在后面。

下面我說(shuō)一下，從電子簽名法開(kāi)始，我們國(guó)家在網(wǎng)絡(luò)安全方面不斷的指定法律，有網(wǎng)絡(luò)安全法、網(wǎng)信辦網(wǎng)絡(luò)產(chǎn)品和服務(wù)的安全審查法。我們還有信息安全保護(hù)制度，有五級(jí)保護(hù)。很多單位都需要通過(guò)的等級(jí)保護(hù)。

此外，最近我們有方面也要推行多維度的測(cè)評(píng)，什么意義呢?網(wǎng)絡(luò)安全是非常重安全，習(xí)總書記十九大說(shuō)要統(tǒng)籌，我們知道傳統(tǒng)安全和非傳統(tǒng)安全，非傳統(tǒng)安全就是網(wǎng)絡(luò)安全，需要有比如說(shuō)除了安全性以外還有可控性。我們將來(lái)智慧能源，你的設(shè)備傳感器，人家可能控制你。我們知道伊朗的核設(shè)施壞了，就是因?yàn)橹锌卦O(shè)置被人控制了。我們提出了多緯度測(cè)評(píng)的要求，我們希望今后能夠推行。比如說(shuō)我們可以從知識(shí)產(chǎn)權(quán)技術(shù)能力發(fā)展的可能性、供應(yīng)鏈安全等等，評(píng)估一個(gè)產(chǎn)品服務(wù)的自主可控性如何，然后再評(píng)估我們傳統(tǒng)的安全性。

我看時(shí)間到了，提供這些意見(jiàn)，供大家參考，謝謝大家!

（發(fā)言為現(xiàn)場(chǎng)速記整理，未經(jīng)本人審核）

免責(zé)聲明：本文僅代表作者個(gè)人觀點(diǎn)，與本站無(wú)關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾，請(qǐng)讀者僅作參考，并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。

我要收藏

個(gè)贊