APP下载

网络强国的前提是掌握网络空间斗争主动权

2017-10-13倪光南院士

网信军民融合 2017年7期
关键词:主动权补丁开源

◎倪光南院士

从网络安全三件事看我国网络安全现状

目前从规模上看中国已是世界的网络大国,我们的联网人数占全世界五分之一以上。这是我们在网络空间中的地位。特别要提到现在物联网的发展,物联网的联网设备数已经超过了人口数量,因为联网的结果,使得人和人、人和万物互联,今后联在网络上的人和设备的数量将会越来越大,达到几百亿甚至更多。

ITU(国际电信联盟)有一个指标,即网络安全指数。用这个指标来进行比对,可以看到中国在发展。2017年在ITU的指标体系中,中国已经处于第32位。

由于网络安全的重要性,全世界已经有38%的国家发布了网络安全战略,有些国家还没有跟上,但这是大势所趋。列举最近网络安全的三件大事,不一定全面,但我觉得比较重要,有不同特点。第一件是徐玉玉事件,主要反映一个民众安全意识的问题,保护隐私的问题;第二件是关于物联网相关病毒的问题,Mirai开启僵尸物联网时代;第三件是勒索病毒的问题,“永恒之蓝”勒索病毒全球爆发。

第一件是徐玉玉事件。一个考取大学的女孩子由于隐私泄漏造成了悲剧,说明隐私信息的重要性。这个问题的严重性也唤起了全民对于网络安全意识的重视。我们可以看到,目前公共部门是黑客攻击的重点,包括政府、金融、医疗等等。各种攻击手段主要包括网站篡改、植入后门、假冒、仿冒等。在公共部门领域可以看到网络攻击态势的发展,总体来看是有增无减,所以网络安全是一个长期的事情。徐玉玉事件引起我们的反思,有关部门也做了针对性地改革,比如说查处非法买卖银行卡信息,公安部进行专项整治,以及最高法、最高检等的整治行动,说明这个问题引起了全社会的重视。

第二个就是Mirai病毒,在其攻击下形成了物联网僵尸网络,由此在2016年发生美国互联网瘫痪事件。从中国CNVD(国家信息安全漏洞共享平台)的数据可看到这类攻击是对网络安全的重大挑战。麻省理工科技评论认为,这些网络攻击是很难阻止的。中国的网络安全公司奇虎360也收集了有关数据,显示出问题的严重性。

第三个是勒索病毒对全球攻击的影响,它波及150多个国家地区、10多万组织机构,30多万网民,影响规模很大。触发点是从乌克兰和俄罗斯爆发,迅速蔓延到全球。

这些情况使我们注意到了一个问题,就是网络空间斗争的主动权问题。由于目前我们所使用的操作系统这些核心技术,往往不是我们自己研发的,所以我们会处于被动的情况。这是为什么要提出争取主动权的问题。因为如果事先发现漏洞,就可以做好准备,但以目前的情况,我们往往不能事先发现。像勒索病毒,往往是在发现了攻击之后才知道有这个漏洞。而且发现了漏洞,也不是你能修补的,你没法自行打补丁,得等待别人给你补丁。这个补丁是否有效,是什么机理,也说不清楚。只能“听天由命”。这使得我们在网络攻击中处于被动挨打地位,丧失了主动权。

通过核心技术自主可控掌握网络空间斗争主动权

前不久我们对开源Linux操作系统中新发现的脏牛漏洞(“DirtyCow”)进行了分析,这是很有代表性的。它是由Linux系统中存在的一个“竞争”所导致的漏洞,如被黑客利用,可以轻易地用一个小程序就获得安卓手机的root权限。这个漏洞,在2007年以后的各个版本Linux中应该都有了,但直到去年10月份才发现。有人说开源软件在全世界有几百万只眼睛都在看,但是没有发现,就说明这个病毒隐藏得很深,很难被发现。它的攻击都是通过正常的功能,所以用常规病毒检测方法是无效的。

鉴于此种情况,今年4月,中国网络空间安全协会召开了研讨会,对这个漏洞进行研讨。中国科学院大学杨力祥教授领导的团队介绍了他们的补丁方案,以及对现有补丁的评估等。为什么要操作系统专家也来研究网络安全?因为像这种漏洞的发现、分析及打补丁,并不是一般人能够做的,实际上这个补丁是Linux的创始者Linus Torvalds本人打的,可见难度是很高的。

杨教授团队对Linux操作系统的研究很深,有能力进行评估,他们认为,这个补丁是能解决问题的,但并没有把“竞争”完全消除。他们提出了一个变通方案,可以将“竞争”完全消除,但要多消耗一些时间。这里我们且不说究竟哪一个补丁更好,而是强调,正因为Linux是开源软件,我们的专家能够自行研究,自行分析漏洞机理,自打补丁和评估补丁。如果是Windows这种私有软件,源代码不开放或不充分开放,就根本做不到。

通过这个例子希望使大家知道,保障网络安全需要信息安全专家和操作系统专家实现跨界融合,联手解决问题。

上面的实例可以说明,我们要基于开源软件发展自己的操作系统,或者完全通过创新来搞操作系统。另一种情况是:采用进口操作系统或者将进口操作系统“穿马甲”冒充自主操作系统,在这两种情况下,对下面的七个问题的答案是截然相反的,这就是:是否能事先发现漏洞?是否能独立分析漏洞的机理?是否能自打补丁?是否能评估补丁效果?是否有网络空间斗争主动权?是否能免除后门?是否能建设网络强国?总之,对这七个问题,第一种情况的答案都是“是”,而后一种情况的答案都是“否”。

最后,归结到我们的目标,按照习总书记的要求,我们要建设网络强国。可是如果我们用别人的操作系统,或者用别人的操作系统改头换面,能不能变成网络强国呢?不可能。所以从我们的目标来讲,未来要达到网络强国的要求,就必须将核心技术,特别是操作系统这类核心技术,用自己研发的成果,或者基于开源的。

我国已经制定了网络安全法、网络安全审查办法等一系列的法规。十九大报告提出,要统筹传统安全和非传统安全,网络安全属于非传统安全,其中就包含可控性。目前有关方面正在推行“多维度测评”,包括自主可控评估,就是针对可控性的评估方案,这样做可以更好地保障网络安全。

按照最近中国信息安全测评中心制订的“中央处理器自主可控评估方案”和“操作系统自主可控评估方案”,这种评估是从“知识产权”、“技术能力”、“供应链安全”、“发展主动权”和“国产资质”等方面,对产品的自主可控进行全面的评估,能如实地反映中央处理器和操作系统的自主可控程度,可作为推进国产自主可控替代计划中,选择中央处理器及操作系统“自主可控”评估的依据,并视需求情况,将该方案扩展完善,可形成其他软硬件产品的自主可控评估依据。

猜你喜欢

主动权补丁开源
坚决落实耕地保护“军令状” 牢牢掌握粮食安全主动权
五毛钱能买多少头牛
健胃补丁
牢牢掌握国家粮食安全的主动权——纪念改革开放40周年
绣朵花儿当补丁
补丁奶奶
大家说:开源、人工智能及创新
开源中国开源世界高峰论坛圆桌会议纵论开源与互联网+创新2.0
精细管理才有拆违主动权
开源计算机辅助翻译工具研究