论文部分内容阅读
“跨越长城,走向世界。”1987年9月14日,中国发出第一封国际互联网电子邮件,由此揭开中国人使用互联网的序幕。但直到1994年的4月20日,中国通过一条64K的国际专线接入国际互联网,中国互联网时代才正式开始。20年过去了,中国互联网的发展速度让世界瞩目。截至2013年12月,中国网民规模达6.18亿人,互联网普及率为45.8%,中国成为世界上网民最多的国家。
互联网上有一句名言:我们不预测未来,我们创造未来!中国的互联网如何发展?又将面临怎样的未来?带着这些问题,我们采访了中国工程院原副院长、中国互联网协会理事长、光纤传送网与宽带信息网专家邬贺铨院士。
本刊记者:习近平同志在今年2月27日主持召开中央网络安全和信息化领导小组第一次会议上指出“没有网络安全就没有国家安全”。近年来不断发生的“维基解密”、“棱镜”事件”以及最近的“小米用户信息泄露”,无一不在佐证网络安全的重要性。您认为如何才能确保网络安全?
邬贺铨院士:互联网离不开ICT(Information Communication Technology)设备,这些设备都是用硬件、软件组成的,软件在设计过程中,肯定会有一些不完善的地方,也会有意或者无意的留下一些漏洞,这些不完善的地方和遗留的漏洞就有可能被利用,因此,就产生网络安全问题。尽管这些漏洞会不断地发现,不断地修补,但是一些补丁也带来新的漏洞。随着网络应用越来越广泛,软件、芯片越来越复杂,可以被木马利用的缺陷就会越来越多,再加上网络的应用普及率很高,一旦被木马利用,影响面就会很大,有一种叫APT的病毒,可以长期潜伏不断渗透,危害更大。
ICT产品是网络安全问题的载体,但广义的网络安全范畴更宽,可称为Cyber(赛博)空间安全或简称为Cyber安全。Cyber安全包含三个层次,即通信物理设施的安全、信息内容的安全和CPS(Cyber-Physical System,赛博-物理系统)的安全。CPS是一种计算单元与物理对象通过通信网络高度集成的复杂系统,它伴随信息化与工业化的深度融合以及基于大数据分析的智能化决策而出现,CPS通过将ICT产品嵌入到各类基础设施和社会运行系统中而实现对物理实体的控制。赛博安全深入到我们经济社会的方方面面,所带来的危害程度也会很显著,成为了非传统安全的一个很重要的部分。一些国家和机构有意在ICT产品中制造漏洞或预留后门,有组织的利用漏洞和发动攻击,ICT产品的安全问题成为冷战的武器,随着斯诺登事件的曝光,引起了全社会更大的关注和重视。
赛博安全的基础是ICT产品的安全,只有做到对所用的ICT产品能够自主可控才能对安全问题心中有数。安全问题涉及很多方面:第一,安全问题是自主创新的决心与信心问题。现在的PC机CPU芯片大多都是英特尔公司的,操作系统是微软公司的;智能手机里大部分操作系统不是安卓就是苹果公司的,很多芯片还依赖美国高通公司,涉及到这些通信产品里的核心芯片或操作系统,几乎都不是我们国家所能主控的。虽然现在我国网上通信设备以国产为主,但前不久暴露出来的美国入侵华为服务器事件,说明我们国产的网络设备也有很多漏洞可能被利用,原因可能是国产设备中还不能摆脱使用进口芯片。不能说国外的芯片都有后门,问题是我们对哪些芯片是可信的心中无数,芯片层次的安全还不能完全为我们所主控,这是我们的一个软肋。这不是短时间可以解决的,但是必须下决心,在这个核心问题上加大自主创新的力度,务必要有自己的“中国芯”。计算机操作系统也是我们的心病。据统计在我国用的较多的PC操作系统是微软的WIN XP,目前微软已经停止对它的支持了(微软希望借此将用户拉到WIN7和WIN8操作系统)。实际上XP有漏洞,WIN7和WIN8也同样有,安全性未必更好。微软停止提供对XP的支持服务,这是国产安全软件特别是国产操作系统的机会,对国产操作系统应该有信心,现在已经能够满足基本应用的需要。当然我们还要看到差距,国产设备和操作系统在性能、指标和可靠性等方面跟国外先进产品相比还会有些不足,但是永远不用,就永远不会完善。微软的操作系统(Windows系列)就是靠全世界的用户使用帮助完善的。在这一方面不仅要加强科技创新,在市场的应用方面,要为国产产品的完善提供机会,尤其是党政军等敏感部门要带头优先使用国产的ICT设备。
第二,要重视移动互联网的安全挑战。智能终端的移动性、个性化和社交化等加快了移动互联网的普及,智能终端的小型化和电池能力的限制使得移动智能终端无法像PC那样内置功能强大的防火墙,与PC相比移动智能终端的安全防御能力薄弱,而包含的个人隐私更多,例如个人位置信息和移动支付的账号等,一旦被攻击被盗窃,影响和损失更大。使用移动互联网更要提高警惕,眼花缭乱的移动互联网应用隐含了不少病毒和钓鱼软件,不能迷信经过安卓和苹果公司平台认证过的移动应用就是绝对安全的,不要以为加密了就安全了。前不久爆出的“心脏出血”病毒其目标就是盗窃加密后的账号密码。据报道,受美国标准委员会NIST批准,美国家安全局(NSA)和加密公司RSA达成了价值超过1千万美元的协议,在移动终端所用的加密技术中放置“后门”,以使NSA通过随机数生成算法Bsafe的后门程序破解各种加密数据。
第三,安全问题也是管理问题。我们在使用国外ICT产品时,要更多地注意不给外部入侵提供机会。很多网络设备为了远程维护留有一些远端接口,提供设备的厂家可以从远程接入查看设备运行状况和在线诊断与维护,这也就意味着他们具有远程操控设备或获取设备内部信息的能力。对一些敏感部门所用设备的远程登录接口必须严格管理。还有一个值得注意的问题与内网的使用有关,按道理内网与外网是物理隔离的,但是如果我们的管理制度不严,有些人把U盘在内网和外网间交叉混用,就可能会把木马和病毒感染到内网,甚至有可能把一些涉密的信息带出去。我们提倡使用国产ICT产品,但自主开发不等于自主可控,没有人为有意加入的后门不等于没有漏洞,对国产的设备同样要经过严格的第三方检测与安全认证。 第四,安全问题还是人才问题。赛博安全技术人才既需要懂得行业的应用又需要懂得信息技术,安全技术总是魔高一尺道高一丈,每天都是新的,技术永无止境,而且需要知己知彼攻防兼备,只有掌握对手攻击的规律才能更好的防御。安全技术人才不但技术要精,还要忠于职守,监守自盗是最可怕的,因此信息安全管理人员的可靠性尤为关键,加强网络安全人才的培养是长期的战略。
第五,安全问题更是法律问题。我国在网络安全方面的立法是滞后的,目前有一些部门的规定法律层次不高且难免带有部门利益的色彩,甚至上位法规定的权利被下位法剥夺的情况在中国互联网的管理中时有出现。我国需要为信息安全和隐私保护立法,信息安全的监管也需要有法律来界定,明确规定信息监管的适用对象,既要打击网络犯罪,又要保障公民的言论自由。我们的法律在保障赛博安全的同时还要起到促进信息化发展的作用,一方面我们要注意网络安全,另一方面要更大规模推广信息化的应用,不能因为安全问题就束手束脚,在发展中求安全才能安全,错过了发展机会,安全手段也会落后的。
本刊记者:上世纪八九十年代,面对种种不利因素,代表中国本土的四家通信商“巨大中华”(即巨龙通信、大唐电信、中兴通讯、华为技术)自强不息、艰苦创业,最终打破外国电信业的高价垄断。那是中国互联网行业的雏形,您曾经是“巨大中华”的主要领导之一,也是那段辉煌岁月的重要见证者,请您谈谈当时的一些情况。
邬贺铨院士:那个时期,我们国家通信刚从模拟转到数字,国家正处于改革发展对通信需求很旺盛的阶段。曾经一度我们国家打电话是很难的,装电话要预付费,高达5千元。在旺盛的市场需求的情况下,外国的程控交换机纷纷在中国安营扎寨,当时引进了包括美国AT
互联网上有一句名言:我们不预测未来,我们创造未来!中国的互联网如何发展?又将面临怎样的未来?带着这些问题,我们采访了中国工程院原副院长、中国互联网协会理事长、光纤传送网与宽带信息网专家邬贺铨院士。
本刊记者:习近平同志在今年2月27日主持召开中央网络安全和信息化领导小组第一次会议上指出“没有网络安全就没有国家安全”。近年来不断发生的“维基解密”、“棱镜”事件”以及最近的“小米用户信息泄露”,无一不在佐证网络安全的重要性。您认为如何才能确保网络安全?
邬贺铨院士:互联网离不开ICT(Information Communication Technology)设备,这些设备都是用硬件、软件组成的,软件在设计过程中,肯定会有一些不完善的地方,也会有意或者无意的留下一些漏洞,这些不完善的地方和遗留的漏洞就有可能被利用,因此,就产生网络安全问题。尽管这些漏洞会不断地发现,不断地修补,但是一些补丁也带来新的漏洞。随着网络应用越来越广泛,软件、芯片越来越复杂,可以被木马利用的缺陷就会越来越多,再加上网络的应用普及率很高,一旦被木马利用,影响面就会很大,有一种叫APT的病毒,可以长期潜伏不断渗透,危害更大。
ICT产品是网络安全问题的载体,但广义的网络安全范畴更宽,可称为Cyber(赛博)空间安全或简称为Cyber安全。Cyber安全包含三个层次,即通信物理设施的安全、信息内容的安全和CPS(Cyber-Physical System,赛博-物理系统)的安全。CPS是一种计算单元与物理对象通过通信网络高度集成的复杂系统,它伴随信息化与工业化的深度融合以及基于大数据分析的智能化决策而出现,CPS通过将ICT产品嵌入到各类基础设施和社会运行系统中而实现对物理实体的控制。赛博安全深入到我们经济社会的方方面面,所带来的危害程度也会很显著,成为了非传统安全的一个很重要的部分。一些国家和机构有意在ICT产品中制造漏洞或预留后门,有组织的利用漏洞和发动攻击,ICT产品的安全问题成为冷战的武器,随着斯诺登事件的曝光,引起了全社会更大的关注和重视。
赛博安全的基础是ICT产品的安全,只有做到对所用的ICT产品能够自主可控才能对安全问题心中有数。安全问题涉及很多方面:第一,安全问题是自主创新的决心与信心问题。现在的PC机CPU芯片大多都是英特尔公司的,操作系统是微软公司的;智能手机里大部分操作系统不是安卓就是苹果公司的,很多芯片还依赖美国高通公司,涉及到这些通信产品里的核心芯片或操作系统,几乎都不是我们国家所能主控的。虽然现在我国网上通信设备以国产为主,但前不久暴露出来的美国入侵华为服务器事件,说明我们国产的网络设备也有很多漏洞可能被利用,原因可能是国产设备中还不能摆脱使用进口芯片。不能说国外的芯片都有后门,问题是我们对哪些芯片是可信的心中无数,芯片层次的安全还不能完全为我们所主控,这是我们的一个软肋。这不是短时间可以解决的,但是必须下决心,在这个核心问题上加大自主创新的力度,务必要有自己的“中国芯”。计算机操作系统也是我们的心病。据统计在我国用的较多的PC操作系统是微软的WIN XP,目前微软已经停止对它的支持了(微软希望借此将用户拉到WIN7和WIN8操作系统)。实际上XP有漏洞,WIN7和WIN8也同样有,安全性未必更好。微软停止提供对XP的支持服务,这是国产安全软件特别是国产操作系统的机会,对国产操作系统应该有信心,现在已经能够满足基本应用的需要。当然我们还要看到差距,国产设备和操作系统在性能、指标和可靠性等方面跟国外先进产品相比还会有些不足,但是永远不用,就永远不会完善。微软的操作系统(Windows系列)就是靠全世界的用户使用帮助完善的。在这一方面不仅要加强科技创新,在市场的应用方面,要为国产产品的完善提供机会,尤其是党政军等敏感部门要带头优先使用国产的ICT设备。
第二,要重视移动互联网的安全挑战。智能终端的移动性、个性化和社交化等加快了移动互联网的普及,智能终端的小型化和电池能力的限制使得移动智能终端无法像PC那样内置功能强大的防火墙,与PC相比移动智能终端的安全防御能力薄弱,而包含的个人隐私更多,例如个人位置信息和移动支付的账号等,一旦被攻击被盗窃,影响和损失更大。使用移动互联网更要提高警惕,眼花缭乱的移动互联网应用隐含了不少病毒和钓鱼软件,不能迷信经过安卓和苹果公司平台认证过的移动应用就是绝对安全的,不要以为加密了就安全了。前不久爆出的“心脏出血”病毒其目标就是盗窃加密后的账号密码。据报道,受美国标准委员会NIST批准,美国家安全局(NSA)和加密公司RSA达成了价值超过1千万美元的协议,在移动终端所用的加密技术中放置“后门”,以使NSA通过随机数生成算法Bsafe的后门程序破解各种加密数据。
第三,安全问题也是管理问题。我们在使用国外ICT产品时,要更多地注意不给外部入侵提供机会。很多网络设备为了远程维护留有一些远端接口,提供设备的厂家可以从远程接入查看设备运行状况和在线诊断与维护,这也就意味着他们具有远程操控设备或获取设备内部信息的能力。对一些敏感部门所用设备的远程登录接口必须严格管理。还有一个值得注意的问题与内网的使用有关,按道理内网与外网是物理隔离的,但是如果我们的管理制度不严,有些人把U盘在内网和外网间交叉混用,就可能会把木马和病毒感染到内网,甚至有可能把一些涉密的信息带出去。我们提倡使用国产ICT产品,但自主开发不等于自主可控,没有人为有意加入的后门不等于没有漏洞,对国产的设备同样要经过严格的第三方检测与安全认证。 第四,安全问题还是人才问题。赛博安全技术人才既需要懂得行业的应用又需要懂得信息技术,安全技术总是魔高一尺道高一丈,每天都是新的,技术永无止境,而且需要知己知彼攻防兼备,只有掌握对手攻击的规律才能更好的防御。安全技术人才不但技术要精,还要忠于职守,监守自盗是最可怕的,因此信息安全管理人员的可靠性尤为关键,加强网络安全人才的培养是长期的战略。
第五,安全问题更是法律问题。我国在网络安全方面的立法是滞后的,目前有一些部门的规定法律层次不高且难免带有部门利益的色彩,甚至上位法规定的权利被下位法剥夺的情况在中国互联网的管理中时有出现。我国需要为信息安全和隐私保护立法,信息安全的监管也需要有法律来界定,明确规定信息监管的适用对象,既要打击网络犯罪,又要保障公民的言论自由。我们的法律在保障赛博安全的同时还要起到促进信息化发展的作用,一方面我们要注意网络安全,另一方面要更大规模推广信息化的应用,不能因为安全问题就束手束脚,在发展中求安全才能安全,错过了发展机会,安全手段也会落后的。
本刊记者:上世纪八九十年代,面对种种不利因素,代表中国本土的四家通信商“巨大中华”(即巨龙通信、大唐电信、中兴通讯、华为技术)自强不息、艰苦创业,最终打破外国电信业的高价垄断。那是中国互联网行业的雏形,您曾经是“巨大中华”的主要领导之一,也是那段辉煌岁月的重要见证者,请您谈谈当时的一些情况。
邬贺铨院士:那个时期,我们国家通信刚从模拟转到数字,国家正处于改革发展对通信需求很旺盛的阶段。曾经一度我们国家打电话是很难的,装电话要预付费,高达5千元。在旺盛的市场需求的情况下,外国的程控交换机纷纷在中国安营扎寨,当时引进了包括美国AT