大云網(wǎng) 新技術(shù)泛在電力物聯(lián)網(wǎng) 正文

中國工程院院士倪光南：中國必須掌控網(wǎng)絡(luò)空間主動(dòng)權(quán) 成為網(wǎng)絡(luò)強(qiáng)國

2017-11-07 14:32:40 電力頭條APP　點(diǎn)擊量：評論 (0)

2017年11月7日-9日，中國能源互聯(lián)網(wǎng)大會(huì)暨智慧能源產(chǎn)業(yè)博覽會(huì)（SmartEnergyChina簡稱：SEC）國內(nèi)唯一的智慧能源全產(chǎn)業(yè)鏈的年度盛會(huì)在上海新國際博覽中心舉辦！開幕式由國家發(fā)改委應(yīng)對氣候變化戰(zhàn)略研究和國際合作

2017年11月7日-9日，中國能源互聯(lián)網(wǎng)大會(huì)暨智慧能源產(chǎn)業(yè)博覽會(huì)（SmartEnergyChina簡稱：SEC）國內(nèi)唯一的智慧能源全產(chǎn)業(yè)鏈的年度盛會(huì)在上海新國際博覽中心舉辦！

開幕式由國家發(fā)改委應(yīng)對氣候變化戰(zhàn)略研究和國際合作中心主任李俊峰先生主持。中國工程院院士發(fā)表演講，主要內(nèi)容是我國的互聯(lián)網(wǎng)安全狀況和網(wǎng)絡(luò)空間斗爭主動(dòng)權(quán)問題，我國要掌控核心網(wǎng)絡(luò)技術(shù)，成為習(xí)總書記說的網(wǎng)絡(luò)強(qiáng)國。

下面為您帶來中國工程院院士倪光南的發(fā)言：

倪光南：

尊敬的各位領(lǐng)導(dǎo)，來自國外的嘉賓。我今天有形參加中國能源互聯(lián)網(wǎng)大會(huì)，我今天的題目是我國的互聯(lián)網(wǎng)安全狀況和網(wǎng)絡(luò)空間斗爭主動(dòng)權(quán)問題。主要給大家介紹一下中國目前我們有能源互聯(lián)網(wǎng)，我們應(yīng)用在互聯(lián)網(wǎng)安全的情況。

大家知道中國互聯(lián)網(wǎng)人口超過35億，同時(shí)我們現(xiàn)在面連物聯(lián)網(wǎng)，不僅任何人、人和設(shè)備、人和萬物之間都要互聯(lián)。物聯(lián)網(wǎng)的設(shè)備，目前來講聯(lián)網(wǎng)的已經(jīng)超過了人口總數(shù)，而且按照這個(gè)趨勢來講，今后物聯(lián)網(wǎng)的數(shù)目遠(yuǎn)遠(yuǎn)超過人的數(shù)目。這是關(guān)于網(wǎng)絡(luò)安全的指數(shù)，ITU對全球網(wǎng)絡(luò)安全有一個(gè)評估，我們看按照他的指標(biāo)體系，中國目前是第32位，這也是一家體系，每個(gè)國家節(jié)奏不同，網(wǎng)信辦就不一定這樣，同一個(gè)指標(biāo)體系，中國的網(wǎng)絡(luò)安全還在發(fā)展。

世界各國已經(jīng)把網(wǎng)絡(luò)安全作為重大的戰(zhàn)略問題。這里講到38%的國家發(fā)布了W網(wǎng)絡(luò)安全戰(zhàn)略。中國從十八大開始高度重視網(wǎng)絡(luò)安全，習(xí)總書記對網(wǎng)絡(luò)安全有一系列的講話和指示。

下面講具體發(fā)生的事件，一個(gè)是徐玉玉事件，第二個(gè)是物聯(lián)網(wǎng)相關(guān)的僵尸網(wǎng)絡(luò)問題。然后是勒索病毒的問題。

徐玉玉是遭遇信息詐騙不幸離世。也是的很多人反省，有關(guān)部門相應(yīng)的做了一些措施，我們發(fā)現(xiàn)目前公共部門是網(wǎng)絡(luò)攻擊的重點(diǎn)，包括金融醫(yī)療教育的行業(yè)，我們希望響應(yīng)政府部門要予以重視和攻擊產(chǎn)生的后果。這里也講到了公共機(jī)構(gòu)安全漏洞時(shí)間，我們從整個(gè)態(tài)勢來看，還是有增加。我們必須提高相應(yīng)的措施，防止攻擊。

我剛剛舉到的徐玉玉時(shí)間，引起了我們一系列網(wǎng)絡(luò)安全改革。對象應(yīng)有關(guān)部門同事進(jìn)行整治，以及非法買賣銀行卡信息。公安部對整治網(wǎng)絡(luò)侵犯個(gè)人隱私的問題，網(wǎng)信辦也有相關(guān)的整治。這些問題我們希望盡可能出現(xiàn)類似的事件。

第二個(gè)問題是隨著物聯(lián)網(wǎng)健康能源的發(fā)展，我們更多的利用傳感器控制部件，物聯(lián)網(wǎng)將會(huì)得到廣泛的利用，這里就是Mirai僵尸網(wǎng)絡(luò)的問題，美國2016年發(fā)現(xiàn)的問題，美國互聯(lián)網(wǎng)達(dá)到了很大規(guī)模的癱瘓。同時(shí)發(fā)起了DDoS攻擊，他整個(gè)的供給次數(shù)達(dá)到了1萬次以上。這也是關(guān)于DDoS供給服務(wù)產(chǎn)生的后果，我們看到非常嚴(yán)重的情況，我就不詳細(xì)講了。

這是中國的漏洞庫，收集的關(guān)于物聯(lián)網(wǎng)IoT的漏洞，我們可以看到漏洞的數(shù)量，和相應(yīng)影響的范圍。

目前來講，我們國內(nèi)所發(fā)現(xiàn)的僵尸木馬控制的IP地址的數(shù)目，可以看到這些有160萬臺(tái)主機(jī)受到影響，所以看到很多人不太了解，實(shí)際上這個(gè)情況是非常嚴(yán)重的。如果不是我們加強(qiáng)措施的話，我們知道這個(gè)影響會(huì)很嚴(yán)重。

這個(gè)問題我們引了《麻省理工科技評論》有關(guān)僵尸物聯(lián)網(wǎng)問題的評論，我們知道這是比較難的，我們國家的360公司也在這方面做了很多工作。已經(jīng)可以看到目前每天受到感染的設(shè)備達(dá)到1萬臺(tái)，這個(gè)問題還是要引起很大的重視。

第三個(gè)，大家印象很深，就是勒索病毒的發(fā)現(xiàn)。目前來講5月開始影響了150多個(gè)國家和地區(qū)，10多萬組織和機(jī)構(gòu)，30萬網(wǎng)民，有些部門中國也受到影響，整個(gè)部門癱瘓了，很多人工作受影響。這是勒索病毒目前的情況。

勒索病毒從開始是烏克蘭和俄羅斯開始的，蔓延到全球，目前切爾諾貝利核電站也受到了影響，這可能是冰山之一角，類似的網(wǎng)絡(luò)武器可能數(shù)以千計(jì)，也許我們現(xiàn)在碰到不過是其中很小的一塊，所以大家給我們的警示，不能認(rèn)為這個(gè)病毒過了就沒有了。我們應(yīng)該知道，這個(gè)也許是今后你會(huì)碰到更多更大更嚴(yán)重的問題，必須有一些很和的措施。賽門鐵克統(tǒng)計(jì)達(dá)到了1000美元。

下面我講一個(gè)問題我們比較關(guān)心的，就是網(wǎng)絡(luò)空間斗爭的主動(dòng)權(quán)。你面臨了那么多病毒木馬等等這些攻擊，怎么辦?而且我們覺得面臨這個(gè)問題，我們受害非常嚴(yán)重，網(wǎng)民那么多，受到感染的以十萬計(jì)，這種情況下如何掌握主動(dòng)權(quán)，目前我們有沒有呢?我認(rèn)為我們還沒有主動(dòng)權(quán)。為什么?因?yàn)槲覀儧]有掌握，比如說操作系統(tǒng)我們用的都是人家的操作系統(tǒng)，不是你的。這種操作系統(tǒng)不是自主的，發(fā)達(dá)國家都是自己的，美國的都是自己開發(fā)的，我們中國用外國的，有沒有問題呢?一般的沒問題。但對于網(wǎng)絡(luò)技術(shù)產(chǎn)品有這個(gè)問題。假設(shè)不是你自己控制的，你就沒法發(fā)現(xiàn)漏洞，沒法預(yù)先做準(zhǔn)備，既使是有很高水平的人，也沒法發(fā)揮作用。因?yàn)樗恢涝趺慈シ治雎┒矗l(fā)現(xiàn)漏洞怎么辦呢?智能等到人家供應(yīng)商給你補(bǔ)丁，你自己打不了補(bǔ)丁。這個(gè)補(bǔ)丁有沒有效呢?沒辦評估，只能試一試，好就好，不好也沒有辦法。

所以我們認(rèn)為像這種重要的網(wǎng)絡(luò)核心技術(shù)。要防止在網(wǎng)絡(luò)空間掌握主動(dòng)權(quán)，假如不掌握這些核心技術(shù)你沒有主動(dòng)權(quán)，就是“被動(dòng)捱打”。

舉個(gè)例子，這是去年2016年發(fā)現(xiàn)的漏洞“DirtyCow”，這個(gè)病毒在開源人的系統(tǒng)內(nèi)核里存在的，可能被一個(gè)低特權(quán)的用戶變成用戶。我們很多手機(jī)要root，誰拿到root權(quán)限誰都可以做，他這個(gè)攻擊你他就可以拿到你的root特權(quán)，手機(jī)上的所有信息他用什么都可以。所以這個(gè)漏洞4很重要，這個(gè)漏洞已經(jīng)存在了，2007年之后的所有l(wèi)inux版本都有。這個(gè)為什么難以發(fā)現(xiàn)呢?那么多年沒有看出來什么，很隱蔽。因?yàn)樗墓舳际怯煤戏ǖ模胁僮鳌⒋a都是合法的，按一般的常規(guī)病毒檢測看不出來，這也就是說明，開源軟件那么多人審查都有那么多問題，如果沒有審查過，你根本不知道。我們知道2016年十月份發(fā)布網(wǎng)站沒有他發(fā)布就沒有人知道這個(gè)漏洞。

這個(gè)是網(wǎng)絡(luò)空間協(xié)會(huì)特別召開了一次研討會(huì)，我們覺得這個(gè)事情很重要，給我們中國網(wǎng)絡(luò)空間安全相關(guān)的公司、科技人員很好的例子來學(xué)習(xí)一下。這個(gè)會(huì)上我們請了中國科技大學(xué)楊教授團(tuán)隊(duì)做了介紹，對這個(gè)漏洞進(jìn)行介紹。而且評估了相關(guān)的補(bǔ)丁。我們知道這個(gè)補(bǔ)丁誰打呢?就是linus本人打的。他認(rèn)為這個(gè)不定也可以商榷，楊教授自己也給了一個(gè)方案，安全性方面更加強(qiáng)，但可能消耗一定的代價(jià)。這個(gè)代價(jià)也不高，這是我們當(dāng)時(shí)發(fā)布會(huì)。

給我們的啟示，楊教授認(rèn)為現(xiàn)有的操作系統(tǒng)我們不可能避免這種漏洞，這些漏洞我們知道要防治是很難的。因?yàn)樗械牟僮鞫际呛戏ǖ模话愕牟《境绦驔]有辦法，只能打補(bǔ)丁，不打補(bǔ)丁沒法檢測出來。所以他們認(rèn)為應(yīng)該吸取教訓(xùn)，發(fā)展一種安全的操作系統(tǒng)，可以免除一些攻擊。當(dāng)然我這個(gè)攻擊是黑客攻擊，不是你把電源拔掉，把計(jì)算機(jī)拔了都不算，就是正常的黑客攻擊可以防止，這樣需要對操作系統(tǒng)CPU都要做工作，我們相信這個(gè)是有可能的。也是我們通過DirtyCow這個(gè)漏洞，通過對這個(gè)漏洞的分析，認(rèn)為有可能我們需要發(fā)展更新操作系統(tǒng)。

我這里關(guān)于操作系統(tǒng)得出的經(jīng)驗(yàn)，我們有兩種方法來做，一個(gè)是用國外進(jìn)口的，比較簡單。有人國合資公司，把進(jìn)口包裝做成國產(chǎn)的。第二種就是用國產(chǎn)的，自己開發(fā)，在開源技術(shù)上整個(gè)自己開發(fā)。應(yīng)該用哪一種?第一種，能不能事先發(fā)現(xiàn)漏洞?用自己的才能事先發(fā)現(xiàn)漏洞，用別人的沒法分析。預(yù)先防范?也不能防范。合資公司能不能自己分析漏洞是什么原因?人家沒有這個(gè)條件讓你分析。只有用自己的系統(tǒng)才知道這個(gè)漏洞在那。還有能不能打補(bǔ)丁?打不了，我們用windows的打不了，等著人家發(fā)補(bǔ)丁，人家不給你你也沒辦法。

這個(gè)不定是不是有效?不知道。試一試碰碰運(yùn)氣，如果不好你也沒辦法。最后，我覺得很重要的，現(xiàn)在有兩派，有的說用國外的簡單，拿來就能用，合資公司包裝一下就是自己的了，另外一種不行。再難還是自己開發(fā)，為什么?你要有主動(dòng)權(quán)，被動(dòng)捱打沒有辦法，聽天由命。

我們最后的結(jié)論，如果說網(wǎng)絡(luò)強(qiáng)國，我們現(xiàn)在是網(wǎng)絡(luò)大國，按習(xí)總書記說要成為網(wǎng)絡(luò)強(qiáng)國。這種操作系統(tǒng)核心技術(shù)不掌握，在網(wǎng)絡(luò)空間就束手無措，被動(dòng)捱打。可能成千個(gè)網(wǎng)絡(luò)攻擊還在后面。

下面我說一下，從電子簽名法開始，我們國家在網(wǎng)絡(luò)安全方面不斷的指定法律，有網(wǎng)絡(luò)安全法、網(wǎng)信辦網(wǎng)絡(luò)產(chǎn)品和服務(wù)的安全審查法。我們還有信息安全保護(hù)制度，有五級保護(hù)。很多單位都需要通過的等級保護(hù)。

此外，最近我們有方面也要推行多維度的測評，什么意義呢?網(wǎng)絡(luò)安全是非常重安全，習(xí)總書記十九大說要統(tǒng)籌，我們知道傳統(tǒng)安全和非傳統(tǒng)安全，非傳統(tǒng)安全就是網(wǎng)絡(luò)安全，需要有比如說除了安全性以外還有可控性。我們將來智慧能源，你的設(shè)備傳感器，人家可能控制你。我們知道伊朗的核設(shè)施壞了，就是因?yàn)橹锌卦O(shè)置被人控制了。我們提出了多緯度測評的要求，我們希望今后能夠推行。比如說我們可以從知識產(chǎn)權(quán)技術(shù)能力發(fā)展的可能性、供應(yīng)鏈安全等等，評估一個(gè)產(chǎn)品服務(wù)的自主可控性如何，然后再評估我們傳統(tǒng)的安全性。

我看時(shí)間到了，提供這些意見，供大家參考，謝謝大家!

（發(fā)言為現(xiàn)場速記整理，未經(jīng)本人審核）

責(zé)任編輯：lixin

免責(zé)聲明：本文僅代表作者個(gè)人觀點(diǎn)，與本站無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾，請讀者僅作參考，并請自行核實(shí)相關(guān)內(nèi)容。

我要收藏

個(gè)贊