從互聯網第一人到信息安全“布道者”

17年前，幾經周折帶領團隊架設了中國第一條互聯網專線，今天，仍在孜孜不倦地進行著網絡安全研究，他就是中國互聯網先驅人物——中國科學院高能物理研究所研究員許榕生。在他的印象中，中國的互聯網經歷了怎樣的建設過程?而網絡信息安全在未來又有著怎樣的發展方向?為了探究這些問題，本報總編輯孫定與許榕生進行了深入交流。

“最后一公里”耗時十八個月沒有互聯網，中國的科研可能就無法快速向前發展，所以必須要開通互聯網，既然要開通，就必須加強管理，保證網絡的安全。

孫定: 今年是《計算機世界》創刊30周年，在整理《計算機世界》老報紙的時候，我看到在1993年的報紙上就刊登了您寫的有關互聯網的文章。

許榕生: 我遇到互聯網，完全是機緣巧合。上世紀80年代，中美之間展開了高能物理研究方面的合作，我當時在中科院高能物理研究所(下稱高能所)。合作開展起來以后，大量科學試驗產生了海量的數據，這些數據需要和美方交換。后來，中美雙方的科學家提出建立一條互聯網的通道，來解決數據傳送的問題。這條專線的國內入口在北京三元橋，由ATT負責中國到美國的線路傳輸，當時是通過衛星來傳輸信號，從三元橋連接到舊金山。進入國內之后，再從三元橋把光纖鋪設到現在萬壽路郵電局。中美雙方各負擔一半的線路租用費用，各出每月2000美元。

在這個過程中我們遇到了重重困難，經過了多個環節的審批才完成。當年我用來申請這條專線的表格，現在已經被電信博物館給借走了，變成了歷史展品。

當光纖鋪設到萬壽路郵電局之后，問題也來了。一方面因為“巴統組織”的緣故，美國商業部還限制路由器出口中國，美國科學家只能到斯坦福加速器中心借了一個給高能所。另一方面，由于光纖不能再往前鋪設了，但是高能所距離萬壽路郵電局還有幾公里的距離。怎么把這條線路引到高能所，大家提出了各種方案，甚至有人建議在地鐵里設一條線路，連接兩處。最后經過多方測試，終于找到了解決方案，通過兩條電話線加上64K的調制解調器，最終在1993年3月將信號傳到了高能所計算中心。這個過程整整花了將近18個月。

就在專線開通之后不久，線路就被美國方面切斷了。原來是美國的某些政府機構擔心中國會從互聯網上獲取美國的情報。好在事先有多位美國科學家聯名向美國政府寫信以及參與合作計劃的美國科學家的電話申明，表明此專線是用于科學研究的。一周后，美國政府才同意有控制地開放這條專線。

線路連通之后，我們去申請了兩組C級IP地址，除了滿足高能所內的幾百臺計算機，還給原來的電子工業部的研究單位，以及周邊一些科研合作單位開通了一些賬戶，讓他們也在第一時間接觸上了互聯網。當時，很多人對互聯網都產生了極大興趣，于是后來，我們就開始舉辦有關互聯網的科普報告，在全國搞了幾百場，起到了普及和啟蒙互聯網知識的作用。

正是在這樣的背景下，當年我給《計算機世界》投了稿，借助你們的宣傳來普及互聯網的知識。

孫定: 那您后來又是怎么步入信息安全領域做研究的呢?

許榕生: 自從專線開通后，我就開始做管理工作。在這個過程中，我們也受到過來自外部的攻擊，而且當年也存在有不良信息的問題，因此有人就對開通網絡持一種否定的態度。當時我的態度是，如果這個網絡不開通，中國的科研就無法向前發展，所以必須要開通。既然要開通，就必須加強管理，保證自己的網絡安全問題，因此我研究的重點也就逐漸轉向了網絡安全。

當時，也有國內的一些軍方機構在進行網絡安全、入侵檢測等方面的研究。這個課題也正在國外快速推進。因為當時網絡發展速度迅速，網民的數量也在急劇增加，各種各樣的補丁都來不急打。如果光是靠軍方的研究，對于中國的互聯網發展來說是不夠的，因此我覺得中國科學院也應該在這方面進行相應的研究，于是我就向當時中國科學院的領導進行了匯報。領導對此很重視，專門立項，研究題目叫“黑客入侵防范軟件研究”，并且劃撥了專門的研究經費。這個課題完成后，還獲得了中科院科技進步項目一等獎。

后來，我們做出國內第一款網絡隱患掃描產品，也就是漏洞掃描軟件，并快速地實現了產品化，轉讓給企業。從此，我對網絡信息安全的研究一發不可收，一直延續到現在。

“計算機取證”是研究焦點

再好的防火墻等設備，都很難阻擋各種信息安全犯罪行為，因此必須有后發制人的、主動防御的策略，那就是“計算機取證技術”。

孫定: 在去年我們報社舉辦的IT兩會上，我們聽到您介紹的防范黑客技術，其中提到了計算機取證技術。計算機取證技術真的能非常有效地防范黑客攻擊嗎?

許榕生: 防范互聯網“黑客”攻擊是一個世界性難題。 防范“黑客”攻擊應當主動出擊，即設法查清它的來龍去脈，并有針對性地設置防范措施，而不是被動地依靠“防火墻”去“堵”。可以想象，內部出現了問題，再多的“防火墻”也無濟于事。計算機取證技術可以通過對流入信息的識別、保存、分析、提交等程序，對被懷疑的信息加以分析、判斷，進而制定有效的應對措施。

而且，隨著信息技術的不斷發展，計算機越來越多地參與到人們的工作與生活中，與計算機相關的法庭案例(如電子商務糾紛，計算機犯罪等)也不斷出現。一種新的證據形式——存在于計算機及相關外圍設備(包括網絡介質)中的電子證據逐漸成為新的訴訟證據之一。案例的取證工作需要提取存在于計算機系統中的數據，甚至需要從已被刪除、加密或破壞的文件中重獲信息。而電子證據本身和取證過程有許多區別于傳統物證和取證方法的特點，這對司法和計算機科學領域都提出了新的研究課題。作為計算機領域和法學領域的一門交叉科學，計算機取證成為了人們研究與關注的焦點。

孫定: 那么，計算機取證與普通的取證有什么不同呢?

許榕生: 計算機取證不過是將計算機調查和分析技術應用于對潛在的、有法律效力的證據的確定與獲取上。計算機取證包括了對以磁介質編碼信息方式存儲的計算機證據的保護、確認、提取和歸檔。

計算機取證是使用軟件和工具，按照一些預先定義的程序全面地檢查計算機系統，以提取和保護有關計算機犯罪的證據。因此，計算機取證是指，對能夠為法庭接受的、足夠可靠和有說服力的，存在于計算機和相關外設中的電子證據的確認、保護、提取和歸檔的過程。

證據在司法證明中的作用是無庸質疑的，它是法官判定有罪與無罪的標準。在人類的司法證明發展過程中，證明方法和手段經歷了兩次重大轉變。第一次是從以“神證”為主的證明向以“人證”為主的證明的轉變。第二次是從以“人證”為主的證明向以“物證”或“科學證據”為主的證明轉變。

但電子證據還具有與傳統證據有別的一些特點: 計算機數據無時無刻不在改變; 計算機數據不是肉眼直接可見的，必須借助適當的工具; 搜集計算機數據的過程，可能會對原始數據造成很嚴重的修改，因為打開文件、打印文件等一般都不是原始操作; 電子證據問題是由于技術發展引起的，計算機和電信技術的發展非常迅猛，所以取證步驟和程序也必須不斷調整以適應技術的進步。

而計算機證據出現在法庭上在中國只是近10年左右的事情，而在信息技術較發達的美國已有了30年左右的歷史。最初的電子證據是從計算機中獲得的正式輸出，法庭不認為它與普通的傳統物證有什么不同。但隨著計算機技術的發展，以及與計算機相關的法庭案例的復雜性的增加，電子證據與傳統證據之間的類似性逐漸減弱，在美國已經有了一些法律解決由電子證據帶來的問題。

目前，中國有關計算機取證的研究與實踐尚在起步階段，只有一些法律法規涉及到了有關計算機證據的說明，如《關于審理科技糾紛案件的若干問題的規定》、《計算機軟件保護條例》等。法庭案例中出現的計算機證據也都比較簡單，如電子郵件、程序源代碼等不需要使用特殊工具就能夠得到的信息。但隨著技術的不斷發展，計算機犯罪手段的不斷提高，我們必須制定相關的法律，必須自主開發相關的計算機取證工具，使日益增加的計算機及網絡犯罪受到應有的制裁，進一步保護網民或用戶的合法權益不受侵害。

物聯網安全更需加強

未來物聯網將產生幾千萬億元的產業規模。中國也會在網絡基礎上加上傳感器，大力推進物聯網。而物聯網中傳感器、信號傳遞、信號接收端都會存在某種程度的漏洞，所以必須加強物聯網安全的研究。

孫定: 近一段時期以來，物聯網概念非常熱。物聯網是由大量的機器構成的，缺少人對設備的有效監控，并且數量龐大， 由此帶來的安全問題是不是比互聯網時代的網絡安全更加嚴峻?

許榕生: 的確是這樣。2009年11月，我在無錫召集了一個國際網絡安全高峰論壇，實際是一次“黑客”論壇。論壇以“信息共享和響應”為主題展開“社會工程學、硬件黑客、信息戰、安全取證”4個方面的議題。

參會嘉賓既有網絡技術高手，包括云計算安全、計算機固件安全、數據恢復與數字取證、IPv6的專家、國內外RFID和通信協議技術專家、路由協議破解專家、網絡滲透與反滲透的專家、反恐情報分析專家、逆向工程與脆弱性研究專家，以及社會工程學專家和國際黑客小組協調人等。這次論壇開闊了中外網絡安全高手彼此間較充分的信息交流，大大增加了相互的了解。

當前的網絡安全發展隨著物聯網概念的產生，已經有了新的發展趨勢。以黑客攻擊為例，以前比較熟悉的是軟件攻擊，如今正在被新潮的破解硬件趨勢所取代。由于這些硬件技術的破解，導致泄密、系統破壞或者重要設備的毀壞往往不是以往防火墻、入侵檢測、防病毒產品能夠解決的。在研討會上，就有來自國外的專家對所住的賓館房卡系統進行了破解，并現場演示了對內含RFID芯片的身份證件的攻擊。

按照初步估計，未來物聯網將產生幾千萬億元的產業規模。中國也會在網絡基礎上加上傳感器，大力推進物聯網。而物聯網中傳感器、信號傳遞、信號接收端都會存在某種程度的漏洞，所以必須加強物聯網安全的研究，將漏洞分析技術、計算機取證技術融入到物聯網安全研究中。

采訪手記

信息安全的關鍵還是在人

“人傻、錢多”，也許是現在很多機構信息安全工作的寫照。盲目地唯技術論，認為添置了防火墻、殺毒軟件、入侵檢測設備就可以高枕無憂了，而忽略了人員的信息安全管理。

對話過程中，許榕生多次提到“社會工程學”。在他看來，社會工程學定位在計算機信息安全工作鏈中的一個最脆弱環節，即“人”這個環節上。

因為“人”這個環節在整個信息安全體系中是非常重要的，這一點表明信息安全的脆弱性是普遍存在的，它不會因為系統平臺、軟件、網絡或者是設備的新舊等因素不相同而有所差異。無論是在物理上，還是在虛擬的信息系統上，任何一個可以訪問系統某個部分的人都有可能構成潛在的安全風險與威脅。任何細微的信息都可能會被黑客用做“補給資料”來運用，使其得到其它的信息。

所以信息化工程必須是一把手工程才能成功，網絡信息安全也是一樣。從管理層就得認識到信息安全的重要性，隨后通過強化管理入手，輔以相應的技術手段，一方網絡才可平安。(文/湯銘)

總裁感悟

黑客攻擊手段正“魔高道長”

電子商務和電子政務迅猛發展，黑客攻擊的頻率和強度有增無減。許榕生認為目前所面臨的網絡威脅，已不僅僅是早期出現的那些攻擊手段，如病毒、木馬、間諜軟件與網絡監聽、口令攻擊、漏洞攻擊等。黑客們正在利用硬件漏洞、逆向工程、社會工程學、反取證等手段豐富其攻擊網絡的方式。

在許榕生看來，利用硬件的黑客技術雖然報道不多，但它的的確確出現了: 在BIOS芯片中植入病毒木馬，讓目前的防火墻、防毒軟件都失效; 針對主機板上的電磁輻射進行信息獲取的技術。僅僅使用軟件非法侵入的方式可能已經落伍，新時期的黑客技術應包括破解硬件本身。

許榕生介紹，逆向工程是指對軟件執行碼直接進行分析，可被看做是“開發周期的逆行”。而黑客則利用反逆向工程的方法保護自己的惡意代碼。

針對前一段時間熱炒的谷歌被攻擊事件，許榕生表示，真正的黑客高手，是會采取反取證的手段，不會那么輕易讓人找到他們入侵的痕跡。而計算機取證正是需要將犯罪者留在計算機中的“痕跡”作為證據提供給法庭。可以用做計算機取證的信息源很多，如系統日志、防火墻與入侵檢測系統的工作記錄、反病毒軟件日志、系統審計記錄、網絡監控流量、電子郵件、操作系統文件、數據庫文件和操作記錄實時聊天記錄等。隨著計算機取證技術的發展和取證工具的廣泛使用，黑客在入侵過程中越來越多地使用痕跡銷毀技術和反取證技術，以對抗調查人員的取證分析。因此，取證與反取證往往形成“矛與盾”的關系，成為黑客攻擊技術與反黑客技術較量的技術制高點之一。(文/湯銘)