從網絡安全到安全網絡

本刊記者｜姜紅德

5月13日凌晨，烏云網公布了一個編號為WooYun-2014-60627的安全漏洞，根據這個漏洞的描述，小米論壇的用戶信息遭到泄露。有評論稱部分用戶收到了詐騙電話，“電話源頭能提供用戶的準確信息，姓名，地址，電話，商品購買記錄等等，以貨到付款的方式進行產品推銷及其他詐騙行為”。小米官方網站隨后確認有部分2012年8月份前注冊的用戶密碼泄露,可能影響的用戶群體達到800萬。這是繼今年攜程用戶泄密以來國內另外一起大規模網絡泄密事件，加上最近鬧得沸沸揚揚的OPenSSL漏洞泄密，其影響遠超過之前CSDN網絡泄密。

目前我國網絡安全問題因為硬件、軟件技術及相關標準的缺失已經非常迫切，有關國家政策和組織機構的確立是最及時的決策和彌補。今年2月份，針對國家網絡安全的挑戰，中央網絡安全和信息化領導小組成立，標志著我國已經將網絡安全提到了國家戰略的高度，打造一張安全網絡已經不是“紙上談兵”。

互聯網技術和應用帶來的海量數據爆發性增長后，其安全問題逐漸顯現，各類網絡攻擊、信息泄密、網絡謠言等網絡安全事件頻發。

網絡上的中國安全現狀

“中國已經是一個網絡大國，但大而不強。”在首都網絡安全日“企業級信息安全技術高峰論壇暨中關村信息安全產業聯盟移動計算工作組成立儀式”上，國家信息化專家咨詢委員會委員汪玉凱表示，網絡大而不強有四個標志：中國信息化排名不斷下降；寬帶建設比較落后；自主創新動力不足，關鍵技術受制于人；我國不同地區間“數字鴻溝”問題突出。

據權威機構統計的數據顯示，目前我國互聯網用戶已經超過6億，同時互聯網企業的數量和規模正迅猛增長。互聯網技術和應用帶來的海量數據爆發性增長后，其安全問題逐漸顯現，各類網絡攻擊、信息泄密、網絡謠言等網絡安全事件頻發。諸如中國人壽80萬頁保單泄露，如家和漢庭等多家商業酒店用戶信息泄露、圓通速遞快件單信息倒賣等信息泄露事件等；“套餐竊賊”竊取70萬用戶信息、“支付鬼手”木馬侵害手機支付安全、三星Galaxy S4出現高危短信欺詐漏洞、新型詐騙短信威脅移動安全、百度云盤手機版高危漏洞等等。

另一個在網絡安全行業鬧得沸沸揚揚的是OpenSSL漏洞。目前多數SSL加密網站都是用名為OpenSSL的開源軟件包，其漏洞也被業界稱之為“心臟出血”。今年4月9日上午，北京大學和清華大學某項網絡服務被檢測到存在“心臟出血”漏洞，同時也監測到來自北京聯通的一個IP針對這些服務進行漏洞探測。360首席運營官譚曉生說，黑客通過“心臟出血”漏洞竊取數據，以64K為單位，一個包一個包地偷。SSL標準包含一個心跳選項，允許SSL連接一端的電腦發出一條簡短的信息，確認另一端的電腦仍然在線，并獲取反饋。除了PC網站之外，移動互聯網同樣廣受其害。

與此同時，隨著“斯諾登事件”的曝光，來自網絡空間上的全球爭奪戰也在打響。美國等大國紛紛加強網絡防御，加大在網絡空間的部署，國家級網絡沖突的風險進一步增加。其次，西方國家頻繁啟動貿易保護安全壁壘，信息安全也成為中興、華為等企業進入歐美市場的主要爭論焦點。

今年正好是中國全面接入互聯網20周年，各有關部門和行業負責人都對互聯網20年現象進行了熱烈的討論，其中一個重要問題也是網絡安全。工業和信息化部軟件與集成電路促進中心主任邱善勤表示，目前我國關鍵信息系統主要面臨設備被控、數據被竊及業務被癱三類威脅。在美國“八大金剛”面前，我國的信息化應用系統幾乎是“裸奔”狀況。

隨著信息化和網絡化的快速推進，各類網絡安全事件的影響程度將逐步加大，經濟信息安全問題日益顯現，網絡安全保障需求也在快速增長。我們迫切需要重視網絡安全發展戰略，提升網絡安全的保障能力，建起一張堅固可靠可信的安全網絡。

建立全面的安全網絡

2014年紐約時報爆出美國國安局竊取了華為的產品源代碼和上千名客戶資料，其數據量之大讓人吃驚。盡管這些數據造成的損失目前還未有公開的進行統計，但是估計其對華為的后續商業活動必將造成極大的影響。同時通過這一竊密事件，更反映了當前我國企業的網絡安全存在極大的漏洞。

在現實生活中，企業因為安全和信息化建設的不同步，造成的安全漏洞比比皆是。據記者了解，目前不少單位已經要求在信息化系統建設時同步進行安全規劃與設計，但在隨后的詳細設計及開發環節就開始“分道揚鑣”，從而導致信息系統的安全性與最初的規劃設計風牛馬不相及，要不就是在市場上隨便找些安全產品補補“漏洞”，最終結果是安全規劃設計形同虛設。

今年成立的國家網絡安全和信息化領導小組提出“網絡安全與信息化是一體之雙翼”，將安全與信息化提到同等重要的高度上。那么在大型政企信息化建設工作中，如何有效落實“一體雙翼”，真正達到“安全”與“信息化”齊頭并進的效果？改變現狀的有效辦法是必須在詳細設計及開發環節也要保持“安全”與“業務”的同步，將安全與應用在代碼級實現接口，并建立緊密相關的聯動機制，從而迫使兩者同步推進。

同時，自主信息產業生態環境建設要圍繞國家安全需要。特別是在集成電路、核心電子元器件、基礎軟件等核心關鍵技術領域取得突破，推動關鍵信息技術產品的國產化替代，在關系國家安全的重點領域有序開展國產產品和設備的替代工作。

微軟今年宣布停止升級windows X P，對中國的信息安全產生嚴重影響。目前微軟希望用戶升級到Windows 8，但是如果升級到Windows 8，問題會更為嚴重。Windows 8跟可信計算嚴格綁定，所有的可信安全控制權全部由美國接管，改一個代碼都要經過微軟的認定批準，這會產生非常嚴重安全的問題。

對此，工信部總工程師張峰明確提出要加強國產替代產品的研發，爭取在信息系統的核心環節使用國產的產品。目前中國工程院提出通過對2億臺XP計算機的安全加固來提高自主防御能力，同時接管服務。近期目標是集中服務，進行安全加固，為自主可控操作系統開發打好基礎，做好支撐。

國家網絡安全和信息化領導小組組長習近平表示：沒有網絡安全就沒有國家安全；沒有信息化就沒有現代化；中國要由網絡大國走向網絡強國。中國的企業如果借助這一次的機遇，打造出在世界領先的信息產業和核心技術不是一句空話。