信息化新階段的網絡安全

鄔賀銓 中國工程院院士

簡介：信息化新階段導致網絡安全內涵不斷擴展，網絡安全不斷面臨新的挑戰，應當提高創新能力，健全網絡法制，保障網絡安全。

信息化新階段導致網絡安全內涵不斷擴展

當今世界，資訊科技革命日新月異，互聯網已經融入經濟社會發展的方方面面。2014年是我國接入國際互聯網20周年。據統計，到2014年中，我國互聯網普及率已達46.9%、同比增6.9%，手機網民5.27億、同比增13.5%。中國互聯網發展進入新的十年，寬頻化、移動性、泛在性成為互聯網應用的顯著特徵。毫無疑問，擁有6億多網民的中國已經是網絡大國，同時也是資訊竊取、網絡攻擊的主要受害者，面臨著巨大的網絡安全壓力。

寬頻化是互聯網發展的必然要求。2013年8月我國發布寬頻中國戰略及實施方案，要求到2015年固定寬頻家庭普及率和3G/4G用戶普及率分別達到50%和32.5%，2020年分別達到70%和85%；城市和農村家庭寬頻接入能力基本達到20 Mbps和4Mbps，2020年分別達到50Mbps和12Mbps。隨著寬頻中國戰略的實施，2014年第三季度，中國網民平均可用下載速率超過4Mbps,相對2013年同期的3Mbps提升33%。

“大智移雲”（大數據、智能化、移動互聯網和雲計算）是互聯網發展的又一重要特徵，或者説信息化發展進入到“大智移雲”新階段。這裏的智能化包括物聯網的感知和大數據的挖掘所支撐的用戶體驗。

網絡安全的問題越來越突出，網絡安全內涵也在不斷擴展。過去，人們通常把網絡基礎設施的安全稱為網絡安全，把數據與內容的安全稱為信息安全。但從2011年以來，美國、英國、法國、德國、俄羅斯、澳大利亞、加拿大、韓國、新西蘭等國家紛紛制定國家Cyberspace戰略或Cyber Security戰略（Cyberspace目前尚無普遍認可的中文翻譯，有人稱為網絡空間，但更多的稱為賽博空間），以爭取和保持在信息化新階段的國家安全的戰略優勢地位。Cyberspace（賽博空間）包含網絡基礎設施、數據與內容以及控制域，即覆蓋傳輸層、認知層和決策層，其范圍還將從目前的互聯網拓展到各類網絡、各類數據鏈和所能連結及管控的各類設備。Cyber Security（賽博安全）的含義不僅是傳統的網絡基礎設施安全，還包括資訊層面即數據或內容的安全以及執行決策層面的安全，即與信息化有關的非傳統安全的綜合。

信息化新階段網絡安全面臨的挑戰

網絡安全挑戰越加嚴峻。《中國互聯網發展報告(2014)》報道，我國面臨大量境外地址攻擊威脅，國家互聯網應急中心監測發現在2013年我國境內1090萬余臺電腦主機被境外伺服器控制，其中源自美國的佔30.2%。我國境內6.1萬個網站被境外控制，較2012年增長62.1%。2013年針對我國銀行等境內網站的釣魚頁面數量和涉及的IP地址數量分別較2012年增長35.4%和64.6%。

移動互聯網的安全問題甚至比桌面互聯網更嚴重。根據思科公司統計，2013年全球移動數據流量增長了81%，預計到2018年還將較2013年增長11倍，其中半數流量通過Wi-Fi接入移動互聯網。2013年底我國4G牌照的發放加快了移動互聯網的發展。截至2014年6月我國移動智能終端用戶數佔全球30%，移動互聯網用戶數5.27億，佔網民總數83.4%，佔移動用戶數的41.8%，移動互聯網接入流量同比增長44.7%，戶均移動互聯網接入流量達到每月175MB，其中手機上網流量佔比提升至84.1%。大量移動互聯網用戶的增加導致了移動終端的設備越來越多樣，這也意味著管理起來將更加困難。移動終端因功耗等限制，無法像PC（個人電腦）那樣內置功能強大的防火牆。移動終端相比PC涉及的用戶身份資訊多，具有定位能力但可被跟蹤，移動支付還涉及銀行賬號，移動終端的安全問題比PC嚴重得多。據統計2013年移動互聯網新增惡意程式樣本較2012年增長3.3倍。據360安全中心報告，2014年上半年標記騷擾電話號碼8330萬，攔截垃圾短信385.6億，攔截偽基站短信12.38億。安卓移動作業系統盡管已經使用了針對應用軟件的簽名係統，但駭客仍然能使用匿名的數字證書來簽署他們的病毒並發放。安卓4.0版本中內置的無線通信接入的密碼遠端備份功能可被用來定位用戶，蘋果公司的手機雲計劃能夠讀取用戶在手機雲中所存的資訊。再如，基于智能終端的移動支付方便了用戶，但傳統的賬號+密碼+短信的身份驗證方式存在安全風險，手機卡可能被復制，驗證短信有可能被劫持，支付指令在傳輸中也可能被篡改。據報道，受美國標準委員會NIST批準，美國家安全局(NSA)和加密公司RSA達成了價值超過1千萬美元的協議，在移動終端所用的加密技術中放置後門，使NSA通過隨機數生成演算法Bsafe的後門程式破解各種加密數據。可見，移動互聯網的安全問題是當前網絡安全面臨的一個重要挑戰。

大數據、雲計算也是信息安全防禦的新重點。伴隨移動互聯網等的發展，大數據近年受到越來越多關注。據BBC公司統計，2013年全球互聯網流量每天為2.7EB，全球新産生的數據年增40%，每兩年就可以翻番。大數據的挖掘可應用到經濟、政治、國防、文化等各領域。大數據是信息化新階段的特徵，也是網絡安全防禦的新重點。我國對大數據的存儲、保護和利用重視不夠，導致資訊丟失或不完整，同時存在資訊被損壞、篡改、泄露等問題，給國家的信息安全和公眾的隱私保護帶來了隱患。此外，寬頻化以及信息化應用的深入推動了雲計算發展。個人的雲存儲、企業的雲制造，還有雲政務等在近年迅速發展。據統計，到2015年全球數據中心的一半都會基于雲計算技術。與全球雲計算行業的復合年增長率23.5%相比，我國雲計算市場增長更快，年增長率超過40%。雲計算能力的分布化、虛擬化、服務化是雲計算的技術基礎，但雲計算平臺如果被攻擊，出現故障，就會導致大規模的伺服器癱瘓。

物聯網的安全問題不容忽視。物聯網節點數很多，不易于管理，節點的數據可能被篡改或者假冒，這是物聯網安全的重大隱患。比如，現在物聯網已經應用到了醫療設備上，如果像心臟起搏器這樣的設備被駭客攻擊，將直接影響到人的生命安全。駭客還能夠通過智能電視、冰箱以及無線揚聲器等發起攻擊。在全球首例物聯網攻擊事件中，10余萬臺互聯網“智能”家電在駭客的操控下構成了一個惡意網絡，並在兩周時間內向那些毫無防備的受害者發送了約75萬封網絡釣魚郵件。谷歌眼鏡會對它拍下的所有照片進行掃描，如果拍下或看到的二維碼含有惡意，這種二維碼在谷歌眼鏡被解析後可劫持谷歌眼鏡，它所能監視的不僅僅是你的生活——實際上是你在看什麼它就能看到什麼，你聽什麼它就能聽到什麼，甚至不經谷歌眼鏡主人控制就發出去，這帶來嚴重的隱私泄漏問題。

此外，工業控制係統的安全也需要加強，2012年4月駭客入侵了美國的智能電錶係統並修改了電錶數據。還有一些國家刻意準備網絡戰，目的是破壞對方的資訊係統並進而摧毀能源、交通等基礎設施，著名的案例是2010年9月伊朗的鈾燃料濃縮設施被“震網”病毒攻擊而癱瘓。這些都值得我們警惕。

提高創新能力，健全網絡法制，保障網絡安全

提高技術自主創新能力。當前，我國所用的PC作業系統和手機作業系統技術幾乎都源自國外，核心晶片依賴進口，這是很大的隱患。在網絡安全方面，如果自己沒有過硬的技術，就很難實現安全可控的管理。斯諾登事件爆出美國大規模入侵華為伺服器就是一例。外國的核心技術是買不來的，也是市場換不來的，但我國的市場對培育自主創新的技術和産品是必不可少的。這就要求我們在培育網絡核心技術方面也要發揮市場在資源配置中的決定性作用和更好發揮政府的作用。

加快建設網絡人才隊伍。建設網絡強國，維護網絡安全，需要建設一支政治強、業務精、作風好的強大人才隊伍。要培養造就世界水準的科學家、網絡科技人才、卓越工程師、高水準創新團隊。

在國際互聯網治理中積極發揮作用。建設網絡強國，需要我們有與網絡大國相適應的國際互聯網治理的話語權。當前，尤其要抓住向IPv6（互聯網協議第6版）轉換的機會極力爭取根伺服器落戶中國，積極宣傳我國發展互聯網的政策，共同維護國際互聯網秩序。

網絡安全需要法制保障，盡管物理世界的法律應該而且也能用到虛擬世界，但虛擬世界還需要有專門的法律，我們需要有網絡安全法、隱私保護法等。