文/本刊記者　喬寵如　趙　鏑

互聯(lián)網(wǎng)+拷問網(wǎng)絡(luò)安全

文/本刊記者喬寵如趙鏑

“居安思危。思則有備，有備而無患?！?/p>

2010年，中國經(jīng)濟總量超越日本，成為全球第二大經(jīng)濟體。但此后，中國經(jīng)濟增速持續(xù)下滑，過去30多年高速增長積累的矛盾和風(fēng)險逐步凸顯。在“十二五”規(guī)劃收官和“十三五”藍(lán)圖開啟的重要關(guān)口，《經(jīng)濟》雜志2015年下半年特別開設(shè)“經(jīng)濟安全”系列報道，盤點和前瞻影響中國經(jīng)濟的“安”中之“?！?，為社會主義經(jīng)濟建設(shè)建言獻(xiàn)策。

今年7月，因向多國政府機構(gòu)提供監(jiān)控、竊聽等黑客工具而臭名昭著的意大利安全公司Hacking Team發(fā)生大規(guī)模數(shù)據(jù)泄露，涉及Adobe Flash player、Windows字體、Word、Android等程序的大量未公開高危漏洞，以及微信、whatsapp、skype等平臺的木馬后門程序。

就在相關(guān)廠商緊急開發(fā)漏洞補丁、安全公司將漏洞攻擊納入攔截范圍之時，白帽黑客“路人甲”卻從超過400G的泄露數(shù)據(jù)中，找出了韓國、哈薩克斯坦與Hacking Team合作攻擊中國的郵件證據(jù)。

互聯(lián)網(wǎng)信息技術(shù)早已進(jìn)入我們的生活，面對各種技術(shù)漏洞，個人、企業(yè)、政府的安全由誰來保障？“互聯(lián)網(wǎng)+”風(fēng)口浪尖時期，安全風(fēng)險如何避免？漏洞頻發(fā)，誰來監(jiān)管？……

國家級網(wǎng)絡(luò)安全較量

據(jù)“路人甲”發(fā)布的“Hacking Team泄露數(shù)據(jù)表明韓國、哈薩克斯坦針對中國發(fā)起網(wǎng)絡(luò)攻擊”的調(diào)查報告指出：韓國國情院（NIS）在與Hacking Team來往的多封郵件中均談到針對中國的攻擊，更曾經(jīng)表示希望找到繞過中國國內(nèi)殺毒軟件的辦法；而來自哈薩克斯坦國家安全委員會下屬部門SIS的一封郵件也表明，可能是由于目標(biāo)電腦安裝了某種殺毒軟件，其植入的監(jiān)控程序已經(jīng)超過一個月沒有再反饋任何信息了。

“一些亞洲地區(qū)國家正在對我國進(jìn)行網(wǎng)絡(luò)攻擊竊密。其中一些攻擊已經(jīng)得手，成功地控制了國內(nèi)目標(biāo)PC或手機。攻擊方還會對新發(fā)現(xiàn)的問題做針對性的要求，保證更隱秘的監(jiān)控與機密信息的回傳?！薄奥啡思住崩^續(xù)寫道：“然而，如果不是這次互聯(lián)網(wǎng)‘軍火庫’的泄密事件，我們?nèi)匀粫幻稍诠睦铩Ｇ杏?！這些都不是電影情節(jié)，而是已經(jīng)真實發(fā)生的國家級網(wǎng)絡(luò)安全較量?！?/p>

然而，更像電影情節(jié)的是《連線》雜志記者Andy Greenberg的親身遭遇。

“我正準(zhǔn)備通過匝道駛?cè)?4號洲際高速公路，手機里傳來了 Miller 的聲音：‘無論發(fā)生了什么都不要慌?！又?，車上的空調(diào)、廣播和雨刷器都開始不聽使喚，車速也開始下降?！彼麑懙?。日前，他所駕駛的切諾基成為了黑客的“劫持”目標(biāo)。

“我拼命地踩住油門，轉(zhuǎn)速計的數(shù)字飆上去了，但車仍然在龜速爬行，變速器也被他們切斷了！更糟的是，我剛剛才開到一段很長的立交橋上，根本沒有應(yīng)急車道。我想起了 Miller 的建議，但是怎么可能不慌？我慌了，手里緊緊攥住手機，祈求他們趕緊停止惡作劇?！?/p>

萬幸的是，這位名叫Charlie Miller的黑客并不是真的要“劫持”汽車，他只是在評估那些新技術(shù)車輛的安全性。在Greenberg之前，他已經(jīng)隨機選擇了美國全國范圍內(nèi)的多輛汽車進(jìn)行攻擊。

目前，包括世界第七大汽車制造商——菲亞特克萊斯勒汽車公司等在內(nèi)的多家汽車廠商，都開始召回可能存在軟件故障的汽車。

盡管汽車廠商總是強調(diào)：聯(lián)網(wǎng)的車載系統(tǒng)并不與控制引擎、變速器等重要部件的CAN總線相連，因此車聯(lián)網(wǎng)并不會影響車輛的行駛安全。但在黑客們看來，汽車就是一臺“計算機”。“如果這臺計算機沒有你想要的功能，重新編程就好了?！盋harlie Miller在8月舉行的 2015 黑帽大會上說。

Hacking Team遠(yuǎn)程控制系統(tǒng)截圖

憑借幾行代碼，Miller可以控制CAN 總線發(fā)送任何指令：包括控制方向盤、變速器、剎車系統(tǒng)、雨刮、空調(diào)門鎖等。這給《連線》雜志的記者帶來了之前的那些驚悚體驗。

同樣地，憑借幾行代碼，白帽黑客閆敏銳在首屆HackPwn安全極客狂歡節(jié)上，現(xiàn)場演示了如何利用海爾Smartcare智能家居的漏洞操縱電器、插拔插座甚至打開門鎖。

看起來，一切“智能”產(chǎn)品似乎都在網(wǎng)絡(luò)攻擊之下變成了任人宰割的“傻瓜”。

對此，中國知名網(wǎng)絡(luò)安全企業(yè)360公司技術(shù)副總裁譚曉生評論稱：“人類社會正在進(jìn)入物聯(lián)網(wǎng)時代。但是，今天智能硬件的生產(chǎn)商，仍然以傳統(tǒng)的電器廠家為主，而他們在安全方面沒有任何經(jīng)驗，甚至很少考慮安全，這將在下一個5年帶來巨大的安全挑戰(zhàn)?！?/p>

網(wǎng)絡(luò)環(huán)境并不安全

美國最大的移動運營商威瑞森通信公司（Verizon）發(fā)布的報告顯示：2014年全球共有79790家公司被黑，2122家公司公開確認(rèn)信息被竊取，銀行、醫(yī)院、零售業(yè)、保險業(yè)、電商、娛樂業(yè)的巨頭們都難以幸免，其中亦不乏全球500強企業(yè)。

大環(huán)境如此，中國又怎能獨善其身？

僅在今年上半年，先是補天漏洞平臺指出多省市社保系統(tǒng)存在高危漏洞，引起了全社會對于電子政務(wù)信息系統(tǒng)安全性的擔(dān)憂。接著，支付寶和攜程又分別由于“光纜被挖斷”和“數(shù)據(jù)庫遭到物理刪除”相繼出現(xiàn)長時間訪問故障，企業(yè)網(wǎng)絡(luò)安全同樣受到考驗。

網(wǎng)絡(luò)安全問題同樣給當(dāng)前最火熱的O2O澆了一盆冷水。

《經(jīng)濟》記者從補天漏洞平臺公布的信息看到，嘀嘀打車、餓了么、百度外賣等數(shù)十款流行的O2O應(yīng)用均被曝出存在多個安全漏洞，極易引發(fā)用戶信息泄露等問題。

僅在今年8月，號稱“中國最大的餐飲O2O平臺”餓了么接連被白帽黑客指出存在多處高危漏洞。按照其提交的描述，其中一則漏洞將導(dǎo)致餓了么近120萬商戶信息（包括合同信息、營業(yè)執(zhí)照、銀行卡號、健康證等大量證件原件照片）泄露。目前，漏洞已被餓了么確認(rèn)，正在修復(fù)當(dāng)中。

與此同時，曾經(jīng)野蠻生長的P2P也面臨著巨大的網(wǎng)絡(luò)安全問題。

2014年，深圳曉風(fēng)安全網(wǎng)貸系統(tǒng)被曝存在高危漏洞，使用該系統(tǒng)的100余家企業(yè)均遭到了不同程度的攻擊，部分企業(yè)暫停了面向客戶提現(xiàn)、充值等功能，更有多家平臺由于不堪損失而選擇跑路。

而據(jù)《2014年互聯(lián)網(wǎng)金融行業(yè)安全漏洞分析報告》的不完全統(tǒng)計，截至2014年底，已有近165家P2P平臺由于黑客攻擊造成系統(tǒng)癱瘓、數(shù)據(jù)被惡意篡改、資金被洗劫一空。無怪乎有人驚呼，中國P2P已經(jīng)成為“被全世界黑客宰割的羔羊”！

國家計算機病毒應(yīng)急處理中心發(fā)布的《第十四次全國信息網(wǎng)絡(luò)安全狀況暨計算機和移動終端病毒疫情調(diào)查分析報告》則顯示：隨著經(jīng)濟活動從線下發(fā)展至線上，互聯(lián)網(wǎng)金融異常火爆，釣魚攻擊猛增。除了傳統(tǒng)釣魚網(wǎng)站之外，不法分子瞄準(zhǔn)手機支付用戶群體，利用仿冒移動應(yīng)用、移動互聯(lián)網(wǎng)惡意程序、偽基站等多種手段，實施跨平臺的釣魚欺詐攻擊。手機支付類病毒更將通過“二次打包、仿冒程序、驗證碼轉(zhuǎn)發(fā)、監(jiān)控誘導(dǎo)”，深入竊取用戶支付隱私，并逐步突破銀行、運營商、第三方支付軟件構(gòu)建的“手機驗證碼+密碼”的雙重認(rèn)證防御，盜取用戶資金，令人防不勝防。

“個人認(rèn)為，目前國內(nèi)的網(wǎng)絡(luò)信息安全，處在一個不太安全的狀態(tài)?！绷_杰告訴《經(jīng)濟》記者，與七八年前他剛剛?cè)胄袝r相比，“已經(jīng)上升了一個層次”。羅杰在北京銀行負(fù)責(zé)網(wǎng)絡(luò)安全的科技部工作，對銀行系統(tǒng)的網(wǎng)絡(luò)安全管理頗有了解。

中國電子信息產(chǎn)業(yè)發(fā)展研究院信息化研究中心副主任肖擁軍則告訴《經(jīng)濟》記者：“從戰(zhàn)略上，我國非常重視網(wǎng)絡(luò)安全。習(xí)總書記曾經(jīng)多次強調(diào)，沒有網(wǎng)絡(luò)安全，就沒有國家安全。但是，我們必須突破核心的軟硬件技術(shù)和產(chǎn)品，才能真正實現(xiàn)網(wǎng)絡(luò)安全。”

他舉例指出，國內(nèi)所使用的諸如芯片、CPU處理器、辦公系統(tǒng)等軟硬件產(chǎn)品，基本都是從國外采購回來的?！拔矣幸粋€朋友，專門做銀行的金融系統(tǒng)，用的就是IBM的產(chǎn)品。還有，大部分政府機構(gòu)和國企采用的都是Oracle的辦公平臺。這些都是國外的產(chǎn)品。我們的基礎(chǔ)這么薄弱，如果他們安置了‘后門’，非常容易盜走我們的信息?！?/p>

裝雞蛋的籃子都是別人的，又如何保證雞蛋的安全？由此，肖擁軍認(rèn)為，當(dāng)前的網(wǎng)絡(luò)環(huán)境絕對稱不上“安全”。

事實上，出于對IBM、Oracle、EMC重型基礎(chǔ)設(shè)施過度依賴的憂慮，阿里巴巴曾經(jīng)在內(nèi)部發(fā)起“去IOE運動”。還有不少互聯(lián)網(wǎng)公司，壓根不去考慮這些成熟而昂貴的商業(yè)軟件，而是借助開源的軟件系統(tǒng)和框架來搭建滿足自身需求的產(chǎn)品。

不過，開源平臺也并沒有那么安全。2014年，波及全球數(shù)以千萬計服務(wù)器的“心臟流血”事件震驚了全球IT業(yè)。全世界網(wǎng)站服務(wù)器中有三分之二都采用OpenSSL開源軟件，而該軟件的“心臟流血”（Heartbleed）安全漏洞，則能夠幫助黑客獲得打開服務(wù)器的密鑰，監(jiān)視服務(wù)器的數(shù)據(jù)和流量。時至今日，在福布斯全球2000強公司中，仍有約四分之三的公司極易受到“心臟流血”安全漏洞的不利影響。

“互聯(lián)網(wǎng)+”，更高的安全需求

2015年6月，第十二屆全國人大常委會第十五次會議初次審議了《中華人民共和國網(wǎng)絡(luò)安全法（草案）》，7月6日，該草案向社會公開征求意見。截至8月4日中午，中國人大網(wǎng)已收到關(guān)于《網(wǎng)絡(luò)安全法（草案）》的意見逾3000條。

《經(jīng)濟》記者注意到，草案要求互聯(lián)網(wǎng)公司進(jìn)行審查、用戶實名登記、數(shù)據(jù)本地化以及協(xié)助政府實施監(jiān)控，無疑，這些舉措將加強政府部門對于互聯(lián)網(wǎng)環(huán)境的控制，在一定程度上保障網(wǎng)絡(luò)安全。

北京郵電大學(xué)國際學(xué)院院長李預(yù)曉則指出，中國網(wǎng)絡(luò)空間安全立法的核心問題，就是要解決國家網(wǎng)絡(luò)安全的問題。“立法應(yīng)當(dāng)明確：在網(wǎng)絡(luò)空間中，國家的權(quán)利義務(wù)和責(zé)任、對國家基礎(chǔ)設(shè)施的保護以及相應(yīng)的技術(shù)保障能力等。尤其需要強調(diào)的是，中國網(wǎng)絡(luò)空間安全立法中一定要有可適用于全球的內(nèi)容，或者說是可以讓別國接受的內(nèi)容?！?/p>

就在草案公開征求意見的前兩天，國務(wù)院發(fā)布《關(guān)于積極推進(jìn)“互聯(lián)網(wǎng)+”行動的指導(dǎo)意見》，其中提到：到2018年，互聯(lián)網(wǎng)與經(jīng)濟社會各領(lǐng)域的融合發(fā)展進(jìn)一步深化，基于互聯(lián)網(wǎng)的新業(yè)態(tài)成為新的經(jīng)濟增長動力，互聯(lián)網(wǎng)支撐大眾創(chuàng)業(yè)、萬眾創(chuàng)新的作用進(jìn)一步增強，互聯(lián)網(wǎng)成為提供公共服務(wù)的重要手段，網(wǎng)絡(luò)經(jīng)濟與實體經(jīng)濟協(xié)同互動的發(fā)展格局基本形成。更指出，農(nóng)業(yè)、制造業(yè)、能源、金融和公共服務(wù)等11個領(lǐng)域，將是“互聯(lián)網(wǎng)+”的戰(zhàn)略重點。

隨著云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)等IT技術(shù)的飛速發(fā)展，“互聯(lián)網(wǎng)+”已經(jīng)成為國家和產(chǎn)業(yè)的共識。但我們必須認(rèn)識到，全社會在分享互聯(lián)網(wǎng)高效、便捷、智能的同時，也要承受更多攻擊和挑戰(zhàn)。而適用于PC時代的防火墻、IPS和各種網(wǎng)關(guān)等傳統(tǒng)安全防護產(chǎn)品，顯然已經(jīng)過時，網(wǎng)絡(luò)安全又該如何保證？

“技防”+“人防”，打造網(wǎng)絡(luò)安全

實際上，安全企業(yè)也在積極實踐“互聯(lián)網(wǎng)+”。不過，就在安全企業(yè)借助大數(shù)據(jù)開發(fā)新一代威脅感知系統(tǒng)，并聲稱能夠“提前洞悉各種安全威脅”時，他們可能還不知道，“攻擊方已經(jīng)偷偷地實現(xiàn)了機器自學(xué)習(xí)的完全自動化攻擊手段”，白帽黑客王音說。

“就好像你在北方大修特修長城，攻擊者卻選擇直接從渤海開船繞到你后方。”在他看來，未來網(wǎng)絡(luò)攻防的可能趨勢是：做防御的在為擁有海量日志分析技術(shù)、攻擊特征攔截技術(shù)而自豪的時候，搞攻擊的卻帶著“黑科技”不再出現(xiàn)在這個世界，讓防守方沉浸在自娛自樂中無法自拔。

他甚至略帶悲觀地認(rèn)為：“對于處于防御場景的甲方，哪怕只被黑過一次，只要被黑客帶走的信息足夠多，黑客們下次依然能夠借助以往獲取的信息再次黑進(jìn)來。”

羅杰則告訴《經(jīng)濟》記者，盡管國內(nèi)的網(wǎng)絡(luò)安全在技術(shù)層面還有很大的提升空間，但在他看來，更需要關(guān)注的是“人防”?！凹夹g(shù)防御確實能夠解決大部分的安全問題，但‘人防’才是關(guān)鍵，因為技術(shù)的使用主體是人。只有‘技防’和‘人防’都安全，才能營造一個相對安全的環(huán)境?！?/p>

這與北京郵電大學(xué)信息安全中心教授辛陽的觀點不謀而合。

辛陽告訴《經(jīng)濟》記者，在我國，國防、金融和公安領(lǐng)域?qū)π畔踩瞬诺男枨蠓浅＞薮?。不僅網(wǎng)絡(luò)技術(shù)的滲透、防御和技術(shù)研發(fā)等工作的技術(shù)門檻較高，政府部門的信息安全戰(zhàn)略規(guī)劃、立法、司法乃至管理也都十分依賴專業(yè)人才。

遺憾的是，當(dāng)前我國信息安全人才仍然主要通過高校進(jìn)行“不夠完善的”培養(yǎng)。“所有信息安全專業(yè)都是二級學(xué)科，有的隸屬于數(shù)學(xué)專業(yè)，有的被歸類到計算機科學(xué)與技術(shù)之下，在課程體系方面，缺乏統(tǒng)一的標(biāo)準(zhǔn)。更要命的是，重理論、輕實踐，這是我國高校信息安全專業(yè)人才培養(yǎng)體系的通病?！?/p>

“網(wǎng)絡(luò)安全已經(jīng)上升到國家戰(zhàn)略的高度。而網(wǎng)絡(luò)空間的安全保障，歸根到底還是安全人才的保障。”辛陽說，一方面，要加強專業(yè)人才的培養(yǎng)，另一方面，也應(yīng)當(dāng)重視公民安全意識的普及。在他看來，如果全民都重視信息安全，注意培養(yǎng)安全習(xí)慣，遵守相應(yīng)的安全規(guī)則，國家安全戰(zhàn)略層面的許多問題自然也就迎刃而解了。

“在國內(nèi)的一些漏洞修補平臺，比如烏云和補天，每天都會有不少大型網(wǎng)站被曝出漏洞，這一方面反映出了我國網(wǎng)絡(luò)安全存在不足。” 羅杰表示，“另一方面，也說明大量的技術(shù)人才在關(guān)注網(wǎng)絡(luò)安全問題。很多廠商還設(shè)置了獎勵計劃，鼓勵‘白帽子’提交漏洞，改善國內(nèi)的網(wǎng)絡(luò)安全環(huán)境。這也是一個進(jìn)步?！保_杰為化名）