黃芳芳

今年4月在杭州舉辦的2017中國(guó)“互聯(lián)網(wǎng)+”數(shù)字經(jīng)濟(jì)峰會(huì)上，娃哈哈集團(tuán)董事長(zhǎng)宗慶后向騰訊公司董事會(huì)主席馬化騰發(fā)問(wèn)：“我們互聯(lián)網(wǎng)公司后臺(tái)，也就是服務(wù)器，在美國(guó)人手里還是自己手里？”馬化騰卻顧左右而言他。

然而，在宗慶后之問(wèn)的背后，我們不得不面臨另一個(gè)更加駭人的事實(shí)——中國(guó)沒(méi)有自己的互聯(lián)網(wǎng)。

“您如何看待此次WannaCry事件？”記者見(jiàn)到中科院信息安全國(guó)家重點(diǎn)實(shí)驗(yàn)室教授、北京知識(shí)安全工程中心主任呂述望時(shí)，迫不及待地問(wèn)出第一個(gè)問(wèn)題。

“看重圍棋上的一個(gè)棋子無(wú)妨，但也不能忽視全局?！眳问鐾f(shuō)。

“我不主張把因特網(wǎng)翻譯成互聯(lián)網(wǎng)！可以簡(jiǎn)單地說(shuō)，中國(guó)公眾使用的網(wǎng)絡(luò)是美國(guó)因特網(wǎng)的一部分。夸張點(diǎn)說(shuō)，中國(guó)億萬(wàn)公眾在美國(guó)因特網(wǎng)上淘寶?！眳问鐾硎?，“中國(guó)沒(méi)有自己的互聯(lián)網(wǎng)。”

目前我們使用美國(guó)人發(fā)明的因特網(wǎng)（Internet），它是由一個(gè)主根控制的網(wǎng)絡(luò)，控制權(quán)在美國(guó)，因而不是真正意義上的互聯(lián)網(wǎng)?！澳阌幸粡埦W(wǎng)，我有一張網(wǎng)，二者在平等的基礎(chǔ)上連接起來(lái)才叫互聯(lián)網(wǎng)。”

1994年4月20日，中國(guó)計(jì)算機(jī)信息系統(tǒng)全功能接入Internet。呂述望指出，事實(shí)卻是改造中國(guó)民用網(wǎng)絡(luò)為租用美網(wǎng)的輔助工程。我們租用美國(guó)的網(wǎng)，美國(guó)一旦關(guān)閉網(wǎng)絡(luò)，中國(guó)百姓什么網(wǎng)都沒(méi)有了。“比如我國(guó)將一對(duì)健康、有繁殖能力的大熊貓送至其他國(guó)家進(jìn)行為期10年的合作研究，其繁殖的后代歸中方所有。若大熊貓意外死亡，其遺體也歸中方所有。這是租和自有的區(qū)別?！本W(wǎng)絡(luò)空間被喻為第五活動(dòng)空間的，雖然虛擬無(wú)形，卻是當(dāng)前最重要的疆域。而美國(guó)用.net.com.cn三個(gè)級(jí)別管理了中國(guó)7億多百姓?！叭魏我粋€(gè)愛(ài)國(guó)的人都可以看出端倪?！眳问鐾?dòng)地說(shuō)。

漏洞是新型“武器”

“在網(wǎng)絡(luò)方面，我們的確受制于人?！敝袊?guó)電子信息產(chǎn)業(yè)發(fā)展研究院網(wǎng)絡(luò)空間研究所所長(zhǎng)劉權(quán)在接受《經(jīng)濟(jì)》記者采訪時(shí)對(duì)呂述望的觀點(diǎn)表示認(rèn)同?！盎A(chǔ)的操作系統(tǒng)和核心的芯片也不掌握在自己手中，如此一來(lái)，類似WannaCry的零日漏洞真是防不勝防?！?/p>

今年5月初，英特爾發(fā)布消息稱其所有具有遠(yuǎn)程控制功能的芯片中都存在一個(gè)嚴(yán)重的漏洞，可以讓攻擊者獲得目標(biāo)電腦的一切權(quán)限?！坝⑻貭柕穆┒矗?年后才發(fā)出補(bǔ)丁修復(fù)?！蓖ǜ抖馨踩靠偨?jīng)理張瑞欽告訴《經(jīng)濟(jì)》記者。國(guó)內(nèi)很多企業(yè)使用國(guó)外制造的網(wǎng)絡(luò)設(shè)備可能存有很多漏洞、后門(mén)。

美國(guó)國(guó)家安全局（NSA）有自己的網(wǎng)絡(luò)部隊(duì)，專門(mén)挖掘、囤積，甚至在黑市購(gòu)買(mǎi)目前市面上流行的操作系統(tǒng)、軟件的漏洞，作為自己的網(wǎng)絡(luò)武器。此次勒索病毒所使用的工具是NSA制造的。張瑞欽表示，WannaCry讓我們看清美國(guó)在網(wǎng)絡(luò)攻擊方面領(lǐng)先其他國(guó)家很多年。冰山之下的零日漏洞掌握在美國(guó)人手中，有朝一日，他們?cè)诖蚓W(wǎng)絡(luò)戰(zhàn)時(shí)都是致命的“武器”。

“WannaCry最先在歐洲發(fā)起，離得最近的俄羅斯受災(zāi)最為嚴(yán)重?！眲?quán)指出，目前美國(guó)的損失較小，不知后續(xù)是否會(huì)遭到攻擊?！昂诵牡牟僮飨到y(tǒng)、軟件是美國(guó)人的，他們是否提前做了防范，還不好說(shuō)。”

北京永信至誠(chéng)科技股份有限公司副總裁張凱告訴《經(jīng)濟(jì)》記者，一方面，Windows全球市場(chǎng)占有率依然是全球第一，任何一個(gè)可遠(yuǎn)程利用的漏洞都能帶來(lái)巨大危害；另一方面，Windows系統(tǒng)在設(shè)計(jì)之初定位為個(gè)人PC，并沒(méi)有為其在Internet環(huán)境中進(jìn)行應(yīng)用作特別的安全設(shè)計(jì)，同時(shí)為了保證在Windows各個(gè)版本之上運(yùn)行軟件的持續(xù)性和兼容性，導(dǎo)致了這次“WannaCry”勒索病毒的微軟MS17-010漏洞在各個(gè)Windows版本中不斷地流傳了下來(lái)。

2014年，OpenSSL心臟出血漏洞導(dǎo)致全球70%的互聯(lián)網(wǎng)網(wǎng)站癱瘓，堪稱網(wǎng)絡(luò)安全里程碑事件。劉權(quán)認(rèn)為，WannaCry也是一次災(zāi)難性的事件，很可能是美國(guó)發(fā)動(dòng)網(wǎng)絡(luò)戰(zhàn)爭(zhēng)的一次預(yù)演。

誰(shuí)為漏洞買(mǎi)單？

2016年10月21日，為大批知名網(wǎng)站提供技術(shù)服務(wù)的Dyn遭遇了一次大規(guī)模的DDoS（分布式拒絕服務(wù)）攻擊，令美國(guó)很多網(wǎng)站癱瘓，也是史上較大規(guī)模的DDoS攻擊事件。香港科技大學(xué)計(jì)算安全實(shí)驗(yàn)室主任張川教授表示，當(dāng)時(shí)黑客控制大量的IoT（物聯(lián)網(wǎng)）設(shè)備如路由器、數(shù)字錄像機(jī)（DVRs）、網(wǎng)絡(luò)攝像頭等，形成僵尸網(wǎng)絡(luò)進(jìn)行DDoS攻擊。

“未來(lái)聯(lián)網(wǎng)的IoT設(shè)備數(shù)量是驚人的，每家都會(huì)有十幾個(gè)IoT設(shè)備，比如智能冰箱、空調(diào)、微波爐。安全問(wèn)題會(huì)尤為嚴(yán)峻?！睆埓ǜ嬖V《經(jīng)濟(jì)》記者，當(dāng)前物聯(lián)網(wǎng)公司過(guò)于追求產(chǎn)品的功能性，安全意識(shí)尤為薄弱?！斑@些日常消費(fèi)品不停地更新迭代，發(fā)展出新的操作模式和商業(yè)模式，導(dǎo)致安全漏洞也會(huì)越來(lái)越多。”去年國(guó)內(nèi)一家IoT企業(yè)生產(chǎn)的攝像頭由于監(jiān)控系統(tǒng)的漏洞被黑客攻擊，“很多監(jiān)控在網(wǎng)上可以隨意看，甚至在家里沖涼、換衣服也能看到，非常可怕?！?/p>

從技術(shù)上來(lái)說(shuō)，越來(lái)越多的白帽子為企業(yè)提供安全服務(wù)，將漏洞報(bào)告給廠商，幫助其及時(shí)修復(fù)漏洞。張瑞欽告訴《經(jīng)濟(jì)》記者，從管理上來(lái)說(shuō)，企業(yè)也需要建立軟件安全生命周期，從需求調(diào)研時(shí)就把安全納入其中，貫穿設(shè)計(jì)、開(kāi)發(fā)、測(cè)試、部署、運(yùn)維全過(guò)程。同時(shí)，物聯(lián)網(wǎng)廠商應(yīng)該提高安全意識(shí)，生產(chǎn)的物聯(lián)網(wǎng)設(shè)備應(yīng)達(dá)到功能性與安全性的平衡。設(shè)備使用者也應(yīng)該提高安全意識(shí)，理清自己維護(hù)的所有IT資產(chǎn)，嚴(yán)格控制網(wǎng)絡(luò)邊界對(duì)外開(kāi)放的端口，關(guān)閉必要的服務(wù)以減少受攻擊的幾率。

“現(xiàn)在為何不能讓軟件生產(chǎn)商為此埋單？WannaCry因微軟漏洞而起，微軟為何不向每個(gè)受影響的人賠錢(qián)呢？”張川希望將來(lái)政府能夠出臺(tái)相關(guān)政策，對(duì)軟件生產(chǎn)商進(jìn)行監(jiān)管。

“軟件不成熟，存在漏洞是很正常的事情。在今年3月微軟為該漏洞制作了一個(gè)補(bǔ)丁，并將其推送給數(shù)百萬(wàn)臺(tái)計(jì)算機(jī)。原則上微軟不應(yīng)承擔(dān)WannaCry事件的責(zé)任?！眲?quán)如是說(shuō)。

預(yù)防網(wǎng)絡(luò)災(zāi)難需釜底抽薪

有媒體稱，英國(guó)受到WannaCry的攻擊主要集中在英國(guó)國(guó)家醫(yī)療服務(wù)體系（NHS），旗下至少有25家醫(yī)院電腦系統(tǒng)癱瘓、救護(hù)車無(wú)法派遣，極有可能延誤病人治療，造成性命之憂。網(wǎng)絡(luò)應(yīng)當(dāng)為生活提供便利，WannaCry卻成了殺人不見(jiàn)血的刀。

黑客組織“影子經(jīng)紀(jì)人”5月17日通過(guò)社交媒體Steemit發(fā)布消息稱，他們將從6月開(kāi)始，以訂閱服務(wù)的形式，每月向付費(fèi)用戶提供更多的國(guó)安局黑客工具和數(shù)據(jù)。這些黑客工具包括了網(wǎng)頁(yè)瀏覽器、路由器和手機(jī)的安全漏洞、微軟Windows10操作系統(tǒng)安全漏洞等。

“網(wǎng)絡(luò)武器是用來(lái)癱瘓整個(gè)網(wǎng)絡(luò)系統(tǒng)的。將來(lái)的核武器可能是軟件漏洞，而不是熱武器。”張川教授在接受《經(jīng)濟(jì)》記者采訪時(shí)表示，現(xiàn)在軟件的規(guī)模呈爆炸式增長(zhǎng)，零日漏洞不會(huì)停止，它會(huì)越來(lái)越危險(xiǎn)和普遍。

在愛(ài)德華·斯諾登披露NSA監(jiān)控國(guó)際Web流量丑聞（棱鏡事件）時(shí)，便引發(fā)了世界人民的公憤。2014年2月，德國(guó)總理阿格拉·默克爾呼吁歐盟創(chuàng)建自己的區(qū)域互聯(lián)網(wǎng)，與美國(guó)隔絕開(kāi)來(lái)。

2014年2月27日，中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組成立，習(xí)近平總書(shū)記明確表示，沒(méi)有網(wǎng)絡(luò)安全就沒(méi)有國(guó)家安全。網(wǎng)絡(luò)安全的重點(diǎn)是網(wǎng)絡(luò)主權(quán)，是解決受制于人的問(wèn)題，要以“兩彈一星”和載人航天精神解決這個(gè)重大問(wèn)題。

呂述望向記者表示，“講網(wǎng)絡(luò)安全就要講‘近平原則，一講主權(quán)，二講不受制于人?！彼J(rèn)為，目前建設(shè)我國(guó)自己的公眾網(wǎng)絡(luò)不能立竿見(jiàn)影，中國(guó)公眾在Internet上淘寶的情景，還需要假以時(shí)日才能改變。

若想從根本上扭轉(zhuǎn)“人為刀俎，我為魚(yú)肉”的局面。呂述望為國(guó)家開(kāi)出了藥方：自建公網(wǎng)和自主開(kāi)展國(guó)際網(wǎng)絡(luò)服務(wù)。一方面，中國(guó)可以自主建設(shè)六七張公眾網(wǎng)絡(luò)供百姓工作和生活使用，擺脫使用美國(guó)因特網(wǎng)受制于人的困局；另一方面，設(shè)立國(guó)際網(wǎng)絡(luò)服務(wù)中心，幫助其他國(guó)家自主建設(shè)網(wǎng)絡(luò)，打破美國(guó)的網(wǎng)絡(luò)霸權(quán)。

劉權(quán)指出，中國(guó)還要發(fā)展獨(dú)立自主的基礎(chǔ)產(chǎn)業(yè)?！凹偃绾诵牡牟僮飨到y(tǒng)、芯片是中國(guó)人開(kāi)發(fā)的，美國(guó)要開(kāi)發(fā)病毒工具會(huì)有一定難度，甚至無(wú)法預(yù)設(shè)的后門(mén)或漏洞操縱它，觸發(fā)大面積災(zāi)難性網(wǎng)絡(luò)危害?！盬annaCry事件，可能會(huì)加快世界各國(guó)去美國(guó)產(chǎn)品的步伐。

從國(guó)家安全的角度來(lái)講，我們使用了太多外來(lái)的技術(shù)、軟件，“我們無(wú)法獲得他們最深層的信息，如何保證自身的安全？”張凱表示，這兩年，國(guó)家很多重要的基礎(chǔ)設(shè)施日趨本地化，并把國(guó)內(nèi)自主研發(fā)的系統(tǒng)，放到關(guān)系國(guó)計(jì)民生重要的部門(mén)?！拔覀儜?yīng)該兩條腿走路，一條腿是利用現(xiàn)在的Internet，另一條是建設(shè)自己更好的網(wǎng)絡(luò)?！?/p>

網(wǎng)絡(luò)安全防護(hù)秘籍

WannaCry另一個(gè)名字叫“永恒之藍(lán)”，是一種蠕蟲(chóng)惡意代碼。北京郵電大學(xué)信息安全中心主任楊義先教授在接受《經(jīng)濟(jì)》記者采訪時(shí)表示，如今代碼已被植入到幾乎所有通信、控制類設(shè)備之中，絕不再是電腦的專利。

如果說(shuō)普通代碼（或善意代碼）是佛，那么，惡意代碼就是魔。楊義先將代碼的危害編成一段朗朗上口的順口溜：“若佛能使無(wú)人駕駛汽車，在滿大街自如穿梭，那魔就能讓車中的你魂飛魄散，或下河，或砸鍋；佛能使衛(wèi)星上天，魔就能讓火箭轉(zhuǎn)彎；佛能讓飛機(jī)自動(dòng)續(xù)航，魔能讓機(jī)長(zhǎng)撞墻；佛讓數(shù)控車床精準(zhǔn)加工，魔讓機(jī)器失控發(fā)瘋；佛讓你輕松轉(zhuǎn)賬，魔讓你無(wú)法上網(wǎng)；……若佛能送你上天堂，魔就送你下地獄，讓你這輩子白忙活?！?/p>

對(duì)于如何防范惡意代碼或軟件，楊義先建議，不要執(zhí)行任何來(lái)歷不明的軟件或程序。用電郵給朋友發(fā)軟件時(shí)，記得叮囑對(duì)方先查毒。在自己電腦上沒(méi)有發(fā)作的病毒，也許會(huì)在朋友電腦上復(fù)活。楊義先強(qiáng)調(diào)，不要因?yàn)閷?duì)方是你的好友，就輕易執(zhí)行發(fā)過(guò)來(lái)的軟件或程序，因?yàn)槟銦o(wú)法確信對(duì)方是否安裝過(guò)病毒防火墻。（感謝北京知識(shí)安全工程中心李長(zhǎng)紅對(duì)本文的幫助）