黃芳芳

今年4月在杭州舉辦的2017中國“互聯(lián)網(wǎng)+”數(shù)字經(jīng)濟(jì)峰會上，娃哈哈集團(tuán)董事長宗慶后向騰訊公司董事會主席馬化騰發(fā)問：“我們互聯(lián)網(wǎng)公司后臺，也就是服務(wù)器，在美國人手里還是自己手里？”馬化騰卻顧左右而言他。

然而，在宗慶后之問的背后，我們不得不面臨另一個(gè)更加駭人的事實(shí)——中國沒有自己的互聯(lián)網(wǎng)。

“您如何看待此次WannaCry事件？”記者見到中科院信息安全國家重點(diǎn)實(shí)驗(yàn)室教授、北京知識安全工程中心主任呂述望時(shí)，迫不及待地問出第一個(gè)問題。

“看重圍棋上的一個(gè)棋子無妨，但也不能忽視全局。”呂述望說。

“我不主張把因特網(wǎng)翻譯成互聯(lián)網(wǎng)！可以簡單地說，中國公眾使用的網(wǎng)絡(luò)是美國因特網(wǎng)的一部分?？鋸堻c(diǎn)說，中國億萬公眾在美國因特網(wǎng)上淘寶。”呂述望表示，“中國沒有自己的互聯(lián)網(wǎng)?！?img alt="" src="https://cimg.fx361.com/images/2017/07/07/jiji201711jiji20171108-1-l.jpg" style="">

目前我們使用美國人發(fā)明的因特網(wǎng)（Internet），它是由一個(gè)主根控制的網(wǎng)絡(luò)，控制權(quán)在美國，因而不是真正意義上的互聯(lián)網(wǎng)?！澳阌幸粡埦W(wǎng)，我有一張網(wǎng)，二者在平等的基礎(chǔ)上連接起來才叫互聯(lián)網(wǎng)。”

1994年4月20日，中國計(jì)算機(jī)信息系統(tǒng)全功能接入Internet。呂述望指出，事實(shí)卻是改造中國民用網(wǎng)絡(luò)為租用美網(wǎng)的輔助工程。我們租用美國的網(wǎng)，美國一旦關(guān)閉網(wǎng)絡(luò)，中國百姓什么網(wǎng)都沒有了?！氨热缥覈鴮⒁粚】怠⒂蟹敝衬芰Φ拇笮茇埶椭疗渌麌疫M(jìn)行為期10年的合作研究，其繁殖的后代歸中方所有。若大熊貓意外死亡，其遺體也歸中方所有。這是租和自有的區(qū)別?！本W(wǎng)絡(luò)空間被喻為第五活動空間的，雖然虛擬無形，卻是當(dāng)前最重要的疆域。而美國用.net.com.cn三個(gè)級別管理了中國7億多百姓?！叭魏我粋€(gè)愛國的人都可以看出端倪?！眳问鐾拥卣f。

漏洞是新型“武器”

“在網(wǎng)絡(luò)方面，我們的確受制于人?！敝袊娮有畔a(chǎn)業(yè)發(fā)展研究院網(wǎng)絡(luò)空間研究所所長劉權(quán)在接受《經(jīng)濟(jì)》記者采訪時(shí)對呂述望的觀點(diǎn)表示認(rèn)同?！盎A(chǔ)的操作系統(tǒng)和核心的芯片也不掌握在自己手中，如此一來，類似WannaCry的零日漏洞真是防不勝防。”

今年5月初，英特爾發(fā)布消息稱其所有具有遠(yuǎn)程控制功能的芯片中都存在一個(gè)嚴(yán)重的漏洞，可以讓攻擊者獲得目標(biāo)電腦的一切權(quán)限?！坝⑻貭柕穆┒矗?年后才發(fā)出補(bǔ)丁修復(fù)。”通付盾安全部總經(jīng)理張瑞欽告訴《經(jīng)濟(jì)》記者。國內(nèi)很多企業(yè)使用國外制造的網(wǎng)絡(luò)設(shè)備可能存有很多漏洞、后門。

美國國家安全局（NSA）有自己的網(wǎng)絡(luò)部隊(duì)，專門挖掘、囤積，甚至在黑市購買目前市面上流行的操作系統(tǒng)、軟件的漏洞，作為自己的網(wǎng)絡(luò)武器。此次勒索病毒所使用的工具是NSA制造的。張瑞欽表示，WannaCry讓我們看清美國在網(wǎng)絡(luò)攻擊方面領(lǐng)先其他國家很多年。冰山之下的零日漏洞掌握在美國人手中，有朝一日，他們在打網(wǎng)絡(luò)戰(zhàn)時(shí)都是致命的“武器”。

“WannaCry最先在歐洲發(fā)起，離得最近的俄羅斯受災(zāi)最為嚴(yán)重?！眲?quán)指出，目前美國的損失較小，不知后續(xù)是否會遭到攻擊?！昂诵牡牟僮飨到y(tǒng)、軟件是美國人的，他們是否提前做了防范，還不好說?！?/p>

北京永信至誠科技股份有限公司副總裁張凱告訴《經(jīng)濟(jì)》記者，一方面，Windows全球市場占有率依然是全球第一，任何一個(gè)可遠(yuǎn)程利用的漏洞都能帶來巨大危害；另一方面，Windows系統(tǒng)在設(shè)計(jì)之初定位為個(gè)人PC，并沒有為其在Internet環(huán)境中進(jìn)行應(yīng)用作特別的安全設(shè)計(jì)，同時(shí)為了保證在Windows各個(gè)版本之上運(yùn)行軟件的持續(xù)性和兼容性，導(dǎo)致了這次“WannaCry”勒索病毒的微軟MS17-010漏洞在各個(gè)Windows版本中不斷地流傳了下來。

2014年，OpenSSL心臟出血漏洞導(dǎo)致全球70%的互聯(lián)網(wǎng)網(wǎng)站癱瘓，堪稱網(wǎng)絡(luò)安全里程碑事件。劉權(quán)認(rèn)為，WannaCry也是一次災(zāi)難性的事件，很可能是美國發(fā)動網(wǎng)絡(luò)戰(zhàn)爭的一次預(yù)演。

誰為漏洞買單？

2016年10月21日，為大批知名網(wǎng)站提供技術(shù)服務(wù)的Dyn遭遇了一次大規(guī)模的DDoS（分布式拒絕服務(wù)）攻擊，令美國很多網(wǎng)站癱瘓，也是史上較大規(guī)模的DDoS攻擊事件。香港科技大學(xué)計(jì)算安全實(shí)驗(yàn)室主任張川教授表示，當(dāng)時(shí)黑客控制大量的IoT（物聯(lián)網(wǎng)）設(shè)備如路由器、數(shù)字錄像機(jī)（DVRs）、網(wǎng)絡(luò)攝像頭等，形成僵尸網(wǎng)絡(luò)進(jìn)行DDoS攻擊。

“未來聯(lián)網(wǎng)的IoT設(shè)備數(shù)量是驚人的，每家都會有十幾個(gè)IoT設(shè)備，比如智能冰箱、空調(diào)、微波爐。安全問題會尤為嚴(yán)峻。”張川告訴《經(jīng)濟(jì)》記者，當(dāng)前物聯(lián)網(wǎng)公司過于追求產(chǎn)品的功能性，安全意識尤為薄弱。“這些日常消費(fèi)品不停地更新迭代，發(fā)展出新的操作模式和商業(yè)模式，導(dǎo)致安全漏洞也會越來越多?！比ツ陣鴥?nèi)一家IoT企業(yè)生產(chǎn)的攝像頭由于監(jiān)控系統(tǒng)的漏洞被黑客攻擊，“很多監(jiān)控在網(wǎng)上可以隨意看，甚至在家里沖涼、換衣服也能看到，非?？膳??！?/p>

從技術(shù)上來說，越來越多的白帽子為企業(yè)提供安全服務(wù)，將漏洞報(bào)告給廠商，幫助其及時(shí)修復(fù)漏洞。張瑞欽告訴《經(jīng)濟(jì)》記者，從管理上來說，企業(yè)也需要建立軟件安全生命周期，從需求調(diào)研時(shí)就把安全納入其中，貫穿設(shè)計(jì)、開發(fā)、測試、部署、運(yùn)維全過程。同時(shí)，物聯(lián)網(wǎng)廠商應(yīng)該提高安全意識，生產(chǎn)的物聯(lián)網(wǎng)設(shè)備應(yīng)達(dá)到功能性與安全性的平衡。設(shè)備使用者也應(yīng)該提高安全意識，理清自己維護(hù)的所有IT資產(chǎn)，嚴(yán)格控制網(wǎng)絡(luò)邊界對外開放的端口，關(guān)閉必要的服務(wù)以減少受攻擊的幾率。

“現(xiàn)在為何不能讓軟件生產(chǎn)商為此埋單？WannaCry因微軟漏洞而起，微軟為何不向每個(gè)受影響的人賠錢呢？”張川希望將來政府能夠出臺相關(guān)政策，對軟件生產(chǎn)商進(jìn)行監(jiān)管。

“軟件不成熟，存在漏洞是很正常的事情。在今年3月微軟為該漏洞制作了一個(gè)補(bǔ)丁，并將其推送給數(shù)百萬臺計(jì)算機(jī)。原則上微軟不應(yīng)承擔(dān)WannaCry事件的責(zé)任?！眲?quán)如是說。

預(yù)防網(wǎng)絡(luò)災(zāi)難需釜底抽薪

有媒體稱，英國受到WannaCry的攻擊主要集中在英國國家醫(yī)療服務(wù)體系（NHS），旗下至少有25家醫(yī)院電腦系統(tǒng)癱瘓、救護(hù)車無法派遣，極有可能延誤病人治療，造成性命之憂。網(wǎng)絡(luò)應(yīng)當(dāng)為生活提供便利，WannaCry卻成了殺人不見血的刀。

黑客組織“影子經(jīng)紀(jì)人”5月17日通過社交媒體Steemit發(fā)布消息稱，他們將從6月開始，以訂閱服務(wù)的形式，每月向付費(fèi)用戶提供更多的國安局黑客工具和數(shù)據(jù)。這些黑客工具包括了網(wǎng)頁瀏覽器、路由器和手機(jī)的安全漏洞、微軟Windows10操作系統(tǒng)安全漏洞等。

“網(wǎng)絡(luò)武器是用來癱瘓整個(gè)網(wǎng)絡(luò)系統(tǒng)的。將來的核武器可能是軟件漏洞，而不是熱武器?！睆埓ń淌谠诮邮堋督?jīng)濟(jì)》記者采訪時(shí)表示，現(xiàn)在軟件的規(guī)模呈爆炸式增長，零日漏洞不會停止，它會越來越危險(xiǎn)和普遍。

在愛德華·斯諾登披露NSA監(jiān)控國際Web流量丑聞（棱鏡事件）時(shí)，便引發(fā)了世界人民的公憤。2014年2月，德國總理阿格拉·默克爾呼吁歐盟創(chuàng)建自己的區(qū)域互聯(lián)網(wǎng)，與美國隔絕開來。

2014年2月27日，中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組成立，習(xí)近平總書記明確表示，沒有網(wǎng)絡(luò)安全就沒有國家安全。網(wǎng)絡(luò)安全的重點(diǎn)是網(wǎng)絡(luò)主權(quán)，是解決受制于人的問題，要以“兩彈一星”和載人航天精神解決這個(gè)重大問題。

呂述望向記者表示，“講網(wǎng)絡(luò)安全就要講‘近平原則，一講主權(quán)，二講不受制于人?！彼J(rèn)為，目前建設(shè)我國自己的公眾網(wǎng)絡(luò)不能立竿見影，中國公眾在Internet上淘寶的情景，還需要假以時(shí)日才能改變。

若想從根本上扭轉(zhuǎn)“人為刀俎，我為魚肉”的局面。呂述望為國家開出了藥方：自建公網(wǎng)和自主開展國際網(wǎng)絡(luò)服務(wù)。一方面，中國可以自主建設(shè)六七張公眾網(wǎng)絡(luò)供百姓工作和生活使用，擺脫使用美國因特網(wǎng)受制于人的困局；另一方面，設(shè)立國際網(wǎng)絡(luò)服務(wù)中心，幫助其他國家自主建設(shè)網(wǎng)絡(luò)，打破美國的網(wǎng)絡(luò)霸權(quán)。

劉權(quán)指出，中國還要發(fā)展獨(dú)立自主的基礎(chǔ)產(chǎn)業(yè)?！凹偃绾诵牡牟僮飨到y(tǒng)、芯片是中國人開發(fā)的，美國要開發(fā)病毒工具會有一定難度，甚至無法預(yù)設(shè)的后門或漏洞操縱它，觸發(fā)大面積災(zāi)難性網(wǎng)絡(luò)危害?！盬annaCry事件，可能會加快世界各國去美國產(chǎn)品的步伐。

從國家安全的角度來講，我們使用了太多外來的技術(shù)、軟件，“我們無法獲得他們最深層的信息，如何保證自身的安全？”張凱表示，這兩年，國家很多重要的基礎(chǔ)設(shè)施日趨本地化，并把國內(nèi)自主研發(fā)的系統(tǒng)，放到關(guān)系國計(jì)民生重要的部門。“我們應(yīng)該兩條腿走路，一條腿是利用現(xiàn)在的Internet，另一條是建設(shè)自己更好的網(wǎng)絡(luò)?！?/p>

網(wǎng)絡(luò)安全防護(hù)秘籍

WannaCry另一個(gè)名字叫“永恒之藍(lán)”，是一種蠕蟲惡意代碼。北京郵電大學(xué)信息安全中心主任楊義先教授在接受《經(jīng)濟(jì)》記者采訪時(shí)表示，如今代碼已被植入到幾乎所有通信、控制類設(shè)備之中，絕不再是電腦的專利。

如果說普通代碼（或善意代碼）是佛，那么，惡意代碼就是魔。楊義先將代碼的危害編成一段朗朗上口的順口溜：“若佛能使無人駕駛汽車，在滿大街自如穿梭，那魔就能讓車中的你魂飛魄散，或下河，或砸鍋；佛能使衛(wèi)星上天，魔就能讓火箭轉(zhuǎn)彎；佛能讓飛機(jī)自動續(xù)航，魔能讓機(jī)長撞墻；佛讓數(shù)控車床精準(zhǔn)加工，魔讓機(jī)器失控發(fā)瘋；佛讓你輕松轉(zhuǎn)賬，魔讓你無法上網(wǎng)；……若佛能送你上天堂，魔就送你下地獄，讓你這輩子白忙活。”

對于如何防范惡意代碼或軟件，楊義先建議，不要執(zhí)行任何來歷不明的軟件或程序。用電郵給朋友發(fā)軟件時(shí)，記得叮囑對方先查毒。在自己電腦上沒有發(fā)作的病毒，也許會在朋友電腦上復(fù)活。楊義先強(qiáng)調(diào)，不要因?yàn)閷Ψ绞悄愕暮糜?，就輕易執(zhí)行發(fā)過來的軟件或程序，因?yàn)槟銦o法確信對方是否安裝過病毒防火墻。（感謝北京知識安全工程中心李長紅對本文的幫助）