互聯(lián)網(wǎng)+拷問(wèn)網(wǎng)絡(luò)安全

文/本刊記者　喬寵如　趙　鏑

互聯(lián)網(wǎng)+拷問(wèn)網(wǎng)絡(luò)安全

文/本刊記者喬寵如趙鏑

“居安思危。思則有備，有備而無(wú)患?！?/p>

2010年，中國(guó)經(jīng)濟(jì)總量超越日本，成為全球第二大經(jīng)濟(jì)體。但此后，中國(guó)經(jīng)濟(jì)增速持續(xù)下滑，過(guò)去30多年高速增長(zhǎng)積累的矛盾和風(fēng)險(xiǎn)逐步凸顯。在“十二五”規(guī)劃收官和“十三五”藍(lán)圖開(kāi)啟的重要關(guān)口，《經(jīng)濟(jì)》雜志2015年下半年特別開(kāi)設(shè)“經(jīng)濟(jì)安全”系列報(bào)道，盤(pán)點(diǎn)和前瞻影響中國(guó)經(jīng)濟(jì)的“安”中之“?！?，為社會(huì)主義經(jīng)濟(jì)建設(shè)建言獻(xiàn)策。

今年7月，因向多國(guó)政府機(jī)構(gòu)提供監(jiān)控、竊聽(tīng)等黑客工具而臭名昭著的意大利安全公司Hacking Team發(fā)生大規(guī)模數(shù)據(jù)泄露，涉及Adobe Flash player、Windows字體、Word、Android等程序的大量未公開(kāi)高危漏洞，以及微信、whatsapp、skype等平臺(tái)的木馬后門(mén)程序。

就在相關(guān)廠商緊急開(kāi)發(fā)漏洞補(bǔ)丁、安全公司將漏洞攻擊納入攔截范圍之時(shí)，白帽黑客“路人甲”卻從超過(guò)400G的泄露數(shù)據(jù)中，找出了韓國(guó)、哈薩克斯坦與Hacking Team合作攻擊中國(guó)的郵件證據(jù)。

互聯(lián)網(wǎng)信息技術(shù)早已進(jìn)入我們的生活，面對(duì)各種技術(shù)漏洞，個(gè)人、企業(yè)、政府的安全由誰(shuí)來(lái)保障？“互聯(lián)網(wǎng)+”風(fēng)口浪尖時(shí)期，安全風(fēng)險(xiǎn)如何避免？漏洞頻發(fā)，誰(shuí)來(lái)監(jiān)管？……

國(guó)家級(jí)網(wǎng)絡(luò)安全較量

據(jù)“路人甲”發(fā)布的“Hacking Team泄露數(shù)據(jù)表明韓國(guó)、哈薩克斯坦針對(duì)中國(guó)發(fā)起網(wǎng)絡(luò)攻擊”的調(diào)查報(bào)告指出：韓國(guó)國(guó)情院（NIS）在與Hacking Team來(lái)往的多封郵件中均談到針對(duì)中國(guó)的攻擊，更曾經(jīng)表示希望找到繞過(guò)中國(guó)國(guó)內(nèi)殺毒軟件的辦法；而來(lái)自哈薩克斯坦國(guó)家安全委員會(huì)下屬部門(mén)SIS的一封郵件也表明，可能是由于目標(biāo)電腦安裝了某種殺毒軟件，其植入的監(jiān)控程序已經(jīng)超過(guò)一個(gè)月沒(méi)有再反饋任何信息了。

“一些亞洲地區(qū)國(guó)家正在對(duì)我國(guó)進(jìn)行網(wǎng)絡(luò)攻擊竊密。其中一些攻擊已經(jīng)得手，成功地控制了國(guó)內(nèi)目標(biāo)PC或手機(jī)。攻擊方還會(huì)對(duì)新發(fā)現(xiàn)的問(wèn)題做針對(duì)性的要求，保證更隱秘的監(jiān)控與機(jī)密信息的回傳。”“路人甲”繼續(xù)寫(xiě)道：“然而，如果不是這次互聯(lián)網(wǎng)‘軍火庫(kù)’的泄密事件，我們?nèi)匀粫?huì)被蒙在鼓里。切記！這些都不是電影情節(jié)，而是已經(jīng)真實(shí)發(fā)生的國(guó)家級(jí)網(wǎng)絡(luò)安全較量?！?/p>

然而，更像電影情節(jié)的是《連線》雜志記者Andy Greenberg的親身遭遇。

“我正準(zhǔn)備通過(guò)匝道駛?cè)?4號(hào)洲際高速公路，手機(jī)里傳來(lái)了 Miller 的聲音：‘無(wú)論發(fā)生了什么都不要慌?！又?，車(chē)上的空調(diào)、廣播和雨刷器都開(kāi)始不聽(tīng)使喚，車(chē)速也開(kāi)始下降?！彼麑?xiě)道。日前，他所駕駛的切諾基成為了黑客的“劫持”目標(biāo)。

“我拼命地踩住油門(mén)，轉(zhuǎn)速計(jì)的數(shù)字飆上去了，但車(chē)仍然在龜速爬行，變速器也被他們切斷了！更糟的是，我剛剛才開(kāi)到一段很長(zhǎng)的立交橋上，根本沒(méi)有應(yīng)急車(chē)道。我想起了 Miller 的建議，但是怎么可能不慌？我慌了，手里緊緊攥住手機(jī)，祈求他們趕緊停止惡作劇?！?/p>

萬(wàn)幸的是，這位名叫Charlie Miller的黑客并不是真的要“劫持”汽車(chē)，他只是在評(píng)估那些新技術(shù)車(chē)輛的安全性。在Greenberg之前，他已經(jīng)隨機(jī)選擇了美國(guó)全國(guó)范圍內(nèi)的多輛汽車(chē)進(jìn)行攻擊。

目前，包括世界第七大汽車(chē)制造商——菲亞特克萊斯勒汽車(chē)公司等在內(nèi)的多家汽車(chē)廠商，都開(kāi)始召回可能存在軟件故障的汽車(chē)。

盡管汽車(chē)廠商總是強(qiáng)調(diào)：聯(lián)網(wǎng)的車(chē)載系統(tǒng)并不與控制引擎、變速器等重要部件的CAN總線相連，因此車(chē)聯(lián)網(wǎng)并不會(huì)影響車(chē)輛的行駛安全。但在黑客們看來(lái)，汽車(chē)就是一臺(tái)“計(jì)算機(jī)”。“如果這臺(tái)計(jì)算機(jī)沒(méi)有你想要的功能，重新編程就好了?！盋harlie Miller在8月舉行的 2015 黑帽大會(huì)上說(shuō)。

Hacking Team遠(yuǎn)程控制系統(tǒng)截圖

憑借幾行代碼，Miller可以控制CAN 總線發(fā)送任何指令：包括控制方向盤(pán)、變速器、剎車(chē)系統(tǒng)、雨刮、空調(diào)門(mén)鎖等。這給《連線》雜志的記者帶來(lái)了之前的那些驚悚體驗(yàn)。

同樣地，憑借幾行代碼，白帽黑客閆敏銳在首屆HackPwn安全極客狂歡節(jié)上，現(xiàn)場(chǎng)演示了如何利用海爾Smartcare智能家居的漏洞操縱電器、插拔插座甚至打開(kāi)門(mén)鎖。

看起來(lái)，一切“智能”產(chǎn)品似乎都在網(wǎng)絡(luò)攻擊之下變成了任人宰割的“傻瓜”。

對(duì)此，中國(guó)知名網(wǎng)絡(luò)安全企業(yè)360公司技術(shù)副總裁譚曉生評(píng)論稱(chēng)：“人類(lèi)社會(huì)正在進(jìn)入物聯(lián)網(wǎng)時(shí)代。但是，今天智能硬件的生產(chǎn)商，仍然以傳統(tǒng)的電器廠家為主，而他們?cè)诎踩矫鏇](méi)有任何經(jīng)驗(yàn)，甚至很少考慮安全，這將在下一個(gè)5年帶來(lái)巨大的安全挑戰(zhàn)?！?/p>

網(wǎng)絡(luò)環(huán)境并不安全

美國(guó)最大的移動(dòng)運(yùn)營(yíng)商威瑞森通信公司（Verizon）發(fā)布的報(bào)告顯示：2014年全球共有79790家公司被黑，2122家公司公開(kāi)確認(rèn)信息被竊取，銀行、醫(yī)院、零售業(yè)、保險(xiǎn)業(yè)、電商、娛樂(lè)業(yè)的巨頭們都難以幸免，其中亦不乏全球500強(qiáng)企業(yè)。

大環(huán)境如此，中國(guó)又怎能獨(dú)善其身？

僅在今年上半年，先是補(bǔ)天漏洞平臺(tái)指出多省市社保系統(tǒng)存在高危漏洞，引起了全社會(huì)對(duì)于電子政務(wù)信息系統(tǒng)安全性的擔(dān)憂(yōu)。接著，支付寶和攜程又分別由于“光纜被挖斷”和“數(shù)據(jù)庫(kù)遭到物理刪除”相繼出現(xiàn)長(zhǎng)時(shí)間訪問(wèn)故障，企業(yè)網(wǎng)絡(luò)安全同樣受到考驗(yàn)。

網(wǎng)絡(luò)安全問(wèn)題同樣給當(dāng)前最火熱的O2O澆了一盆冷水。

《經(jīng)濟(jì)》記者從補(bǔ)天漏洞平臺(tái)公布的信息看到，嘀嘀打車(chē)、餓了么、百度外賣(mài)等數(shù)十款流行的O2O應(yīng)用均被曝出存在多個(gè)安全漏洞，極易引發(fā)用戶(hù)信息泄露等問(wèn)題。

僅在今年8月，號(hào)稱(chēng)“中國(guó)最大的餐飲O2O平臺(tái)”餓了么接連被白帽黑客指出存在多處高危漏洞。按照其提交的描述，其中一則漏洞將導(dǎo)致餓了么近120萬(wàn)商戶(hù)信息（包括合同信息、營(yíng)業(yè)執(zhí)照、銀行卡號(hào)、健康證等大量證件原件照片）泄露。目前，漏洞已被餓了么確認(rèn)，正在修復(fù)當(dāng)中。

與此同時(shí)，曾經(jīng)野蠻生長(zhǎng)的P2P也面臨著巨大的網(wǎng)絡(luò)安全問(wèn)題。

2014年，深圳曉風(fēng)安全網(wǎng)貸系統(tǒng)被曝存在高危漏洞，使用該系統(tǒng)的100余家企業(yè)均遭到了不同程度的攻擊，部分企業(yè)暫停了面向客戶(hù)提現(xiàn)、充值等功能，更有多家平臺(tái)由于不堪損失而選擇跑路。

而據(jù)《2014年互聯(lián)網(wǎng)金融行業(yè)安全漏洞分析報(bào)告》的不完全統(tǒng)計(jì)，截至2014年底，已有近165家P2P平臺(tái)由于黑客攻擊造成系統(tǒng)癱瘓、數(shù)據(jù)被惡意篡改、資金被洗劫一空。無(wú)怪乎有人驚呼，中國(guó)P2P已經(jīng)成為“被全世界黑客宰割的羔羊”！

國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心發(fā)布的《第十四次全國(guó)信息網(wǎng)絡(luò)安全狀況暨計(jì)算機(jī)和移動(dòng)終端病毒疫情調(diào)查分析報(bào)告》則顯示：隨著經(jīng)濟(jì)活動(dòng)從線下發(fā)展至線上，互聯(lián)網(wǎng)金融異?；鸨烎~(yú)攻擊猛增。除了傳統(tǒng)釣魚(yú)網(wǎng)站之外，不法分子瞄準(zhǔn)手機(jī)支付用戶(hù)群體，利用仿冒移動(dòng)應(yīng)用、移動(dòng)互聯(lián)網(wǎng)惡意程序、偽基站等多種手段，實(shí)施跨平臺(tái)的釣魚(yú)欺詐攻擊。手機(jī)支付類(lèi)病毒更將通過(guò)“二次打包、仿冒程序、驗(yàn)證碼轉(zhuǎn)發(fā)、監(jiān)控誘導(dǎo)”，深入竊取用戶(hù)支付隱私，并逐步突破銀行、運(yùn)營(yíng)商、第三方支付軟件構(gòu)建的“手機(jī)驗(yàn)證碼+密碼”的雙重認(rèn)證防御，盜取用戶(hù)資金，令人防不勝防。

“個(gè)人認(rèn)為，目前國(guó)內(nèi)的網(wǎng)絡(luò)信息安全，處在一個(gè)不太安全的狀態(tài)?！绷_杰告訴《經(jīng)濟(jì)》記者，與七八年前他剛剛?cè)胄袝r(shí)相比，“已經(jīng)上升了一個(gè)層次”。羅杰在北京銀行負(fù)責(zé)網(wǎng)絡(luò)安全的科技部工作，對(duì)銀行系統(tǒng)的網(wǎng)絡(luò)安全管理頗有了解。

中國(guó)電子信息產(chǎn)業(yè)發(fā)展研究院信息化研究中心副主任肖擁軍則告訴《經(jīng)濟(jì)》記者：“從戰(zhàn)略上，我國(guó)非常重視網(wǎng)絡(luò)安全。習(xí)總書(shū)記曾經(jīng)多次強(qiáng)調(diào)，沒(méi)有網(wǎng)絡(luò)安全，就沒(méi)有國(guó)家安全。但是，我們必須突破核心的軟硬件技術(shù)和產(chǎn)品，才能真正實(shí)現(xiàn)網(wǎng)絡(luò)安全?！?/p>

他舉例指出，國(guó)內(nèi)所使用的諸如芯片、CPU處理器、辦公系統(tǒng)等軟硬件產(chǎn)品，基本都是從國(guó)外采購(gòu)回來(lái)的?！拔矣幸粋€(gè)朋友，專(zhuān)門(mén)做銀行的金融系統(tǒng)，用的就是IBM的產(chǎn)品。還有，大部分政府機(jī)構(gòu)和國(guó)企采用的都是Oracle的辦公平臺(tái)。這些都是國(guó)外的產(chǎn)品。我們的基礎(chǔ)這么薄弱，如果他們安置了‘后門(mén)’，非常容易盜走我們的信息。”

裝雞蛋的籃子都是別人的，又如何保證雞蛋的安全？由此，肖擁軍認(rèn)為，當(dāng)前的網(wǎng)絡(luò)環(huán)境絕對(duì)稱(chēng)不上“安全”。

事實(shí)上，出于對(duì)IBM、Oracle、EMC重型基礎(chǔ)設(shè)施過(guò)度依賴(lài)的憂(yōu)慮，阿里巴巴曾經(jīng)在內(nèi)部發(fā)起“去IOE運(yùn)動(dòng)”。還有不少互聯(lián)網(wǎng)公司，壓根不去考慮這些成熟而昂貴的商業(yè)軟件，而是借助開(kāi)源的軟件系統(tǒng)和框架來(lái)搭建滿(mǎn)足自身需求的產(chǎn)品。

不過(guò)，開(kāi)源平臺(tái)也并沒(méi)有那么安全。2014年，波及全球數(shù)以千萬(wàn)計(jì)服務(wù)器的“心臟流血”事件震驚了全球IT業(yè)。全世界網(wǎng)站服務(wù)器中有三分之二都采用OpenSSL開(kāi)源軟件，而該軟件的“心臟流血”（Heartbleed）安全漏洞，則能夠幫助黑客獲得打開(kāi)服務(wù)器的密鑰，監(jiān)視服務(wù)器的數(shù)據(jù)和流量。時(shí)至今日，在福布斯全球2000強(qiáng)公司中，仍有約四分之三的公司極易受到“心臟流血”安全漏洞的不利影響。

“互聯(lián)網(wǎng)+”，更高的安全需求

2015年6月，第十二屆全國(guó)人大常委會(huì)第十五次會(huì)議初次審議了《中華人民共和國(guó)網(wǎng)絡(luò)安全法（草案）》，7月6日，該草案向社會(huì)公開(kāi)征求意見(jiàn)。截至8月4日中午，中國(guó)人大網(wǎng)已收到關(guān)于《網(wǎng)絡(luò)安全法（草案）》的意見(jiàn)逾3000條。

《經(jīng)濟(jì)》記者注意到，草案要求互聯(lián)網(wǎng)公司進(jìn)行審查、用戶(hù)實(shí)名登記、數(shù)據(jù)本地化以及協(xié)助政府實(shí)施監(jiān)控，無(wú)疑，這些舉措將加強(qiáng)政府部門(mén)對(duì)于互聯(lián)網(wǎng)環(huán)境的控制，在一定程度上保障網(wǎng)絡(luò)安全。

北京郵電大學(xué)國(guó)際學(xué)院院長(zhǎng)李預(yù)曉則指出，中國(guó)網(wǎng)絡(luò)空間安全立法的核心問(wèn)題，就是要解決國(guó)家網(wǎng)絡(luò)安全的問(wèn)題?！傲⒎☉?yīng)當(dāng)明確：在網(wǎng)絡(luò)空間中，國(guó)家的權(quán)利義務(wù)和責(zé)任、對(duì)國(guó)家基礎(chǔ)設(shè)施的保護(hù)以及相應(yīng)的技術(shù)保障能力等。尤其需要強(qiáng)調(diào)的是，中國(guó)網(wǎng)絡(luò)空間安全立法中一定要有可適用于全球的內(nèi)容，或者說(shuō)是可以讓別國(guó)接受的內(nèi)容?！?/p>

就在草案公開(kāi)征求意見(jiàn)的前兩天，國(guó)務(wù)院發(fā)布《關(guān)于積極推進(jìn)“互聯(lián)網(wǎng)+”行動(dòng)的指導(dǎo)意見(jiàn)》，其中提到：到2018年，互聯(lián)網(wǎng)與經(jīng)濟(jì)社會(huì)各領(lǐng)域的融合發(fā)展進(jìn)一步深化，基于互聯(lián)網(wǎng)的新業(yè)態(tài)成為新的經(jīng)濟(jì)增長(zhǎng)動(dòng)力，互聯(lián)網(wǎng)支撐大眾創(chuàng)業(yè)、萬(wàn)眾創(chuàng)新的作用進(jìn)一步增強(qiáng)，互聯(lián)網(wǎng)成為提供公共服務(wù)的重要手段，網(wǎng)絡(luò)經(jīng)濟(jì)與實(shí)體經(jīng)濟(jì)協(xié)同互動(dòng)的發(fā)展格局基本形成。更指出，農(nóng)業(yè)、制造業(yè)、能源、金融和公共服務(wù)等11個(gè)領(lǐng)域，將是“互聯(lián)網(wǎng)+”的戰(zhàn)略重點(diǎn)。

隨著云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)等IT技術(shù)的飛速發(fā)展，“互聯(lián)網(wǎng)+”已經(jīng)成為國(guó)家和產(chǎn)業(yè)的共識(shí)。但我們必須認(rèn)識(shí)到，全社會(huì)在分享互聯(lián)網(wǎng)高效、便捷、智能的同時(shí)，也要承受更多攻擊和挑戰(zhàn)。而適用于PC時(shí)代的防火墻、IPS和各種網(wǎng)關(guān)等傳統(tǒng)安全防護(hù)產(chǎn)品，顯然已經(jīng)過(guò)時(shí)，網(wǎng)絡(luò)安全又該如何保證？

“技防”+“人防”，打造網(wǎng)絡(luò)安全

實(shí)際上，安全企業(yè)也在積極實(shí)踐“互聯(lián)網(wǎng)+”。不過(guò)，就在安全企業(yè)借助大數(shù)據(jù)開(kāi)發(fā)新一代威脅感知系統(tǒng)，并聲稱(chēng)能夠“提前洞悉各種安全威脅”時(shí)，他們可能還不知道，“攻擊方已經(jīng)偷偷地實(shí)現(xiàn)了機(jī)器自學(xué)習(xí)的完全自動(dòng)化攻擊手段”，白帽黑客王音說(shuō)。

“就好像你在北方大修特修長(zhǎng)城，攻擊者卻選擇直接從渤海開(kāi)船繞到你后方?！痹谒磥?lái)，未來(lái)網(wǎng)絡(luò)攻防的可能趨勢(shì)是：做防御的在為擁有海量日志分析技術(shù)、攻擊特征攔截技術(shù)而自豪的時(shí)候，搞攻擊的卻帶著“黑科技”不再出現(xiàn)在這個(gè)世界，讓防守方沉浸在自?shī)首詷?lè)中無(wú)法自拔。

他甚至略帶悲觀地認(rèn)為：“對(duì)于處于防御場(chǎng)景的甲方，哪怕只被黑過(guò)一次，只要被黑客帶走的信息足夠多，黑客們下次依然能夠借助以往獲取的信息再次黑進(jìn)來(lái)?！?/p>

羅杰則告訴《經(jīng)濟(jì)》記者，盡管?chē)?guó)內(nèi)的網(wǎng)絡(luò)安全在技術(shù)層面還有很大的提升空間，但在他看來(lái)，更需要關(guān)注的是“人防”?！凹夹g(shù)防御確實(shí)能夠解決大部分的安全問(wèn)題，但‘人防’才是關(guān)鍵，因?yàn)榧夹g(shù)的使用主體是人。只有‘技防’和‘人防’都安全，才能營(yíng)造一個(gè)相對(duì)安全的環(huán)境?！?/p>

這與北京郵電大學(xué)信息安全中心教授辛陽(yáng)的觀點(diǎn)不謀而合。

辛陽(yáng)告訴《經(jīng)濟(jì)》記者，在我國(guó)，國(guó)防、金融和公安領(lǐng)域?qū)π畔踩瞬诺男枨蠓浅＞薮?。不僅網(wǎng)絡(luò)技術(shù)的滲透、防御和技術(shù)研發(fā)等工作的技術(shù)門(mén)檻較高，政府部門(mén)的信息安全戰(zhàn)略規(guī)劃、立法、司法乃至管理也都十分依賴(lài)專(zhuān)業(yè)人才。

遺憾的是，當(dāng)前我國(guó)信息安全人才仍然主要通過(guò)高校進(jìn)行“不夠完善的”培養(yǎng)。“所有信息安全專(zhuān)業(yè)都是二級(jí)學(xué)科，有的隸屬于數(shù)學(xué)專(zhuān)業(yè)，有的被歸類(lèi)到計(jì)算機(jī)科學(xué)與技術(shù)之下，在課程體系方面，缺乏統(tǒng)一的標(biāo)準(zhǔn)。更要命的是，重理論、輕實(shí)踐，這是我國(guó)高校信息安全專(zhuān)業(yè)人才培養(yǎng)體系的通病?！?/p>

“網(wǎng)絡(luò)安全已經(jīng)上升到國(guó)家戰(zhàn)略的高度。而網(wǎng)絡(luò)空間的安全保障，歸根到底還是安全人才的保障?！毙陵?yáng)說(shuō)，一方面，要加強(qiáng)專(zhuān)業(yè)人才的培養(yǎng)，另一方面，也應(yīng)當(dāng)重視公民安全意識(shí)的普及。在他看來(lái)，如果全民都重視信息安全，注意培養(yǎng)安全習(xí)慣，遵守相應(yīng)的安全規(guī)則，國(guó)家安全戰(zhàn)略層面的許多問(wèn)題自然也就迎刃而解了。

“在國(guó)內(nèi)的一些漏洞修補(bǔ)平臺(tái)，比如烏云和補(bǔ)天，每天都會(huì)有不少大型網(wǎng)站被曝出漏洞，這一方面反映出了我國(guó)網(wǎng)絡(luò)安全存在不足。” 羅杰表示，“另一方面，也說(shuō)明大量的技術(shù)人才在關(guān)注網(wǎng)絡(luò)安全問(wèn)題。很多廠商還設(shè)置了獎(jiǎng)勵(lì)計(jì)劃，鼓勵(lì)‘白帽子’提交漏洞，改善國(guó)內(nèi)的網(wǎng)絡(luò)安全環(huán)境。這也是一個(gè)進(jìn)步。”（羅杰為化名）