我的位置 首页  >  新闻动态  >  国内新闻

专访 | 倪光南院士:网络安全要发展自主核心技术

来源:科技成果转化中心时间:2017-12-26
      

本刊记者:袁胜

作为网信领域的资深专家,倪光南院士总结了他对于我国2017年网信领域的几个重要印象,并再次呼吁加快发展我国信息化领域自主核心技术。

记者:2017年网络安全您认为可以用哪个词来表达?

倪光南:“构建网络空间命运共同体”可以作为我国网络安全领域的一个重要的关键词。

在不久前召开的第四届世界互联网大会上,习总书记的贺信提出要“发展数字经济,促进开放共享,构建网络空间命运共同体”,他并就共同构建网络空间命运共同体提出了5点主张,其中的第四点“保障网络安全,促进有序发展”以及第五点“构建互联网治理体系,促进公平正义”都属于网络空间安全的范畴。由此可见,网络安全不是个别国家面对的问题,而是全球性挑战,没有哪个国家能够置身事外、独善其身,维护网络安全是国际社会的共同责任。因此,在国家层面上,人们认识到“没有网络安全就没有国家安全”,而在全球层面上,人们也认识到,没有网络安全,就不能构建网络空间命运共同体。这样,我们要把网络安全放在全球的大环境下考量,将构建网络空间命运共同体作为网络安全的总目标。

记者:您认为2017年的网络安全最重要的进展是什么?

倪光南:2017年,我国网络安全领域的重要进展是:国家《网络安全法》及其重要配套法规《网络产品和服务安全审查办法》已经生效,这对于增强我国网络安全有重大意义。现在应当依法治网,切实贯彻实行这些法规。当然,网络相关法规还需要继续制订和完善,提高人们的法制观念也是一个长期的任务。但2017年这方面的进展显然是巨大的,具有长期的、重要的影响。

记者:今年的安全事件哪个让您印象最深?

倪光南:本年内“永恒之蓝”勒索病毒爆发和“Mirai病毒”僵尸物联网袭击,都给广大民众以深刻印象。这些事件说明网络空间斗争形势仍然十分严峻,人们不能有丝毫的松懈和麻痹。而且,应当看到,目前出现的这些攻击只是“网络武库”中数以千计的“网络武器”中的几个而已,可以说只是“冰山之一角”。因此我们必须大力增强网络安全,尤其是要发展自主可控的软硬件,因为现在大量使用的进口软硬件都是这些“网络武器”设置的攻击目标,因而在这类攻击面前往往难以防范,处于被动挨打的地位。而且这类攻击会不断露出水面,不断造成危害,我们应当作出根本性的应对措施,争取尽快改变这种局面。

记者:据您观察,2017年网络安全的核心技术有哪些发展?

倪光南:2017年4月18日,我参加了中国网络空间协会(CSAC)在北京召开的一次操作系统漏洞研讨会,这个漏洞被称为“脏牛(Dirty Cow)漏洞”,它是Linux内核存储子系统在处理写复制(COW)时,因出现竞争状态而破坏了私有只读存储映射所导致的,借助这一漏洞,一个非特权本地用户可获得对原先为只读存储映射的写权限,从而提升他们在系统中的权限。

会上,国防科技大学杨力祥教授领衔的操作系统团队,基于多年来对Linux进行的深入研究和积累的丰富经验,向与会专家介绍了该漏洞的机理、对现有补丁的评估以及自行设计的补丁方案。实际上,现在该漏洞的补丁是Linux的发明者Linus Torvalds本人所提供的。杨教授团队对其评估认为,这一补丁更多地着眼于效率,而并未完全消除竞争。他们团队则提出了变通的补丁方案,更多地着眼于安全,而在效率方面仅付出很小的代价。

杨教授预言,Linus Torvalds所设计的补丁,并没有消除引发Dirty Cow漏洞的源头——竞争,因此可能还会出问题。半年之后,他的这一预言得到了证实。最近有关方面发现,Dirty Cow漏洞(CVE-2016-5195)并未得到完全修复,一个被称为“Huge Dirty Cow”的漏洞(CVE-2017-1000405)再次袭来,它正是利用了未被消除的竞争,使用了与原先攻击类似的手段。

实践表明,补丁审计在安全开发生命周期当中的重要性,即使是高关注度漏洞也可能得不到完善的补丁修复。这种情况不仅出现在闭源软件层面,开源软件也同样会受到影响。因此要掌握网络空间斗争的主动权,需要有高水平的研发团队,能真正掌握OS、CPU和其他核心技术,使用自己研发、自主创新的核心技术。否则的话,使用外国提供的、不开放的、未被掌握的核心技术,都只能处于消极被动的境地,包括难以事先发现漏洞,难以分析漏洞机理,难以自打补丁,难以评估补丁,难以避免后门⋯⋯总之,在网络空间斗争中只能处于被动挨打的地位。显然,在这种情况下,谈不上建设网络强国。

记者:对2018年,您对网络安全工作有哪些期许?

倪光南:面对网络空间斗争的严峻形势,结合上述关于“脏牛漏洞”的研讨,使人们深刻地认识到,像操作系统这类关键核心技术,不能设想别人会将它送给你、卖给你或与你合作共享⋯⋯因为谁掌握了这个技术,谁就在网络空间斗争中掌握了主动权;反之,就会处于被动挨打的地位。天上不会掉馅饼,世界上没有免费的午餐,要想不付出艰巨努力,就能掌握核心技术,都是自欺欺人,想通过“引进”、“合作”,掌握操作系统等核心技术,都是一厢情愿,或者是“忽悠”,根本不可能解决我们在核心技术上受制于人的问题。建议大家要重温习总书记2013年12月20日《在中国工程院一份建议上的批示》,遵循批示所提出的发展核心技术设备的方针政策,坚定不移地通过自主创新,发展自主可控的国产操作系统,加快推进国产自主可控替代计划,构建安全可控的信息技术体系。其中,以国产操作系统替代Win10之类不可控的操作系统是一个重点。我们应当不忘初心、牢记使命,为实现建设网络强国的伟大目标而永远奋斗。

(本文刊登于《中国信息安全》杂志2018年第1期)

文章来源:中国信息安全

1517474194600034232.png


       (科技成果转化中心供稿)