本刊記者｜姜紅德

5月13日凌晨，烏云網(wǎng)公布了一個編號為WooYun-2014-60627的安全漏洞，根據(jù)這個漏洞的描述，小米論壇的用戶信息遭到泄露。有評論稱部分用戶收到了詐騙電話，“電話源頭能提供用戶的準確信息，姓名，地址，電話，商品購買記錄等等，以貨到付款的方式進行產(chǎn)品推銷及其他詐騙行為”。小米官方網(wǎng)站隨后確認有部分2012年8月份前注冊的用戶密碼泄露,可能影響的用戶群體達到800萬。這是繼今年攜程用戶泄密以來國內(nèi)另外一起大規(guī)模網(wǎng)絡泄密事件，加上最近鬧得沸沸揚揚的OPenSSL漏洞泄密，其影響遠超過之前CSDN網(wǎng)絡泄密。

目前我國網(wǎng)絡安全問題因為硬件、軟件技術(shù)及相關(guān)標準的缺失已經(jīng)非常迫切，有關(guān)國家政策和組織機構(gòu)的確立是最及時的決策和彌補。今年2月份，針對國家網(wǎng)絡安全的挑戰(zhàn)，中央網(wǎng)絡安全和信息化領(lǐng)導小組成立，標志著我國已經(jīng)將網(wǎng)絡安全提到了國家戰(zhàn)略的高度，打造一張安全網(wǎng)絡已經(jīng)不是“紙上談兵”。

互聯(lián)網(wǎng)技術(shù)和應用帶來的海量數(shù)據(jù)爆發(fā)性增長后，其安全問題逐漸顯現(xiàn)，各類網(wǎng)絡攻擊、信息泄密、網(wǎng)絡謠言等網(wǎng)絡安全事件頻發(fā)。

網(wǎng)絡上的中國安全現(xiàn)狀

“中國已經(jīng)是一個網(wǎng)絡大國，但大而不強?！痹谑锥季W(wǎng)絡安全日“企業(yè)級信息安全技術(shù)高峰論壇暨中關(guān)村信息安全產(chǎn)業(yè)聯(lián)盟移動計算工作組成立儀式”上，國家信息化專家咨詢委員會委員汪玉凱表示，網(wǎng)絡大而不強有四個標志：中國信息化排名不斷下降；寬帶建設(shè)比較落后；自主創(chuàng)新動力不足，關(guān)鍵技術(shù)受制于人；我國不同地區(qū)間“數(shù)字鴻溝”問題突出。

據(jù)權(quán)威機構(gòu)統(tǒng)計的數(shù)據(jù)顯示，目前我國互聯(lián)網(wǎng)用戶已經(jīng)超過6億，同時互聯(lián)網(wǎng)企業(yè)的數(shù)量和規(guī)模正迅猛增長。互聯(lián)網(wǎng)技術(shù)和應用帶來的海量數(shù)據(jù)爆發(fā)性增長后，其安全問題逐漸顯現(xiàn)，各類網(wǎng)絡攻擊、信息泄密、網(wǎng)絡謠言等網(wǎng)絡安全事件頻發(fā)。諸如中國人壽80萬頁保單泄露，如家和漢庭等多家商業(yè)酒店用戶信息泄露、圓通速遞快件單信息倒賣等信息泄露事件等；“套餐竊賊”竊取70萬用戶信息、“支付鬼手”木馬侵害手機支付安全、三星Galaxy S4出現(xiàn)高危短信欺詐漏洞、新型詐騙短信威脅移動安全、百度云盤手機版高危漏洞等等。

另一個在網(wǎng)絡安全行業(yè)鬧得沸沸揚揚的是OpenSSL漏洞。目前多數(shù)SSL加密網(wǎng)站都是用名為OpenSSL的開源軟件包，其漏洞也被業(yè)界稱之為“心臟出血”。今年4月9日上午，北京大學和清華大學某項網(wǎng)絡服務被檢測到存在“心臟出血”漏洞，同時也監(jiān)測到來自北京聯(lián)通的一個IP針對這些服務進行漏洞探測。360首席運營官譚曉生說，黑客通過“心臟出血”漏洞竊取數(shù)據(jù)，以64K為單位，一個包一個包地偷。SSL標準包含一個心跳選項，允許SSL連接一端的電腦發(fā)出一條簡短的信息，確認另一端的電腦仍然在線，并獲取反饋。除了PC網(wǎng)站之外，移動互聯(lián)網(wǎng)同樣廣受其害。

與此同時，隨著“斯諾登事件”的曝光，來自網(wǎng)絡空間上的全球爭奪戰(zhàn)也在打響。美國等大國紛紛加強網(wǎng)絡防御，加大在網(wǎng)絡空間的部署，國家級網(wǎng)絡沖突的風險進一步增加。其次，西方國家頻繁啟動貿(mào)易保護安全壁壘，信息安全也成為中興、華為等企業(yè)進入歐美市場的主要爭論焦點。

今年正好是中國全面接入互聯(lián)網(wǎng)20周年，各有關(guān)部門和行業(yè)負責人都對互聯(lián)網(wǎng)20年現(xiàn)象進行了熱烈的討論，其中一個重要問題也是網(wǎng)絡安全。工業(yè)和信息化部軟件與集成電路促進中心主任邱善勤表示，目前我國關(guān)鍵信息系統(tǒng)主要面臨設(shè)備被控、數(shù)據(jù)被竊及業(yè)務被癱三類威脅。在美國“八大金剛”面前，我國的信息化應用系統(tǒng)幾乎是“裸奔”狀況。

隨著信息化和網(wǎng)絡化的快速推進，各類網(wǎng)絡安全事件的影響程度將逐步加大，經(jīng)濟信息安全問題日益顯現(xiàn)，網(wǎng)絡安全保障需求也在快速增長。我們迫切需要重視網(wǎng)絡安全發(fā)展戰(zhàn)略，提升網(wǎng)絡安全的保障能力，建起一張堅固可靠可信的安全網(wǎng)絡。

建立全面的安全網(wǎng)絡

2014年紐約時報爆出美國國安局竊取了華為的產(chǎn)品源代碼和上千名客戶資料，其數(shù)據(jù)量之大讓人吃驚。盡管這些數(shù)據(jù)造成的損失目前還未有公開的進行統(tǒng)計，但是估計其對華為的后續(xù)商業(yè)活動必將造成極大的影響。同時通過這一竊密事件，更反映了當前我國企業(yè)的網(wǎng)絡安全存在極大的漏洞。

在現(xiàn)實生活中，企業(yè)因為安全和信息化建設(shè)的不同步，造成的安全漏洞比比皆是。據(jù)記者了解，目前不少單位已經(jīng)要求在信息化系統(tǒng)建設(shè)時同步進行安全規(guī)劃與設(shè)計，但在隨后的詳細設(shè)計及開發(fā)環(huán)節(jié)就開始“分道揚鑣”，從而導致信息系統(tǒng)的安全性與最初的規(guī)劃設(shè)計風牛馬不相及，要不就是在市場上隨便找些安全產(chǎn)品補補“漏洞”，最終結(jié)果是安全規(guī)劃設(shè)計形同虛設(shè)。

今年成立的國家網(wǎng)絡安全和信息化領(lǐng)導小組提出“網(wǎng)絡安全與信息化是一體之雙翼”，將安全與信息化提到同等重要的高度上。那么在大型政企信息化建設(shè)工作中，如何有效落實“一體雙翼”，真正達到“安全”與“信息化”齊頭并進的效果？改變現(xiàn)狀的有效辦法是必須在詳細設(shè)計及開發(fā)環(huán)節(jié)也要保持“安全”與“業(yè)務”的同步，將安全與應用在代碼級實現(xiàn)接口，并建立緊密相關(guān)的聯(lián)動機制，從而迫使兩者同步推進。

同時，自主信息產(chǎn)業(yè)生態(tài)環(huán)境建設(shè)要圍繞國家安全需要。特別是在集成電路、核心電子元器件、基礎(chǔ)軟件等核心關(guān)鍵技術(shù)領(lǐng)域取得突破，推動關(guān)鍵信息技術(shù)產(chǎn)品的國產(chǎn)化替代，在關(guān)系國家安全的重點領(lǐng)域有序開展國產(chǎn)產(chǎn)品和設(shè)備的替代工作。

微軟今年宣布停止升級windows X P，對中國的信息安全產(chǎn)生嚴重影響。目前微軟希望用戶升級到Windows 8，但是如果升級到Windows 8，問題會更為嚴重。Windows 8跟可信計算嚴格綁定，所有的可信安全控制權(quán)全部由美國接管，改一個代碼都要經(jīng)過微軟的認定批準，這會產(chǎn)生非常嚴重安全的問題。

對此，工信部總工程師張峰明確提出要加強國產(chǎn)替代產(chǎn)品的研發(fā)，爭取在信息系統(tǒng)的核心環(huán)節(jié)使用國產(chǎn)的產(chǎn)品。目前中國工程院提出通過對2億臺XP計算機的安全加固來提高自主防御能力，同時接管服務。近期目標是集中服務，進行安全加固，為自主可控操作系統(tǒng)開發(fā)打好基礎(chǔ)，做好支撐。

國家網(wǎng)絡安全和信息化領(lǐng)導小組組長習近平表示：沒有網(wǎng)絡安全就沒有國家安全；沒有信息化就沒有現(xiàn)代化；中國要由網(wǎng)絡大國走向網(wǎng)絡強國。中國的企業(yè)如果借助這一次的機遇，打造出在世界領(lǐng)先的信息產(chǎn)業(yè)和核心技術(shù)不是一句空話。