□ 倪光南

從“臟牛漏洞”事件得到的啟示

2016年10月國(guó)外權(quán)威網(wǎng)站發(fā)布了開(kāi)源Linux操作系統(tǒng)的一個(gè)漏洞，稱為“臟牛漏洞(Dirty Cow)”。該漏洞源自Linux內(nèi)核存儲(chǔ)子系統(tǒng)在處理寫復(fù)制(COW)時(shí)出現(xiàn)一個(gè)競(jìng)爭(zhēng)狀態(tài)，它可破壞私有只讀存儲(chǔ)映射，一個(gè)非特權(quán)本地用戶可利用這一漏洞獲得對(duì)原先為只讀存儲(chǔ)映射的寫權(quán)限，從而提升他們?cè)谙到y(tǒng)中的權(quán)限。該漏洞已存在很久，幾乎影響 2007年之后的所有Linux版本。但它又非常隱蔽，直到近期才被發(fā)現(xiàn)，這是因?yàn)槔眠@一漏洞的攻擊是通過(guò)操作系統(tǒng)的正常功能實(shí)現(xiàn)的，使常規(guī)病毒的檢測(cè)方法無(wú)法發(fā)現(xiàn)。這一事件使人們認(rèn)識(shí)到掌握操作系統(tǒng)核心技術(shù)的重要性。即使是經(jīng)過(guò)無(wú)數(shù)專家審查的那些開(kāi)源軟件也存在著這類難以發(fā)現(xiàn)、可能產(chǎn)生重大后果的漏洞，至于那些源碼不公開(kāi)(或源碼公開(kāi)不充分/源碼沒(méi)有消化的)的軟件，更無(wú)法保證不存在這類漏洞。

2017年4月，中國(guó)網(wǎng)絡(luò)空間協(xié)會(huì)(CSAC)在北京召開(kāi)了一次操作系統(tǒng)漏洞研討會(huì)。會(huì)上，國(guó)科大楊力祥教授領(lǐng)銜的操作系統(tǒng)團(tuán)隊(duì)基于多年來(lái)對(duì)Linux進(jìn)行的深入研究和積累的豐富經(jīng)驗(yàn)，向與會(huì)專家介紹了該漏洞的機(jī)理、對(duì)現(xiàn)有補(bǔ)丁的評(píng)估以及自行設(shè)計(jì)的補(bǔ)丁方案。實(shí)際上，現(xiàn)在該漏洞的補(bǔ)丁是Linux的發(fā)明者Linus Torvalds本人所提供的。楊教授團(tuán)隊(duì)對(duì)其評(píng)估認(rèn)為，這一補(bǔ)丁更多地著眼于效率，而并未完全消除競(jìng)爭(zhēng)。他們團(tuán)隊(duì)則提出了變通的補(bǔ)丁方案，更多地著眼于安全，而在效率方面僅付出很小的代價(jià)。

楊教授預(yù)言，Linus Torvalds所設(shè)計(jì)的補(bǔ)丁，并沒(méi)有消除引發(fā)Dirty Cow的源頭——競(jìng)爭(zhēng)，因此可能還會(huì)出問(wèn)題。半年之后，他的這一預(yù)言得到了證實(shí)。最近有關(guān)方面發(fā)布了“大臟牛漏洞(Huge Dirty Cow)”，它正是利用了未被消除的競(jìng)爭(zhēng)，使用了與原先攻擊類似的手段。實(shí)踐表明，補(bǔ)丁審計(jì)在安全開(kāi)發(fā)生命周期當(dāng)中的重要性，即使是高關(guān)注度漏洞也可能得不到完善的補(bǔ)丁修復(fù)。這種情況不僅出現(xiàn)在閉源軟件層面，開(kāi)源軟件也同樣會(huì)受到影響。

“臟牛漏洞”事件告訴我們，要掌握網(wǎng)絡(luò)空間斗爭(zhēng)的主動(dòng)權(quán)，需要有高水平的研發(fā)團(tuán)隊(duì)，能真正掌握CPU、操作系統(tǒng)和其他核心技術(shù)，最好使用自己研發(fā)、自主創(chuàng)新的核心技術(shù)或者是基于開(kāi)源技術(shù)，進(jìn)行消化吸收再創(chuàng)新，最終達(dá)到真正掌握。至于引進(jìn)外國(guó)不開(kāi)放的、或不完全開(kāi)放的、或不能獲得知識(shí)產(chǎn)權(quán)的、未被掌握的核心技術(shù)，在網(wǎng)絡(luò)安全斗爭(zhēng)中就只能陷于被動(dòng)挨打的境地了。

自主可控是保障網(wǎng)絡(luò)安全的一個(gè)必要條件

網(wǎng)絡(luò)安全屬于非傳統(tǒng)安全。在網(wǎng)信領(lǐng)域中，“安全”的內(nèi)涵比傳統(tǒng)領(lǐng)域中“安全”的內(nèi)涵更加廣泛、更加全面。例如當(dāng)傳統(tǒng)汽車發(fā)展成了自動(dòng)駕駛汽車，那么后者的“安全”性不僅包含了前者的“安全”性，還包含了能抵御網(wǎng)絡(luò)攻擊、能保護(hù)用戶信息等等內(nèi)涵，而這些對(duì)前者來(lái)說(shuō)是不需要考慮的。

一般可以將網(wǎng)絡(luò)安全要求歸結(jié)為自主可控、安全可信或概括為安全可控。這里，實(shí)際上包含了“安全性”和“可控性”2個(gè)方面。其中“安全性”與傳統(tǒng)安全類似，而“可控性”則是網(wǎng)絡(luò)安全的特殊要求。

我們認(rèn)為，自主可控是保障網(wǎng)絡(luò)安全的一個(gè)必要條件。雖然自主可控不等于安全(它不是充分條件)，但不自主可控就一定不安全。自主可控意味著不存在后門，可以主動(dòng)增強(qiáng)安全(如能自己分析研究源代碼、發(fā)現(xiàn)了漏洞可以自主打補(bǔ)丁等等)，而不自主可控意味著喪失網(wǎng)絡(luò)斗爭(zhēng)的主動(dòng)權(quán)，既有可能被別人通過(guò)后門進(jìn)行操控，也會(huì)在網(wǎng)絡(luò)攻擊下完全處于被動(dòng)挨打的地位。

多維度測(cè)評(píng)

既然網(wǎng)絡(luò)安全中的“可控性”是一新的要求，所以傳統(tǒng)的測(cè)評(píng)工作往往不能適應(yīng)，為此，有關(guān)部門提出了實(shí)行多維度測(cè)評(píng)的要求，這樣在網(wǎng)信領(lǐng)域?qū)?huì)有以下幾個(gè)維度的測(cè)評(píng)：

1)自主可控評(píng)估——對(duì)產(chǎn)品/服務(wù)/系統(tǒng)的自主可控性進(jìn)行評(píng)估，這種評(píng)估可以是針對(duì)CPU、操作系統(tǒng)等核心技術(shù)產(chǎn)品，也可以是針對(duì)其他軟硬件或服務(wù)，甚至也可能是針對(duì)一個(gè)信息系統(tǒng)或一項(xiàng)信息基礎(chǔ)設(shè)施。

2)質(zhì)量測(cè)評(píng)——對(duì)產(chǎn)品/服務(wù)/系統(tǒng)的功能、性能等等技術(shù)指標(biāo)進(jìn)行測(cè)評(píng)。

3)安全測(cè)評(píng)——對(duì)產(chǎn)品/服務(wù)/系統(tǒng)的安全性進(jìn)行測(cè)評(píng)，這種測(cè)評(píng)有可能與“等?！?、“分保”的測(cè)評(píng)相結(jié)合。

今年9月底，有關(guān)機(jī)構(gòu)召集專家對(duì)該機(jī)構(gòu)制定的自主可控評(píng)估方案進(jìn)行了評(píng)審。與會(huì)專家認(rèn)可自主可控是網(wǎng)絡(luò)安全的必然要求，自主可控評(píng)估作為多維度測(cè)評(píng)的重要環(huán)節(jié)，應(yīng)予以制度化。專家們認(rèn)為，該方案對(duì)CPU和操作系統(tǒng)，從“知識(shí)產(chǎn)權(quán)”、“技術(shù)能力”、“供應(yīng)鏈安全”、“發(fā)展主動(dòng)權(quán)”和“國(guó)產(chǎn)資質(zhì)”等方面進(jìn)行自主可控評(píng)估，是合理的、可操作的。今后視需求情況，可將該方案擴(kuò)展完善，形成其他軟硬件產(chǎn)品的自主可控評(píng)估依據(jù)。

我們認(rèn)為，推進(jìn)自主可控評(píng)估可以為依靠自己研發(fā)、自己發(fā)展、自主可控程度高的產(chǎn)品和服務(wù)，給以更好的市場(chǎng)機(jī)會(huì)，防止各種打著“國(guó)產(chǎn)”、“技術(shù)合作”旗號(hào)的 “穿馬甲”的外國(guó)產(chǎn)品服務(wù)，混入政府和重要領(lǐng)域。今后應(yīng)當(dāng)將“多維度測(cè)評(píng)”所包括在的“自主可控評(píng)估”落實(shí)，使其成為網(wǎng)信工作的一項(xiàng)制度，以更好地貫徹習(xí)總書記關(guān)于網(wǎng)信工作的系列講話精神。