【建設(shè)網(wǎng)絡(luò)強(qiáng)國就要爭取網(wǎng)絡(luò)空間斗爭的主動權(quán)，為此，操作系統(tǒng)等核心技術(shù)必須使用自己研發(fā)的成果。十九大報告提出，要統(tǒng)籌傳統(tǒng)安全和非傳統(tǒng)安全，網(wǎng)絡(luò)安全屬于非傳統(tǒng)安全，其中就包含可控性，目前有關(guān)方面正在推行“多維度測評”，其中包括自主可控評估，這樣可以更好地保障網(wǎng)絡(luò)安全。

11月7日，在全球網(wǎng)絡(luò)安全產(chǎn)業(yè)創(chuàng)新論壇上，中國工程院院士倪光南發(fā)表了“掌握網(wǎng)絡(luò)空間斗爭主動權(quán)”的公開演講?！?

以下為演講原文：

今天，和大家探討中國網(wǎng)絡(luò)安全的狀況與網(wǎng)絡(luò)空間斗爭主動權(quán)的問題。首先，目前中國的網(wǎng)絡(luò)整體規(guī)模上是世界的網(wǎng)絡(luò)大國，我們所占的聯(lián)網(wǎng)人數(shù)在全世界五分之一以上。這是我們在網(wǎng)絡(luò)空間中的地位。

特別要提到現(xiàn)在物聯(lián)網(wǎng)的發(fā)展，物聯(lián)網(wǎng)聯(lián)網(wǎng)的設(shè)備已經(jīng)超過了人口（數(shù)量）。而且還會大大發(fā)展，因為聯(lián)網(wǎng)的結(jié)果，使得人和人、人和萬物聯(lián)網(wǎng)，今后連在網(wǎng)絡(luò)上的人和設(shè)備的數(shù)量將會越來越大，達(dá)到幾百億甚至更多。

ITU（注：國際電信聯(lián)盟）有一個指標(biāo)，即網(wǎng)絡(luò)安全指數(shù)。這里不評論這個指標(biāo)，只是中國同樣用這個指標(biāo)來比，看到中國是在發(fā)展。2017年在ITU的指標(biāo)體系中，中國已經(jīng)處于第32位。

由于網(wǎng)絡(luò)安全的重要性，全世界已經(jīng)有38%的國家發(fā)布了網(wǎng)絡(luò)安全戰(zhàn)略，有些國家還沒有跟上，但這是大勢所趨。我舉最近網(wǎng)絡(luò)安全的三件大事，不一定全面，但我覺得比較重要，有不同特色。第一件，徐玉玉事件，主要反映一個民眾安全意識的問題，保護(hù)隱私的問題。第二件是關(guān)于物聯(lián)網(wǎng)相關(guān)病毒的問題（Mirai開啟僵尸物聯(lián)網(wǎng)時代），再有是勒索病毒的問題（“永恒之藍(lán)”勒索病毒全球爆發(fā)）。

第一例是徐玉玉事件。一個考取大學(xué)的女孩子由于隱私泄漏造成了悲劇，說明隱私信息的重要。這個問題的嚴(yán)重性，也喚起了全民對于網(wǎng)絡(luò)安全意識加以重視。我們可以看到，目前公共部門是黑客攻擊的重點(diǎn)，包括政府、金融、醫(yī)療等等。各種攻擊主要手段包括網(wǎng)站篡改、植入后門、假冒、仿冒等等。在公共部門領(lǐng)域我們看到網(wǎng)絡(luò)攻擊態(tài)勢的發(fā)展，總體來看是有增無減，所以網(wǎng)絡(luò)安全是一個長期的事情。

徐玉玉事件引起我們的反思，有關(guān)部門也做了針對性的改革，比如說查處非法買賣銀行卡信息，公安部進(jìn)行專項整治，以及最高法、最高檢等的整治行動。說明這個問題引起了全社會的重視。

第二例子就是Mirai病毒，在其攻擊下形成了物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)，由此在2016年發(fā)生美國互聯(lián)網(wǎng)癱瘓事件。

從中國CNVD（注：國家信息安全漏洞共享平臺）的數(shù)據(jù)可看到這類攻擊對網(wǎng)絡(luò)安全的重大挑戰(zhàn)。麻省理工科技評論認(rèn)為，這些網(wǎng)絡(luò)攻擊是很難阻止的。中國的網(wǎng)絡(luò)安全公司奇虎360也收集了有關(guān)數(shù)據(jù)，顯示出問題的嚴(yán)重性。

第三個是勒索病毒對全球攻擊的影響，它波及150多個國家地區(qū)、10萬多組織機(jī)構(gòu)，30萬多網(wǎng)民，影響規(guī)模很大。觸發(fā)點(diǎn)是從烏克蘭和俄羅斯爆發(fā)，迅速蔓延到全球。

這些情況使我們注意到了一個問題，就是網(wǎng)絡(luò)空間斗爭的主動權(quán)問題。剛才沈院士也講到了主動防御的問題。由于目前我們所使用的操作系統(tǒng)這些核心技術(shù)，往往不是我們自己研發(fā)的，所以我們會處于被動的情況。這是為什么要提出爭取主動權(quán)的問題。因為如果事先發(fā)現(xiàn)漏洞，就可以做好準(zhǔn)備。但是目前的情況，我們往往不能事先發(fā)現(xiàn)。像勒索病毒，往往是在發(fā)現(xiàn)了攻擊之后才知道有這個漏洞。而且發(fā)現(xiàn)了漏洞，也不是你能修補(bǔ)的，你沒法自行打補(bǔ)丁，得等待別人給你補(bǔ)丁。這個補(bǔ)丁有沒有效、是什么機(jī)理，也說不清楚。只能“聽天由命”。這使得我們在網(wǎng)絡(luò)攻擊中處于被動挨打地位，喪失了主動權(quán)。

前不久我們對開源Linux操作系統(tǒng)中新發(fā)現(xiàn)的臟牛漏洞（“Dirty Cow”）進(jìn)行了分析，這是很有代表性的。它是由Linux系統(tǒng)中存在的一個“競爭”所導(dǎo)致的漏洞，如被黑客利用，可以輕易地用一個小程序就獲得安卓手機(jī)的root權(quán)限。這個漏洞，在2007年以后的各個版本Linux中應(yīng)該都有了，但直到去年10月份才發(fā)現(xiàn)。有人說開源軟件在全世界有幾百萬只眼睛都在看，但是沒有發(fā)現(xiàn)，就說明這個病毒隱藏是很深的，很難被發(fā)現(xiàn)。它的攻擊都是通過正常的功能，所以用常規(guī)病毒檢測方法是無效的。

鑒于此種情況，今年4月，中國網(wǎng)絡(luò)空間安全協(xié)會召開了研討會，對這個漏洞進(jìn)行研討。中國科學(xué)院大學(xué)楊力祥教授領(lǐng)導(dǎo)的團(tuán)隊介紹了他們的補(bǔ)丁方案，對現(xiàn)有補(bǔ)丁的評估等等。為什么要操作系統(tǒng)專家也來研究網(wǎng)絡(luò)安全？因為像這種漏洞的發(fā)現(xiàn)、分析及打補(bǔ)丁，并不是一般人能夠做的，實(shí)際上這個補(bǔ)丁是Linux的創(chuàng)始者Linus Torvalds本人打的，可見難度是很高的。

由于楊教授團(tuán)隊對Linux操作系統(tǒng)的研究很深，有能力進(jìn)行評估，他們認(rèn)為，這個補(bǔ)丁是能解決問題的，但并沒有把“競爭”完全消除。他們自己提了一個變通方案，是將“競爭”完全消除，但要稍稍多消耗一些時間。這里我們且不說究竟哪一個補(bǔ)丁更好，而是強(qiáng)調(diào)，正因為Linux是開源軟件，我們的專家能夠自行研究，自行分析漏洞機(jī)理，自打補(bǔ)丁和評估補(bǔ)丁。而如果是Windows那種私有軟件，源代碼不開放或不充分開放，就根本做不到。

通過這個例子希望使大家知道，保障網(wǎng)絡(luò)安全需要信息安全專家和操作系統(tǒng)專家，實(shí)現(xiàn)跨界融合，聯(lián)手解決問題。

上面的實(shí)例可以說明，我們要基于開源軟件發(fā)展自己的操作系統(tǒng)，或者完全通過創(chuàng)新來搞操作系統(tǒng)。另一種情況是：采用進(jìn)口操作系統(tǒng)或者將進(jìn)口操作系統(tǒng)“穿馬甲”冒充自主操作系統(tǒng)，在這兩種情況下，對下面的七個問題的答案是截然相反的，這就是：是否能事先發(fā)現(xiàn)漏洞？是否能獨(dú)立分析漏洞的機(jī)理？是否能自打補(bǔ)丁？是否能評估補(bǔ)丁效果？是否有網(wǎng)絡(luò)空間斗爭主動權(quán)？是否能免除后門？是否能建設(shè)網(wǎng)絡(luò)強(qiáng)國？總之，對這七個問題，第一種情況的答案都是“是”，而后一種情況的答案都是“否”。

最后，歸結(jié)到我們的目標(biāo)，按照習(xí)總書記的要求，我們要建設(shè)網(wǎng)絡(luò)強(qiáng)國。可是如果我們用別人的操作系統(tǒng)，或者用別人的操作系統(tǒng)改頭換面，能不能變成網(wǎng)絡(luò)強(qiáng)國呢？不可能。所以從我們的目標(biāo)來講，未來要達(dá)到網(wǎng)絡(luò)強(qiáng)國的要求，就必須將核心技術(shù)，特別是操作系統(tǒng)這類核心技術(shù)，必須用自己的研發(fā)的成果，或者基于開源的，或者自己研發(fā)的。這是很清楚的。

現(xiàn)在我們已經(jīng)制定了網(wǎng)絡(luò)安全法、網(wǎng)絡(luò)安全審查辦法等一系列的法規(guī)。十九大報告提出，要統(tǒng)籌傳統(tǒng)安全和非傳統(tǒng)安全，網(wǎng)絡(luò)安全屬于非傳統(tǒng)安全，其中就包含可控性，目前有關(guān)方面正在推行“多維度測評”，其中包括自主可控評估，就是針對可控性的評估方案，這樣做可以更好地保障網(wǎng)絡(luò)安全。

按照最近中國信息安全測評中心制訂的“中央處理器自主可控評估方案”和“操作系統(tǒng)自主可控評估方案”，這種評估是從“知識產(chǎn)權(quán)”、“技術(shù)能力”、“供應(yīng)鏈安全”、“發(fā)展主動權(quán)”和“國產(chǎn)資質(zhì)”等方面，對產(chǎn)品的自主可控進(jìn)行全面的評估，能如實(shí)地反映中央處理器和操作系統(tǒng)的自主可控程度，可作為推進(jìn)國產(chǎn)自主可控替代計劃中，選擇中央處理器及操作系統(tǒng)“自主可控”評估的依據(jù)，并視需求情況，將該方案擴(kuò)展完善，可形成其他軟硬件產(chǎn)品的自主可控評估依據(jù)。