中国工程院院士倪光南：中国必须掌控网络空间主动权 成为网络强国

2017年11月7日-9日，中国能源互联网大会暨智慧能源产业博览会（SmartEnergyChina简称：SEC）国内唯一的智慧能源全产业链的年度盛会在上海新国际博览中心举办！

开幕式由国家发改委应对气候变化战略研究和国际合作中心主任李俊峰先生主持。中国工程院院士发表演讲，主要内容是我国的互联网安全状况和网络空间斗争主动权问题，我国要掌控核心网络技术，成为习总书记说的网络强国。

下面电力头条APP为您带来中国工程院院士倪光南的发言：

倪光南：

尊敬的各位领导，来自国外的嘉宾。我今天有形参加中国能源互联网大会，我今天的题目是我国的互联网安全状况和网络空间斗争主动权问题。主要给大家介绍一下中国目前我们有能源互联网，我们应用在互联网安全的情况。

大家知道中国互联网人口超过35亿，同时我们现在面连物联网，不仅任何人、人和设备、人和万物之间都要互联。物联网的设备，目前来讲联网的已经超过了人口总数，而且按照这个趋势来讲，今后物联网的数目远远超过人的数目。这是关于网络安全的指数，ITU对全球网络安全有一个评估，我们看按照他的指标体系，中国目前是第32位，这也是一家体系，每个国家节奏不同，网信办就不一定这样，同一个指标体系，中国的网络安全还在发展。

世界各国已经把网络安全作为重大的战略问题。这里讲到38%的国家发布了W网络安全战略。中国从十八大开始高度重视网络安全，习总书记对网络安全有一系列的讲话和指示。

下面讲具体发生的事件，一个是徐玉玉事件，第二个是物联网相关的僵尸网络问题。然后是勒索病毒的问题。

徐玉玉是遭遇信息诈骗不幸离世。也是的很多人反省，有关部门相应的做了一些措施，我们发现目前公共部门是网络攻击的重点，包括金融医疗教育的行业，我们希望响应政府部门要予以重视和攻击产生的后果。这里也讲到了公共机构安全漏洞时间，我们从整个态势来看，还是有增加。我们必须提高相应的措施，防止攻击。

我刚刚举到的徐玉玉时间，引起了我们一系列网络安全改革。对象应有关部门同事进行整治，以及非法买卖银行卡信息。公安部对整治网络侵犯个人隐私的问题，网信办也有相关的整治。这些问题我们希望尽可能出现类似的事件。

第二个问题是随着物联网健康能源的发展，我们更多的利用传感器控制部件，物联网将会得到广泛的利用，这里就是Mirai僵尸网络的问题，美国2016年发现的问题，美国互联网达到了很大规模的瘫痪。同时发起了DDoS攻击，他整个的供给次数达到了1万次以上。这也是关于DDoS供给服务产生的后果，我们看到非常严重的情况，我就不详细讲了。

这是中国的漏洞库，收集的关于物联网IoT的漏洞，我们可以看到漏洞的数量，和相应影响的范围。

目前来讲，我们国内所发现的僵尸木马控制的IP地址的数目，可以看到这些有160万台主机受到影响，所以看到很多人不太了解，实际上这个情况是非常严重的。如果不是我们加强措施的话，我们知道这个影响会很严重。

这个问题我们引了《麻省理工科技评论》有关僵尸物联网问题的评论，我们知道这是比较难的，我们国家的360公司也在这方面做了很多工作。已经可以看到目前每天受到感染的设备达到1万台，这个问题还是要引起很大的重视。

第三个，大家印象很深，就是勒索病毒的发现。目前来讲5月开始影响了150多个国家和地区，10多万组织和机构，30万网民，有些部门中国也受到影响，整个部门瘫痪了，很多人工作受影响。这是勒索病毒目前的情况。

勒索病毒从开始是乌克兰和俄罗斯开始的，蔓延到全球，目前切尔诺贝利核电站也受到了影响，这可能是冰山之一角，类似的网络武器可能数以千计，也许我们现在碰到不过是其中很小的一块，所以大家给我们的警示，不能认为这个病毒过了就没有了。我们应该知道，这个也许是今后你会碰到更多更大更严重的问题，必须有一些很和的措施。赛门铁克统计达到了1000美元。

下面我讲一个问题我们比较关心的，就是网络空间斗争的主动权。你面临了那么多病毒木马等等这些攻击，怎么办?而且我们觉得面临这个问题，我们受害非常严重，网民那么多，受到感染的以十万计，这种情况下如何掌握主动权，目前我们有没有呢?我认为我们还没有主动权。为什么?因为我们没有掌握，比如说操作系统我们用的都是人家的操作系统，不是你的。这种操作系统不是自主的，发达国家都是自己的，美国的都是自己开发的，我们中国用外国的，有没有问题呢?一般的没问题。但对于网络技术产品有这个问题。假设不是你自己控制的，你就没法发现漏洞，没法预先做准备，既使是有很高水平的人，也没法发挥作用。因为他不知道怎么去分析漏洞，发现漏洞怎么办呢?智能等到人家供应商给你补丁，你自己打不了补丁。这个补丁有没有效呢?没办评估，只能试一试，好就好，不好也没有办法。

所以我们认为像这种重要的网络核心技术。要防止在网络空间掌握主动权，假如不掌握这些核心技术你没有主动权，就是“被动捱打”。

举个例子，这是去年2016年发现的漏洞“DirtyCow”，这个病毒在开源人的系统内核里存在的，可能被一个低特权的用户变成用户。我们很多手机要root，谁拿到root权限谁都可以做，他这个攻击你他就可以拿到你的root特权，手机上的所有信息他用什么都可以。所以这个漏洞4很重要，这个漏洞已经存在了，2007年之后的所有linux版本都有。这个为什么难以发现呢?那么多年没有看出来什么，很隐蔽。因为他的攻击都是用合法的，所有操作、代码都是合法的，按一般的常规病毒检测看不出来，这也就是说明，开源软件那么多人审查都有那么多问题，如果没有审查过，你根本不知道。我们知道2016年十月份发布网站没有他发布就没有人知道这个漏洞。

这个是网络空间协会特别召开了一次研讨会，我们觉得这个事情很重要，给我们中国网络空间安全相关的公司、科技人员很好的例子来学习一下。这个会上我们请了中国科技大学杨教授团队做了介绍，对这个漏洞进行介绍。而且评估了相关的补丁。我们知道这个补丁谁打呢?就是linus本人打的。他认为这个不定也可以商榷，杨教授自己也给了一个方案，安全性方面更加强，但可能消耗一定的代价。这个代价也不高，这是我们当时发布会。

给我们的启示，杨教授认为现有的操作系统我们不可能避免这种漏洞，这些漏洞我们知道要防治是很难的。因为他所有的操作都是合法的，一般的病毒程序没有办法，只能打补丁，不打补丁没法检测出来。所以他们认为应该吸取教训，发展一种安全的操作系统，可以免除一些攻击。当然我这个攻击是黑客攻击，不是你把电源拔掉，把计算机拔了都不算，就是正常的黑客攻击可以防止，这样需要对操作系统CPU都要做工作，我们相信这个是有可能的。也是我们通过DirtyCow这个漏洞，通过对这个漏洞的分析，认为有可能我们需要发展更新操作系统。

我这里关于操作系统得出的经验，我们有两种方法来做，一个是用国外进口的，比较简单。有人国合资公司，把进口包装做成国产的。第二种就是用国产的，自己开发，在开源技术上整个自己开发。应该用哪一种?第一种，能不能事先发现漏洞?用自己的才能事先发现漏洞，用别人的没法分析。预先防范?也不能防范。合资公司能不能自己分析漏洞是什么原因?人家没有这个条件让你分析。只有用自己的系统才知道这个漏洞在那。还有能不能打补丁?打不了，我们用windows的打不了，等着人家发补丁，人家不给你你也没办法。

这个不定是不是有效?不知道。试一试碰碰运气，如果不好你也没办法。最后，我觉得很重要的，现在有两派，有的说用国外的简单，拿来就能用，合资公司包装一下就是自己的了，另外一种不行。再难还是自己开发，为什么?你要有主动权，被动捱打没有办法，听天由命。

我们最后的结论，如果说网络强国，我们现在是网络大国，按习总书记说要成为网络强国。这种操作系统核心技术不掌握，在网络空间就束手无措，被动捱打。可能成千个网络攻击还在后面。

下面我说一下，从电子签名法开始，我们国家在网络安全方面不断的指定法律，有网络安全法、网信办网络产品和服务的安全审查法。我们还有信息安全保护制度，有五级保护。很多单位都需要通过的等级保护。

此外，最近我们有方面也要推行多维度的测评，什么意义呢?网络安全是非常重安全，习总书记十九大说要统筹，我们知道传统安全和非传统安全，非传统安全就是网络安全，需要有比如说除了安全性以外还有可控性。我们将来智慧能源，你的设备传感器，人家可能控制你。我们知道伊朗的核设施坏了，就是因为中控设置被人控制了。我们提出了多纬度测评的要求，我们希望今后能够推行。比如说我们可以从知识产权技术能力发展的可能性、供应链安全等等，评估一个产品服务的自主可控性如何，然后再评估我们传统的安全性。

我看时间到了，提供这些意见，供大家参考，谢谢大家!

（发言为现场速记整理，未经本人审核）