杜跃进：对国外产品依赖越大 风险和威胁将越大

　　 3月3日，国家网络信息安全技术研究所所长杜跃进博士在＂国家安全与信息主权＂研讨会上表示，目前我国在信息安全方面战略研究不足，且对国外产品过度依赖。

　　杜跃进认为，中国应实行信息安全自主可控。我国现在对其他国家产品不光是路由器，还包括大型软件系统等等依赖性过强。而伴随国际间“冷战”态势越来越严峻，势必会对我国的网络信息安全带来更大的风险和威胁。

　　此外，他还指出国外有一些国家政府和民间地方配合的非常好，中国要实行自主可控就需要将国家科研与产业发展结合起来，自主可控还有很长的路要走，其间肯定会面临很多困难。

　　以下为演讲实录：

　　我们每年会发布很多的数据，有多少国内的计算机被国外控制，2012年的数据是超过1400多万，2011年的数据是超过890多万，我们看到很多的计算机被人家控制，我们也能够看到是控制的IP来自什么地方，这次美国炒作中国，有一个概念，叫控制和指令中心，我们也可以看到我们国内被控的分布在哪些省，我们还有很多数据是包括网站的篡改的情况，现在网站被篡改影响到电子商务、电子政务，影响到网站背后大量非常敏感或者重要的数据。

　　我们2004年开始做网络钓鱼用户调研，我们一年会发现大量的网络钓鱼事件，窃取用户的个人信息进行转帐，美国最近出了一本书，叫《掘金黑客》，都是一些事实，像一个地下产业当中涉及到十亿美金这样的额度。我们还能够知道很多脆弱性和风险，我们会收集很多的漏洞，我们作风险评估做了好几年了，现在移动互联网问题很大，我们好几百万智能手机被病毒所入侵。在2006年我们做过调查，当时我们中国大陆地区一年的钓鱼吸金产值是2.38亿，其实这是最保守的规模，美国我刚才说了，一本书看到一个集团就可以控制到十亿美金。但这一切都是皮毛上的威胁，真正的威胁比这个大很多，为什么这样说，我们很多人知道2009年发生过一次很严重的断网事件，我们中国超过一半的互联网都瘫痪了，起因是受到攻击。我反过来说这种风险还有没有，结论是这种风险其实不但有，而且还会非常多，为什么会这样，因为现在我们在互联网里面，或者说在信息社会里边，我们互相的依赖性比过去强得多，或者复杂得多。

　　现在有中国黑客威胁论，我调查了一下他们从什么时候开始说所谓的中国黑客威胁论，在2007年底，差不多这个时间，全世界都发生了以窃取秘密这一类的攻击行为，可是全世界没有听到我们的声音，西方媒体都在说中国窃秘。到2010年有几个案例，到现在为止已经完全不同于过去这些，虽然案例非常多，但是影响最大、最典型的就是2010年的病毒，在技术的角度是远远超出我们过去所能够想象到的手段，不可能是一个民间机构来组织的，背后一定有国家意志在作祟，完全超出我们过去所能想象到的攻击水平和攻击能力。其实不光是网络越来越复杂，而是我们整个面临的下一代的生态环境都越来越复杂，在中国的“十二五”规模里面，有一个词就是新一代信息技术，大家有很多不同的认识，但是对于其中的一些基本的特点，大家都认可，甚至都可以强烈的感受到，比如说融合，我们所有的设备已经是高度的功能融合，我们的网络是高度的融合，我们后面的服务也是高度的融合，这种融合从攻击的角度来说可能面临很大的威胁和挑战，我不展开讲了。

　　谈一谈不对称，这个上升到国家安全来说，这个不对称是非常明显的。后边还有一些，这个相当于我们是不是知己，知己知彼百战不殆，我们讲自己的信息安全的时候，其实首先要看我们自己，我们不能够还停留在过去，搞一个很强的密码就保密了，我们整个和过去是不一样的，同时知彼是什么？现在都进入到冷战阶段，我们是比国家和政府的能力，这时候我们的敌人和过去是非常不一样的，和过去相比的话，他们有完全不一样的动机，他们会选择完全不一样的目标，他们拥有的能力和方法和过去不一样。其中有一个很大的变化，最近美国炒作我们的事情，APT这个概念是美国人炒起来的，所谓的APT说简单很简单，说复杂很复杂，它是一个非常有目标的针对非常特定的目标攻击，但是说到这个病毒的时候，没有人会说这是中国，中国没有这个能力，也不可能干这个事情。但是对中国来说我们需要反省一下，为什么我们没有APT的数据？我们今天还在说过去的事情。实际上是对中国没有这种高级的威胁吗？我们也许在制度、体制机制上面也有一些缺失导致这样。但毋庸置疑APT已经是全世界的热点。

　　第三个就是自主可控，我们现在对其他一些国家的产品，不光是路由器那些还包括非常大型的软件系统，随着现在国际之间的冷战态势越来越严重，这个给我们带来的风险很大，这个我不想说了，因为后边还会有专家讲。我想说我们自己研制的很多东西，在安全上面的积累太弱了，我们这么多年是在做系统的建设，我们在测试、评估做审核，这里边很多东西想做做不到。还有一个就是BYOD，有各种各样的设备、通道，过去我们的安全防范的措施，对现在也是非常不适应，我们现在有些人想3G手机不安全，智能手机不安全，我用2G，用新的方法来解决新的问题。很多人说中国很厉害中国的黑客很厉害，我们自己说得不算，西方的研究者说了算。但是国外有人研究，结论也是中国的这种攻击能力和经济大国的地位不相称，我们只有能力看到发生在中国内部的一些攻击，从技术角度可以看见。很难发现的国内这样的案例很少，这个从一个侧面来说，另外除了这些之外，要扪心自问，如果Stuxnet病毒不是针对伊朗，而是针对中国呢。

　　基本上简单的总结一下我们的态势，我们依赖方面没有比过去减少，不论产品还是什么方面，风险方面漏洞更多了，依存更大，更复杂更脆弱。在威胁方面，我们面临着对手改变，能力增强，现实出现。我觉得最重要的问题还是在认识上面不够重视，或者说重视得不够全面，这里面包括很多，国家在这方面的资源投入，我们国家在这个方面的产业促进，现在看和国际的比较还差很大，所以这个规模是无法比的，其实是一个角度上反映了我们的产业，信息安全的产业能力方面，在人才建设方面，我们这方面的人才越来越少。

　　所以很多事其实想到，怎么做还是一回事，刚才大家都说顶层设计，这是共识，这是圈子里面很多年的共识，但是直接相关的一个，顶层设计到底怎么设计？这里面就存在一个战略研究不足的问题，尤其是信息安全方面，这个非常复杂，其实美国的战略安全对不对？不一定对，美国可能也会走弯路，中国也是一样，为了支撑顶层设计，有很多问题要研究，尤其是战略研究方面，是一个新的东西，对我们各个方面的冲击很大，从政府、社会、老百姓都存在对新技术不适应的问题，加强战略研究。除了这个之外我个人认为还有一个共识，法制建设，刚才咱们赵老师讲了，我们确实2008年以后，刑法修正案说了很多，但是比这些东西比起我们整个的信息安全保障来说，空白还是非常大，奥巴马政府春节之后强调的是关键技术保护和影子保护，我们好像关键技术保护里面还没有什么东西，所以法制方面，我们讲到的信息内容这方面的管理，其实都需要比较好的法制方面的保障，去年12月28号是一个框架，这个法制建设如果是不能够尽快出来，对很多工作的影响非常大。

　　第三我觉得中国要有大国自信，一定要勇于创新，这个顶层设计，当年我们其实比美国的结构先进，包括技术，包括整个体制上面，我们曾经走得都是挺好，但我们一看没有人这么干，自己就自信不足，这个在很多方面都体现了，不光在机制体制上面，在很多领域都有这样的，你一看国外没有人提，就觉得这个是不是不行，这个领域太新了，不要迷信国外的东西，我们自己的东西不要轻易否定。第四个我觉得好多问题是要在发展中解决的，不要老想往后退，退就是自己出局了，信息技术要想退保安全，就是相当于退出国际竞争。第五个还是扎扎实实做能力建设，我们国家信息安全的能力建设，包括基础设施领域，包括体制机制上面的，包括人才队伍上面的。第六个就是国际合作，所以国际上面的工作非常重要，刚才张老师说过，国外有一些国家，政府和民间和地方配合非常好，我们在这个领域里面体会非常深刻，中国在这个方面是一个比较新的国家，我们自己树欲静而风不止，没有办法，必须要这样。

　　关注自主可控，肯定是长期的一个非常需要的，但是这里面面对很多困难，有一些技术达不到，有一些客观和主观的原因，客观的就是产业的发展是基础，产业起不来，光靠国家的科研投入是空的，产业起来了，自主可控才可以走出来。

IT时代网(关注微信公众号ITtime2000，定时推送，互动有福利惊喜)所有原创文章版权所有，未经授权，转载必究。
创客100创投基金成立于2015年，直通硅谷，专注于TMT领域早期项目投资。LP均来自政府、互联网IT、传媒知名企业和个人。创客100创投基金对IT、通信、互联网、IP等有着自己独特眼光和丰富的资源。决策快、投资快是创客100基金最显著的特点。