自主可控需有“殺手锏”
——訪中國工程院院士鄔賀銓

編者按：鄔賀銓，中國工程院院士，光纖傳送網與寬帶信息網專家，國內最早從事數字通信技術研究的骨干之一。曾任中國工程院副院長、信息產業部電信科學技術研究院副院長兼總工程師、大唐電信集團副總裁�，F兼任國家973計劃專家顧問組成員、國家信息化專家咨詢委員會副主任、中國互聯網協會理事長、中國通信標準化協會理事長、中國通信學會副理事長、中國電子學會副理事長。

記者：2016年國內外網絡空間安全領域大事較多，您印象最為深刻的幾件大事分別是什么？

鄔賀銓：就國內而言，有四件大事。一是4月19日，習近平總書記在網絡安全和信息化工作座談會上發表講話，以五大發展理念為指引，深刻闡明了新形勢下互聯網發展的正確方向，詳解了網信工作的六大問題。二是10月9日，習近平總書記在主持中共中央政治局就實施網絡安全強國戰略進行集體學習時，提出“6個加快”，對建設網絡強國做出全方位部署，再次顯示出黨和國家領導人對網絡安全的高度重視。三是11月7日，第十二屆全國人大常委會第二十四次會議表決通過《中華人民共和國網絡安全法》（以下簡稱《網絡安全法》）。《網絡安全法》的出臺，將有效改善我國網絡安全環境，為推進和發展“互聯網+”提供法律保障，促進網絡安全產業快速發展。四是12月27日，國家互聯網信息辦公室發布了《國家網絡空間安全戰略》（以下簡稱《網絡空間安全戰略》）。這是繼頒布《網絡安全法》之后，我國網絡空間安全領域中又一件具有里程碑意義的大事，也是我國第一次向全世界系統、明確地宣示和闡述我國對于網絡空間發展和安全的立場及主張。該戰略是我國國家安全戰略的重要組成，將會對指導我國未來一段時間的網絡安全工作發揮重要作用。就國際而言，有兩件大事。一是10月美國東海岸發生了網絡癱瘓事件，不僅規模驚人，且對人們生活產生嚴重影響，因此被稱為“史上最嚴重的DDoS攻擊”。惡意軟件Mirai利用其控制的大量物聯網設備，即幾十萬個攝像頭，對美國域名服務器管理服務供應商Dyn發起DDoS攻擊，從而導致許多網站在美國東海岸地區宕機。由于Dyn主要職責就是將域名解析為IP地址，從而準確跳轉到用戶想要訪問的網站，當Mirai利用其控制的僵尸網絡集中向一個域名解釋服務器攻擊，使得來自用戶的網頁訪問請求無法被正確接收解析，從而導致訪問錯誤。過去物聯網也有安全事件的發生，但基本上還不是DDoS攻擊。此次事件暴露出物聯網通常密碼比較簡單，很容易被攻破的問題。未來物聯網終端數量遠遠超過現在，安全問題勢必更加嚴峻。二是美國指稱，俄羅斯黑客在美國大選期間攻擊美國大選網絡。奧巴馬政府認為，在總統大選期間，俄羅斯黑客入侵了民主黨人士的郵箱，并在俄情報部門、俄最高層官員的授意下在互聯網上泄露了不利于希拉里競選的信息。美國聯邦調查局（FBI）、國家情報主任辦公室（DNI）和中央情報局（CIA）也一致評估認為俄羅斯干預美國總統大選，試圖幫助特朗普當選。俄羅斯予以否認。不管美國和俄羅斯雙方如何應對，此事至少印證了兩個問題：一是網絡安全可以影響政治進程，二是網絡攻擊已成為國際競爭的手段。

記者：在2017ICT深度觀察大型報告會上，您對2017年通信行業的一些關鍵技術進行了介紹和展望，您認為這其中哪些關鍵技術會對2017年度網絡空間安全發生重大影響？

鄔賀銓：當前，信息化發展已進入“大智移云”（大數據、智能化、移動互聯網和云計算）的新階段，對網絡安全領域的影響日益凸顯。2017年有很多預測和不同的看法。還不能肯定哪些新技術一定會對2017年的網絡空間安全發生明顯影響，但其中有三項關鍵技術值得重視。一是人工智能。2016年和2017年初，兩款圍棋人工智能程序阿拉法（AlphaGo）和MASTER在與圍棋界高手的角逐博弈中接連取勝，難逢敵手，表明人工智能將進入一個爆發階段。過去數十年來，人工智能的話題一直不斷吸引著公眾眼球，看似是一個遙不可及的存在，而經過此番人機世紀對決后，可發現實際上人工智能已觸手可及。人工智能的發展，不僅僅是人類與機器在賽跑，也將會影響整個世界的工業革命，需要我們重新定義人類與機器的關系，讓人工智能更好地服務人類社會。人工智能對網絡空間安全的影響具有兩面性：一方面，可利用人工智能分析找到網絡安全的薄弱環節，查找網絡漏洞；另一方面，當整個社會過分依賴人工智能時，一旦人工智能被惡意控制，那么帶來的網絡安全問題將無法估量。比如無人駕駛車，可以被正常駕駛，也可被惡意控制造成車禍。當人工智能越來越深入到我們的生活時，我們對它的依賴越深，漏洞帶來的危害就越大。所以，未來網絡安全事件是否越來越多尚不可知，但網絡安全事件的危害會越來越重。

二是物聯網。2016年6月16日，窄帶物聯網標準NB-IoT獲得國際標準組織3GPP會議表決通過。窄帶物聯網是萬物互聯網絡的一個重要分支。過去的物聯網都是碎片化的，低速物聯網主要使用Wi-Fi和藍牙技術，數據準確率很低，耗電量極大。雖然廣域物聯網可利用光纖，但只適用于連接攝像頭等寬帶終端；低容量傳感器雖然可使用2G/3G/4G網絡，但難以滿足低功耗、低成本的要求，因此目前接入運營商網絡的物聯網終端僅有6%。但如果利用NB-IoT組織物聯網，就可真正實現整個城市一張網，便于維護和管理。由于NB-IoT具有廣覆蓋、大連接、低功耗、低成本等特點，可為物聯網發展提供更廣闊的前景，使得物聯網會更為廣泛地滲透到我們的社會生活中。智慧城市、智慧家居比過去更廣泛，就意味著物聯網的節點會更多。物聯網節點數量多，不易于管理，節點的數據可能被篡改或假冒，這是物聯網安全的重大隱患。美國東海岸發生的大規模網絡癱瘓事件，就是物聯網安全問題的突出表現。而且隨著德國提出工業4.0時代，我國提出“互聯網+”戰略，物聯網將在我們的生活中得到大量應用，那么同樣也會帶來安全問題。過去工業生產線和基礎設施跟物聯網沒有連接，如果連接上的話，也可能會出現工廠和基礎設施癱瘓的問題。

三是區塊鏈。隨著比特幣技術近年來的快速發展，區塊鏈技術的研究與應用也呈現出爆發式增長態勢，有人認為這是繼大型機、個人電腦、互聯網、移動/社交網絡之后計算范式的第五次顛覆式創新。區塊鏈是分布式數據存儲、點對點傳輸、共識機制、加密算法等計算機技術的新型應用模式。區塊鏈的安全方式與傳統的安全方式不同，通過運用數據加密、時間戳、分布式共識和經濟激勵等手段，在節點無需互相信任的分布式系統中，實現基于去中心化信用的點對點交易、協調與協作，從而為解決中心化機構普遍存在的高成本、低效率和數據存儲不安全等問題提供了解決方案。傳統的安全措施通過CA授權給各個等級的安全協定，通過密鑰進行分配。區塊鏈沒有CA，這種方式究竟是更安全還是不安全，目前還不好說。完全分布的話，如果某個點被控制，就可能導致整體受控，帶來的安全影響也會很大。

記者：2016年，美國、英國、印度、澳大利亞、俄羅斯等國家相繼出臺或修訂網絡安全戰略，加強網絡安全頂層設計。我國繼11月7日發布《網絡安全法》后，于12月27日發布《網絡空間安全戰略》，請您談談該法和該戰略對我國網絡安全事業發展的影響。

鄔賀銓：網絡安全法律法規體系是國家網絡安全保障體系的重要組成部分，維護網絡安全,需充分發揮法律的強制性規范作用。《網絡安全法》明確了網絡空間主權的原則、網絡產品和服務提供者的安全義務、網絡運營者的安全義務，完善了個人信息保護規則，建立了關鍵信息基礎設施安全保護制度，確立了關鍵信息基礎設施重要數據跨境傳輸的規則。頒布《網絡安全法》的重大意義在于，從此我國網絡安全工作有了基礎性的法律框架，有了網絡安全的“基本法”。戰略與法律是相對應的，戰略是長期的指導方向�！毒W絡空間安全戰略》作為我國網絡空間安全的綱領性文件，第一次在國際上公布了我們的網絡安全指導思想，是對國內外很透明的宣示，表明了我國在網絡空間發展和安全上的重大立場和主張，總結了我國關于建設網絡強國、構建網絡空間命運共同體的一貫主張，重點分析了目前我國網絡安全面臨的機遇和挑戰，提出了國家總體安全觀指導下的發展目標，建立了共同維護網絡空間和平安全的原則，制定了推動網絡空間和平利用與共同治理的任務�！毒W絡空間安全戰略》提到了基礎設施、信息安全、內容管理、人才培訓、科研開發、網絡主權等等，比《網絡安全法》涉及的面更廣，是指導具體執行的方針。

2017年，我國面臨的主要是《網絡空間安全戰略》和《網絡安全法》的落實問題。在研發方面，《網絡空間安全戰略》確立了網絡空間的戰略空間地位，網絡空間研發的重點在哪里，管理上哪些方面需要加強。建設網絡強國，首先必須有效應對網絡安全威脅，維護網絡安全�！毒W絡空間安全戰略》從維護國家安全的角度，分析了網絡滲透、網絡攻擊、網絡恐怖和違法犯罪、網絡有害信息對政治、經濟、社會和文化的危害，要求堅決防范、制止和依法懲治任何利用網絡危害國家安全的行為，充分體現了總體國家安全觀。與此同時，《網絡空間安全戰略》提出要盡快在核心技術上取得突破，鼓勵網絡安全企業做大做強，建立完善的國家網絡安全技術支撐體系，實施網絡安全人才工程，徹底夯實網絡安全基礎。在管理方面，《網絡安全法》已明確，國家網信部門負責統籌協調網絡安全工作和相關監督管理工作。國務院電信主管部門、公安部門和其他有關機關依照《網絡安全法》和有關法律、行政法規的規定，在各自職責范圍內負責網絡安全保護和監督管理工作�？h級以上地方人民政府有關部門的網絡安全保護和監督管理職責，按照國家有關規定確定。

記者：當前，國產替代問題已被提上議程，《網絡空間安全戰略》也提出在核心技術上取得突破，您如何看待這個問題？

鄔賀銓：自主可控是我們國家信息化建設和保護信息安全的重要目標之一，在信息安全方面意義重大。《網絡空間安全戰略》提出，核心技術裝備安全可控，提高產品和服務的安全性和可控性，加快安全可信產品推廣應用，提出這些要求的原因之一是我國在信息技術領域與發達國家還存在一定差距。國產替代并非泛指，不是所有產品都要國產替代，這不僅涉及對中國對外開放的戰略的誤解，完全用國產而不開放市場，也會導致國產產品走不出去。在國家開放大戰略的背景下，要在關鍵部門、關鍵設施逐步實現自主可控。但并非國產的才能自主可控，如果對國外的產品能完全掌握也是可控。只是目前很多國外產品不透明，所以提出國產替代。自主可控不等于國產化，國產設備也不是天然就自主可控。如果國產產品不經過檢驗，沒有有意留的漏洞，也會有無意留的漏洞。在國外產品不透明的情況下，用國產可能放心點，但并非不要檢驗和檢測。在實戰中沒有一勞永逸的事情，換成國產設備就一點不擔心安全問題的認識也是進入了誤區，沒有經過規模應用考驗和改進，很難說在自主可控方面是絕對可信的。我國在走向現代化進程中要秉持開放理念，在吸收利用人類文明科技進步成果的同時，也需要力圖保證所使用的（包括所引進的）技術、產品、服務沒有安全隱患，將安全風險控制到最低。

在網絡安全方面，如果自己沒有過硬的技術，就很難實現安全可控的管理。我們必須擁有自己的“殺手锏”技術。關鍵基礎設施，比如電力、機場、通信、金融等等，需要國產替代，但現有的系統是不是馬上要被替換還有待研究；即便國產可以用，替換也有一個過程。我們要有“殺手锏”，關鍵時刻能拿得出來。首先要保證自主可控的產品能夠達到我們的要求，需要替代的時候再替代，確保一旦出現問題，有應對方案，能保證網絡運行。有了這種思想，我們才能不受制于人，在激烈復雜的國際環境中立于不敗之地。