寫在2014網(wǎng)絡(luò)安全日前夕

　　■ 許榕生/文　　

　　許榕生研究員 高能所網(wǎng)絡(luò)安全實驗室首席科學家

　　科研與軍事的需求帶來了互聯(lián)網(wǎng)，但并未解決好互聯(lián)網(wǎng)的技術(shù)全部。今天我們有幸把網(wǎng)絡(luò)安全與信息化并列并舉，成立中央網(wǎng)絡(luò)安全與信息化領(lǐng)導小組，設(shè)立每年4月29日為網(wǎng)絡(luò)安全日，把網(wǎng)絡(luò)安全提高到事關(guān)國家與國防安全的高度，這在認識上是一個何等的進步！

　　當互聯(lián)網(wǎng)剛出現(xiàn)時，人們更多想到的是在全球網(wǎng)絡(luò)中的信息共享，理想中的快捷、海量的信息交流。然而，人們相信的 “無限美好”的信息時代，是否也會讓人們惶惶不安地擔心互聯(lián)網(wǎng)的麻煩，就像人類擔心核擴散一樣？

　　網(wǎng)絡(luò)安全要與信息化建設(shè)一起考慮，甚至要把它放在第一位置上，這是多年來很多決策者沒有做到，甚至也沒有料想到的。我國早期一些重要的網(wǎng)絡(luò)工程中網(wǎng)絡(luò)安全的投資比例往往不到總投資的百分之五，甚至百分之零。少量的安全費用還經(jīng)常用不到關(guān)鍵點上，作為網(wǎng)絡(luò)安全最重要的因素，人才的因素通常被忽視，重要的數(shù)據(jù)隨時可能丟失！

　　1990年初，作為用戶單位的高能物理研究所率先取得了連接中美兩國之間計算機專線的突破。在中國互聯(lián)網(wǎng)協(xié)會發(fā)表的《中國Internet發(fā)展年表》上寫道：“1993年3月2日，中國科學院高能物理研究所租用AT&T公司的國際衛(wèi)星信道建立的接入美國SLAC國家實驗室的64K專線正式開通，成為我國部分連入Internet的第一根專線。這根專線在1994年4月中國正式連入Internet后，也實現(xiàn)了Internet的全線連通。”

　　讓我們回顧一下這段歷史時刻。1991年的中美高能物理合作會談時，代表們正式提出建立一條從北京高能所（IHEP）到美國加州斯坦福直線加速器中心（SLAC）的計算機聯(lián)網(wǎng)專線，以便北京正負電子對撞機數(shù)據(jù)和軟件傳輸?shù)男枰?/p>

　　美國斯坦福大學的瓦特托基（Walter Toki）教授是當年中美高能物理合作組首任負責人，他為中國開通Internet 作了巨大的努力；多名諾貝爾獎得主以及美國能源部高級顧問潘諾夫斯基教授（北京正負電子對撞機四人領(lǐng)導小組成員之一、中國科學院的外籍院士）協(xié)助向美國政府溝通。中國方面則由諾貝爾獎得主李政道教授協(xié)助上層工作，高能所直接向北京市電信局提交了申請64K國際通信專線，當時北京前面僅有八家用戶申請，均為包用電話傳真的外國機構(gòu)。要將這類專線用作數(shù)據(jù)傳輸，光纖還暫時不能到戶，其技術(shù)難度是空前的。

　　圖1 當年中美兩國科學家1991年草擬的IHEP-SLAC聯(lián)網(wǎng)設(shè)計圖。 

　　兩國科學家對如何聯(lián)網(wǎng)進行了種種設(shè)計，圖1就是當年留下的一張草擬的聯(lián)網(wǎng)設(shè)計圖。第一步計劃是通過AT&T公司的64K帶寬的衛(wèi)星專線實現(xiàn)北京高能所（IHEP）與美國斯坦福大學附近的直線加速器中心（SLAC）相連，由美國能源部網(wǎng)絡(luò)（ESnet）連入互聯(lián)網(wǎng)（Internet）；第二步再實施通過海底光纜實現(xiàn)128K速率與日本高能所（KEK）相連直接進入互聯(lián)網(wǎng)（1994年底實現(xiàn)）。高能所很快向美國思科公司訂購了Cisco3000系列的路由器（見圖2所示），這是中國向思科公司訂購的第一臺路由器。專線經(jīng)過18個月的反復調(diào)試，于1993年3月2日全程線路暢通可以投入使用，先運行DECnet的通訊協(xié)議，年底思科路由器到貨，正式運行互聯(lián)網(wǎng)的TCP/IP協(xié)議。這樣不僅為數(shù)據(jù)傳輸、電子郵件的開通，而且為實現(xiàn)WWW網(wǎng)站等互聯(lián)網(wǎng)技術(shù)鋪平了道路。高能所立即設(shè)立了中國第一臺WWW網(wǎng)站（http://www.ihep.ac.cn/），1994年期間亞洲地區(qū)的網(wǎng)站還寥寥無幾，網(wǎng)頁是用英文設(shè)計的（見附件3）。圖3是美國人當年留下的一張工程示意圖，由美國SLAC計算中心主任Les Cottrol提供。從圖中可以看出，當時的專線除了租用國際通信衛(wèi)星，同時地面分別用光纜和銅線連到高能所的計算中心。

　　許多人可能不知道，就在中科院高能所剛剛試通第一條連接全球互聯(lián)網(wǎng)的中美計算機專線，美國政府第二天就通知美國能源部關(guān)掉通往中國的線路，要求說明為什么要讓中國加入互聯(lián)網(wǎng)。美國科學家立即向美國政府解釋開通這條互聯(lián)網(wǎng)專線的目的，一周以后，美國政府同意有控制地對中國這條專線開放互聯(lián)網(wǎng)。他們發(fā)來了一些文件，對網(wǎng)絡(luò)安全問題作了詳細的規(guī)定，強調(diào)這條中美專線只能用于科研合作，不得用于軍事和商業(yè)目的，并要求不得通過網(wǎng)絡(luò)散布病毒和進行黑客入侵活動。美國政府主要擔憂中國將從互聯(lián)網(wǎng)上面拿走大量的美國科技情報。另外，八十年代國外黑客經(jīng)常拿美國國防部網(wǎng)絡(luò)“練手”，與之相連的美國能源部的網(wǎng)絡(luò)也被殃及。而這條專線正是連在美國能源網(wǎng)上，這使美國高度警惕，極其擔心互聯(lián)網(wǎng)的安全性和穩(wěn)定性。

　　由于當時互聯(lián)網(wǎng)的安全防范措施還不成熟，黑客的頻繁入侵致使美國對自身網(wǎng)絡(luò)安全的關(guān)注度提升情有可原。然而，中國的互聯(lián)網(wǎng)專線還沒有完全開通，一個中國黑客還沒有“出生”之際，就已經(jīng)被警告不要搞“黑客入侵”，這在某種程度上提示了我們要高度警惕互聯(lián)網(wǎng)的安全管理措施。

　　網(wǎng)絡(luò)管理是個復雜的問題，中國是個發(fā)展迅速的大國，網(wǎng)民數(shù)量和上網(wǎng)規(guī)模將急劇增大，用戶上網(wǎng)的習慣與國外也很不同。中國要解決的網(wǎng)絡(luò)安全管理問題將比任何國家都要嚴峻得多，對中國來說真是任重道遠的事！

　　互聯(lián)網(wǎng)引進中國不久，果然高能所的一臺主機就遭遇到國外黑客的第一次入侵。那天，系統(tǒng)管理員發(fā)現(xiàn)有一個賬號被改動和被利用，使用權(quán)限超出了范圍。是黑客！研究室里一時嘩然。一番討論，大家決定實施跟蹤方式。當對方發(fā)現(xiàn)自己被跟蹤，便立即利用竊取的高級權(quán)限取消我方賬號，隱蔽起來。最后，從分析跟蹤的記錄中獲得了黑客入侵行為的確鑿證據(jù)，經(jīng)系統(tǒng)關(guān)機與重裝后，阻止了對方進一步的行動。1996年，我被借調(diào)到國務(wù)院信息化領(lǐng)導小組辦公室工作一年。這一年的經(jīng)歷讓我有機會對中國互聯(lián)網(wǎng)的發(fā)展有了一個全面而清醒的認識，我意識到：互聯(lián)網(wǎng)事業(yè)在中國的大規(guī)模發(fā)展已成為必然趨勢，而與之相伴的網(wǎng)絡(luò)管理與安全問題也將變得更為突出。我決定返回中科院高能所組建一支網(wǎng)絡(luò)安全專業(yè)隊伍，開展專題研究，增強網(wǎng)絡(luò)防護的能力。

　　1997年，中科院高技術(shù)局正式委托高能所承擔“黑客入侵防范軟件研究”課題。由十多位計算機高手和研究生組成的網(wǎng)絡(luò)安全團隊誕生，課題組及時引進了地方（福建海峽企業(yè)）的配套資金和技術(shù)人才使得課題進展迅速，用一年時間就開發(fā)出了第一套在Linux系統(tǒng)下的網(wǎng)絡(luò)漏洞掃描系統(tǒng)，提前一年完成課題任務(wù)。這項隸屬于中國科學院信息安全重點項目（包括密碼學理論研究、網(wǎng)絡(luò)安全示范工程等子課題，分別由中科院研究生院、軟件所、網(wǎng)絡(luò)中心等共同完成）的成果于1999年獲得中國科學院科技進步一等獎，2000年10月獲國家科技進步二等獎（一等獎缺）。高能所的這個子課題不僅為國家培養(yǎng)了一批研究黑客的領(lǐng)軍人才，而且實現(xiàn)了可喜的成果轉(zhuǎn)化，《網(wǎng)絡(luò)隱患掃描系統(tǒng)》成為了國內(nèi)最早的網(wǎng)絡(luò)安全產(chǎn)品之一，并在政府、金融、電信、教育、電力、石油石化等諸多的行業(yè)中得到廣泛的應(yīng)用。

　　圖4 陳知建司令員（上圖右立者）1998年到高能所熱心指導網(wǎng)絡(luò)隱患掃描系統(tǒng)（下圖設(shè)備）  

　　中國科學院的若干研究所和一些大學院校無疑是網(wǎng)絡(luò)與信息安全研究成果及人才集中的主要源生地，從計算機體系結(jié)構(gòu)設(shè)計到操作系統(tǒng)安全研究，以及網(wǎng)絡(luò)協(xié)議漏洞發(fā)現(xiàn)、惡意軟件代碼和入侵取證調(diào)查等方面都成立有相應(yīng)的研究課題小組。近二十年過去了，高能所在網(wǎng)絡(luò)安全領(lǐng)域就有18名博士畢業(yè)，與數(shù)十名碩士（包括聯(lián)合培養(yǎng)）一起陸續(xù)走到國家、企業(yè)與科教部門的各個崗位，成為我國網(wǎng)絡(luò)安全的一批骨干力量。高能所的網(wǎng)絡(luò)安全研究也從當年的一個小組變成了網(wǎng)絡(luò)安全防護技術(shù)北京市重點實驗室，以及中關(guān)村第一批網(wǎng)絡(luò)安全開放實驗室，正承擔著越來越多的網(wǎng)絡(luò)安全課題和任務(wù)。年青一代的網(wǎng)絡(luò)安全高手正在涉足到云計算安全、物聯(lián)網(wǎng)安全、移動互聯(lián)網(wǎng)安全以及網(wǎng)絡(luò)犯罪調(diào)查取證等一系列頗具挑戰(zhàn)性的新課題。任重道遠，我相信他們會不辭勞苦地做出新的貢獻、創(chuàng)造新的業(yè)績。（寫于2014年4月28日）

　　附件1：高能所1993年開通計算機國際專線后，國家自然科學基金委推薦一批課題負責人通過這條專線使用互聯(lián)網(wǎng)部分功能，這批專家與教授是國內(nèi)最早的網(wǎng)民。（圖中列出部分用戶名單）　　 

　　附件2：1993年11月郝柏林教授向?qū)W部提交了盡快開通國內(nèi)計算機聯(lián)網(wǎng)的建議，他還同時促進了我國互聯(lián)網(wǎng)國際出口的建設(shè)。 

　　附件3：高能所于1994年4月設(shè)立了WWW服務(wù)器（中國第一臺），附圖是當年的網(wǎng)頁（設(shè)計者是計算中心的女生樊嵐）。這臺服務(wù)器（486機器）現(xiàn)保留在中國電信博物館。