今年7月，因向多國政府機構提供監控、竊聽等黑客工具而臭名昭著的意大利安全公司Hacking Team發生大規模數據泄露，涉及Adobe Flash player、Windows字體、Word、Android等程序的大量未公開高危漏洞，以及微信、whatsapp、skype等平臺的木馬后門程序。

就在相關廠商緊急開發漏洞補丁、安全公司將漏洞攻擊納入攔截范圍之時，白帽黑客“路人甲”卻從超過400G的泄露數據中，找出了韓國、哈薩克斯坦與Hacking Team合作攻擊中國的郵件證據。

互聯網信息技術早已進入我們的生活，面對各種技術漏洞，個人、企業、政府的安全由誰來保障?“互聯網+”風口浪尖時期，安全風險如何避免?漏洞頻發，誰來監管?……

國家級網絡安全較量

據“路人甲”發布的“Hacking Team泄露數據表明韓國、哈薩克斯坦針對中國發起網絡攻擊”的調查報告指出：韓國國情院(NIS)在與Hacking Team來往的多封郵件中均談到針對中國的攻擊，更曾經表示希望找到繞過中國國內殺毒軟件的辦法;而來自哈薩克斯坦國家安全委員會下屬部門SIS的一封郵件也表明，可能是由于目標電腦安裝了某種殺毒軟件，其植入的監控程序已經超過一個月沒有再反饋任何信息了。

“一些亞洲地區國家正在對我國進行網絡攻擊竊密。其中一些攻擊已經得手，成功地控制了國內目標PC或手機。攻擊方還會對新發現的問題做針對性的要求，保證更隱秘的監控與機密信息的回傳。”“路人甲”繼續寫道：“然而，如果不是這次互聯網‘軍火庫’的泄密事件，我們仍然會被蒙在鼓里。切記!這些都不是電影情節，而是已經真實發生的國家級網絡安全較量。”

然而，更像電影情節的是《連線》雜志記者Andy Greenberg的親身遭遇。

“我正準備通過匝道駛入64號洲際高速公路，手機里傳來了 Miller 的聲音：‘無論發生了什么都不要慌。’接著，車上的空調、廣播和雨刷器都開始不聽使喚，車速也開始下降。”他寫道。日前，他所駕駛的切諾基成為了黑客的“劫持”目標。

“我拼命地踩住油門，轉速計的數字飆上去了，但車仍然在龜速爬行，變速器也被他們切斷了!更糟的是，我剛剛才開到一段很長的立交橋上，根本沒有應急車道。我想起了 Miller 的建議，但是怎么可能不慌?我慌了，手里緊緊攥住手機，祈求他們趕緊停止惡作劇。”

萬幸的是，這位名叫Charlie Miller的黑客并不是真的要“劫持”汽車，他只是在評估那些新技術車輛的安全性。在Greenberg之前，他已經隨機選擇了美國全國范圍內的多輛汽車進行攻擊。

目前，包括世界第七大汽車制造商——菲亞特克萊斯勒汽車公司等在內的多家汽車廠商，都開始召回可能存在軟件故障的汽車。

盡管汽車廠商總是強調：聯網的車載系統并不與控制引擎、變速器等重要部件的CAN總線相連，因此車聯網并不會影響車輛的行駛安全。但在黑客們看來，汽車就是一臺“計算機”。“如果這臺計算機沒有你想要的功能，重新編程就好了。”Charlie Miller在8月舉行的 2015 黑帽大會上說。

憑借幾行代碼，Miller可以控制CAN 總線發送任何指令：包括控制方向盤、變速器、剎車系統、雨刮、空調門鎖等。這給《連線》雜志的記者帶來了之前的那些驚悚體驗。

同樣地，憑借幾行代碼，白帽黑客閆敏銳在首屆HackPwn安全極客狂歡節上，現場演示了如何利用海爾Smartcare智能家居的漏洞操縱電器、插拔插座甚至打開門鎖。

看起來，一切“智能”產品似乎都在網絡攻擊之下變成了任人宰割的“傻瓜”。

對此，中國知名網絡安全企業360公司技術副總裁譚曉生評論稱：“人類社會正在進入物聯網時代。但是，今天智能硬件的生產商，仍然以傳統的電器廠家為主，而他們在安全方面沒有任何經驗，甚至很少考慮安全，這將在下一個5年帶來巨大的安全挑戰。”

網絡環境并不安全

美國最大的移動運營商威瑞森通信公司(Verizon)發布的報告顯示：2014年全球共有79790家公司被黑，2122家公司公開確認信息被竊取，銀行、醫院、零售業、保險業、電商、娛樂業的巨頭們都難以幸免，其中亦不乏全球500強企業。

大環境如此，中國又怎能獨善其身?

僅在今年上半年，先是補天漏洞平臺指出多省市社保系統存在高危漏洞，引起了全社會對于電子政務信息系統安全性的擔憂。接著，支付寶和攜程又分別由于“光纜被挖斷”和“數據庫遭到物理刪除”相繼出現長時間訪問故障，企業網絡安全同樣受到考驗。

網絡安全問題同樣給當前最火熱的O2O澆了一盆冷水。

《經濟》記者從補天漏洞平臺公布的信息看到，嘀嘀打車、餓了么、百度外賣等數十款流行的O2O應用均被曝出存在多個安全漏洞，極易引發用戶信息泄露等問題。

僅在今年8月，號稱“中國最大的餐飲O2O平臺”餓了么接連被白帽黑客指出存在多處高危漏洞。按照其提交的描述，其中一則漏洞將導致餓了么近120萬商戶信息(包括合同信息、營業執照、銀行卡號、健康證等大量證件原件照片)泄露。目前，漏洞已被餓了么確認，正在修復當中。

與此同時，曾經野蠻生長的P2P也面臨著巨大的網絡安全問題。

2014年，深圳曉風安全網貸系統被曝存在高危漏洞，使用該系統的100余家企業均遭到了不同程度的攻擊，部分企業暫停了面向客戶提現、充值等功能，更有多家平臺由于不堪損失而選擇跑路。

而據《2014年互聯網金融行業安全漏洞分析報告》的不完全統計，截至2014年底，已有近165家P2P平臺由于黑客攻擊造成系統癱瘓、數據被惡意篡改、資金被洗劫一空。無怪乎有人驚呼，中國P2P已經成為“被全世界黑客宰割的羔羊”!

國家計算機病毒應急處理中心發布的《第十四次全國信息網絡安全狀況暨計算機和移動終端病毒疫情調查分析報告》則顯示：隨著經濟活動從線下發展至線上，互聯網金融異常火爆，釣魚攻擊猛增。除了傳統釣魚網站之外，不法分子瞄準手機支付用戶群體，利用仿冒移動應用、移動互聯網惡意程序、偽基站等多種手段，實施跨平臺的釣魚欺詐攻擊。手機支付類病毒更將通過“二次打包、仿冒程序、驗證碼轉發、監控誘導”，深入竊取用戶支付隱私，并逐步突破銀行、運營商、第三方支付軟件構建的“手機驗證碼+密碼”的雙重認證防御，盜取用戶資金，令人防不勝防。

“個人認為，目前國內的網絡信息安全，處在一個不太安全的狀態。”羅杰告訴《經濟》記者，與七八年前他剛剛入行時相比，“已經上升了一個層次”。羅杰在北京銀行負責網絡安全的科技部工作，對銀行系統的網絡安全管理頗有了解。

中國電子信息產業發展研究院信息化研究中心副主任肖擁軍則告訴《經濟》記者：“從戰略上，我國非常重視網絡安全。習總書記曾經多次強調，沒有網絡安全，就沒有國家安全。但是，我們必須突破核心的軟硬件技術和產品，才能真正實現網絡安全。”

他舉例指出，國內所使用的諸如芯片、CPU處理器、辦公系統等軟硬件產品，基本都是從國外采購回來的。“我有一個朋友，專門做銀行的金融系統，用的就是IBM的產品。還有，大部分政府機構和國企采用的都是Oracle的辦公平臺。這些都是國外的產品。我們的基礎這么薄弱，如果他們安置了‘后門’，非常容易盜走我們的信息。”

裝雞蛋的籃子都是別人的，又如何保證雞蛋的安全?由此，肖擁軍認為，當前的網絡環境絕對稱不上“安全”。

事實上，出于對IBM、Oracle、EMC重型基礎設施過度依賴的憂慮，阿里巴巴曾經在內部發起“去IOE運動”。還有不少互聯網公司，壓根不去考慮這些成熟而昂貴的商業軟件，而是借助開源的軟件系統和框架來搭建滿足自身需求的產品。

不過，開源平臺也并沒有那么安全。2014年，波及全球數以千萬計服務器的“心臟流血”事件震驚了全球IT業。全世界網站服務器中有三分之二都采用OpenSSL開源軟件，而該軟件的“心臟流血”(Heartbleed)安全漏洞，則能夠幫助黑客獲得打開服務器的密鑰，監視服務器的數據和流量。時至今日，在福布斯全球2000強公司中，仍有約四分之三的公司極易受到“心臟流血”安全漏洞的不利影響。

“互聯網+”，更高的安全需求

2015年6月，第十二屆全國人大常委會第十五次會議初次審議了《中華人民共和國網絡安全法(草案)》，7月6日，該草案向社會公開征求意見。截至8月4日中午，中國人大網已收到關于《網絡安全法(草案)》的意見逾3000條。

《經濟》記者注意到，草案要求互聯網公司進行審查、用戶實名登記、數據本地化以及協助政府實施監控，無疑，這些舉措將加強政府部門對于互聯網環境的控制，在一定程度上保障網絡安全。

北京郵電大學國際學院院長李預曉則指出，中國網絡空間安全立法的核心問題，就是要解決國家網絡安全的問題。“立法應當明確：在網絡空間中，國家的權利義務和責任、對國家基礎設施的保護以及相應的技術保障能力等。尤其需要強調的是，中國網絡空間安全立法中一定要有可適用于全球的內容，或者說是可以讓別國接受的內容。”

就在草案公開征求意見的前兩天，國務院發布《關于積極推進“互聯網+”行動的指導意見》，其中提到：到2018年，互聯網與經濟社會各領域的融合發展進一步深化，基于互聯網的新業態成為新的經濟增長動力，互聯網支撐大眾創業、萬眾創新的作用進一步增強，互聯網成為提供公共服務的重要手段，網絡經濟與實體經濟協同互動的發展格局基本形成。更指出，農業、制造業、能源、金融和公共服務等11個領域，將是“互聯網+”的戰略重點。

隨著云計算、大數據、物聯網等IT技術的飛速發展，“互聯網+”已經成為國家和產業的共識。但我們必須認識到，全社會在分享互聯網高效、便捷、智能的同時，也要承受更多攻擊和挑戰。而適用于PC時代的防火墻、IPS和各種網關等傳統安全防護產品，顯然已經過時，網絡安全又該如何保證?

“技防”+“人防”，打造網絡安全

實際上，安全企業也在積極實踐“互聯網+”。不過，就在安全企業借助大數據開發新一代威脅感知系統，并聲稱能夠“提前洞悉各種安全威脅”時，他們可能還不知道，“攻擊方已經偷偷地實現了機器自學習的完全自動化攻擊手段”，白帽黑客王音說。

“就好像你在北方大修特修長城，攻擊者卻選擇直接從渤海開船繞到你后方。”在他看來，未來網絡攻防的可能趨勢是：做防御的在為擁有海量日志分析技術、攻擊特征攔截技術而自豪的時候，搞攻擊的卻帶著“黑科技”不再出現在這個世界，讓防守方沉浸在自娛自樂中無法自拔。

他甚至略帶悲觀地認為：“對于處于防御場景的甲方，哪怕只被黑過一次，只要被黑客帶走的信息足夠多，黑客們下次依然能夠借助以往獲取的信息再次黑進來。”

羅杰則告訴《經濟》記者，盡管國內的網絡安全在技術層面還有很大的提升空間，但在他看來，更需要關注的是“人防”。“技術防御確實能夠解決大部分的安全問題，但‘人防’才是關鍵，因為技術的使用主體是人。只有‘技防’和‘人防’都安全，才能營造一個相對安全的環境。”

這與北京郵電大學信息安全中心教授辛陽的觀點不謀而合。

辛陽告訴《經濟》記者，在我國，國防、金融和公安領域對信息安全人才的需求非常巨大。不僅網絡技術的滲透、防御和技術研發等工作的技術門檻較高，政府部門的信息安全戰略規劃、立法、司法乃至管理也都十分依賴專業人才。

遺憾的是，當前我國信息安全人才仍然主要通過高校進行“不夠完善的”培養。“所有信息安全專業都是二級學科，有的隸屬于數學專業，有的被歸類到計算機科學與技術之下，在課程體系方面，缺乏統一的標準。更要命的是，重理論、輕實踐，這是我國高校信息安全專業人才培養體系的通病。”

“網絡安全已經上升到國家戰略的高度。而網絡空間的安全保障，歸根到底還是安全人才的保障。”辛陽說，一方面，要加強專業人才的培養，另一方面，也應當重視公民安全意識的普及。在他看來，如果全民都重視信息安全，注意培養安全習慣，遵守相應的安全規則，國家安全戰略層面的許多問題自然也就迎刃而解了。

“在國內的一些漏洞修補平臺，比如烏云和補天，每天都會有不少大型網站被曝出漏洞，這一方面反映出了我國網絡安全存在不足。” 羅杰表示，“另一方面，也說明大量的技術人才在關注網絡安全問題。很多廠商還設置了獎勵計劃，鼓勵‘白帽子’提交漏洞，改善國內的網絡安全環境。這也是一個進步。”(羅杰為化名)