寫在2014網(wǎng)絡(luò)安全日前夕

　　■ 許榕生/文　　

　　許榕生研究員 高能所網(wǎng)絡(luò)安全實(shí)驗(yàn)室首席科學(xué)家

　　科研與軍事的需求帶來了互聯(lián)網(wǎng)，但并未解決好互聯(lián)網(wǎng)的技術(shù)全部。今天我們有幸把網(wǎng)絡(luò)安全與信息化并列并舉，成立中央網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組，設(shè)立每年4月29日為網(wǎng)絡(luò)安全日，把網(wǎng)絡(luò)安全提高到事關(guān)國(guó)家與國(guó)防安全的高度，這在認(rèn)識(shí)上是一個(gè)何等的進(jìn)步！

　　當(dāng)互聯(lián)網(wǎng)剛出現(xiàn)時(shí)，人們更多想到的是在全球網(wǎng)絡(luò)中的信息共享，理想中的快捷、海量的信息交流。然而，人們相信的 “無限美好”的信息時(shí)代，是否也會(huì)讓人們惶惶不安地?fù)?dān)心互聯(lián)網(wǎng)的麻煩，就像人類擔(dān)心核擴(kuò)散一樣？

　　網(wǎng)絡(luò)安全要與信息化建設(shè)一起考慮，甚至要把它放在第一位置上，這是多年來很多決策者沒有做到，甚至也沒有料想到的。我國(guó)早期一些重要的網(wǎng)絡(luò)工程中網(wǎng)絡(luò)安全的投資比例往往不到總投資的百分之五，甚至百分之零。少量的安全費(fèi)用還經(jīng)常用不到關(guān)鍵點(diǎn)上，作為網(wǎng)絡(luò)安全最重要的因素，人才的因素通常被忽視，重要的數(shù)據(jù)隨時(shí)可能丟失！

　　1990年初，作為用戶單位的高能物理研究所率先取得了連接中美兩國(guó)之間計(jì)算機(jī)專線的突破。在中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)發(fā)表的《中國(guó)Internet發(fā)展年表》上寫道：“1993年3月2日，中國(guó)科學(xué)院高能物理研究所租用AT&T公司的國(guó)際衛(wèi)星信道建立的接入美國(guó)SLAC國(guó)家實(shí)驗(yàn)室的64K專線正式開通，成為我國(guó)部分連入Internet的第一根專線。這根專線在1994年4月中國(guó)正式連入Internet后，也實(shí)現(xiàn)了Internet的全線連通?！?/p>

　　讓我們回顧一下這段歷史時(shí)刻。1991年的中美高能物理合作會(huì)談時(shí)，代表們正式提出建立一條從北京高能所（IHEP）到美國(guó)加州斯坦福直線加速器中心（SLAC）的計(jì)算機(jī)聯(lián)網(wǎng)專線，以便北京正負(fù)電子對(duì)撞機(jī)數(shù)據(jù)和軟件傳輸?shù)男枰?/p>

　　美國(guó)斯坦福大學(xué)的瓦特托基（Walter Toki）教授是當(dāng)年中美高能物理合作組首任負(fù)責(zé)人，他為中國(guó)開通Internet 作了巨大的努力；多名諾貝爾獎(jiǎng)得主以及美國(guó)能源部高級(jí)顧問潘諾夫斯基教授（北京正負(fù)電子對(duì)撞機(jī)四人領(lǐng)導(dǎo)小組成員之一、中國(guó)科學(xué)院的外籍院士）協(xié)助向美國(guó)政府溝通。中國(guó)方面則由諾貝爾獎(jiǎng)得主李政道教授協(xié)助上層工作，高能所直接向北京市電信局提交了申請(qǐng)64K國(guó)際通信專線，當(dāng)時(shí)北京前面僅有八家用戶申請(qǐng)，均為包用電話傳真的外國(guó)機(jī)構(gòu)。要將這類專線用作數(shù)據(jù)傳輸，光纖還暫時(shí)不能到戶，其技術(shù)難度是空前的。

　　圖1 當(dāng)年中美兩國(guó)科學(xué)家1991年草擬的IHEP-SLAC聯(lián)網(wǎng)設(shè)計(jì)圖。 

　　兩國(guó)科學(xué)家對(duì)如何聯(lián)網(wǎng)進(jìn)行了種種設(shè)計(jì)，圖1就是當(dāng)年留下的一張草擬的聯(lián)網(wǎng)設(shè)計(jì)圖。第一步計(jì)劃是通過AT&T公司的64K帶寬的衛(wèi)星專線實(shí)現(xiàn)北京高能所（IHEP）與美國(guó)斯坦福大學(xué)附近的直線加速器中心（SLAC）相連，由美國(guó)能源部網(wǎng)絡(luò)（ESnet）連入互聯(lián)網(wǎng)（Internet）；第二步再實(shí)施通過海底光纜實(shí)現(xiàn)128K速率與日本高能所（KEK）相連直接進(jìn)入互聯(lián)網(wǎng)（1994年底實(shí)現(xiàn)）。高能所很快向美國(guó)思科公司訂購(gòu)了Cisco3000系列的路由器（見圖2所示），這是中國(guó)向思科公司訂購(gòu)的第一臺(tái)路由器。專線經(jīng)過18個(gè)月的反復(fù)調(diào)試，于1993年3月2日全程線路暢通可以投入使用，先運(yùn)行DECnet的通訊協(xié)議，年底思科路由器到貨，正式運(yùn)行互聯(lián)網(wǎng)的TCP/IP協(xié)議。這樣不僅為數(shù)據(jù)傳輸、電子郵件的開通，而且為實(shí)現(xiàn)WWW網(wǎng)站等互聯(lián)網(wǎng)技術(shù)鋪平了道路。高能所立即設(shè)立了中國(guó)第一臺(tái)WWW網(wǎng)站（http://www.ihep.ac.cn/），1994年期間亞洲地區(qū)的網(wǎng)站還寥寥無幾，網(wǎng)頁是用英文設(shè)計(jì)的（見附件3）。圖3是美國(guó)人當(dāng)年留下的一張工程示意圖，由美國(guó)SLAC計(jì)算中心主任Les Cottrol提供。從圖中可以看出，當(dāng)時(shí)的專線除了租用國(guó)際通信衛(wèi)星，同時(shí)地面分別用光纜和銅線連到高能所的計(jì)算中心。

　　許多人可能不知道，就在中科院高能所剛剛試通第一條連接全球互聯(lián)網(wǎng)的中美計(jì)算機(jī)專線，美國(guó)政府第二天就通知美國(guó)能源部關(guān)掉通往中國(guó)的線路，要求說明為什么要讓中國(guó)加入互聯(lián)網(wǎng)。美國(guó)科學(xué)家立即向美國(guó)政府解釋開通這條互聯(lián)網(wǎng)專線的目的，一周以后，美國(guó)政府同意有控制地對(duì)中國(guó)這條專線開放互聯(lián)網(wǎng)。他們發(fā)來了一些文件，對(duì)網(wǎng)絡(luò)安全問題作了詳細(xì)的規(guī)定，強(qiáng)調(diào)這條中美專線只能用于科研合作，不得用于軍事和商業(yè)目的，并要求不得通過網(wǎng)絡(luò)散布病毒和進(jìn)行黑客入侵活動(dòng)。美國(guó)政府主要擔(dān)憂中國(guó)將從互聯(lián)網(wǎng)上面拿走大量的美國(guó)科技情報(bào)。另外，八十年代國(guó)外黑客經(jīng)常拿美國(guó)國(guó)防部網(wǎng)絡(luò)“練手”，與之相連的美國(guó)能源部的網(wǎng)絡(luò)也被殃及。而這條專線正是連在美國(guó)能源網(wǎng)上，這使美國(guó)高度警惕，極其擔(dān)心互聯(lián)網(wǎng)的安全性和穩(wěn)定性。

　　由于當(dāng)時(shí)互聯(lián)網(wǎng)的安全防范措施還不成熟，黑客的頻繁入侵致使美國(guó)對(duì)自身網(wǎng)絡(luò)安全的關(guān)注度提升情有可原。然而，中國(guó)的互聯(lián)網(wǎng)專線還沒有完全開通，一個(gè)中國(guó)黑客還沒有“出生”之際，就已經(jīng)被警告不要搞“黑客入侵”，這在某種程度上提示了我們要高度警惕互聯(lián)網(wǎng)的安全管理措施。

　　網(wǎng)絡(luò)管理是個(gè)復(fù)雜的問題，中國(guó)是個(gè)發(fā)展迅速的大國(guó)，網(wǎng)民數(shù)量和上網(wǎng)規(guī)模將急劇增大，用戶上網(wǎng)的習(xí)慣與國(guó)外也很不同。中國(guó)要解決的網(wǎng)絡(luò)安全管理問題將比任何國(guó)家都要嚴(yán)峻得多，對(duì)中國(guó)來說真是任重道遠(yuǎn)的事！

　　互聯(lián)網(wǎng)引進(jìn)中國(guó)不久，果然高能所的一臺(tái)主機(jī)就遭遇到國(guó)外黑客的第一次入侵。那天，系統(tǒng)管理員發(fā)現(xiàn)有一個(gè)賬號(hào)被改動(dòng)和被利用，使用權(quán)限超出了范圍。是黑客！研究室里一時(shí)嘩然。一番討論，大家決定實(shí)施跟蹤方式。當(dāng)對(duì)方發(fā)現(xiàn)自己被跟蹤，便立即利用竊取的高級(jí)權(quán)限取消我方賬號(hào)，隱蔽起來。最后，從分析跟蹤的記錄中獲得了黑客入侵行為的確鑿證據(jù)，經(jīng)系統(tǒng)關(guān)機(jī)與重裝后，阻止了對(duì)方進(jìn)一步的行動(dòng)。1996年，我被借調(diào)到國(guó)務(wù)院信息化領(lǐng)導(dǎo)小組辦公室工作一年。這一年的經(jīng)歷讓我有機(jī)會(huì)對(duì)中國(guó)互聯(lián)網(wǎng)的發(fā)展有了一個(gè)全面而清醒的認(rèn)識(shí)，我意識(shí)到：互聯(lián)網(wǎng)事業(yè)在中國(guó)的大規(guī)模發(fā)展已成為必然趨勢(shì)，而與之相伴的網(wǎng)絡(luò)管理與安全問題也將變得更為突出。我決定返回中科院高能所組建一支網(wǎng)絡(luò)安全專業(yè)隊(duì)伍，開展專題研究，增強(qiáng)網(wǎng)絡(luò)防護(hù)的能力。

　　1997年，中科院高技術(shù)局正式委托高能所承擔(dān)“黑客入侵防范軟件研究”課題。由十多位計(jì)算機(jī)高手和研究生組成的網(wǎng)絡(luò)安全團(tuán)隊(duì)誕生，課題組及時(shí)引進(jìn)了地方（福建海峽企業(yè)）的配套資金和技術(shù)人才使得課題進(jìn)展迅速，用一年時(shí)間就開發(fā)出了第一套在Linux系統(tǒng)下的網(wǎng)絡(luò)漏洞掃描系統(tǒng)，提前一年完成課題任務(wù)。這項(xiàng)隸屬于中國(guó)科學(xué)院信息安全重點(diǎn)項(xiàng)目（包括密碼學(xué)理論研究、網(wǎng)絡(luò)安全示范工程等子課題，分別由中科院研究生院、軟件所、網(wǎng)絡(luò)中心等共同完成）的成果于1999年獲得中國(guó)科學(xué)院科技進(jìn)步一等獎(jiǎng)，2000年10月獲國(guó)家科技進(jìn)步二等獎(jiǎng)（一等獎(jiǎng)缺）。高能所的這個(gè)子課題不僅為國(guó)家培養(yǎng)了一批研究黑客的領(lǐng)軍人才，而且實(shí)現(xiàn)了可喜的成果轉(zhuǎn)化，《網(wǎng)絡(luò)隱患掃描系統(tǒng)》成為了國(guó)內(nèi)最早的網(wǎng)絡(luò)安全產(chǎn)品之一，并在政府、金融、電信、教育、電力、石油石化等諸多的行業(yè)中得到廣泛的應(yīng)用。

　　圖4 陳知建司令員（上圖右立者）1998年到高能所熱心指導(dǎo)網(wǎng)絡(luò)隱患掃描系統(tǒng)（下圖設(shè)備）  

　　中國(guó)科學(xué)院的若干研究所和一些大學(xué)院校無疑是網(wǎng)絡(luò)與信息安全研究成果及人才集中的主要源生地，從計(jì)算機(jī)體系結(jié)構(gòu)設(shè)計(jì)到操作系統(tǒng)安全研究，以及網(wǎng)絡(luò)協(xié)議漏洞發(fā)現(xiàn)、惡意軟件代碼和入侵取證調(diào)查等方面都成立有相應(yīng)的研究課題小組。近二十年過去了，高能所在網(wǎng)絡(luò)安全領(lǐng)域就有18名博士畢業(yè)，與數(shù)十名碩士（包括聯(lián)合培養(yǎng)）一起陸續(xù)走到國(guó)家、企業(yè)與科教部門的各個(gè)崗位，成為我國(guó)網(wǎng)絡(luò)安全的一批骨干力量。高能所的網(wǎng)絡(luò)安全研究也從當(dāng)年的一個(gè)小組變成了網(wǎng)絡(luò)安全防護(hù)技術(shù)北京市重點(diǎn)實(shí)驗(yàn)室，以及中關(guān)村第一批網(wǎng)絡(luò)安全開放實(shí)驗(yàn)室，正承擔(dān)著越來越多的網(wǎng)絡(luò)安全課題和任務(wù)。年青一代的網(wǎng)絡(luò)安全高手正在涉足到云計(jì)算安全、物聯(lián)網(wǎng)安全、移動(dòng)互聯(lián)網(wǎng)安全以及網(wǎng)絡(luò)犯罪調(diào)查取證等一系列頗具挑戰(zhàn)性的新課題。任重道遠(yuǎn)，我相信他們會(huì)不辭勞苦地做出新的貢獻(xiàn)、創(chuàng)造新的業(yè)績(jī)。（寫于2014年4月28日）

　　附件1：高能所1993年開通計(jì)算機(jī)國(guó)際專線后，國(guó)家自然科學(xué)基金委推薦一批課題負(fù)責(zé)人通過這條專線使用互聯(lián)網(wǎng)部分功能，這批專家與教授是國(guó)內(nèi)最早的網(wǎng)民。（圖中列出部分用戶名單）　　 

　　附件2：1993年11月郝柏林教授向?qū)W部提交了盡快開通國(guó)內(nèi)計(jì)算機(jī)聯(lián)網(wǎng)的建議，他還同時(shí)促進(jìn)了我國(guó)互聯(lián)網(wǎng)國(guó)際出口的建設(shè)。 

　　附件3：高能所于1994年4月設(shè)立了WWW服務(wù)器（中國(guó)第一臺(tái)），附圖是當(dāng)年的網(wǎng)頁（設(shè)計(jì)者是計(jì)算中心的女生樊嵐）。這臺(tái)服務(wù)器（486機(jī)器）現(xiàn)保留在中國(guó)電信博物館。