写在2014网络安全日前夕
■ 许榕生/文
许榕生研究员 高能所网络安全实验室首席科学家
科研与军事的需求带来了互联网,但并未解决好互联网的技术全部。今天我们有幸把网络安全与信息化并列并举,成立中央网络安全与信息化领导小组,设立每年4月29日为网络安全日,把网络安全提高到事关国家与国防安全的高度,这在认识上是一个何等的进步!
当互联网刚出现时,人们更多想到的是在全球网络中的信息共享,理想中的快捷、海量的信息交流。然而,人们相信的 “无限美好”的信息时代,是否也会让人们惶惶不安地担心互联网的麻烦,就像人类担心核扩散一样?
网络安全要与信息化建设一起考虑,甚至要把它放在第一位置上,这是多年来很多决策者没有做到,甚至也没有料想到的。我国早期一些重要的网络工程中网络安全的投资比例往往不到总投资的百分之五,甚至百分之零。少量的安全费用还经常用不到关键点上,作为网络安全最重要的因素,人才的因素通常被忽视,重要的数据随时可能丢失!
1990年初,作为用户单位的高能物理研究所率先取得了连接中美两国之间计算机专线的突破。在中国互联网协会发表的《中国Internet发展年表》上写道:“1993年3月2日,中国科学院高能物理研究所租用AT&T公司的国际卫星信道建立的接入美国SLAC国家实验室的64K专线正式开通,成为我国部分连入Internet的第一根专线。这根专线在1994年4月中国正式连入Internet后,也实现了Internet的全线连通。”
让我们回顾一下这段历史时刻。1991年的中美高能物理合作会谈时,代表们正式提出建立一条从北京高能所(IHEP)到美国加州斯坦福直线加速器中心(SLAC)的计算机联网专线,以便北京正负电子对撞机数据和软件传输的需要。
美国斯坦福大学的瓦特托基(Walter Toki)教授是当年中美高能物理合作组首任负责人,他为中国开通Internet 作了巨大的努力;多名诺贝尔奖得主以及美国能源部高级顾问潘诺夫斯基教授(北京正负电子对撞机四人领导小组成员之一、中国科学院的外籍院士)协助向美国政府沟通。中国方面则由诺贝尔奖得主李政道教授协助上层工作,高能所直接向北京市电信局提交了申请64K国际通信专线,当时北京前面仅有八家用户申请,均为包用电话传真的外国机构。要将这类专线用作数据传输,光纤还暂时不能到户,其技术难度是空前的。
图1 当年中美两国科学家1991年草拟的IHEP-SLAC联网设计图。
两国科学家对如何联网进行了种种设计,图1就是当年留下的一张草拟的联网设计图。第一步计划是通过AT&T公司的64K带宽的卫星专线实现北京高能所(IHEP)与美国斯坦福大学附近的直线加速器中心(SLAC)相连,由美国能源部网络(ESnet)连入互联网(Internet);第二步再实施通过海底光缆实现128K速率与日本高能所(KEK)相连直接进入互联网(1994年底实现)。高能所很快向美国思科公司订购了Cisco3000系列的路由器(见图2所示),这是中国向思科公司订购的第一台路由器。专线经过18个月的反复调试,于1993年3月2日全程线路畅通可以投入使用,先运行DECnet的通讯协议,年底思科路由器到货,正式运行互联网的TCP/IP协议。这样不仅为数据传输、电子邮件的开通,而且为实现WWW网站等互联网技术铺平了道路。高能所立即设立了中国第一台WWW网站(http://www.ihep.ac.cn/),1994年期间亚洲地区的网站还寥寥无几,网页是用英文设计的(见附件3)。图3是美国人当年留下的一张工程示意图,由美国SLAC计算中心主任Les Cottrol提供。从图中可以看出,当时的专线除了租用国际通信卫星,同时地面分别用光缆和铜线连到高能所的计算中心。
许多人可能不知道,就在中科院高能所刚刚试通第一条连接全球互联网的中美计算机专线,美国政府第二天就通知美国能源部关掉通往中国的线路,要求说明为什么要让中国加入互联网。美国科学家立即向美国政府解释开通这条互联网专线的目的,一周以后,美国政府同意有控制地对中国这条专线开放互联网。他们发来了一些文件,对网络安全问题作了详细的规定,强调这条中美专线只能用于科研合作,不得用于军事和商业目的,并要求不得通过网络散布病毒和进行黑客入侵活动。美国政府主要担忧中国将从互联网上面拿走大量的美国科技情报。另外,八十年代国外黑客经常拿美国国防部网络“练手”,与之相连的美国能源部的网络也被殃及。而这条专线正是连在美国能源网上,这使美国高度警惕,极其担心互联网的安全性和稳定性。
由于当时互联网的安全防范措施还不成熟,黑客的频繁入侵致使美国对自身网络安全的关注度提升情有可原。然而,中国的互联网专线还没有完全开通,一个中国黑客还没有“出生”之际,就已经被警告不要搞“黑客入侵”,这在某种程度上提示了我们要高度警惕互联网的安全管理措施。
网络管理是个复杂的问题,中国是个发展迅速的大国,网民数量和上网规模将急剧增大,用户上网的习惯与国外也很不同。中国要解决的网络安全管理问题将比任何国家都要严峻得多,对中国来说真是任重道远的事!
互联网引进中国不久,果然高能所的一台主机就遭遇到国外黑客的第一次入侵。那天,系统管理员发现有一个账号被改动和被利用,使用权限超出了范围。是黑客!研究室里一时哗然。一番讨论,大家决定实施跟踪方式。当对方发现自己被跟踪,便立即利用窃取的高级权限取消我方账号,隐蔽起来。最后,从分析跟踪的记录中获得了黑客入侵行为的确凿证据,经系统关机与重装后,阻止了对方进一步的行动。1996年,我被借调到国务院信息化领导小组办公室工作一年。这一年的经历让我有机会对中国互联网的发展有了一个全面而清醒的认识,我意识到:互联网事业在中国的大规模发展已成为必然趋势,而与之相伴的网络管理与安全问题也将变得更为突出。我决定返回中科院高能所组建一支网络安全专业队伍,开展专题研究,增强网络防护的能力。
1997年,中科院高技术局正式委托高能所承担“黑客入侵防范软件研究”课题。由十多位计算机高手和研究生组成的网络安全团队诞生,课题组及时引进了地方(福建海峡企业)的配套资金和技术人才使得课题进展迅速,用一年时间就开发出了第一套在Linux系统下的网络漏洞扫描系统,提前一年完成课题任务。这项隶属于中国科学院信息安全重点项目(包括密码学理论研究、网络安全示范工程等子课题,分别由中科院研究生院、软件所、网络中心等共同完成)的成果于1999年获得中国科学院科技进步一等奖,2000年10月获国家科技进步二等奖(一等奖缺)。高能所的这个子课题不仅为国家培养了一批研究黑客的领军人才,而且实现了可喜的成果转化,《网络隐患扫描系统》成为了国内最早的网络安全产品之一,并在政府、金融、电信、教育、电力、石油石化等诸多的行业中得到广泛的应用。
图4 陈知建司令员(上图右立者)1998年到高能所热心指导网络隐患扫描系统(下图设备)
中国科学院的若干研究所和一些大学院校无疑是网络与信息安全研究成果及人才集中的主要源生地,从计算机体系结构设计到操作系统安全研究,以及网络协议漏洞发现、恶意软件代码和入侵取证调查等方面都成立有相应的研究课题小组。近二十年过去了,高能所在网络安全领域就有18名博士毕业,与数十名硕士(包括联合培养)一起陆续走到国家、企业与科教部门的各个岗位,成为我国网络安全的一批骨干力量。高能所的网络安全研究也从当年的一个小组变成了网络安全防护技术北京市重点实验室,以及中关村第一批网络安全开放实验室,正承担着越来越多的网络安全课题和任务。年青一代的网络安全高手正在涉足到云计算安全、物联网安全、移动互联网安全以及网络犯罪调查取证等一系列颇具挑战性的新课题。任重道远,我相信他们会不辞劳苦地做出新的贡献、创造新的业绩。(写于2014年4月28日)
附件1:高能所1993年开通计算机国际专线后,国家自然科学基金委推荐一批课题负责人通过这条专线使用互联网部分功能,这批专家与教授是国内最早的网民。(图中列出部分用户名单)
附件2:1993年11月郝柏林教授向学部提交了尽快开通国内计算机联网的建议,他还同时促进了我国互联网国际出口的建设。
附件3:高能所于1994年4月设立了WWW服务器(中国第一台),附图是当年的网页(设计者是计算中心的女生樊岚)。这台服务器(486机器)现保留在中国电信博物馆。