来源:瞭望东方周刊 记者:吴铭 时间:2013-11-26
网络安全本身是为了发展,只有在发展中求安全才能真正实现安全。
有些人认为互联网非常不安全,应该把安全搞好再发展,这种想法非常天真
在互联网产生的第一个20年里,中国几乎没有在这个虚拟世界中发出什么声音。然而,最近20年,互联网让中国人的生活方式、思维方式乃至价值观发生巨变。世界既感受到了互联网对中国的影响,也看到了中国互联网力量的强力延伸。
然而,坐拥全球最大的网民群体,中国的互联网日益面临更加复杂的挑战。特别是从顶层设计和战略层面而言,它似乎正处在十字路口。正是在这种背景下,2013年以来,中国的互联网管理成为全球瞩目的焦点。
从网络安全到治理机制,从宽带应用到移动互联网,乃至中国在下一代互联网中扮演的角色……面对这些问题,中国将如何作答?
《瞭望东方周刊》日前就中国互联网事业的挑战与未来,专访了中国工程院原副院长、中国互联网协会理事长邬贺铨院士。
邬贺铨院士是光纤传送网与宽带信息网专家,曾出任信产部电信科学技术研究院副院长兼总工程师、大唐电信集团副总裁,并在国家“863”计划、“973”计划以及国务院物联网专家组、国家信息化专家咨询委员会中兼任重要职务。
受到公认的是,他是我国对互联网战略发展最具发言权的人之一,也包括物联网、大数据等诸多尖端问题。
邬贺铨院士强调,中国应该尽快提高对互联网重要性的认识,包括网络安全、基础设施投入,等等。他说,只有在发展过程中才能解决互联网自身问题,而不是停滞等待“完美世界”的来临。
只能在发展中求安全
《瞭望东方周刊》:你如何评价当前我国的网络安全状况?
邬贺铨:2012年的统计资料显示,在个人电脑受攻击方面,美国受攻击比例最高,中国的网民数量比美国要多,但受攻击程度排第二。
其中一个重要原因是中国的杀毒软件已经免费,百分之八九十的个人电脑都安装了杀毒软件。
但是,以手机为代表的移动互联网的情况并不乐观。中国的移动终端数量较多,大多是安卓系统,而安卓系统本身遭受攻击的比例比较高。虽然目前还没有一个较为准确的统计,但中国算是受攻击比较严重的国家。
总体来说,从网络安全的发展趋势来看,中国的相对值比以前进步了,但是每年遭遇的安全事件越来越多,绝对值是增加的。
2013年前8个月,境外有2.2万个IP地址通过植入后门对我国境内4.6万个网站实施远程控制。从控制源头数量统计,美国居首位。美国常常就网络攻击问题指责中国,不过一些攻击美国的IP地址虽然在中国,但主机是被美国控制的。据Symantec互联网安全公司发布的2013网络攻击报告统计,恶意攻击、恶意代码、Web攻击、钓鱼主机、僵尸网络的来源,排名首位均为美国。
对于一般个人用户来讲,防御网络攻击的能力大体相似。但对于一些敏感、核心的用户,除了安装防火墙,还要采取更多安全措施。
所有国家都面临互联网安全问题的挑战,中国和美国有共同的问题。但是需要说明的是,中国面临的挑战更严峻,我们有天生的软肋核心芯片,特别是个人电脑芯片,基本上都是外国的,核心不掌握在我们手里。
个人电脑、智能终端的操作系统,无一例外都来源于美国。在这一点上,发达国家特别是美国可能更了解里面存在的问题、知道有什么漏洞,美国可以防御或者利用这些漏洞。但这些东西对于中国来讲,可能就是黑匣子,我们不能很好地应对漏洞和病毒。
另外,现在全世界互联网有13个根服务器,其中有10个在美国,2个在欧洲,1个在日本。根服务器是域名最终、最顶级的解释服务器,存在着通过域名来控制互联网的可能性。所以,中国从本质上防御网络攻击的风险要比美国大得多。
现在美国出台了一个安全战略,把对美国互联网的攻击都视为对美国的侵略,要动用经济、政治、外交甚至军事手段来防卫,把网络安全问题提到了国家战略高度。
中国目前在网络安全方面的法律严重滞后,也没有互联网的国家战略。我认为,需要借鉴美国这种从战略高度对网络安全的认识。
网络安全本身是为了发展,只有在发展中求安全才能真正实现安全。有些人认为互联网非常不安全,应该把安全搞好再发展,这种想法非常天真。必须坚持在发展中求安全,用安全来保发展,二者相辅相成。安全问题是永恒的,魔高一尺道高一丈,不存在一劳永逸。
《瞭望东方周刊》:您能否对个人的互联网信息安全提出一些建议?
邬贺铨:第一还是要高度重视。毕竟网络是没有围墙的花园,上网不仅仅是从网上拿东西,也包括用户个人信息的上传,除了病毒、木马以外,用户的行为也会被传上去。也就是说,网络时刻记录着一个人整个上网的行为或轨迹。不要以为在网络上用什么用户名干什么事别人不知道,这都是有迹可循的。
而且,用户总有一些个人信息与网络是交互的。将来实名制以后,终端、上网的IP地址都是跟用户本人有关联的,所以,每个人都应该有网络安全的意识,不是什么东西都可以放到与互联网相连的计算机上。
还有,有些人希望自己的手机有导航、定位、查航班、阅读小说、听音乐等更多的应用功能,无形之中就承诺把自己的个人信息交给了这些应用网站,也就是说,要付出一些安全风险的代价。
对我国来说,移动互联网的操作系统应该说还都不是自主可控的。目前,针对智能手机的病毒三分之一是木马,有5万多种病毒,移动终端的设备多样性是桌面计算机无法比拟的,管理起来比较难,移动终端是小型的,功耗也不大,很难像个人电脑那样内置功能完善的防病毒软件。
第二,还是要想办法采用一些安全措施。比如密码。
另外,当你不使用某项功能的时候,可以把这些功能关掉。比如蓝牙功能、红外功能和摄像头功能,在这些功能打开并闲置时,实际上就连在互联网上,不知不觉就把信息传出去了。
现在很多年轻人喜欢使用社交媒体,在美国,77%的雇员在上班时间使用社交网络,33%的美国公司通过社交网络被一些病毒所感染。
热门的物联网,节点可能被假冒,节点的数据也可能被篡改。物联网的数据决策分析库本身也需要具有防止非法入侵的能力。现在,物联网已经用到了医疗设备上,这时医疗设备也会面临受到网络攻击的局面,比如心脏起搏器等,这会影响人的生命。
网民数据反映舆情和社会心态
《瞭望东方周刊》:你如何看待互联网管理与网络空间自由的问题?
邬贺铨:政府对互联网管理还是费了不少心思,也出台了一些规定。但我认为,总体上还没有从法律层面上加强。这些规定,用心是好的,但是效果不一定好。因为互联网是把双刃剑,既要管又不能管死。我们现在出台的规定,考虑比较多的是怎么去管,对保障用户权利、促进互联网发展方面重视不够。现在有些规定治标不治本。
另外,就是既要保护隐私,又要想办法从用户数据中获得规律性的东西。网民的数据可以反映出社会舆情,反映出一些社会心态和规律。如果简单地都把这些当成隐私,就什么都得不到。但是如果为了某种经济利益、放任其把所有数据都拿出来,确实是损害隐私。这需要很好的法律界定。
互联网问题是现实社会的反映。它适用现实社会的法律,但是又与现实社会不同,因此法治很重要。我们现在有8个部委管理互联网,但其各自的规定不见得是互相协调的。
我认为,美国的一些做法可以参考,除了一些保密信息外,原则上政府的信息都公开。真实情况公开及时,谣言就会不攻自破。不说明真实情况,当然会有许多谣言。在这点上,我觉得政府能够做的就应该尽快做。
对公民进行网络道德教育是非常必要的,网络不是一个肆无忌惮的地方。网络是个阵地,我们不去占领,当然有人就要去占领了。所以,应该更好地发挥网络的正能量。目前的一些做法是为了打击负能量。我认为还是要加强网络的正面宣传、正面教育功能。
各个国家的互联网管理都会有些原则、办法。中国的互联网管理也是逐步走过来的,也借鉴了一些国家的做法。但是中国网民数量这么多,发展也不平衡,因此我们有一些自身的问题,不是说从国外就能学到解决办法的。再加上我国的体制跟外国不一样,也没办法照搬国外互联网的管理办法。
鼓励境外网站落地中国
《瞭望东方周刊》:一些人认为,我们对于互联网的管理过于严格了,比如有些世界性的网站无法浏览,你如何看这个问题?
邬贺铨:国外一些网站可能会有一些负面的、损害我国利益的信息。不但在国外,包括国内,如果有这样的网站,都是应该治理的。这种情况在任何国家都会发生。至少对毒害青少年和违背社会道德的内容都不能放任自流,甚至要把它关掉。
凡是有损国家安全的内容,所有国家无一例外都会严控。现在对境外网站采取的一种办法是封堵。因为这些网站确有与我国制度相抵触的内容,不符合我们的宪法。这些网站所载内容,有一部分是科技、文化方面的信息,并不是100%的内容都是坏的。我们把它封住,既把坏的信息挡住了,也把好的、有用的信息挡住了。
封堵只是一种手段。中国工程院也曾建议,希望能够进行更为精准的封堵,只把不好的内容过滤掉。但这说起来容易做起来难。封堵网站容易,但要封住网站里的某些内容,就需要识别,这不是计算机能简单判断的。目前我们的技术还不足以完全支持精准地分析内容,于是不得不付出代价,损失掉一些有用的信息。
我想,从方向上来说,我们还是要向精准治理努力。这需要一个过程,在技术上有很多难关要攻克。
而从另一方面讲,我们希望国内的网站办得更好、内容更丰富。如果国内网站的搜索引擎比国外的要好得多,也就不一定用国外的了。但现在我们的搜索引擎和国外比还有一些差距。
当然还有另外一种方式,就是鼓励这些境外网站在中国落地,也就是说,把服务器放在中国大陆。境外网站先自己筛选内容,把好的内容放到位于中国的服务器上,这样就有利于我国对这些网站的内容进行更好的管理。也就有利于我们解冻境外的一些网站,这些措施也都是可以考虑的。
宽带贵是个复杂问题
《瞭望东方周刊》:与其他国家相比,中国互联网整体发展水平如何?尤其在宽带速度、互联网普及度、公民的接受及使用能力等方面。
邬贺铨:在宽带速度方面,中国在150多个国家和地区中处于中间位置,与发达国家相比还有不小的差距。2013年7月统计,我国的互联网平均下载速度是2.93M多,全球平均水平约3.1M,即比全球平均水平略低,排第78位。
现在,“宽带中国”的目标是,到2015年城市宽带接入速率达到20M、农村达到4M.而韩国提出要到1G,我们的目标仍然不是高水平的。当然,中国幅员辽阔,城乡差距大,要马上在农村普及宽带还不太容易,需要有一个过程。
现在工信部做了不少工作,解决运营商之间的互联互通问题、增加网络直联中心,等等,这些都在处理之中,应该说已经有一些部署,有望在2013年底有较大改善。
具体来说,运营商开展“光纤到户”、“光纤到大楼”、“光纤到小区”,光纤本身不贵,但很多小区是物业管的,进去就要给他交钱。包括移动上网要建基站,很多老百姓认为基站有辐射,不能放在楼顶。这些问题使宽带化的最后一公里举步维艰,政府的管理上又不够有力,导致宽带成本增加。
宽带宽不宽涉及很多环节。怎么提高所有人共享的带宽?这需要投资,而运营商更多考虑能否回收成本。运营商对城市愿意投资,但对农村不愿过多投入。国资委考核运营商是否保持增值、有利润指标,现在投资农村会在很大程度上影响运营企业的利润。
上网资费也是大家比较关心的问题。中国的上网资费绝对值并不一定很贵,在国际上算中间水平,但是每兆上网资费就显得贵。为什么呢?中国的普遍网速不高,因此平均每兆的资费就显得高。运营商最近在搞提速不提价,就有可能降低每兆上网费用。
绝对值虽然不贵,但是相对于我国的人均可支配收入还是比较贵的。解决这个问题一靠技术进步,二要改进电信运营商的管理。
发达国家推行普遍服务,从运营商上缴的利润中建立“普遍服务基金”来补助农村或边远地区的宽带建设。“宽带中国战略”没有提建立宽带普遍服务基金,只写了一句“推动宽带服务机制”,而且没有具体落实措施。
运营商在城市运营互联网宽带的成本不高,可收费要比农村高,按道理这是不正常的。但运营商说,既然国家不给钱补贴农村,就得要城市地区补贴农村。这也是我国宽带资费高的重要原因。
国内每一家运营商都有几十万人,实际上用不了这么多人。考虑到社会稳定等因素,人员难以分流或辞退,就造成人员成本过高。所以宽带贵的问题说起来有很多具体因素。
自国际金融危机以来,国家把很多钱投入到铁路、公路、机场等基础设施,没有重视信息基础设施的投入。这几年信息基础设施的建设方面财政没有投入,总认为运营商赚了不少钱,干嘛要投呢?
但这也未必是正确判断。像美国政府也在投,发达国家主要投农村,因为那是市场经济不容易实现的地方,企业没有积极性。我们还是要想办法加大农村和贫困地区的宽带建设,政府应该主动促进这个事情。
下一代互联网的目标与路线
《瞭望东方周刊》:能否谈谈下一代互联网的发展思路和发展方向?
邬贺铨:我们希望下一代互联网的第一个特征就是安全。当然,希望它能支持移动性的普适计算,能跨越物理空间和自治联网。我们希望下一代互联网是安全、可信、可用的,是移动的互联网,能支持物联网应用的互联网和支持泛在网络应用的互联网。
现在有两种思路,一是在现有基础上改进,首先解决IP地址不够的问题,要从第四代互联网协议IPv4转到第六代互联网协议IPv6.还有一个革命性的思路,就是完全重新设计一个新的网络,但目前还没有提出一种真正可以实施的革命性方案。
互联网要革命谈何容易?弄个新的网络来替代它,这是一个长远的过程,眼前恐怕还是要先解决地址不足的问题,在这个基础上尽量宽带化。
《瞭望东方周刊》:在下一代互联网的研究方面,中国的技术和能力怎样?
邬贺铨:在这方面,特别是IPv6的网络,中国在国际标准上开始有了发言权。因为美国还有很多IPv4地址,不急于转到IPv6上。但中国IPv4地址存量已告罄,所以我们有内在的压力要转到IPv6上。
现在,在互联网工程任务组IETF(负责互联网标准的开发和推动的国际组织)的标准里,中国贡献的标准有40多项,占IETF标准总数不到2%,我们提出的标准基本上都是关于下一代互联网的。中国现在也建成了全世界最大的基于IPv6的下一代互联网。美国号称互联网之父的一位专家说,中国有希望在IPv6上走在国际前列。
《瞭望东方周刊》:互联网自出现以来的40多年间发展这么快,它的发展空间还有多大?
邬贺铨:互联网还处于青春期,还有很大发展空间。现在来看,互联网上的业务不是人们事先想出来的,是逐步发展过来的。一开始只是用于收发邮件,而现在已经出现了微博、微信,未来还可以做更多的事情。对于互联网,人们还不知道的比已经知道的更多。
现在还看不到互联网的潜力到底有多大,值得肯定的是,还会有很大的发展。
目前中国的移动互联网发展迅速,这不是人为推动的,而是因为它适应了人们的需求。它的个性化、移动性、可定位性、社交性,决定了它的用户一定会超过桌面互联网。目前它主要是个人应用,未来会进入工业应用,应用到社会生活的方方面面。
现在中国的信息消费中,移动互联网创造的信息消费就超过了桌面互联网,在未来,移动互联网带来的影响要远远超过桌面互联网。
比如穿戴式的终端、植入式的终端,将来不仅仅是获取人们的信息,甚至将服务于人们的健康。一个产品、服务应用越深入,也就意味着人们对它的依赖越深,当然产生信息安全问题的后果就越严重。