今年7月，因向多国政府机构提供监控、窃听等黑客工具而臭名昭著的意大利安全公司Hacking Team发生大规模数据泄露，涉及Adobe Flash player、Windows字体、Word、Android等程序的大量未公开高危漏洞，以及微信、whatsapp、skype等平台的木马后门程序。

就在相关厂商紧急开发漏洞补丁、安全公司将漏洞攻击纳入拦截范围之时，白帽黑客“路人甲”却从超过400G的泄露数据中，找出了韩国、哈萨克斯坦与Hacking Team合作攻击中国的邮件证据。

互联网信息技术早已进入我们的生活，面对各种技术漏洞，个人、企业、政府的安全由谁来保障?“互联网+”风口浪尖时期，安全风险如何避免?漏洞频发，谁来监管?……

国家级网络安全较量

据“路人甲”发布的“Hacking Team泄露数据表明韩国、哈萨克斯坦针对中国发起网络攻击”的调查报告指出：韩国国情院(NIS)在与Hacking Team来往的多封邮件中均谈到针对中国的攻击，更曾经表示希望找到绕过中国国内杀毒软件的办法;而来自哈萨克斯坦国家安全委员会下属部门SIS的一封邮件也表明，可能是由于目标电脑安装了某种杀毒软件，其植入的监控程序已经超过一个月没有再反馈任何信息了。

“一些亚洲地区国家正在对我国进行网络攻击窃密。其中一些攻击已经得手，成功地控制了国内目标PC或手机。攻击方还会对新发现的问题做针对性的要求，保证更隐秘的监控与机密信息的回传。”“路人甲”继续写道：“然而，如果不是这次互联网‘军火库’的泄密事件，我们仍然会被蒙在鼓里。切记!这些都不是电影情节，而是已经真实发生的国家级网络安全较量。”

然而，更像电影情节的是《连线》杂志记者Andy Greenberg的亲身遭遇。

“我正准备通过匝道驶入64号洲际高速公路，手机里传来了 Miller 的声音：‘无论发生了什么都不要慌。’接着，车上的空调、广播和雨刷器都开始不听使唤，车速也开始下降。”他写道。日前，他所驾驶的切诺基成为了黑客的“劫持”目标。

“我拼命地踩住油门，转速计的数字飙上去了，但车仍然在龟速爬行，变速器也被他们切断了!更糟的是，我刚刚才开到一段很长的立交桥上，根本没有应急车道。我想起了 Miller 的建议，但是怎么可能不慌?我慌了，手里紧紧攥住手机，祈求他们赶紧停止恶作剧。”

万幸的是，这位名叫Charlie Miller的黑客并不是真的要“劫持”汽车，他只是在评估那些新技术车辆的安全性。在Greenberg之前，他已经随机选择了美国全国范围内的多辆汽车进行攻击。

目前，包括世界第七大汽车制造商——菲亚特克莱斯勒汽车公司等在内的多家汽车厂商，都开始召回可能存在软件故障的汽车。

尽管汽车厂商总是强调：联网的车载系统并不与控制引擎、变速器等重要部件的CAN总线相连，因此车联网并不会影响车辆的行驶安全。但在黑客们看来，汽车就是一台“计算机”。“如果这台计算机没有你想要的功能，重新编程就好了。”Charlie Miller在8月举行的 2015 黑帽大会上说。

凭借几行代码，Miller可以控制CAN 总线发送任何指令：包括控制方向盘、变速器、刹车系统、雨刮、空调门锁等。这给《连线》杂志的记者带来了之前的那些惊悚体验。

同样地，凭借几行代码，白帽黑客闫敏锐在首届HackPwn安全极客狂欢节上，现场演示了如何利用海尔Smartcare智能家居的漏洞操纵电器、插拔插座甚至打开门锁。

看起来，一切“智能”产品似乎都在网络攻击之下变成了任人宰割的“傻瓜”。

对此，中国知名网络安全企业360公司技术副总裁谭晓生评论称：“人类社会正在进入物联网时代。但是，今天智能硬件的生产商，仍然以传统的电器厂家为主，而他们在安全方面没有任何经验，甚至很少考虑安全，这将在下一个5年带来巨大的安全挑战。”

网络环境并不安全

美国最大的移动运营商威瑞森通信公司(Verizon)发布的报告显示：2014年全球共有79790家公司被黑，2122家公司公开确认信息被窃取，银行、医院、零售业、保险业、电商、娱乐业的巨头们都难以幸免，其中亦不乏全球500强企业。

大环境如此，中国又怎能独善其身?

仅在今年上半年，先是补天漏洞平台指出多省市社保系统存在高危漏洞，引起了全社会对于电子政务信息系统安全性的担忧。接着，支付宝和携程又分别由于“光缆被挖断”和“数据库遭到物理删除”相继出现长时间访问故障，企业网络安全同样受到考验。

网络安全问题同样给当前最火热的O2O浇了一盆冷水。

《经济》记者从补天漏洞平台公布的信息看到，嘀嘀打车、饿了么、百度外卖等数十款流行的O2O应用均被曝出存在多个安全漏洞，极易引发用户信息泄露等问题。

仅在今年8月，号称“中国最大的餐饮O2O平台”饿了么接连被白帽黑客指出存在多处高危漏洞。按照其提交的描述，其中一则漏洞将导致饿了么近120万商户信息(包括合同信息、营业执照、银行卡号、健康证等大量证件原件照片)泄露。目前，漏洞已被饿了么确认，正在修复当中。

与此同时，曾经野蛮生长的P2P也面临着巨大的网络安全问题。

2014年，深圳晓风安全网贷系统被曝存在高危漏洞，使用该系统的100余家企业均遭到了不同程度的攻击，部分企业暂停了面向客户提现、充值等功能，更有多家平台由于不堪损失而选择跑路。

而据《2014年互联网金融行业安全漏洞分析报告》的不完全统计，截至2014年底，已有近165家P2P平台由于黑客攻击造成系统瘫痪、数据被恶意篡改、资金被洗劫一空。无怪乎有人惊呼，中国P2P已经成为“被全世界黑客宰割的羔羊”!

国家计算机病毒应急处理中心发布的《第十四次全国信息网络安全状况暨计算机和移动终端病毒疫情调查分析报告》则显示：随着经济活动从线下发展至线上，互联网金融异常火爆，钓鱼攻击猛增。除了传统钓鱼网站之外，不法分子瞄准手机支付用户群体，利用仿冒移动应用、移动互联网恶意程序、伪基站等多种手段，实施跨平台的钓鱼欺诈攻击。手机支付类病毒更将通过“二次打包、仿冒程序、验证码转发、监控诱导”，深入窃取用户支付隐私，并逐步突破银行、运营商、第三方支付软件构建的“手机验证码+密码”的双重认证防御，盗取用户资金，令人防不胜防。

“个人认为，目前国内的网络信息安全，处在一个不太安全的状态。”罗杰告诉《经济》记者，与七八年前他刚刚入行时相比，“已经上升了一个层次”。罗杰在北京银行负责网络安全的科技部工作，对银行系统的网络安全管理颇有了解。

中国电子信息产业发展研究院信息化研究中心副主任肖拥军则告诉《经济》记者：“从战略上，我国非常重视网络安全。习总书记曾经多次强调，没有网络安全，就没有国家安全。但是，我们必须突破核心的软硬件技术和产品，才能真正实现网络安全。”

他举例指出，国内所使用的诸如芯片、CPU处理器、办公系统等软硬件产品，基本都是从国外采购回来的。“我有一个朋友，专门做银行的金融系统，用的就是IBM的产品。还有，大部分政府机构和国企采用的都是Oracle的办公平台。这些都是国外的产品。我们的基础这么薄弱，如果他们安置了‘后门’，非常容易盗走我们的信息。”

装鸡蛋的篮子都是别人的，又如何保证鸡蛋的安全?由此，肖拥军认为，当前的网络环境绝对称不上“安全”。

事实上，出于对IBM、Oracle、EMC重型基础设施过度依赖的忧虑，阿里巴巴曾经在内部发起“去IOE运动”。还有不少互联网公司，压根不去考虑这些成熟而昂贵的商业软件，而是借助开源的软件系统和框架来搭建满足自身需求的产品。

不过，开源平台也并没有那么安全。2014年，波及全球数以千万计服务器的“心脏流血”事件震惊了全球IT业。全世界网站服务器中有三分之二都采用OpenSSL开源软件，而该软件的“心脏流血”(Heartbleed)安全漏洞，则能够帮助黑客获得打开服务器的密钥，监视服务器的数据和流量。时至今日，在福布斯全球2000强公司中，仍有约四分之三的公司极易受到“心脏流血”安全漏洞的不利影响。

“互联网+”，更高的安全需求

2015年6月，第十二届全国人大常委会第十五次会议初次审议了《中华人民共和国网络安全法(草案)》，7月6日，该草案向社会公开征求意见。截至8月4日中午，中国人大网已收到关于《网络安全法(草案)》的意见逾3000条。

《经济》记者注意到，草案要求互联网公司进行审查、用户实名登记、数据本地化以及协助政府实施监控，无疑，这些举措将加强政府部门对于互联网环境的控制，在一定程度上保障网络安全。

北京邮电大学国际学院院长李预晓则指出，中国网络空间安全立法的核心问题，就是要解决国家网络安全的问题。“立法应当明确：在网络空间中，国家的权利义务和责任、对国家基础设施的保护以及相应的技术保障能力等。尤其需要强调的是，中国网络空间安全立法中一定要有可适用于全球的内容，或者说是可以让别国接受的内容。”

就在草案公开征求意见的前两天，国务院发布《关于积极推进“互联网+”行动的指导意见》，其中提到：到2018年，互联网与经济社会各领域的融合发展进一步深化，基于互联网的新业态成为新的经济增长动力，互联网支撑大众创业、万众创新的作用进一步增强，互联网成为提供公共服务的重要手段，网络经济与实体经济协同互动的发展格局基本形成。更指出，农业、制造业、能源、金融和公共服务等11个领域，将是“互联网+”的战略重点。

随着云计算、大数据、物联网等IT技术的飞速发展，“互联网+”已经成为国家和产业的共识。但我们必须认识到，全社会在分享互联网高效、便捷、智能的同时，也要承受更多攻击和挑战。而适用于PC时代的防火墙、IPS和各种网关等传统安全防护产品，显然已经过时，网络安全又该如何保证?

“技防”+“人防”，打造网络安全

实际上，安全企业也在积极实践“互联网+”。不过，就在安全企业借助大数据开发新一代威胁感知系统，并声称能够“提前洞悉各种安全威胁”时，他们可能还不知道，“攻击方已经偷偷地实现了机器自学习的完全自动化攻击手段”，白帽黑客王音说。

“就好像你在北方大修特修长城，攻击者却选择直接从渤海开船绕到你后方。”在他看来，未来网络攻防的可能趋势是：做防御的在为拥有海量日志分析技术、攻击特征拦截技术而自豪的时候，搞攻击的却带着“黑科技”不再出现在这个世界，让防守方沉浸在自娱自乐中无法自拔。

他甚至略带悲观地认为：“对于处于防御场景的甲方，哪怕只被黑过一次，只要被黑客带走的信息足够多，黑客们下次依然能够借助以往获取的信息再次黑进来。”

罗杰则告诉《经济》记者，尽管国内的网络安全在技术层面还有很大的提升空间，但在他看来，更需要关注的是“人防”。“技术防御确实能够解决大部分的安全问题，但‘人防’才是关键，因为技术的使用主体是人。只有‘技防’和‘人防’都安全，才能营造一个相对安全的环境。”

这与北京邮电大学信息安全中心教授辛阳的观点不谋而合。

辛阳告诉《经济》记者，在我国，国防、金融和公安领域对信息安全人才的需求非常巨大。不仅网络技术的渗透、防御和技术研发等工作的技术门槛较高，政府部门的信息安全战略规划、立法、司法乃至管理也都十分依赖专业人才。

遗憾的是，当前我国信息安全人才仍然主要通过高校进行“不够完善的”培养。“所有信息安全专业都是二级学科，有的隶属于数学专业，有的被归类到计算机科学与技术之下，在课程体系方面，缺乏统一的标准。更要命的是，重理论、轻实践，这是我国高校信息安全专业人才培养体系的通病。”

“网络安全已经上升到国家战略的高度。而网络空间的安全保障，归根到底还是安全人才的保障。”辛阳说，一方面，要加强专业人才的培养，另一方面，也应当重视公民安全意识的普及。在他看来，如果全民都重视信息安全，注意培养安全习惯，遵守相应的安全规则，国家安全战略层面的许多问题自然也就迎刃而解了。

“在国内的一些漏洞修补平台，比如乌云和补天，每天都会有不少大型网站被曝出漏洞，这一方面反映出了我国网络安全存在不足。” 罗杰表示，“另一方面，也说明大量的技术人才在关注网络安全问题。很多厂商还设置了奖励计划，鼓励‘白帽子’提交漏洞，改善国内的网络安全环境。这也是一个进步。”(罗杰为化名)