寫在2014網絡安全日前夕

　　■ 許榕生/文　　

　　許榕生研究員 高能所網絡安全實驗室首席科學家

　　科研與軍事的需求帶來了互聯(lián)網，但并未解決好互聯(lián)網的技術全部。今天我們有幸把網絡安全與信息化并列并舉，成立中央網絡安全與信息化領導小組，設立每年4月29日為網絡安全日，把網絡安全提高到事關國家與國防安全的高度，這在認識上是一個何等的進步！

　　當互聯(lián)網剛出現(xiàn)時，人們更多想到的是在全球網絡中的信息共享，理想中的快捷、海量的信息交流。然而，人們相信的 “無限美好”的信息時代，是否也會讓人們惶惶不安地擔心互聯(lián)網的麻煩，就像人類擔心核擴散一樣？

　　網絡安全要與信息化建設一起考慮，甚至要把它放在第一位置上，這是多年來很多決策者沒有做到，甚至也沒有料想到的。我國早期一些重要的網絡工程中網絡安全的投資比例往往不到總投資的百分之五，甚至百分之零。少量的安全費用還經常用不到關鍵點上，作為網絡安全最重要的因素，人才的因素通常被忽視，重要的數據隨時可能丟失！

　　1990年初，作為用戶單位的高能物理研究所率先取得了連接中美兩國之間計算機專線的突破。在中國互聯(lián)網協(xié)會發(fā)表的《中國Internet發(fā)展年表》上寫道：“1993年3月2日，中國科學院高能物理研究所租用AT&T公司的國際衛(wèi)星信道建立的接入美國SLAC國家實驗室的64K專線正式開通，成為我國部分連入Internet的第一根專線。這根專線在1994年4月中國正式連入Internet后，也實現(xiàn)了Internet的全線連通?！?/p>

　　讓我們回顧一下這段歷史時刻。1991年的中美高能物理合作會談時，代表們正式提出建立一條從北京高能所（IHEP）到美國加州斯坦福直線加速器中心（SLAC）的計算機聯(lián)網專線，以便北京正負電子對撞機數據和軟件傳輸的需要。

　　美國斯坦福大學的瓦特托基（Walter Toki）教授是當年中美高能物理合作組首任負責人，他為中國開通Internet 作了巨大的努力；多名諾貝爾獎得主以及美國能源部高級顧問潘諾夫斯基教授（北京正負電子對撞機四人領導小組成員之一、中國科學院的外籍院士）協(xié)助向美國政府溝通。中國方面則由諾貝爾獎得主李政道教授協(xié)助上層工作，高能所直接向北京市電信局提交了申請64K國際通信專線，當時北京前面僅有八家用戶申請，均為包用電話傳真的外國機構。要將這類專線用作數據傳輸，光纖還暫時不能到戶，其技術難度是空前的。

　　圖1 當年中美兩國科學家1991年草擬的IHEP-SLAC聯(lián)網設計圖。 

　　兩國科學家對如何聯(lián)網進行了種種設計，圖1就是當年留下的一張草擬的聯(lián)網設計圖。第一步計劃是通過AT&T公司的64K帶寬的衛(wèi)星專線實現(xiàn)北京高能所（IHEP）與美國斯坦福大學附近的直線加速器中心（SLAC）相連，由美國能源部網絡（ESnet）連入互聯(lián)網（Internet）；第二步再實施通過海底光纜實現(xiàn)128K速率與日本高能所（KEK）相連直接進入互聯(lián)網（1994年底實現(xiàn)）。高能所很快向美國思科公司訂購了Cisco3000系列的路由器（見圖2所示），這是中國向思科公司訂購的第一臺路由器。專線經過18個月的反復調試，于1993年3月2日全程線路暢通可以投入使用，先運行DECnet的通訊協(xié)議，年底思科路由器到貨，正式運行互聯(lián)網的TCP/IP協(xié)議。這樣不僅為數據傳輸、電子郵件的開通，而且為實現(xiàn)WWW網站等互聯(lián)網技術鋪平了道路。高能所立即設立了中國第一臺WWW網站（http://www.ihep.ac.cn/），1994年期間亞洲地區(qū)的網站還寥寥無幾，網頁是用英文設計的（見附件3）。圖3是美國人當年留下的一張工程示意圖，由美國SLAC計算中心主任Les Cottrol提供。從圖中可以看出，當時的專線除了租用國際通信衛(wèi)星，同時地面分別用光纜和銅線連到高能所的計算中心。

　　許多人可能不知道，就在中科院高能所剛剛試通第一條連接全球互聯(lián)網的中美計算機專線，美國政府第二天就通知美國能源部關掉通往中國的線路，要求說明為什么要讓中國加入互聯(lián)網。美國科學家立即向美國政府解釋開通這條互聯(lián)網專線的目的，一周以后，美國政府同意有控制地對中國這條專線開放互聯(lián)網。他們發(fā)來了一些文件，對網絡安全問題作了詳細的規(guī)定，強調這條中美專線只能用于科研合作，不得用于軍事和商業(yè)目的，并要求不得通過網絡散布病毒和進行黑客入侵活動。美國政府主要擔憂中國將從互聯(lián)網上面拿走大量的美國科技情報。另外，八十年代國外黑客經常拿美國國防部網絡“練手”，與之相連的美國能源部的網絡也被殃及。而這條專線正是連在美國能源網上，這使美國高度警惕，極其擔心互聯(lián)網的安全性和穩(wěn)定性。

　　由于當時互聯(lián)網的安全防范措施還不成熟，黑客的頻繁入侵致使美國對自身網絡安全的關注度提升情有可原。然而，中國的互聯(lián)網專線還沒有完全開通，一個中國黑客還沒有“出生”之際，就已經被警告不要搞“黑客入侵”，這在某種程度上提示了我們要高度警惕互聯(lián)網的安全管理措施。

　　網絡管理是個復雜的問題，中國是個發(fā)展迅速的大國，網民數量和上網規(guī)模將急劇增大，用戶上網的習慣與國外也很不同。中國要解決的網絡安全管理問題將比任何國家都要嚴峻得多，對中國來說真是任重道遠的事！

　　互聯(lián)網引進中國不久，果然高能所的一臺主機就遭遇到國外黑客的第一次入侵。那天，系統(tǒng)管理員發(fā)現(xiàn)有一個賬號被改動和被利用，使用權限超出了范圍。是黑客！研究室里一時嘩然。一番討論，大家決定實施跟蹤方式。當對方發(fā)現(xiàn)自己被跟蹤，便立即利用竊取的高級權限取消我方賬號，隱蔽起來。最后，從分析跟蹤的記錄中獲得了黑客入侵行為的確鑿證據，經系統(tǒng)關機與重裝后，阻止了對方進一步的行動。1996年，我被借調到國務院信息化領導小組辦公室工作一年。這一年的經歷讓我有機會對中國互聯(lián)網的發(fā)展有了一個全面而清醒的認識，我意識到：互聯(lián)網事業(yè)在中國的大規(guī)模發(fā)展已成為必然趨勢，而與之相伴的網絡管理與安全問題也將變得更為突出。我決定返回中科院高能所組建一支網絡安全專業(yè)隊伍，開展專題研究，增強網絡防護的能力。

　　1997年，中科院高技術局正式委托高能所承擔“黑客入侵防范軟件研究”課題。由十多位計算機高手和研究生組成的網絡安全團隊誕生，課題組及時引進了地方（福建海峽企業(yè)）的配套資金和技術人才使得課題進展迅速，用一年時間就開發(fā)出了第一套在Linux系統(tǒng)下的網絡漏洞掃描系統(tǒng)，提前一年完成課題任務。這項隸屬于中國科學院信息安全重點項目（包括密碼學理論研究、網絡安全示范工程等子課題，分別由中科院研究生院、軟件所、網絡中心等共同完成）的成果于1999年獲得中國科學院科技進步一等獎，2000年10月獲國家科技進步二等獎（一等獎缺）。高能所的這個子課題不僅為國家培養(yǎng)了一批研究黑客的領軍人才，而且實現(xiàn)了可喜的成果轉化，《網絡隱患掃描系統(tǒng)》成為了國內最早的網絡安全產品之一，并在政府、金融、電信、教育、電力、石油石化等諸多的行業(yè)中得到廣泛的應用。

　　圖4 陳知建司令員（上圖右立者）1998年到高能所熱心指導網絡隱患掃描系統(tǒng)（下圖設備）  

　　中國科學院的若干研究所和一些大學院校無疑是網絡與信息安全研究成果及人才集中的主要源生地，從計算機體系結構設計到操作系統(tǒng)安全研究，以及網絡協(xié)議漏洞發(fā)現(xiàn)、惡意軟件代碼和入侵取證調查等方面都成立有相應的研究課題小組。近二十年過去了，高能所在網絡安全領域就有18名博士畢業(yè)，與數十名碩士（包括聯(lián)合培養(yǎng)）一起陸續(xù)走到國家、企業(yè)與科教部門的各個崗位，成為我國網絡安全的一批骨干力量。高能所的網絡安全研究也從當年的一個小組變成了網絡安全防護技術北京市重點實驗室，以及中關村第一批網絡安全開放實驗室，正承擔著越來越多的網絡安全課題和任務。年青一代的網絡安全高手正在涉足到云計算安全、物聯(lián)網安全、移動互聯(lián)網安全以及網絡犯罪調查取證等一系列頗具挑戰(zhàn)性的新課題。任重道遠，我相信他們會不辭勞苦地做出新的貢獻、創(chuàng)造新的業(yè)績。（寫于2014年4月28日）

　　附件1：高能所1993年開通計算機國際專線后，國家自然科學基金委推薦一批課題負責人通過這條專線使用互聯(lián)網部分功能，這批專家與教授是國內最早的網民。（圖中列出部分用戶名單）　　 

　　附件2：1993年11月郝柏林教授向學部提交了盡快開通國內計算機聯(lián)網的建議，他還同時促進了我國互聯(lián)網國際出口的建設。 

　　附件3：高能所于1994年4月設立了WWW服務器（中國第一臺），附圖是當年的網頁（設計者是計算中心的女生樊嵐）。這臺服務器（486機器）現(xiàn)保留在中國電信博物館。