14岁天才少年“轻松”攻破中国超计算机 漏洞问题需警惕

国家超级计算天津中心：实际上这不是个漏洞，它(乌云)的标题有问题。实际上他(赵品翰)看到的东西是我们这边的正常用户都能看到的。相当于我们中心这边已经做了安全管理了，但是我们的用户这边没有做进一步的安全管理。我们给用户建了账号，密码是默认设置的，但是用户没有修改这个密码。

而乌云平台联合创始人孟卓表示，他能理解超算中心为什么这么说，但问题没这么简单：

孟卓：如果真的要钻牛角尖，问这到底是不是个漏洞， 我觉得它其实不是。但这仍然是一个事件，因为国家这么重要的一个机构的办公场所，有一个wifi竟然是没有密码的，任何一个路过的人都可以进去。第二，白帽子发现里面有很多用户有弱口令，密码很容易被猜出来。第三，进去的人虽然没有接触到敏感信息，但可以恶意调用庞大的计算资源，用户也上传的一些机密的计算任务也可能被泄露，只是白帽子没有证明到这一步，在发现漏洞之后就直接报告了。所以超算中心可能就没有意识到后面可能带来的附加影响。

中科曙光高级副总裁聂华告诉我们，国家超级计算天津中心是国家构建的超级计算环境在北方的一个重要节点，它通过付费服务的方式，帮助国内的各大企业和科研机构进行数据处理，其中某些信息很可能具有敏感性：

聂华：这上面有没有敏感信息，取决于它的用户所放数据的敏感程度，比如有石油公司的勘探信息放到天河一号进行处理，这个信息就有敏感性。可以说，需要如此大规模处理数据的公司和科研机构一定都希望自己数据的安全得到必要保障的。

超级计算机的特点是计算能力超强，这是由其自身的硬件配置决定的。但超强计算并不等于超强防护，它的安全还是要依靠一整套的系统，包括软件、硬件和工作制度。乌云平台联合创始人孟卓认为，国家超级计算天津中心有必要重新设计他们的安防措施：

孟卓：首先wifi没有密码是万万不可的，因为任何一个人以前想要攻击天河一号都会很麻烦， 现在只需要在它附近那一台笔记本和手机就可以了。第二，像这种敏感的单位对设备接入都应该进行审计，在有新设备接入时，必须知道它有什么目的。第三，超算中心有义务让自己的用户修改原始密码，并且让用户把密码设置得强力一些。

同时，中科曙光高级副总裁聂华认为，国内的各大超算中心其实都应该重新思考自己的安防问题：

聂华：超算中心过去比较倾向于进行科学计算，从它诞生那天起，可能就对安全的重视就不够。但是现在国家部署的这些超算中心已经开始面向云计算、云服务，比如政府数据的政务云服务。这个领域介入后，对安全防护的等级要求是非常高的。下一步国内的各大超算中心都应该加大安全防护，让大家能够安全使用，让超级计算机从传统的科学计算专变为贴近百姓应用的、可信赖的，信息服务主机。

( 责任编辑: 黄淑蓉 )