目前,全球13臺根服務(wù)器沒有一臺在中國,這使美國可以輕易掌握其他國家的網(wǎng)絡(luò)信息流。在基礎(chǔ)設(shè)施方面,關(guān)鍵芯片、路由器有較大比例來自國外,這一狀況至今未能根本性改善,一旦國外在芯片、路由器上暗藏后門,造成的泄密隱患可想而知。
“XP停止服務(wù),Win8不僅難用,對電腦配置要求還高,我們的網(wǎng)絡(luò)安全誰來保護(hù)?”一些網(wǎng)友在微博上如此抱怨。4月8日,伴隨了用戶13年的Windows XP(以下簡稱XP)正式隱退。我國尚有約2億XP用戶,用戶對“后XP時代”的網(wǎng)絡(luò)安全憂心忡忡。
就在當(dāng)天,互聯(lián)網(wǎng)筑墻被劃出了一道致命的裂口,常用于電商、支付類接口等安全性極高網(wǎng)站的網(wǎng)絡(luò)安全協(xié)議OpenSSL被曝存在“心臟出血”的高危漏洞,我國不少用戶的個人信息出現(xiàn)在了地下交易市場。
其實,這僅是中國信息安全問題的冰山一角。在PC時代,電腦操作系統(tǒng)被微軟所壟斷,如今在移動互聯(lián)網(wǎng)時代,移動端操作系統(tǒng)被谷歌、蘋果等國外企業(yè)所壟斷,從美國鼓吹“中國網(wǎng)絡(luò)威脅論”,到斯諾登引爆“棱鏡門”事件,中國的信息安全問題日益突出。中國的信息安全防護(hù)能否抵御外來入侵?中國公民的個人隱私能否得到保障?
4億多網(wǎng)民受威脅
2012年年底,美國以“威脅國家安全”為由,將華為、中興電信設(shè)備拒之于門外。2013年,美國又將反制中國“網(wǎng)絡(luò)威脅”納入立法及司法領(lǐng)域,向中國施壓。不僅如此,美國還利用企業(yè)聯(lián)合他國機(jī)構(gòu)發(fā)布報告,宣揚“中國威脅論”,對“走出去”的中國企業(yè)不斷打壓。
然而,隨著2013年“棱鏡門”事件的爆出,美國利用技術(shù)優(yōu)勢監(jiān)控全球互聯(lián)網(wǎng),甚至滲透和攻擊他國關(guān)鍵領(lǐng)域服務(wù)器的事實被揭露出來。斯諾登曝光的文件,就讓美國限制華為進(jìn)入的做法顯得十分滑稽。據(jù)德國《明鏡》周刊網(wǎng)站報道,美國國家安全局自2009年起,就入侵華為電子郵件伺服器,成功獲取華為內(nèi)部資料及包括華為高層在內(nèi)的員工電子郵件記錄。
5月26日,我國互聯(lián)網(wǎng)新聞研究中心發(fā)布了《美國全球監(jiān)聽行動紀(jì)錄》(以下簡稱“紀(jì)錄”),美國實施竊密監(jiān)聽行動的具體細(xì)節(jié)可謂觸目驚心。
“紀(jì)錄”內(nèi)容顯示,中國的政府機(jī)構(gòu)是美國竊聽的“重點關(guān)照”對象。白宮的一位外交政策助理曾透露,美國在1990年8月落成的中國駐澳大利亞新使館的每間辦公室的混凝土墻里,都埋設(shè)了光纖竊聽器,這種細(xì)細(xì)的玻璃絲在全面安全檢查中沒有被發(fā)現(xiàn)。直到這件事在前些時候被泄露給《悉尼先驅(qū)晨報》和其他新聞媒體后,才引起中國的警覺。
據(jù)德國《明鏡》周刊報道,已被曝光的一份美國2010年的“監(jiān)聽世界地圖”包含了世界90個國家的監(jiān)控點,中國作為美國在東亞的首要監(jiān)聽對象,北京、上海、成都、香港及臺北等城市,均在美國國家安全局重點監(jiān)控目錄之下。從2009年開始,美國國家安全局就開始入侵中國大陸和香港的電腦和網(wǎng)絡(luò)系統(tǒng),中國大陸和香港已有數(shù)百個目標(biāo)受到監(jiān)視。在香港的目標(biāo)中,多數(shù)是大學(xué)、政府官員、商人和學(xué)生。
中國企業(yè)也是美國的重點監(jiān)控對象。“紀(jì)錄”的內(nèi)容顯示,《南華早報》公布的對斯諾登的采訪說,美國政府正大規(guī)模入侵中國的主要電信公司,以獲取數(shù)以百萬計的短信內(nèi)容。斯諾登表示,美國監(jiān)控遠(yuǎn)不止這些,“美國國安局做各種事情,諸如入侵中國移動電話公司,以竊取你們所有的短信數(shù)據(jù)。”
據(jù)路透社報道,美國國家安全局曾與加密技術(shù)公司美國安全服務(wù)商RSA達(dá)成了1000萬美元的協(xié)議,聯(lián)合在加密算法中加入漏洞后門,旨在削弱軟件加密標(biāo)準(zhǔn),輔助相關(guān)機(jī)構(gòu)RSA開展大規(guī)模監(jiān)控程序。RSA的中國客戶包括三大電信運營商中國電信、中國移動、中國聯(lián)通,中國銀行、中國工商銀行、中國建設(shè)銀行等,以及電信設(shè)備商華為和家電制造商海爾等。
科研機(jī)構(gòu)、普通網(wǎng)民、廣大手機(jī)用戶,甚至網(wǎng)絡(luò)游戲和聊天軟件都成為美國獲取情報的渠道。
英國《衛(wèi)報》和《紐約時報》公布了美國著名新聞?wù){(diào)查機(jī)構(gòu)“為了人民”的文件,名為“對恐怖分子利用游戲和虛擬環(huán)境的研究”。該文件顯示,美英兩國的情報人員假扮“玩家”,曾滲透入網(wǎng)絡(luò)游戲《魔獸世界》《第二生命》中,監(jiān)視游戲玩家。而這兩款游戲的中國玩家最多。
監(jiān)測數(shù)據(jù)顯示,2013年,中國遭受境外網(wǎng)絡(luò)攻擊情況觸目驚心,大量主機(jī)被國外木馬或僵尸網(wǎng)絡(luò)控制,主要控制源都來自于美國。據(jù)國家互聯(lián)網(wǎng)應(yīng)急中心統(tǒng)計,到2013年9月底,監(jiān)測發(fā)現(xiàn)共近52萬個木馬控制端IP,其中有24.7萬個位于境外,前三位分別是美國、印度和土耳其。共發(fā)現(xiàn)境外64萬臺主機(jī)曾對中國大陸發(fā)起過攻擊。其中,對中國大陸地區(qū)進(jìn)行網(wǎng)站攻擊最頻繁的國家和地區(qū)為美國(42%)、日本(19%)和韓國(10%)。
CINNIC發(fā)布的《2013中國網(wǎng)民信息安全狀況研究報告》顯示,過去半年遇到過網(wǎng)絡(luò)安全問題的網(wǎng)民比例高達(dá)74.1%,影響總?cè)藬?shù)達(dá)到了4.38億。
核心技術(shù)之失
這一系列事件映射出,中國針對關(guān)鍵信息基礎(chǔ)設(shè)施和重要信息系統(tǒng)的信息安全感知能力、防護(hù)水平與保障措施相對欠缺,自主可控能力嚴(yán)重不足。
信息安全專家秦安說,網(wǎng)絡(luò)空間的力量,對一個國家、民族存在三大威脅:一是可以利用直達(dá)人心的便捷通道,攻心奪志,實現(xiàn)信息滲透、文化入侵和思想殖民,直至顛覆國家政權(quán),西亞北非國家政權(quán)批量倒臺的例子現(xiàn)實而生動;二是可以利用全球一體的物聯(lián)網(wǎng)實現(xiàn)遠(yuǎn)程控制,阻癱交通、能源、金融、供水等民生基礎(chǔ)設(shè)施,美國目前正在加緊防范“數(shù)字9·11”和“網(wǎng)絡(luò)珍珠港”事件發(fā)生;三是可以通過網(wǎng)絡(luò)入侵攻擊軍事網(wǎng)絡(luò),阻癱作戰(zhàn)體系,病毒入侵導(dǎo)致法國戰(zhàn)機(jī)無法起飛等例子不在少數(shù)。
近年來,中國在網(wǎng)絡(luò)安全領(lǐng)域問題頻發(fā),背后有多重原因。
中科院研究生院信息安全國家重點實驗室教授、北京知識安全工程中心主任呂述望說,中國核心技術(shù)受制于人,使中國的網(wǎng)絡(luò)安全水平大打折扣?;ヂ?lián)網(wǎng)在美國誕生,這使得美國在互聯(lián)網(wǎng)世界掌握絕對的主導(dǎo)權(quán)和話語權(quán)。目前,全球13臺根服務(wù)器沒有一臺在中國,這使美國可以輕易掌握其他國家的網(wǎng)絡(luò)信息流。在基礎(chǔ)設(shè)施方面,關(guān)鍵芯片、路由器有較大比例來自國外,這一狀況至今未能根本性改善,一旦國外在芯片、路由器上暗藏后門,造成的泄密隱患可想而知。
另外,無論是PC端還是移動端,中國都大量使用美國操作系統(tǒng)。中國在PC時代被微軟壟斷的局面,在移動互聯(lián)網(wǎng)時代又被另一家美國巨頭谷歌復(fù)制。由于操作系統(tǒng)掌握最底層、最核心的權(quán)限,如果美國意圖利用在操作系統(tǒng)上的優(yōu)勢竊取中國信息,猶如探囊取物。
中國在網(wǎng)絡(luò)社會的立法并不完善且層級不高。一些專家指出,中國還沒有形成使用成熟的網(wǎng)絡(luò)社會法理原則,網(wǎng)絡(luò)法律仍然沿用或套用物理世界的法理邏輯。在信息安全立法上,缺乏統(tǒng)一的立法規(guī)劃,現(xiàn)有立法層次較低,以部門規(guī)章為主,立法之間協(xié)調(diào)性和相通性不夠,缺乏系統(tǒng)性和全面性。
目前,中國已經(jīng)出臺了不少指導(dǎo)性或規(guī)范性文件,如2006年實施的《互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定》《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個人信息保護(hù)指南》,2013年的《關(guān)于加強(qiáng)移動智能終端管理的通知》,但由于在立法層面缺乏支持,導(dǎo)致執(zhí)行力比較差。更重要的是,目前中國仍然沒有一部獨立的網(wǎng)絡(luò)犯罪法律,有關(guān)計算機(jī)犯罪的法律條文主要是刑法285條和286條。這些條文遠(yuǎn)遠(yuǎn)無法應(yīng)對紛繁復(fù)雜的網(wǎng)絡(luò)犯罪模式。
網(wǎng)民網(wǎng)絡(luò)安全防范意識薄弱也是信息安全不斷受威脅的重要原因。目前,網(wǎng)民雖有一定的認(rèn)知網(wǎng)絡(luò)安全知識,但卻沒能將其有效轉(zhuǎn)化為安全防范意識,更少落實在網(wǎng)絡(luò)行為上。以在中國普及程度極高的安卓手機(jī)為例,大量安卓應(yīng)用在安裝前都要求讀取用戶的位置、短信等隱私,如不同意授權(quán),則無法安裝。對于很多用戶而言,明明知道這些軟件并沒有必要知道這些隱私,且本意不想泄露隱私,但由于懷有僥幸心理,仍然同意軟件讀取自己的隱私。盡管媒體長期呼吁,但大量用戶依然我行我素,導(dǎo)致難以對手機(jī)廠商和應(yīng)用開發(fā)者形成強(qiáng)大的輿論壓力。
另外,多頭管理、部門間協(xié)調(diào)不暢,也是中國網(wǎng)絡(luò)安全領(lǐng)域問題頻發(fā)的重要原因。當(dāng)前中國的互聯(lián)網(wǎng)管理體制存在政府主導(dǎo),多頭管理,政出多門,難以形成拳頭,缺乏統(tǒng)籌規(guī)劃的問題。隨著社會對網(wǎng)絡(luò)依賴度越來越高,網(wǎng)絡(luò)空間安全問題超越了專業(yè)技術(shù)層面,構(gòu)成對國家安全的直接影響。
上升至國家戰(zhàn)略
今年兩會前夕,中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組成立,習(xí)近平總書記擔(dān)任組長,李克強(qiáng)、劉云山任副組長。之后,“維護(hù)網(wǎng)絡(luò)安全”這一表述首次出現(xiàn)在了政府工作報告中,這意味著網(wǎng)絡(luò)安全已上升至國家戰(zhàn)略。
國家互聯(lián)網(wǎng)信息辦公室5月22日發(fā)布消息稱,我國將于近期推出網(wǎng)絡(luò)安全審查制度。“信息安全現(xiàn)已成為國家安全的重要一環(huán),進(jìn)行網(wǎng)絡(luò)安全審查是信息技術(shù)發(fā)展的必然趨勢。”中國工程院院士方濱興告訴記者,美國、日本等發(fā)達(dá)國家早在十多年前就已建立了完備的網(wǎng)絡(luò)安全審查制度體系。
網(wǎng)絡(luò)安全審查,就是對關(guān)系國家安全和社會穩(wěn)定信息系統(tǒng)中使用的信息技術(shù)產(chǎn)品與服務(wù)進(jìn)行測試評估、監(jiān)測分析、持續(xù)監(jiān)督的過程。
2000年,美國率先在國家安全系統(tǒng)中對采購的產(chǎn)品進(jìn)行安全審查,隨后陸續(xù)針對聯(lián)邦政府云計算服務(wù)、國防供應(yīng)鏈等出臺了安全審查政策,實現(xiàn)了對國家安全系統(tǒng)、國防系統(tǒng)、聯(lián)邦政府系統(tǒng)的全面覆蓋。審查對象不僅涉及產(chǎn)品和服務(wù),還會針對產(chǎn)品和服務(wù)提供商。
隨后,美國等西方國家為保障國家安全、防范供應(yīng)鏈安全風(fēng)險,逐步建立了多種形式的網(wǎng)絡(luò)安全審查制度。將全方位、綜合性的供應(yīng)鏈安全審查對策上升至國家戰(zhàn)略高度。
美國網(wǎng)絡(luò)安全審查標(biāo)準(zhǔn)和過程是不公開的。美國對供應(yīng)鏈安全審查的過程、標(biāo)準(zhǔn)、機(jī)制完全封閉,不披露原因和理由,不接受供應(yīng)方申訴。主要考慮對國家安全、司法和公共利益的潛在影響,且其審查沒有明確的時間限制。
美國網(wǎng)絡(luò)安全審查的內(nèi)容不局限于技術(shù)。美國聯(lián)邦政府要求,不僅要審查產(chǎn)品安全性能指標(biāo),還要審查產(chǎn)品的研發(fā)過程、程序、步驟、方法,產(chǎn)品的交付方法等,要求企業(yè)自己證明產(chǎn)品已達(dá)到了規(guī)定的安全強(qiáng)度。
此外,近日中央國家機(jī)關(guān)政府采購中心下發(fā)《關(guān)于進(jìn)行信息類協(xié)議供貨強(qiáng)制節(jié)能產(chǎn)品補充招標(biāo)的通知》,其中有條目規(guī)定,國家機(jī)關(guān)“信息類協(xié)議供貨強(qiáng)制節(jié)能產(chǎn)品采購招標(biāo)”中,所有計算機(jī)類產(chǎn)品不允許安裝Window 8操作系統(tǒng)。政府采購緣何對Win8說不?
中國工程院院士倪光南表示,Win8操作系統(tǒng)采用了對于他國不安全的技術(shù)架構(gòu)——它集成了殺毒軟件,可以經(jīng)常掃描用戶的電腦,采用該系統(tǒng)的電腦面臨著被監(jiān)控的風(fēng)險,進(jìn)一步加劇了對我國網(wǎng)絡(luò)安全不可控而導(dǎo)致的風(fēng)險。
多措并舉形成合力
業(yè)內(nèi)專家認(rèn)為,應(yīng)以中央網(wǎng)信小組成立為契機(jī),在推出網(wǎng)絡(luò)安全審查制度的基礎(chǔ)上,多措并舉,形成合力,共同建設(shè)中國網(wǎng)絡(luò)安全。
首先,要加強(qiáng)自主創(chuàng)新能力,提高核心軟硬件產(chǎn)品自主化水平。專家們認(rèn)為,解決互聯(lián)網(wǎng)的信息安全問題,不能完全依賴國外技術(shù),唯有依靠自主創(chuàng)新才能取得主動、主導(dǎo)和自主權(quán)。中國應(yīng)大力加強(qiáng)核心芯片、路由器、操作系統(tǒng)等各關(guān)鍵領(lǐng)域的自主化程度,通過政府采購、專項扶持等多種方式,推進(jìn)企事業(yè)單位、科研院所以及市場力量加入到核心技術(shù)研發(fā)和推廣上來,為中國的網(wǎng)絡(luò)安全提供基礎(chǔ)性保障。
同時,加緊前沿技術(shù)的研發(fā)工作。應(yīng)發(fā)展使用黑客技術(shù),主動發(fā)現(xiàn)漏洞并及時加以解決,不給不法分子可乘之機(jī)?;ヂ?lián)網(wǎng)具有大數(shù)據(jù)、復(fù)雜性、異構(gòu)性、開放性等特點,數(shù)據(jù)的處置能力體現(xiàn)了一國對數(shù)據(jù)的占有和控制能力。
中國需要大力研發(fā)和突破,以提高收集、儲存、應(yīng)用、保留、管理、分析和共享海量數(shù)據(jù)的處置等所需核心的先進(jìn)技術(shù)。下一代網(wǎng)絡(luò)規(guī)劃中,應(yīng)特別關(guān)注海量數(shù)據(jù)存儲的并行存儲體系架構(gòu)、高性能對象存儲技術(shù)、并行I/O訪問技術(shù)、海量存儲系統(tǒng)高可用技術(shù)、數(shù)據(jù)保護(hù)與安全體系、綠色存儲等關(guān)鍵技術(shù)的研究。
其次,加強(qiáng)立法,需盡快研究制定《信息網(wǎng)絡(luò)安全法》,確定信息網(wǎng)絡(luò)法制的總體框架。確立信息網(wǎng)絡(luò)法制模式和實現(xiàn)方式,明確政府、企業(yè)、用戶及個人等各自應(yīng)負(fù)的法律責(zé)任。
最后,堅持政府主導(dǎo)、行業(yè)自律的原則,明確運營商、服務(wù)商等企業(yè)在信息網(wǎng)絡(luò)安全方面應(yīng)負(fù)的社會和法律責(zé)任。要切實增強(qiáng)廣大網(wǎng)民的法治意識,普及信息網(wǎng)絡(luò)安全法律知識。完善信息網(wǎng)絡(luò)公約機(jī)制,積極引導(dǎo)信息網(wǎng)絡(luò)商戶和網(wǎng)民加強(qiáng)網(wǎng)絡(luò)自律,創(chuàng)建良好的網(wǎng)絡(luò)社會法治環(huán)境。