早在2010年,美國攻擊伊朗核設(shè)施的“震網(wǎng)”病毒,曾導(dǎo)致伊朗核設(shè)施1000多臺(tái)離心機(jī)癱瘓。該病毒之所以具備如此威力,就是因?yàn)閹缀跻晾拭颗_(tái)電腦都安裝了微軟的Windows系統(tǒng)。
一位信息安全專家不無擔(dān)憂地指出,中國幾乎是赤身裸體地站在已經(jīng)武裝到牙齒的美國面前,在危機(jī)時(shí)刻,美國“八大金剛”可能對中國帶來的危害,絲毫不亞于當(dāng)年火燒圓明園的“八國聯(lián)軍”。
竊取難度為零?
“我們不能說某些國家和廠商就這樣做了,但是單純從技術(shù)層面上來講,如果這些公司真的有意愿,絲毫不被察覺地竊取數(shù)據(jù)的方式和環(huán)節(jié)很多,而且難度幾乎是零。”曙光公司總裁歷軍告訴《中國經(jīng)濟(jì)周刊(微博)》。
據(jù)歷軍介紹,信息系統(tǒng)分為硬件和軟件兩個(gè)層次,硬件主要包括網(wǎng)絡(luò)互聯(lián)、數(shù)據(jù)計(jì)算處理和存儲(chǔ)三個(gè)環(huán)節(jié);軟件也有很多層次,從處理器內(nèi)的微代碼、硬件控制軟件、操作系統(tǒng)、數(shù)據(jù)庫到應(yīng)用程序,假如廠商有動(dòng)力,完全有能力把任何數(shù)據(jù)在任何一個(gè)環(huán)節(jié)輕松拿走,技術(shù)非常簡單,而且用戶都沒有察覺的可能性。
比如,在信息計(jì)算的過程中,計(jì)算結(jié)果留存在你的電腦內(nèi)存和硬盤的同時(shí),只要廠商在芯片中加入一小段代碼,就可以偷偷留存一份副本,然后在你不知道的時(shí)候偷偷地一點(diǎn)點(diǎn)往外發(fā)送。這種竊取數(shù)據(jù)的方法類似于木馬病毒,但不同的是這是一個(gè)“原裝木馬”,你無法察覺,更無法清除。當(dāng)然,這是極其簡單的一種方式,有很多更為復(fù)雜的方法就更難以防范了。
再比如某些處理器的“后門”,其實(shí)就是在處理器中加入一小段微代碼,這是一個(gè)別人不知道的數(shù)據(jù)傳輸?shù)耐ǖ?,廠商感興趣的時(shí)候就可以把后門打開,把你的電腦中他感興趣的數(shù)據(jù)信息傳走。再比如一些代碼不公開的軟件(通常稱為“封閉系統(tǒng)”),里面有什么大家并不知道,人們無法證明其中不存在所謂的“原裝木馬”。據(jù)記者了解,微軟公司就因此受到過多次質(zhì)疑,甚至引發(fā)訴訟。
“現(xiàn)在的‘棱鏡門’幾乎在軟硬件的各個(gè)層面都有涉及,因?yàn)樗^的‘八大金剛’和一些互聯(lián)網(wǎng)公司幾乎涵蓋了信息系統(tǒng)的各個(gè)層次與環(huán)節(jié)。”歷軍說。
盡管對于可能的泄密環(huán)節(jié),可以采取一些防范措施,但是也還是會(huì)有漏洞可以鉆。“我們在安全防護(hù)方面在用一些不安全的產(chǎn)品的情況幾乎隨處可見。”銳捷網(wǎng)絡(luò)副總裁劉弘瑜告訴《中國經(jīng)濟(jì)周刊》,“即使是采用了物理隔離的專網(wǎng)(即該網(wǎng)絡(luò)和外網(wǎng)是物理斷開的),由于經(jīng)常需要廠商對設(shè)備進(jìn)行軟件升級(jí)或者硬件維修,一旦基礎(chǔ)設(shè)施被人通過這種‘維修或服務(wù)’的渠道進(jìn)行‘接觸’,就極有可能產(chǎn)生被監(jiān)控、泄密的風(fēng)險(xiǎn)。”
“思科們”真的無辜嗎?
“棱鏡”計(jì)劃被曝光后,多家被牽連的廠商都紛紛表示自己從未參與計(jì)劃,試圖撇清關(guān)系。對此,作為國內(nèi)某知名硬件廠商高層的張亮(化名)并不認(rèn)同,他認(rèn)為這些廠商實(shí)際上是在玩文字游戲。
“廠商除了主動(dòng)竊取,比如通過嵌入代碼的方式把用戶數(shù)據(jù)向某些部門發(fā)送,還有另外一種方式就是被動(dòng)泄露,‘棱鏡’更像是后者。因?yàn)镮T系統(tǒng)都會(huì)有一些漏洞,所以才會(huì)有了黑客,尋找出漏洞然后去竊取資料,當(dāng)然,廠商會(huì)不斷打補(bǔ)丁去封死這些漏洞。但如果這些IT廠商專門留一些漏洞給某些機(jī)構(gòu)而不去封堵,或者根據(jù)企業(yè)所在國家的授權(quán)而開放一些權(quán)限給某些部門,那么政府就可以直接通過這個(gè)通道去獲得自己想要的數(shù)據(jù)信息,企業(yè)可能根本不知道政府做了什么,似乎也可以說自己沒有參與‘棱鏡’計(jì)劃。”張亮告訴《中國經(jīng)濟(jì)周刊》。
以思科為代表的美國IT巨頭們在中國的發(fā)展可謂風(fēng)生水起,但與之形成鮮明對比的是,中國信息設(shè)備企業(yè)在美國卻舉步維艱。“棱鏡門”的爆發(fā)讓很多人不禁想起去年眾多中國企業(yè)在美國遭到封殺的事件。
兩國對他國IT企業(yè)的態(tài)度差異,張亮認(rèn)為主要有兩個(gè)方面的原因:一是我們過多地考慮了WTO的要求。中國自加入WTO后,就按照加入《政府采購協(xié)議》(GPA)的承諾,政府采購對外資和進(jìn)口產(chǎn)品逐步實(shí)行國民待遇。
“目前,已經(jīng)沒有哪個(gè)政府采購領(lǐng)域不是開放的。”張亮說,“為什么美國就可以旗幟鮮明地說聯(lián)想電腦就是不準(zhǔn)進(jìn)入美國政府,因?yàn)闀?huì)影響美國的信息安全。”
二是雖然中央和國家的有關(guān)部門對于信息安全是高度重視的,但是在實(shí)際操作過程中,問題還是會(huì)出現(xiàn)。很多地方政府和部門會(huì)認(rèn)為:我們又不是機(jī)密部門,或者是雖然是關(guān)鍵領(lǐng)域,但只是采購?fù)鈬O(shè)備用于普通辦公有什么關(guān)系?
“看看我們的軍隊(duì)、武警系統(tǒng),歷史上采用了大量進(jìn)口信息設(shè)備,如今,國外的設(shè)備經(jīng)過國內(nèi)某些機(jī)構(gòu)的包裝,搖身一變就成了國產(chǎn)產(chǎn)品,堂而皇之地進(jìn)入許多要害部門;許多銀行的數(shù)據(jù)存在甲骨文和IBM的機(jī)器里;國家氣象局最主要的業(yè)務(wù)系統(tǒng)仍然運(yùn)行在IBM機(jī)器上……真是很可怕。中國的信息門戶相當(dāng)于完全敞開,真的是裸體不設(shè)防。”張亮說。
“在政府和重點(diǎn)行業(yè)部門的信息建設(shè)過程中,確實(shí)是有相關(guān)規(guī)定要傾向國產(chǎn)產(chǎn)品的,但強(qiáng)制性并不很強(qiáng),也很容易規(guī)避。采購方如果提交申請,指定產(chǎn)品設(shè)計(jì)上的唯一性和不可替代性,經(jīng)過一定流程是可以采購國外設(shè)備的。”劉弘瑜說。
云計(jì)算、大數(shù)據(jù):不能忽視微信息安全
“在大數(shù)據(jù)時(shí)代,許多看似無關(guān)的數(shù)據(jù)經(jīng)過整理分析都可能成為重要的機(jī)密數(shù)據(jù),這些數(shù)據(jù)的泄露比圍墻里面的高度機(jī)密數(shù)據(jù)泄密更可怕。”歷軍說。
“‘棱鏡門’把中國信息安全帶到了一個(gè)更宏觀層面,云計(jì)算和大數(shù)據(jù)背景下,要更加重視數(shù)據(jù)安全,過去我們只是對一個(gè)小的系統(tǒng)或者設(shè)備做風(fēng)險(xiǎn)評估。但是,局部的風(fēng)險(xiǎn)一旦累加起來,尤其在大數(shù)據(jù)時(shí)代,通過零散信息可能會(huì)拼接出一個(gè)重要的信息。”國家信息中心專家委員會(huì)副主任寧家駿說。
“大數(shù)據(jù)時(shí)代,網(wǎng)絡(luò)上流動(dòng)的信息日漸主宰國家的運(yùn)轉(zhuǎn)和命脈,一些看似不相關(guān)的數(shù)據(jù),在大數(shù)據(jù)的綜合與深度挖掘下,可能會(huì)泄露出關(guān)系到國家的重要信息。”劉弘瑜說。
比如,一個(gè)普通百姓的消費(fèi)數(shù)據(jù)幾乎沒有什么價(jià)值,但是如果一個(gè)億、甚至幾個(gè)億的普通百姓消費(fèi)數(shù)據(jù)被整合起來,就可能關(guān)系到整個(gè)國家經(jīng)濟(jì)發(fā)展諸多核心指標(biāo)。而在云計(jì)算的背景之下,這種情況出現(xiàn)的可能性非常大。
云計(jì)算的核心是數(shù)據(jù)要集中、要整合、要關(guān)聯(lián)和共享,一個(gè)地方高度密集地集中大量數(shù)據(jù)之后,就有了大數(shù)據(jù)的概念。歷軍認(rèn)為,在這樣新的技術(shù)背景下,既是挑戰(zhàn)也是機(jī)遇,因?yàn)檫^去數(shù)據(jù)分散在100萬個(gè)點(diǎn)上,要想保證每個(gè)點(diǎn)都不出問題其實(shí)非常難;但是在云計(jì)算時(shí)代,全國的大數(shù)據(jù)可以只集中在1000個(gè)點(diǎn)上,這樣保障安全的可能性就會(huì)大大提高。
據(jù)記者了解,國家有關(guān)部門已經(jīng)在著手研究云計(jì)算的準(zhǔn)入制度了,外國企業(yè)只能在法律允許的范圍內(nèi)開展業(yè)務(wù)。