目前,全球13臺根服務器沒有一臺在中國,這使美國可以輕易掌握其他國家的網絡信息流。在基礎設施方面,關鍵芯片、路由器有較大比例來自國外,這一狀況至今未能根本性改善,一旦國外在芯片、路由器上暗藏后門,造成的泄密隱患可想而知。
“XP停止服務,Win8不僅難用,對電腦配置要求還高,我們的網絡安全誰來保護?”一些網友在微博上如此抱怨。4月8日,伴隨了用戶13年的Windows XP(以下簡稱XP)正式隱退。我國尚有約2億XP用戶,用戶對“后XP時代”的網絡安全憂心忡忡。
就在當天,互聯網筑墻被劃出了一道致命的裂口,常用于電商、支付類接口等安全性極高網站的網絡安全協議OpenSSL被曝存在“心臟出血”的高危漏洞,我國不少用戶的個人信息出現在了地下交易市場。
其實,這僅是中國信息安全問題的冰山一角。在PC時代,電腦操作系統被微軟所壟斷,如今在移動互聯網時代,移動端操作系統被谷歌、蘋果等國外企業所壟斷,從美國鼓吹“中國網絡威脅論”,到斯諾登引爆“棱鏡門”事件,中國的信息安全問題日益突出。中國的信息安全防護能否抵御外來入侵?中國公民的個人隱私能否得到保障?
4億多網民受威脅
2012年年底,美國以“威脅國家安全”為由,將華為、中興電信設備拒之于門外。2013年,美國又將反制中國“網絡威脅”納入立法及司法領域,向中國施壓。不僅如此,美國還利用企業聯合他國機構發布報告,宣揚“中國威脅論”,對“走出去”的中國企業不斷打壓。
然而,隨著2013年“棱鏡門”事件的爆出,美國利用技術優勢監控全球互聯網,甚至滲透和攻擊他國關鍵領域服務器的事實被揭露出來。斯諾登曝光的文件,就讓美國限制華為進入的做法顯得十分滑稽。據德國《明鏡》周刊網站報道,美國國家安全局自2009年起,就入侵華為電子郵件伺服器,成功獲取華為內部資料及包括華為高層在內的員工電子郵件記錄。
5月26日,我國互聯網新聞研究中心發布了《美國全球監聽行動紀錄》(以下簡稱“紀錄”),美國實施竊密監聽行動的具體細節可謂觸目驚心。
“紀錄”內容顯示,中國的政府機構是美國竊聽的“重點關照”對象。白宮的一位外交政策助理曾透露,美國在1990年8月落成的中國駐澳大利亞新使館的每間辦公室的混凝土墻里,都埋設了光纖竊聽器,這種細細的玻璃絲在全面安全檢查中沒有被發現。直到這件事在前些時候被泄露給《悉尼先驅晨報》和其他新聞媒體后,才引起中國的警覺。
據德國《明鏡》周刊報道,已被曝光的一份美國2010年的“監聽世界地圖”包含了世界90個國家的監控點,中國作為美國在東亞的首要監聽對象,北京、上海、成都、香港及臺北等城市,均在美國國家安全局重點監控目錄之下。從2009年開始,美國國家安全局就開始入侵中國大陸和香港的電腦和網絡系統,中國大陸和香港已有數百個目標受到監視。在香港的目標中,多數是大學、政府官員、商人和學生。
中國企業也是美國的重點監控對象。“紀錄”的內容顯示,《南華早報》公布的對斯諾登的采訪說,美國政府正大規模入侵中國的主要電信公司,以獲取數以百萬計的短信內容。斯諾登表示,美國監控遠不止這些,“美國國安局做各種事情,諸如入侵中國移動電話公司,以竊取你們所有的短信數據。”
據路透社報道,美國國家安全局曾與加密技術公司美國安全服務商RSA達成了1000萬美元的協議,聯合在加密算法中加入漏洞后門,旨在削弱軟件加密標準,輔助相關機構RSA開展大規模監控程序。RSA的中國客戶包括三大電信運營商中國電信、中國移動、中國聯通,中國銀行、中國工商銀行、中國建設銀行等,以及電信設備商華為和家電制造商海爾等。
科研機構、普通網民、廣大手機用戶,甚至網絡游戲和聊天軟件都成為美國獲取情報的渠道。
英國《衛報》和《紐約時報》公布了美國著名新聞調查機構“為了人民”的文件,名為“對恐怖分子利用游戲和虛擬環境的研究”。該文件顯示,美英兩國的情報人員假扮“玩家”,曾滲透入網絡游戲《魔獸世界》《第二生命》中,監視游戲玩家。而這兩款游戲的中國玩家最多。
監測數據顯示,2013年,中國遭受境外網絡攻擊情況觸目驚心,大量主機被國外木馬或僵尸網絡控制,主要控制源都來自于美國。據國家互聯網應急中心統計,到2013年9月底,監測發現共近52萬個木馬控制端IP,其中有24.7萬個位于境外,前三位分別是美國、印度和土耳其。共發現境外64萬臺主機曾對中國大陸發起過攻擊。其中,對中國大陸地區進行網站攻擊最頻繁的國家和地區為美國(42%)、日本(19%)和韓國(10%)。
CINNIC發布的《2013中國網民信息安全狀況研究報告》顯示,過去半年遇到過網絡安全問題的網民比例高達74.1%,影響總人數達到了4.38億。
核心技術之失
這一系列事件映射出,中國針對關鍵信息基礎設施和重要信息系統的信息安全感知能力、防護水平與保障措施相對欠缺,自主可控能力嚴重不足。
信息安全專家秦安說,網絡空間的力量,對一個國家、民族存在三大威脅:一是可以利用直達人心的便捷通道,攻心奪志,實現信息滲透、文化入侵和思想殖民,直至顛覆國家政權,西亞北非國家政權批量倒臺的例子現實而生動;二是可以利用全球一體的物聯網實現遠程控制,阻癱交通、能源、金融、供水等民生基礎設施,美國目前正在加緊防范“數字9·11”和“網絡珍珠港”事件發生;三是可以通過網絡入侵攻擊軍事網絡,阻癱作戰體系,病毒入侵導致法國戰機無法起飛等例子不在少數。
近年來,中國在網絡安全領域問題頻發,背后有多重原因。
中科院研究生院信息安全國家重點實驗室教授、北京知識安全工程中心主任呂述望說,中國核心技術受制于人,使中國的網絡安全水平大打折扣。互聯網在美國誕生,這使得美國在互聯網世界掌握絕對的主導權和話語權。目前,全球13臺根服務器沒有一臺在中國,這使美國可以輕易掌握其他國家的網絡信息流。在基礎設施方面,關鍵芯片、路由器有較大比例來自國外,這一狀況至今未能根本性改善,一旦國外在芯片、路由器上暗藏后門,造成的泄密隱患可想而知。
另外,無論是PC端還是移動端,中國都大量使用美國操作系統。中國在PC時代被微軟壟斷的局面,在移動互聯網時代又被另一家美國巨頭谷歌復制。由于操作系統掌握最底層、最核心的權限,如果美國意圖利用在操作系統上的優勢竊取中國信息,猶如探囊取物。
中國在網絡社會的立法并不完善且層級不高。一些專家指出,中國還沒有形成使用成熟的網絡社會法理原則,網絡法律仍然沿用或套用物理世界的法理邏輯。在信息安全立法上,缺乏統一的立法規劃,現有立法層次較低,以部門規章為主,立法之間協調性和相通性不夠,缺乏系統性和全面性。
目前,中國已經出臺了不少指導性或規范性文件,如2006年實施的《互聯網安全保護技術措施規定》《信息安全技術公共及商用服務信息系統個人信息保護指南》,2013年的《關于加強移動智能終端管理的通知》,但由于在立法層面缺乏支持,導致執行力比較差。更重要的是,目前中國仍然沒有一部獨立的網絡犯罪法律,有關計算機犯罪的法律條文主要是刑法285條和286條。這些條文遠遠無法應對紛繁復雜的網絡犯罪模式。
網民網絡安全防范意識薄弱也是信息安全不斷受威脅的重要原因。目前,網民雖有一定的認知網絡安全知識,但卻沒能將其有效轉化為安全防范意識,更少落實在網絡行為上。以在中國普及程度極高的安卓手機為例,大量安卓應用在安裝前都要求讀取用戶的位置、短信等隱私,如不同意授權,則無法安裝。對于很多用戶而言,明明知道這些軟件并沒有必要知道這些隱私,且本意不想泄露隱私,但由于懷有僥幸心理,仍然同意軟件讀取自己的隱私。盡管媒體長期呼吁,但大量用戶依然我行我素,導致難以對手機廠商和應用開發者形成強大的輿論壓力。
另外,多頭管理、部門間協調不暢,也是中國網絡安全領域問題頻發的重要原因。當前中國的互聯網管理體制存在政府主導,多頭管理,政出多門,難以形成拳頭,缺乏統籌規劃的問題。隨著社會對網絡依賴度越來越高,網絡空間安全問題超越了專業技術層面,構成對國家安全的直接影響。
上升至國家戰略
今年兩會前夕,中央網絡安全和信息化領導小組成立,習近平總書記擔任組長,李克強、劉云山任副組長。之后,“維護網絡安全”這一表述首次出現在了政府工作報告中,這意味著網絡安全已上升至國家戰略。
國家互聯網信息辦公室5月22日發布消息稱,我國將于近期推出網絡安全審查制度。“信息安全現已成為國家安全的重要一環,進行網絡安全審查是信息技術發展的必然趨勢。”中國工程院院士方濱興告訴記者,美國、日本等發達國家早在十多年前就已建立了完備的網絡安全審查制度體系。
網絡安全審查,就是對關系國家安全和社會穩定信息系統中使用的信息技術產品與服務進行測試評估、監測分析、持續監督的過程。
2000年,美國率先在國家安全系統中對采購的產品進行安全審查,隨后陸續針對聯邦政府云計算服務、國防供應鏈等出臺了安全審查政策,實現了對國家安全系統、國防系統、聯邦政府系統的全面覆蓋。審查對象不僅涉及產品和服務,還會針對產品和服務提供商。
隨后,美國等西方國家為保障國家安全、防范供應鏈安全風險,逐步建立了多種形式的網絡安全審查制度。將全方位、綜合性的供應鏈安全審查對策上升至國家戰略高度。
美國網絡安全審查標準和過程是不公開的。美國對供應鏈安全審查的過程、標準、機制完全封閉,不披露原因和理由,不接受供應方申訴。主要考慮對國家安全、司法和公共利益的潛在影響,且其審查沒有明確的時間限制。
美國網絡安全審查的內容不局限于技術。美國聯邦政府要求,不僅要審查產品安全性能指標,還要審查產品的研發過程、程序、步驟、方法,產品的交付方法等,要求企業自己證明產品已達到了規定的安全強度。
此外,近日中央國家機關政府采購中心下發《關于進行信息類協議供貨強制節能產品補充招標的通知》,其中有條目規定,國家機關“信息類協議供貨強制節能產品采購招標”中,所有計算機類產品不允許安裝Window 8操作系統。政府采購緣何對Win8說不?
中國工程院院士倪光南表示,Win8操作系統采用了對于他國不安全的技術架構——它集成了殺毒軟件,可以經常掃描用戶的電腦,采用該系統的電腦面臨著被監控的風險,進一步加劇了對我國網絡安全不可控而導致的風險。
多措并舉形成合力
業內專家認為,應以中央網信小組成立為契機,在推出網絡安全審查制度的基礎上,多措并舉,形成合力,共同建設中國網絡安全。
首先,要加強自主創新能力,提高核心軟硬件產品自主化水平。專家們認為,解決互聯網的信息安全問題,不能完全依賴國外技術,唯有依靠自主創新才能取得主動、主導和自主權。中國應大力加強核心芯片、路由器、操作系統等各關鍵領域的自主化程度,通過政府采購、專項扶持等多種方式,推進企事業單位、科研院所以及市場力量加入到核心技術研發和推廣上來,為中國的網絡安全提供基礎性保障。
同時,加緊前沿技術的研發工作。應發展使用黑客技術,主動發現漏洞并及時加以解決,不給不法分子可乘之機。互聯網具有大數據、復雜性、異構性、開放性等特點,數據的處置能力體現了一國對數據的占有和控制能力。
中國需要大力研發和突破,以提高收集、儲存、應用、保留、管理、分析和共享海量數據的處置等所需核心的先進技術。下一代網絡規劃中,應特別關注海量數據存儲的并行存儲體系架構、高性能對象存儲技術、并行I/O訪問技術、海量存儲系統高可用技術、數據保護與安全體系、綠色存儲等關鍵技術的研究。
其次,加強立法,需盡快研究制定《信息網絡安全法》,確定信息網絡法制的總體框架。確立信息網絡法制模式和實現方式,明確政府、企業、用戶及個人等各自應負的法律責任。
最后,堅持政府主導、行業自律的原則,明確運營商、服務商等企業在信息網絡安全方面應負的社會和法律責任。要切實增強廣大網民的法治意識,普及信息網絡安全法律知識。完善信息網絡公約機制,積極引導信息網絡商戶和網民加強網絡自律,創建良好的網絡社會法治環境。
京公網安備 11010502049343號