回望過往,人們會發現,中國面對的網絡主權挑戰,與過去長達數十年的信息安全威脅一脈相承。只不過,過去的威脅隱藏于水下。如今,“棱鏡門”將遮羞布悉數扯掉,潛藏的安全威脅再無遁形,中國的網絡安全就如同“玻璃人”一樣,看似華麗,實則脆弱。
在網絡空間被視為繼陸、海、空、天之后的“第五空間”后,如何應對來自少數國家的網絡安全威脅,保衛“第五空間”的安全,已成為許多國家的共同目標。
在與國際社會共同呼吁并制定網絡空間新規則的基礎上,如何在觀念、法律、政策、技術、產業等方面,升級自己的治理和發展思路,確保國家網絡安全?
脆弱的安全防線
多處“致命傷”使得中國的網絡安全形同一位“玻璃人”,不僅透明,而且脆弱。
文/《財經國家周刊》記者 郭遠明 南婷 陳榮 趙宇飛彭勇 鄧中豪 程士華 葉健
1994年4月20日,當中國通過“NCFC工程”接入因特網64K國際專線,正式連接國際互聯網時,很少有人能想像到,網絡在今天會給中國帶來如此巨變。
20年過去,當人們津津樂道于中國網絡規模之巨時,決策層亦提出了建設網絡強國的戰略目標。
這與全球的網絡空間新形勢有莫大關聯。隨著網絡和信息化技術對現實社會、經濟和政治的滲透和重構日益加深,網絡空間已然成為大國博弈的新場地。
一些西方國家利用手中的網絡主導權,正在采取各種手段,從他國網絡獲取情報信息或硬性摧毀,以實現其國家戰略目標。
在此背景下,中國建設網絡強國的根基之一——網絡安全,卻嚴重滯后于網絡技術和信息產業的發展。
中國網絡信息核心技術和關鍵設備嚴重依賴他國;國家從部門到行業到個人的整體安全意識薄弱;網絡新技術和應用模式在國內大規模普及,大量數據和信息單方面流向美國等西方發達國家,信息失衡問題日趨嚴重……
這些“致命傷”,使得中國的網絡安全防線既透明,又脆弱。
一流網絡規模,四流防御能力
中國已成為名符其實的網絡大國。數據顯示,截至2013年底,中國網民規模突破6億人,手機用戶超過12億,擁有400萬家網站,電子商務市場交易規模達10萬億元。
“這就是當前的趨勢,網絡安全進入國與國對抗博弈的‘大玩家’時代。”中國工程院院士倪光南說,當前全球網絡威脅的主體,已由娛樂性黑客轉變為具有國家背景的團體性黑客,這些攻擊者組織更強大,計劃更充分,破壞力更強。
在此背景下,全球已有50多個國家出臺網絡安全或信息安全戰略和政策。
以美國為例,作為全球網絡主導者,早就制定了完善的網絡空間安全國家戰略,并奉行“以攻為主、先發制人”的網絡威懾戰略,將網絡情報搜集、防御性網絡行動和進攻性網絡行動確立為國家行動。
同時,這種國家級、有組織的網絡攻擊日趨復雜,呈現由“軟攻擊”向“硬摧毀”轉變的趨勢,網絡空間對抗日趨激烈。
倪光南指出,被披露由美國主導的2011年網絡攻擊伊朗核設施的“震網”事件表明,美國已經具備了入侵他國重要信息系統、對他國實施網絡攻擊的能力。
中國同樣不乏被攻擊的案例。除了2013年曝光的“棱鏡門”,2014年3月,“棱鏡門”曝料人斯諾登再次透露,美國國家安全局自2007年開始,就入侵了中國通信設備企業華為的主服務器;2014年5月19日,美國司法部更是以所謂的“網絡竊密”為由,起訴5名中國軍人。
面對他國咄咄逼人態勢,南京瀚海源信息科技公司董事長方興指出,中國一流的網絡規模卻只有四流網絡安全防御能力。2012年1月,美國“安全與國防議程”智囊團發布報告,將全球23個國家的信息安全防御能力分為6個梯隊,中國處于中下等的第4梯隊,網絡與信息系統安全防護水平很低。
其中一個重要原因,是中國重要信息系統、關鍵基礎設施中使用的核心信息技術產品和關鍵服務依賴國外。
相關數據顯示,全球網絡根域名服務器為美國掌控;中國90%以上的高端芯片依賴美國幾家企業提供;智能操作系統的90%以上由美國企業提供。中國政府、金融、能源、電信、交通等領域的信息化系統主機裝備中近一半采用外國產品。基礎網絡中七成以上的設備來自美國思科公司,幾乎所有的超級核心節點、國際交換節點、國際匯聚節點和互聯互通節點都由思科公司掌握。
中國工程院院士沈昌祥認為,目前中國對國外產品的安全隱患和風險尚不清楚。而出口中國的關鍵設備都被美國備案,美國掌握著中國重要信息系統使用產品和設備的清單,對產品和設備的漏洞、后門等十分清楚。
“掩耳盜鈴”的內網安全
除了關鍵基礎設施核心技術缺失,在受訪專家看來,中國網絡安全更容易被忽視的隱患,來自被過度信賴的內部網絡物理隔離系統。這個隱患,在軍隊、黨政機關、關鍵領域重點企業等領域更為嚴重。
內部網絡系統的物理隔離一直被認為是保障網絡和信息安全的重要手段,也是網絡系統最底層的保障措施。在傳統觀念中,只要不和外界網絡發生接觸,內網隔離就能從根本上杜絕網絡威脅。
但《財經國家周刊》記者發現,事實并非如此,中國不少重點行業和黨政部門的網絡信息安全防御被所謂的內網隔離扎成了虛假安全的“竹籬笆”。
奇虎360公司曾對中國教育系統、航空公司、司法機構等100多家重點行業關鍵企業和機關部門的內部網絡進行測試,結果網絡全被攻破,最長的耗時三天,最短的30分鐘。
沈昌祥牽頭進行一項課題研究發現,中國半數以上重要信息系統難以抵御一般性網絡攻擊,利用一般性攻擊工具即可獲取大多數中央部委門戶網站控制權。
造成這種問題的首要原因是網絡安全意識淡薄。知名網絡安全專家杜躍進介紹,中國重點企業及政府部門中,不少單位的機房管理員就是本單位的網絡安全負責人。
在安全意識淡薄之下,黨政部門和重點行業的網絡信息安全過度依賴物理隔離手段。啟明星辰首席戰略官潘柱廷指出,由于隔離網系統升級不及時,整體保護意識低,致使內部網絡物理隔離事實上漏洞百出,一些單位隔離的內部網絡木馬病毒橫行。
奇虎360公司的另一項檢測發現,中國100多萬個網站中,65%左右有漏洞,近30%是高危漏洞,“基本上你只要下功夫,這個站就能被拿下”。
根據斯諾登公布的材料,美國掌握了100多種方法可攻破物理隔離的內部網絡系統。
如在“震網”事件中,伊朗的核設施雖然進行了物理隔離,但美國仍利用高級漏洞,通過U盤擺渡等手段,入侵了內網,最終破壞了鈾濃縮機。
除了網絡安全意識淡薄,一些地方網絡安全防護重設備購置、輕后期服務的做法,也加劇了中國網絡安全體系的脆弱性。
奇虎360公司首席技術官譚曉生介紹說,在網絡安全防護方面,國家雖然推行了安全等級和分級保護的眾多規定,但部門和重點企業單位更多用設備購置來滿足安全分級要求,安全后期服務沒有常態化。這導致安全防御設備使用成效低下,無法及時監測內部安全態勢,完成系統升級等服務。
網絡數據“大出血”
與基礎設施和內網系統的技術防線漏洞相比,網絡數據和信息流失帶來的安全問題則更加隱蔽。
隨著云計算、物聯網、移動互聯網、大數據、智能化等網絡信息化新興應用持續拓展,未來中國網絡安全威脅將持續擴大。這使得中國大量數據和信息單方面流向西方發達國家的問題更加嚴重,信息失衡將成為未來更為主要的安全威脅。
網絡信息安全企業安天實驗室首席技術官肖新光認為,微軟的操作系統、英特爾的芯片、思科的交換路由產品等為代表的美國IT產品基本統領了前二十年全球信息化進程。
未來20年,加上谷歌、蘋果、Facebook、推特等其他美國科技企業所提供的先進、方便的互聯網服務,全球網絡信息都向美國單方向聚合,形成了巨大的信息鏈流失風險。
以第三方信息安全服務的數據信息容災備份領域為例,美國正在這個領域形成壟斷。
國家安全戰略研究中心信息技術與安全研究所副所長王標說,賽門鐵克、IBM、惠普等美國企業壟斷了全球的75%的市場份額,也占據了中國政府80%的容災備份市場份額,中國大量政府部門的網絡信息數據由此渠道單向流入美國。
與此同時,隨著智能手機、平板電腦的快速普及,移動互聯網安全形勢不容樂觀,帶來的數據信息泄露更為突出。
肖新光說,谷歌的安卓智能手機移動操作系統占中國智能手機用戶比例的60%以上。復旦大學的一份調查顯示,安卓系統300多款應用軟件中,58%存在泄漏用戶隱私行為,其中25%的程序還將泄漏的信息進行加密,使得確認其內容和傳送目的地非常困難。而移動互聯網絡開放式接入帶來的信息泄漏威脅更為直接和廣泛。
中國大量信息數據單向流向美國,帶來的直接后果就是讓美國獲得運用大數據分析中國政治、經濟、社會的最新動態和趨勢的能力。
潘柱廷說,通俗點描述,就是美國人比中國人還了解中國人在干什么。利用強悍的大數據分析,美國甚至可以比中國政府更清楚更早地知道,某地或某個中國群體在做什么、未來的想法是什么,等等。
網絡安全專家、Ucloud公司董事長季昕華認為,這種信息失衡后的大數據大規模挖掘和分析結果,具有戰略級的政治、軍事、商業、社會信息情報價值,“在未來的網絡安全攻防對抗中,信息失衡將比技術失衡更可怕。”
京公網安備 11010502049343號