与领导干部谈“如何与媒体打交道”之五注意 身边的网络安全
2014-03-01王彩平
■ 王彩平
与领导干部谈“如何与媒体打交道”之五注意 身边的网络安全
■ 王彩平
2014年4月14日,《卫报》和《华盛顿邮报》凭借报道斯诺登揭露的“棱镜门”事件,分享了2014年度普利策新闻奖最重要的奖项“公共服务奖”。2013年6月,斯诺登通过《卫报》和《华盛顿邮报》对外披露了美国国家安全局(NSA)实施的棱镜计划(PRISM)的诸多细节,包括对默克尔等多国领导人、联合国等国际组织实施监听监控等行为。
棱镜计划是美国有史以来最大的监控事件,其侵犯的人群之广、程度之深让人咋舌,反映出美国将互联网作为对其他国家进行侦察、颠覆和作战的行动空间和新战场的真实意图。因此,斯诺登事件的曝光引起国际舆论一片哗然,有媒体将美国政府的这种做法指责为“深度奥威尔主义”,也有人调侃说,如果在天有灵,奥威尔可能会慨叹自己的想象力还不够强。
斯诺登事件引发网络空间安全危机
受斯诺登事件影响,网络空间的安全危机引起了各国高度重视,一些国家竞相掀起新一轮网络安全“保卫战”,有的在物理层面实施“技术隔离”,如俄联邦航天署为多家下属企业员工采购国产防窃听手机,并要求在进行涉密对话时必须使用该手机。俄联邦保卫局决定斥资48.65万卢布(约合1.5万美元),购买20台打字机供打印机密文件之用。有的在技术层面进行“换代升级”,如德国宣布将在未来5年内投入1亿欧元,加强对互联网的建设,增加约100名工作人员,并提高计算能力和服务器性能。有的从战略层面进行顶层设计,如“斯诺登事件”之后,据印度国家安全委员会秘书处的一份内部调查显示,印度正在积极招募大批互联网专家,构建本国“网络安全体系”,同时积极构建法律体制。日本防卫厅也已组建了一支由陆海空自卫队计算机专家组成的5000人左右的网络战部队,专门从事网络系统的攻防作战。[ 吴定平,《“斯诺登震撼”令各国加强网络安全》,2014年2月25日,新华网评]
作为棱镜计划的重点监测对象,中国的网络安全面临着严峻的挑战,突出体现在技术领域。
由于我国软件行业发展基本上是在复制国外产品和模式,因此在竞争中始终处于被动地位。有报道说,在“棱镜”的折射下,中国几乎“一丝不挂”。美国建立多个监视、
信息挖掘项目,通过与政府关系紧密的跨国企业,已经把中国网络的七经八脉全部打通,电话、视频、邮件,甚至每一个人的刷卡和旅游记录,都有可能被一一传送到美国国家安全局情报人员的硬盘里。
这不是危言耸听。就电脑操作系统而言,我国的党政军要害部门以及金融、能源、电力、通讯、交通等关键基础设施领域长期依赖于微软XP系统。据国家计算机病毒应急处理中心发布的《WINDOWS XP系统安全状况调研报告》显示,在政府企业用户群中所抽样的121万台电脑设备中装有XP系统的所占比例高达72.6%。如果再加上安装微软其他操作系统的用户,Windows用户数量超过90%,我国家庭个人用户几乎全是使用Windows操作系统。
网络安全与安全网络
1998年,股神巴菲特曾经对比尔·盖茨做过一次采访,问及微软的中国策略,盖茨的回答是:“尽管在中国每年有大约300万台电脑被售出,中国人却不会为软件付钱,不过总有一天他们会的,既然他们想要去偷,我们想让他们偷我们的。他们会因此上瘾,这样接下来的十年我们就会找出某种办法让他们付账。”今天,当中国的操作系统被微软垄断,盖茨的话得到了应验,仅Windows操作系统一项,中国每年要为此支付数百亿美元的版权费用。
这还不是最严重的后果。2010年,美国“震网”病毒攻击伊朗核设施,导致伊朗1000多台离心机瘫痪,“震网”的威力,就来自于伊朗几乎每台电脑都安装了微软的 Windows 系统。斯诺登爆料称,包括微软在内的美国各大跨国IT公司,都在为美国国家安全局提供用户的数据资料。由此不难想到,一旦美国政府通过法令,让微软基于其操作系统对中国用户进行相关操作,中国所有使用Windows操作系统的电脑,可以瞬间被“裸奔”,甚至“崩溃”。
基于操作系统在IT网络空间中的核心作用,各国开始重新思考打造自己的自主可控操作系统,法德等欧洲大国一直在议会和政府部门电脑安装基于欧洲人开发的Linux操作系统,俄罗斯政府计划花费数亿美元在IT部门研制“Windows替代系统”,韩国大企业喊出要占领国内30%操作系统市场份额的“宏伟目标”。朝鲜、印度、古巴、日本等都在研发或计划推出自主性更强的OS。而在“震网”之后,伊朗在2013年完成国家的内联网系统建设,其中关键部门和政府机构网络系统已经脱离互联网。此外,伊朗还计划开发“清真网络”,断开与国际互联网的接口,同时研究新系统取代微软的Windows操作系统。
2012年10月26日,微软推出新一代操作系统Windows8,该系统不仅采用了已被中国政府采购拒之门外的vista系统的“可信计算”架构,而且还捆绑了微软自主的杀毒软件Windows Defender,这使得微软可以借“杀毒”之名,随时扫描用户计算机,并随时发布“补丁”。2013年8月23日,德国《时代周报》报道,德国政府及私营机构将考虑拒绝使用“Windows8”,其主要理由是微软的“可信计算”实际上是NSA的后门——它让微软和NSA事实上能远程控制任何计算机。
2014年5月16日,中央国家机关政府采购中心发布《关于进行信息类协议供货强制节能产品补充招标的通知》,对入围中央机关采购范围内的信息类产品提出新的采购要求,其中要求所有计算机类产品不允许安装Windows8操作系统。但是,2014年4月8日,微软停止了对Windows XP操作系统的服务,这引发了人们对于电脑系统性风险的担忧,有人认为XP停服将使大量载有重要信息的政府部门电脑设备失去基本防护,重要资料、敏感资料可能丢失甚至被盗取,中国国家信息安全面临很大威胁。
我国也曾开发过“红旗Linux”和 “中标麒麟”两款操作系统,其中,中科红旗公司曾是国产自主操作系统代表厂商,但由于一直依赖政府哺育型的开发机制,靠申请“核高基”项目课题获取收入,产品不贴近市场,得不到消费者认可和接受,2014年初,中科红旗被解散清算。而“中标麒麟”操作系统,则被质疑抄袭美国的FreeBSD开放源代码操作系统。
当前,除了PC端的操作系统被垄断之外,中国的移动智能终端又被安卓与苹果操作系统双寡头垄断。而在绝大多数关键信息基础设施领域,美国“八大金刚”(思科、IBM、谷歌、高通、英特尔、苹果、甲骨文、微软)都占据了庞大的市
场份额。一些储存重要信息的数据库软件,以及工业控制系统,均为西方高科技公司所研发。
以思科为例,腾讯、阿里巴巴、百度、新浪等排名前20的互联网企业,思科设备占据了约60%份额;在电信行业,思科占据了中国电信163个骨干网络约73%的份额,把持了163个骨干网所有的超级核心节点和绝大部分普通核心节点;在金融行业,中国四大银行及各城市商业银行的数据中心全部采用思科设备,思科占有金融行业70%以上的份额;在海关、公安、武警、工商、教育等政府机构,思科的份额超过了50%;在铁路系统,思科的份额约占60%;在民航,空中管制的骨干网络全部为思科设备;在机场、码头和港口,思科占有超过60%以上的份额;在石油、制造、轻工和烟草等行业,思科的份额超过60%,甚至很多企业和机构只采用思科设备;在电视台及传媒行业,思科的份额更是达到了80%以上……
为此,有人不无忧虑地指出,中国的信息安全在以思科为代表的美国“八大金刚”面前形同虚设,美国“八大金刚”可能对中国带来的危害,丝毫不亚于当年火烧圆明园的“八国联军”。
此外,伴随着云时代的到来,云计算的安全问题也日益凸显出来。由于极高的技术和资金门槛,全球真正有实力研发和提供云计算服务的公司只有微软、谷歌、思科、IBM 等少数互联网巨头,微软还计划联合其他巨头组成“云计算联盟”。依托国内网络巨头,美国垄断和控制着云计算的发展趋势,如果我们不具备“自主可控”的云计算能力,将不得不借助于相关跨国巨头的云计算中心进行存储和计算数据,这就使得中国的网络安全面临更为严峻的挑战。
目前,全球13个根域名服务器中除了英国、瑞典和日本各有1个之外,其余10个都在美国。而签署和发放根服务器的互联网域名与号码分配机构(ICANN)实际上是由美国控制的,美国因而掌握了对全球信息的绝对控制权。
如何才能从网络安全走向安全网络?
如今,网络空间已经成为继领土、领海和领空之后的第四空间,网络空间安全也成为国家安全的重要组成部分。那么,如何才能从网络安全走向安全网络呢?
首先,要形成总体网络安全观。正如习近平总书记所指出,没有网络安全就没有国家安全,没有信息化就没有现代化。早在2003 年,美国总统布什就出台了《美国保护网络空间国家战略》;2009 年6 月,美国正式组建网络战司令部。2011年,美国总统奥巴马发布《网络空间国际战略》,第一次提出当网络受到攻击以后可以用军事手段进行反击。2014年3月4日,美国国防部最新颁布的《四年防务报告》,首次公开提出要“建设133支网络部队”的战略目标,其中包括13支“国家任务部队”、8支“国家支援部队”、27支“作战任务部队”、17支“作战支援部队”、18支“国家防御部队”、24支“国家网络防御维护部队”、26支“作战指挥与国防部信息网络防御部队”。2014年4月10日,外交部网络事务协调员傅聪在博鳌亚洲论坛上表示:目前已有40多个国家建有网络部队,部分国家着手开发网络武
器,恐怖分子则利用网络散发恐怖信息、组织恐怖活动,全球网络安全形势非常严峻。
因此,一定要在总体国家安全的层面上来认识网络安全。2014年2月27日,由习近平总书记任组长的中央网络安全与信息化领导小组正式成立,这是党的十八届三中全会以后,由总书记直接担任组长、总理担任第一副组长的第三个跨党政军的重要机构。中央网络安全和信息化领导小组的成立,体现了中国最高层全面深化改革、加强顶层设计的意志,显示出国家保障网络安全、维护国家利益、推动信息化发展的决心,表明我国对网络与信息安全将越来越重视,有利于国家在总体上从战略部署、组织架构、法律法规、关键基础设施安全、技术产业发展、攻防能力建设等方面加强顶层设计。
其次,要提升自主科技创新能力。如今,网络安全成为了国家与社会运行的“生命线”。一旦关键信息基础设施和网络出现故障或受到大规模攻击而发生断网,就会导致行业或整个社会网络化服务的局部性、或是全面性瘫痪,就会带来难以估量的巨大经济与社会财富损失,甚至是人员伤亡。
目前,我国软件与互联网行业发展基本上是在复制国外产品与模式。以应用软件为例,为了使应用软件在Windows上面跑得顺畅,获得兼容,我国做应用软件的公司不得不完全遵循微软的相关技术准则,按照别人的规则去比赛,这种被牵着鼻子走的竞争显然是一种被动的、不平等的竞争。
中国的信息化建设要想摆脱受制于国际互联网巨头所制定的标准和游戏规则的局面,必须提升自主科技创新能力,聚焦关键技术和核心产品,在创新中不断突破芯片技术、操作系统、身份认证技术、密码技术等,都是网络安全的基础核心技术,只有掌握了这些核心技术,才可能掌握行业发展的主动权,中国从网络大国走向网络强国的战略目标才有可能实现。
因此,要改变过去通过行政手段配置资源的做法,在充分发挥市场资源配置作用的同时,通过政策引领,鼓励企业创新,如通过政府采购来培植更多像华为、中兴这样的具有全球影响力的大企业,使中国的信息化产品逐步形成产业链条,从而具有持续的动力和发展的活力。
再次,要完善法律法规和标准体系。在美国,“911”事件之后通过的《爱国者法案》将关键性基础设施定义为:“对国家而言具有重要性的物理和虚拟系统及手段的总和,一旦它们发生故障或被摧毁,有可能在国防、经济、卫生及国家安全领域产生毁灭性后果。”因此,我们看到2012年在对中兴、华为两家企业长达11个月的调查后,美国众议院情报委员会发表报告称,美国电信运营商不应和中国华为、中兴两家公司进行合作,因为后者“可能对美国国家安全构成风险”。而在斯诺登事件之后,这一法律也成为美国政府进行辩解的主要依据。有人说,《爱国者法案》是一部恶法,但不可否认的是,美国决策和立法部门对自身国家安全的高度重视。在信息安全领域,美国是全球唯一一个将进攻与防御并重的国家,居然将信息安全提到了这样的高度,形成了立法部门、政府部门、企业部门等密集互动的一体网络。
我国的网络安全领域还处于发展的初级阶段,法制化治理和管理模式尚未形成。当前信息网络领域的管理、协调主要是依据行政手段、规章和全国人大常委会的《关于加强网络信息保护的决定》,缺乏完整统一、相互衔接并且细化的法律法规,如信息网络安全法、公民信息保护法以及信息保密法律等,因此,应不断完善法律法规和安全标准,推动互联网管理的法制进程。2014年全国人大常委会立法工作计划中,网络安全法被列入立法日程,这对于网络安全来说无疑具有重要的意义。
值得注意的是,早在2003年5月12日,我国就正式发布了我们自主研发的、拥有自主知识产权的无线局域网安全技术标准——WAP。但是十多年来,在实际操作中,WAPI一直处于未采用、边缘化的状态,而目前采用的WiFi标准,不仅使国家公共基础设施网络存在极大的安全隐患和公共信息安全问题,而且使我们自己发布的国家强制标准失去了权威性,正如同美国著名法学家伯尔曼在《法律与宗教》一书中写下的不朽名言:“法律必须被信仰,否则它将形同虚设。”
(作者系国家行政学院副教授)
