论文部分内容阅读
当前任美国总统安全事务助理多尼伦借网络安全问题向中国发难时,他绝不会想到,仅仅三个月之后,一个名叫斯诺登的年轻人让美国从原告沦为被告。
多尼伦的振振有词,一夜间竟成了贼喊捉贼。
更让美国始料不及的是,“棱镜门”事件仍在持续发酵之中。自6月初事件爆发,美国国家安全局那些“不可说的秘密”,一点一点暴露在了阳光之下。
在香港,斯诺登透露自2009年以来,美国安局便持续入侵中国内地及香港的电脑网络。这在中国大陆和香港立即引起了轩然大波。
“棱镜门”事件把中国的信息安全推向了舆论的风口浪尖,这个早就应该引起重视但却常常被忽视的问题和斯诺登的最终去向一样,成为了讨论的焦点。
危墙之下
根据斯诺登提供的信息,美国政府正在对中国的移动网络运营商进行黑客攻击,以窃取数百万条短信。
此语一出,舆论哗然。
作为国内最重要的通讯方式之一,仅2012年一年,中国人的短信交流就达到了近9000亿次。使用短信的人群既包括普通民众,也包括政府官员;短信交流既用于日常生活,也用于工作沟通。
这意味着,一旦涉及国家重要信息的短信被窃取,那么国家安全就有可能在这一条小小的短信中流失。
同样被列为入侵目标的还有清华大学。
据斯诺登称,仅在2013年1月的一天之内,这所中国顶尖学府就至少有63台电脑和服务器遭到了美国安局的黑客入侵。
清华大学负责管理中国内地六大骨干网之一的中国教育和科研计算机网(CERNET),数以百万计中国公民的互联网数据都可以从中挖掘。有分析称,这也许是清华大学成为攻击目标的原因。
斯诺登接连抛出的信息令人震惊。然而,美国对中国的攻击行为还远不止这些。
“棱镜门”后,有美国媒体将更多美国政府着眼海外的秘密情报搜集行动曝光出来,中国依然被卷入其中。
6月10日,美国《外交政策》杂志报道称,美国安局旗下设有一个名为“定制人口行动办公室(TAO)”的部门,在过去近15年中一直对中国境内电脑和通讯系统进行网络攻击,借此获取有关中国的有价值情报。
这些报道就像陆续被引爆的炸弹一样,冲击着中国信息安全脆弱而敏感的神经。
其实在国内,中国信息安全受到威胁早已是不争的事实,只不过那时并没有引起足够的重视。
国家互联网应急中心在其发布的2012年度《中国互联网网络安全报告》中就指出,当前中国网络安全面临着严峻的挑战,尤其是来自境外、针对中国的网络攻击形势日趋严重。
数据触目惊心。
4.1万台!仅仅2012年,中国多个政府机构、重要信息系统部门以及高新技术单位的电脑主机感染一种具有APT特征的木马。
这些木马程序以窃取信息和收集情报为主,它们的控制服务器绝大多数位于境外。
更让人闻之悚然的是,竞有1051.2万余台中国境内的主机被位于美国的控制服务器控制,10037个网站被美国主机控制,这些位于美国的控制服务器和主机高达12891和7370个。
中国的信息安全走在了危险的边缘。
被盯上的“富翁”
“中国是一个正在崛起的大国。就像一个富翁,身上带着很多钱,身边却没有保镖,当然会被盯上。”当被问到我国信息安全受到威胁背后的原因时,一位知名专家打了有趣的比喻。
一方面是被人“紧盯”,另一方面则是防范不够。
由于历史原因,中国的现代信息安全研究直到上世纪70年代末才开始起步。最初,这件事被交给了中国科学院和一些高校。彼时,中国科学技术大学的曾肯成教授专门成立了研究小组,从事密码学方面的研究。
当时,计算机并未普及。直到1988年,中国才开始出现计算机病毒。于是,在起步10年之后,包括公安部在内的国家相关部门才开始组织防病毒方面的工作。
从90年代起,中国陆续开展计算机系统安全方面的工作,商用密码也被提出。从那时起,中国现代信息安全的研究才算真正开始起步。
但中国的信息安全产业逐渐发展起来,则是在上世纪末。这时开始出现了一些计算机安全类产品。
现代信息安全经历了从通信安全、计算机安全、信息系统安全、网络安全,再到现在的基础设施安全的过程。中国的发展也遵循着这样的发展脉络,但过程更为艰辛和坎坷。
虽然研究人员和企业都付出了巨大的努力,但与西方发达国家,特别是美国相比,中国的信息安全毕竟输在起跑线上。
近些年来,信息安全逐渐开始受到各方关注。
“我国在信息安全、可信计算方面—直跟踪国际前沿进行同步研究,取得了很大进展,也建立了比较严密的保密体系。”中国科学院计算技术研究所研究员胡伟武告诉《科学新闻》记者。
胡伟武尝试着地走在了这条路的前面。
2001年,胡伟武组建的龙芯课题组正式成立。仅仅一年后,中国首款通用CPU龙芯1号流片成功。7年后,中国首款四核CPU龙芯3A流片成功。2008年,龙芯成立公司,开始产业探索。
而信息安全也被提高到了国家战略的层面。
2006年,国务院发布了《国家中长期科学和技术发展规划纲要(2006-2020年)》。在这份纲要中,“核高基”(核心电子器件、高端通用芯片及基础软件产品)被确定为国家十六个科技重大专项之一。
而今,“核高基”项目更加务实。据《瞭望东方周刊》报道,该项目将“满足国家安全和国民经济安全信息化的基本需求”作为清晰目标。
“‘核高基’重大专项从‘十二五’开始推进自主信息化试点工作,选择了包括中央办公厅、工信部在内的十几个部门作为试点单位。”胡伟武介绍道,“从‘十五’开始,经过十余年的努力,以CPU和操作系统为代表的自主软硬件已经基本可用。” 虽然一直在努力,但问题依然存在,差距依然明显。这种差距使得中国信息安全的弱点在“棱镜门”事件中剧烈地显现出来。
九龙治水
“棱镜门”之后,很多专家并不满意中国信息安全发展的速度。他们认为,根源在于当前中国的信息安全并没有形成一个完备的体系。
事实上,信息安全是一个体系化的国家行为,涉及到国家战略、管理、标准、政策法规、技术和产业等多个方面。如此纷繁复杂的体系,需要一个自上而下的全面协调和统筹。但现在,中国的信息安全管理更多的是“九龙治水、各自为政”的状态。
“信息安全圈子不大,主管部门却不少。”除公安、保密、机要、国安等部门以外,还有国信、信产、密码、发改、科技、质检等,构成了信息安全纵横交错的管理体系,人们把这些管理体系戏称为“宫保鸡丁”。
然而,从管理角度看,各主管部门都有其合法存在的依据。
这种现象的产生既有政治、经济、文化等安全考虑的复杂历史背景,也有人为因素的促成。比如,公安就依据1994年颁布的《计算机安全管理条例》把信息安全归口到管辖范围之内。
在这样多个部门“各自为政”,又缺少更上层的统一协调的情况下,各方面的努力和发展失去了统一的方向,降低了信息安全管理的效率。
对此,胡伟武也认为:“在自主软硬件体系建设取得一定进展后,也产生了一定的问题,代表不同利益集团的软硬件系统纷纷粉墨登场,造成了思想混乱,形成了干扰。”
矛盾主要体现在三个方面:现有体系与新体系的矛盾,学院派和产业派的矛盾,自主软硬件研制单位内部的矛盾。
“这需要一个过程去解决,关键还是要建立自主可控的产业体系,培养自主能力。”胡伟武说。
即使信息安全管理体系搭建起来了,技术和产业要想实现跨越式的发展也需要一定的周期。
目前,国内在信息安全方面的研究还主要停留在对国外最新技术的跟踪和了解阶段,并且基本上都是外围技术。“相反,国外对中国的研究水平却非常清楚。”说到国内现今信息安全技术的发展现状,中国科学院微电子研究所研究员闫江也很无奈。
从产业的角度来说,当前中国信息安全产业虽有发展,但是规模化的企业并不多。信息安全产业总体呈现“小”和“散”的特点,整个信息产业对其支撑力度也不够。
信息安全,牵一发动全身。
要维护国家信息安全,不能仅仅只依靠信息安全技术和产业,而是涉及到整个信息产业。有专家断言:“一旦在信息技术和产业上处于落后,就别想在信息安全上翻身。”
这听上去非常不幸。
中国当前信息安全受到潜在严重威胁,症结却是国内信息技术和信息产业自主创新能力不足。
目前,中国的信息系统中使用的技术产品大部分来自国外。在中国网络核心节点中,思科的设备占据了很大的比重,微软的操作系统在个人电脑领域几乎垄断了市场。而中国的关键行业,如电力、银行等的核心信息系统使用国外产品的比例高达90%以上。
没有自主可控的信息技术产品,保障国家信息安全无从谈起。
何去何从
既然发展“自主可控”的信息技术和产品的重要作用已经得到了共认。那么,究竟如何建立起自主可控的信息技术和产业体系,就成了首要问题。
不少专家强调市场在其中发挥的作用,认为国家应该制定发展战略,在特定行业和领域给予国产信息产品一定的市场支持,让国内信息企业能够发展下去。
持这样观点的人不在少数。
他们认为,中国有些具有自主知识产权的信息技术产品已经能够达到可用水平。尽管可能在性能和成熟度方面还存在一些差距,但毕竟国产信息产品为中国信息安全奠基了基础。
不过,不同的声音也时有出现,“会不会以国家信息安全的理由保护了落后。”
对此,中国工程院院士倪光南告诉《科学新闻》,信息产品的成熟度只有通过大量应用才能迅速提高,“在多数情况下,不愿用国货,不是产品本身的问题,而是崇洋媚外、缺乏创新自信的问题”。
对于已经开始产业探索的龙芯领导者胡伟武,在如何建立自主可控的信息产业体系上有着更为具体的设想。
他认为,要搭建起能够保障国家信息安全的产业体系,首先要得到政府的支持以及科研院所、科技企业的共同努力,采用“应用牵引、系统优化、形成体系”的措施,建立技术产业根据地,同时要建立有威慑力的知识产权体系。
除加强自主可控的信息技术和产业发展外,不少专家也呼吁在信息安全方面加强顶层设计,把信息安全完整的体系建立起来。
“棱镜门”事件还未结束,但终究会变成明日黄花,斯诺登的大幅照片也不可能永远停留在报纸头条。当终有一日“棱镜门”事件烟消云散的时候,希望对于中国信息安全的关注不要就此停止。
当后“棱镜门”时代来临的时候,中国的信息安全发展将会遇到更多机遇,也会面临更大挑战。
多尼伦的振振有词,一夜间竟成了贼喊捉贼。
更让美国始料不及的是,“棱镜门”事件仍在持续发酵之中。自6月初事件爆发,美国国家安全局那些“不可说的秘密”,一点一点暴露在了阳光之下。
在香港,斯诺登透露自2009年以来,美国安局便持续入侵中国内地及香港的电脑网络。这在中国大陆和香港立即引起了轩然大波。
“棱镜门”事件把中国的信息安全推向了舆论的风口浪尖,这个早就应该引起重视但却常常被忽视的问题和斯诺登的最终去向一样,成为了讨论的焦点。
危墙之下
根据斯诺登提供的信息,美国政府正在对中国的移动网络运营商进行黑客攻击,以窃取数百万条短信。
此语一出,舆论哗然。
作为国内最重要的通讯方式之一,仅2012年一年,中国人的短信交流就达到了近9000亿次。使用短信的人群既包括普通民众,也包括政府官员;短信交流既用于日常生活,也用于工作沟通。
这意味着,一旦涉及国家重要信息的短信被窃取,那么国家安全就有可能在这一条小小的短信中流失。
同样被列为入侵目标的还有清华大学。
据斯诺登称,仅在2013年1月的一天之内,这所中国顶尖学府就至少有63台电脑和服务器遭到了美国安局的黑客入侵。
清华大学负责管理中国内地六大骨干网之一的中国教育和科研计算机网(CERNET),数以百万计中国公民的互联网数据都可以从中挖掘。有分析称,这也许是清华大学成为攻击目标的原因。
斯诺登接连抛出的信息令人震惊。然而,美国对中国的攻击行为还远不止这些。
“棱镜门”后,有美国媒体将更多美国政府着眼海外的秘密情报搜集行动曝光出来,中国依然被卷入其中。
6月10日,美国《外交政策》杂志报道称,美国安局旗下设有一个名为“定制人口行动办公室(TAO)”的部门,在过去近15年中一直对中国境内电脑和通讯系统进行网络攻击,借此获取有关中国的有价值情报。
这些报道就像陆续被引爆的炸弹一样,冲击着中国信息安全脆弱而敏感的神经。
其实在国内,中国信息安全受到威胁早已是不争的事实,只不过那时并没有引起足够的重视。
国家互联网应急中心在其发布的2012年度《中国互联网网络安全报告》中就指出,当前中国网络安全面临着严峻的挑战,尤其是来自境外、针对中国的网络攻击形势日趋严重。
数据触目惊心。
4.1万台!仅仅2012年,中国多个政府机构、重要信息系统部门以及高新技术单位的电脑主机感染一种具有APT特征的木马。
这些木马程序以窃取信息和收集情报为主,它们的控制服务器绝大多数位于境外。
更让人闻之悚然的是,竞有1051.2万余台中国境内的主机被位于美国的控制服务器控制,10037个网站被美国主机控制,这些位于美国的控制服务器和主机高达12891和7370个。
中国的信息安全走在了危险的边缘。
被盯上的“富翁”
“中国是一个正在崛起的大国。就像一个富翁,身上带着很多钱,身边却没有保镖,当然会被盯上。”当被问到我国信息安全受到威胁背后的原因时,一位知名专家打了有趣的比喻。
一方面是被人“紧盯”,另一方面则是防范不够。
由于历史原因,中国的现代信息安全研究直到上世纪70年代末才开始起步。最初,这件事被交给了中国科学院和一些高校。彼时,中国科学技术大学的曾肯成教授专门成立了研究小组,从事密码学方面的研究。
当时,计算机并未普及。直到1988年,中国才开始出现计算机病毒。于是,在起步10年之后,包括公安部在内的国家相关部门才开始组织防病毒方面的工作。
从90年代起,中国陆续开展计算机系统安全方面的工作,商用密码也被提出。从那时起,中国现代信息安全的研究才算真正开始起步。
但中国的信息安全产业逐渐发展起来,则是在上世纪末。这时开始出现了一些计算机安全类产品。
现代信息安全经历了从通信安全、计算机安全、信息系统安全、网络安全,再到现在的基础设施安全的过程。中国的发展也遵循着这样的发展脉络,但过程更为艰辛和坎坷。
虽然研究人员和企业都付出了巨大的努力,但与西方发达国家,特别是美国相比,中国的信息安全毕竟输在起跑线上。
近些年来,信息安全逐渐开始受到各方关注。
“我国在信息安全、可信计算方面—直跟踪国际前沿进行同步研究,取得了很大进展,也建立了比较严密的保密体系。”中国科学院计算技术研究所研究员胡伟武告诉《科学新闻》记者。
胡伟武尝试着地走在了这条路的前面。
2001年,胡伟武组建的龙芯课题组正式成立。仅仅一年后,中国首款通用CPU龙芯1号流片成功。7年后,中国首款四核CPU龙芯3A流片成功。2008年,龙芯成立公司,开始产业探索。
而信息安全也被提高到了国家战略的层面。
2006年,国务院发布了《国家中长期科学和技术发展规划纲要(2006-2020年)》。在这份纲要中,“核高基”(核心电子器件、高端通用芯片及基础软件产品)被确定为国家十六个科技重大专项之一。
而今,“核高基”项目更加务实。据《瞭望东方周刊》报道,该项目将“满足国家安全和国民经济安全信息化的基本需求”作为清晰目标。
“‘核高基’重大专项从‘十二五’开始推进自主信息化试点工作,选择了包括中央办公厅、工信部在内的十几个部门作为试点单位。”胡伟武介绍道,“从‘十五’开始,经过十余年的努力,以CPU和操作系统为代表的自主软硬件已经基本可用。” 虽然一直在努力,但问题依然存在,差距依然明显。这种差距使得中国信息安全的弱点在“棱镜门”事件中剧烈地显现出来。
九龙治水
“棱镜门”之后,很多专家并不满意中国信息安全发展的速度。他们认为,根源在于当前中国的信息安全并没有形成一个完备的体系。
事实上,信息安全是一个体系化的国家行为,涉及到国家战略、管理、标准、政策法规、技术和产业等多个方面。如此纷繁复杂的体系,需要一个自上而下的全面协调和统筹。但现在,中国的信息安全管理更多的是“九龙治水、各自为政”的状态。
“信息安全圈子不大,主管部门却不少。”除公安、保密、机要、国安等部门以外,还有国信、信产、密码、发改、科技、质检等,构成了信息安全纵横交错的管理体系,人们把这些管理体系戏称为“宫保鸡丁”。
然而,从管理角度看,各主管部门都有其合法存在的依据。
这种现象的产生既有政治、经济、文化等安全考虑的复杂历史背景,也有人为因素的促成。比如,公安就依据1994年颁布的《计算机安全管理条例》把信息安全归口到管辖范围之内。
在这样多个部门“各自为政”,又缺少更上层的统一协调的情况下,各方面的努力和发展失去了统一的方向,降低了信息安全管理的效率。
对此,胡伟武也认为:“在自主软硬件体系建设取得一定进展后,也产生了一定的问题,代表不同利益集团的软硬件系统纷纷粉墨登场,造成了思想混乱,形成了干扰。”
矛盾主要体现在三个方面:现有体系与新体系的矛盾,学院派和产业派的矛盾,自主软硬件研制单位内部的矛盾。
“这需要一个过程去解决,关键还是要建立自主可控的产业体系,培养自主能力。”胡伟武说。
即使信息安全管理体系搭建起来了,技术和产业要想实现跨越式的发展也需要一定的周期。
目前,国内在信息安全方面的研究还主要停留在对国外最新技术的跟踪和了解阶段,并且基本上都是外围技术。“相反,国外对中国的研究水平却非常清楚。”说到国内现今信息安全技术的发展现状,中国科学院微电子研究所研究员闫江也很无奈。
从产业的角度来说,当前中国信息安全产业虽有发展,但是规模化的企业并不多。信息安全产业总体呈现“小”和“散”的特点,整个信息产业对其支撑力度也不够。
信息安全,牵一发动全身。
要维护国家信息安全,不能仅仅只依靠信息安全技术和产业,而是涉及到整个信息产业。有专家断言:“一旦在信息技术和产业上处于落后,就别想在信息安全上翻身。”
这听上去非常不幸。
中国当前信息安全受到潜在严重威胁,症结却是国内信息技术和信息产业自主创新能力不足。
目前,中国的信息系统中使用的技术产品大部分来自国外。在中国网络核心节点中,思科的设备占据了很大的比重,微软的操作系统在个人电脑领域几乎垄断了市场。而中国的关键行业,如电力、银行等的核心信息系统使用国外产品的比例高达90%以上。
没有自主可控的信息技术产品,保障国家信息安全无从谈起。
何去何从
既然发展“自主可控”的信息技术和产品的重要作用已经得到了共认。那么,究竟如何建立起自主可控的信息技术和产业体系,就成了首要问题。
不少专家强调市场在其中发挥的作用,认为国家应该制定发展战略,在特定行业和领域给予国产信息产品一定的市场支持,让国内信息企业能够发展下去。
持这样观点的人不在少数。
他们认为,中国有些具有自主知识产权的信息技术产品已经能够达到可用水平。尽管可能在性能和成熟度方面还存在一些差距,但毕竟国产信息产品为中国信息安全奠基了基础。
不过,不同的声音也时有出现,“会不会以国家信息安全的理由保护了落后。”
对此,中国工程院院士倪光南告诉《科学新闻》,信息产品的成熟度只有通过大量应用才能迅速提高,“在多数情况下,不愿用国货,不是产品本身的问题,而是崇洋媚外、缺乏创新自信的问题”。
对于已经开始产业探索的龙芯领导者胡伟武,在如何建立自主可控的信息产业体系上有着更为具体的设想。
他认为,要搭建起能够保障国家信息安全的产业体系,首先要得到政府的支持以及科研院所、科技企业的共同努力,采用“应用牵引、系统优化、形成体系”的措施,建立技术产业根据地,同时要建立有威慑力的知识产权体系。
除加强自主可控的信息技术和产业发展外,不少专家也呼吁在信息安全方面加强顶层设计,把信息安全完整的体系建立起来。
“棱镜门”事件还未结束,但终究会变成明日黄花,斯诺登的大幅照片也不可能永远停留在报纸头条。当终有一日“棱镜门”事件烟消云散的时候,希望对于中国信息安全的关注不要就此停止。
当后“棱镜门”时代来临的时候,中国的信息安全发展将会遇到更多机遇,也会面临更大挑战。