“棱鏡”計(jì)劃只是美國(guó)完備情報(bào)系統(tǒng)的冰山一角，該系統(tǒng)與“棱鏡”曝光的“八大金剛”企業(yè)合作并非一日之功。當(dāng)我們?cè)谙硎苄畔⑾到y(tǒng)帶來(lái)的種種便利時(shí)，已經(jīng)不知不覺(jué)地對(duì)相關(guān)軟硬件產(chǎn)品、服務(wù)乃至模式產(chǎn)生越來(lái)越嚴(yán)重的依賴(lài)：從信息系統(tǒng)的生產(chǎn)者，到信息系統(tǒng)的運(yùn)行維護(hù)者，再到服務(wù)的提供者，在整個(gè)長(zhǎng)長(zhǎng)的鏈條上，誰(shuí)都有機(jī)會(huì)接觸到我們提交的數(shù)據(jù)(包括機(jī)密數(shù)據(jù))，任何一個(gè)環(huán)節(jié)都可能存在安全隱患。信息泄露等安全事件隨時(shí)都可能在不知不覺(jué)中悄然發(fā)生。在信息產(chǎn)業(yè)的高速公路上，如果我們繼續(xù)甘心于依賴(lài)別國(guó)，我們可能就會(huì)成為溫水中被煮的青蛙，在毫無(wú)知覺(jué)中漸漸耗盡自己防御的能力。而從更寬泛的視角看，“棱鏡”本身折射出的中國(guó)信息安全問(wèn)題還遠(yuǎn)不止此。

被忽視的供應(yīng)鏈安全

從“棱鏡”深挖下去，你會(huì)發(fā)現(xiàn)，美國(guó)自一戰(zhàn)以來(lái)已經(jīng)建立了一套完備的情報(bào)監(jiān)控體系。美國(guó)今天的強(qiáng)大，除了歷史原因和地緣優(yōu)勢(shì)外，還有一些因素不容忽視，那就是其一以貫之的戰(zhàn)略頂層設(shè)計(jì)和不被輕易阻斷的執(zhí)行。而這種戰(zhàn)略頂層設(shè)計(jì)在信息產(chǎn)業(yè)的高速公路上也得到充分體現(xiàn)，其先發(fā)位置和企業(yè)能力在信息領(lǐng)域已形成足夠的戰(zhàn)略威懾力。

“棱鏡”計(jì)劃離不開(kāi)與“八大金剛”企業(yè)(包括Skype、Facebook、Google等)接口所獲得的重要信息，雖然通過(guò)與企業(yè)合作獲得情報(bào)在美國(guó)并不少見(jiàn)，但與過(guò)去其他企業(yè)合作不同，美國(guó)情報(bào)系統(tǒng)與IT企業(yè)達(dá)成的堪稱(chēng)“天衣無(wú)縫”的合作并非一蹴而就，其基礎(chǔ)早已打下。信息安全專(zhuān)家肖新光(江海客)認(rèn)為，美國(guó)強(qiáng)大IT能力的形成經(jīng)歷了兩個(gè)階段：第一階段是以技術(shù)和產(chǎn)品優(yōu)勢(shì)為主導(dǎo)的時(shí)代，這個(gè)時(shí)代，它具備了先進(jìn)的核心計(jì)算能力、框架、軟件體系、個(gè)人機(jī)和網(wǎng)絡(luò)，英特爾、微軟、Oracle、蘋(píng)果等巨頭企業(yè)的崛起是這個(gè)階段的象征;第二階段是以模式和資源為主導(dǎo)的時(shí)代，典型企業(yè)包括Google、Amazon、Facebook、Twitter，還有轉(zhuǎn)型后的微軟和蘋(píng)果。在此階段，經(jīng)過(guò)積累，它已獲得軟件環(huán)境、知識(shí)產(chǎn)權(quán)和硬件資源優(yōu)勢(shì)。

反觀中國(guó)，在信息產(chǎn)業(yè)高速公路上，我們對(duì)外依賴(lài)度卻變得越來(lái)越高，今天，從信息系統(tǒng)的生產(chǎn)者，到信息系統(tǒng)的運(yùn)行維護(hù)者，再到服務(wù)的提供者，誰(shuí)都可能接觸到我們的機(jī)密數(shù)據(jù)。而談到信息安全，我們可能談得更多的是產(chǎn)品安全、技術(shù)水平等，聚焦供應(yīng)鏈安全的卻很少。啟明星辰首席戰(zhàn)略官潘柱廷認(rèn)為，實(shí)際上，從“棱鏡門(mén)”可以看出，整個(gè)主流供應(yīng)鏈安全比其他的安全問(wèn)題更具有根本性和徹底性，目前我國(guó)對(duì)此重視不夠，甚至損失供應(yīng)鏈安全去換取一些其他東西，這非常危險(xiǎn)。#p#

信息安全缺乏戰(zhàn)略頂層設(shè)計(jì)

中國(guó)信息安全自主可控能力不足的背后，是中國(guó)信息安全頂層戰(zhàn)略設(shè)計(jì)的缺失。在IDF互聯(lián)網(wǎng)威懾防御實(shí)驗(yàn)室聯(lián)合創(chuàng)始人萬(wàn)濤看來(lái)，中國(guó)信息安全產(chǎn)業(yè)經(jīng)歷的20年，最需要反思的是國(guó)家層面的安全，但事實(shí)上，從業(yè)者在實(shí)踐中卻常常急功近利，怎么賺錢(qián)怎么來(lái)。“棱鏡門(mén)”警醒我們，如果只有投機(jī)而沒(méi)有戰(zhàn)略，就談不上博弈。

《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》(中辦發(fā)[2003]27號(hào)文)發(fā)布已有近十年，從那時(shí)至今，我國(guó)再無(wú)國(guó)家級(jí)信息安全戰(zhàn)略發(fā)布。今年會(huì)不會(huì)發(fā)布國(guó)家信息安全戰(zhàn)略?這已成為安全界熱議的焦點(diǎn)，但一些安全專(zhuān)家坦言，這個(gè)期望能不能在今年實(shí)現(xiàn)還很難說(shuō)。頂層戰(zhàn)略設(shè)計(jì)的缺失，讓政府對(duì)企業(yè)整體戰(zhàn)略協(xié)作、支持、互動(dòng)和響應(yīng)能力嚴(yán)重不足。當(dāng)去年華為、中興被美國(guó)調(diào)查時(shí)，我們卻鮮見(jiàn)有相關(guān)的反制措施推出。

與此形成極大反差的是，美國(guó)幾乎年年都有相關(guān)戰(zhàn)略出臺(tái)，每?jī)赡瓯赜幸粋€(gè)重大戰(zhàn)略出臺(tái)。奧巴馬當(dāng)選總統(tǒng)不到半年，在2009年5月即發(fā)布《網(wǎng)絡(luò)空間政策評(píng)估報(bào)告》，其中談到10條近期計(jì)劃，14條中期計(jì)劃，規(guī)劃非常詳盡，在搶占網(wǎng)絡(luò)空間制高點(diǎn)方面又邁進(jìn)了一步。2011年，美國(guó)發(fā)布了《網(wǎng)絡(luò)空間國(guó)際戰(zhàn)略》，其網(wǎng)絡(luò)空間戰(zhàn)略的關(guān)注點(diǎn)已經(jīng)從國(guó)家戰(zhàn)略上升到國(guó)際戰(zhàn)略層面。

差距還體現(xiàn)在網(wǎng)絡(luò)戰(zhàn)演習(xí)中。據(jù)有關(guān)專(zhuān)家介紹，美國(guó)大概從2006年開(kāi)始，每?jī)赡昃团e辦一次網(wǎng)絡(luò)風(fēng)暴演習(xí)，該演習(xí)由美國(guó)諸多聯(lián)邦政府共同組織，也吸納私營(yíng)公司參加，而且，參與演習(xí)的私營(yíng)公司一次比一次多。在2010年，大概有60家私營(yíng)企業(yè)參加了演習(xí)(其中不乏大牌IT企業(yè))，演習(xí)場(chǎng)景基本上是電力系統(tǒng)攻防。而在我國(guó)，攻防演習(xí)這一話(huà)題常常是被回避的，甚至安全公司的攻防實(shí)驗(yàn)室都會(huì)被改稱(chēng)作積極防御實(shí)驗(yàn)室。安全界普遍認(rèn)為，從威懾的角度來(lái)說(shuō)，國(guó)家層面應(yīng)有的威懾力是應(yīng)該建立的，不必諱言。#p#

信息安全能力全面不足

“棱鏡”計(jì)劃的曝出，讓中國(guó)信息安全界陷入深刻反思。國(guó)家網(wǎng)絡(luò)信息安全技術(shù)研究所所長(zhǎng)、中國(guó)國(guó)家互聯(lián)網(wǎng)應(yīng)急中心(CNCERT/CC)副總工程師杜躍進(jìn)指出，目前，我國(guó)在網(wǎng)絡(luò)安全能力上全面不足，包括：漏洞研究與漏洞處理、事件發(fā)現(xiàn)與早期預(yù)警、事件處置與應(yīng)急響應(yīng)、應(yīng)急預(yù)案與應(yīng)急演練、安全測(cè)試與滲透測(cè)試、軟件安全與安全編程、攻防研究與演練驗(yàn)證，都存在能力缺陷。(詳見(jiàn)《杜躍進(jìn)：“棱鏡”凸顯中國(guó)信息安全能力亟待增強(qiáng)》)

漏洞處理方面，面對(duì)國(guó)家間的攻擊，原有的漏洞發(fā)現(xiàn)與共享機(jī)制出現(xiàn)了重大問(wèn)題：攻方如果是國(guó)家，一些漏洞會(huì)被當(dāng)作戰(zhàn)略資源儲(chǔ)備，防守方無(wú)法再?gòu)脑瓉?lái)的渠道通過(guò)共享獲得漏洞信息。風(fēng)險(xiǎn)評(píng)估方面，在保護(hù)重點(diǎn)目標(biāo)方面還不夠，今天的網(wǎng)絡(luò)中不同的應(yīng)用、系統(tǒng)、設(shè)備等的相互關(guān)聯(lián)關(guān)系異常復(fù)雜，但我們的風(fēng)險(xiǎn)評(píng)估還只是單點(diǎn)的，很難看出復(fù)雜網(wǎng)絡(luò)的整體風(fēng)險(xiǎn)。安全測(cè)評(píng)方面，國(guó)內(nèi)對(duì)于設(shè)備、軟件、大型系統(tǒng)的安全性測(cè)試能力還比較弱，在安全測(cè)試所需要的方法研究、經(jīng)驗(yàn)和數(shù)據(jù)積累、專(zhuān)用設(shè)備與平臺(tái)等方面十分欠缺。攻防技術(shù)方面，缺乏系統(tǒng)化，分析能力不足。

事件處置方面，我們?cè)谝恍┖诵能浻布a(chǎn)品、重要系統(tǒng)運(yùn)行上都依賴(lài)國(guó)外，在宏觀數(shù)據(jù)方面也處于戰(zhàn)略被動(dòng)地位，這會(huì)導(dǎo)致在事件處置(包括打擊犯罪)時(shí)很被動(dòng)。在應(yīng)急響應(yīng)方面，面對(duì)新的威脅我們可以說(shuō)是完敗。我們發(fā)現(xiàn)Flame的時(shí)候，它都傳播好幾年了，發(fā)現(xiàn)之后也分析不了，更談不上應(yīng)急。而對(duì)于國(guó)家間的網(wǎng)絡(luò)攻擊，如果我們前期什么都不知道，想應(yīng)對(duì)最后的致命攻擊完全不可能。應(yīng)急演練方面，除了規(guī)則的演練，還要有單項(xiàng)技能演練、綜合情況下攻擊的防范和演練，以及真實(shí)環(huán)境下的實(shí)際演練。但是我們現(xiàn)在還沒(méi)有這樣系統(tǒng)化的演練，配套的演練手段和環(huán)境支持也十分缺乏。

“棱鏡”事件凸顯了“自主可控”的緊迫性。然而，一位互聯(lián)網(wǎng)用戶(hù)企業(yè)坦言，不是不想支持本土企業(yè)，而是國(guó)內(nèi)安全企業(yè)的產(chǎn)品總是差強(qiáng)人意。比如，當(dāng)測(cè)試到IPS時(shí)發(fā)現(xiàn)識(shí)別比例都只有50%時(shí)，當(dāng)測(cè)試到上網(wǎng)行為管理產(chǎn)品無(wú)法滿(mǎn)足企業(yè)需求時(shí)，企業(yè)根本不敢再用國(guó)產(chǎn)產(chǎn)品。這位用戶(hù)表示，這種情況在網(wǎng)絡(luò)設(shè)備選型中也同樣會(huì)出現(xiàn)。

在自主可控方面，還有一種偽自主可控現(xiàn)象需要關(guān)注：一些本土安全企業(yè)OEM國(guó)外產(chǎn)品再貼上自己的品牌，就自稱(chēng)“自主創(chuàng)新”，這種情況不能稱(chēng)之為“自主可控”。#p#

信息安全專(zhuān)業(yè)教育與實(shí)踐鴻溝較大

關(guān)于“棱鏡門(mén)”的爆料者斯諾登，還有個(gè)八卦，傳聞稱(chēng)，斯諾登高中都沒(méi)有畢業(yè)，只是在社區(qū)大學(xué)念過(guò)書(shū)，基本上屬于自學(xué)成才，最后依然獲得重用。實(shí)際上，在中國(guó)，很多安全從業(yè)者很多也并非科班出身，很多人都是出于興趣走上這條道路，他們?cè)诖髮W(xué)里所學(xué)的專(zhuān)業(yè)五花八門(mén)，有學(xué)生物的，有學(xué)歷史的，甚至有學(xué)醫(yī)的，等等。

中國(guó)高校的信息安全專(zhuān)業(yè)教育與實(shí)際人才需求存在較大的鴻溝，缺乏適合實(shí)踐的體系化培訓(xùn)。國(guó)內(nèi)高校信息安全相關(guān)專(zhuān)業(yè)教學(xué)中，很多信息安全專(zhuān)業(yè)的主要學(xué)習(xí)內(nèi)容是密碼學(xué)，這對(duì)信息安全實(shí)踐工作遠(yuǎn)遠(yuǎn)不夠。

國(guó)內(nèi)某一線安全公司高層就明確表示，該公司在選擇技術(shù)人才時(shí)，幾乎不會(huì)聘用信息安全專(zhuān)業(yè)畢業(yè)的學(xué)生，反而會(huì)錄用學(xué)網(wǎng)絡(luò)或者學(xué)開(kāi)發(fā)專(zhuān)業(yè)的。目前的信息安全專(zhuān)業(yè)課程中，有關(guān)密碼等方面的內(nèi)容過(guò)多，但這個(gè)學(xué)習(xí)內(nèi)容范圍太窄，在實(shí)踐中的作用十分有限。

諷刺的是，正在大學(xué)里學(xué)習(xí)信息安全專(zhuān)業(yè)的學(xué)生中，對(duì)本專(zhuān)業(yè)有興趣的其實(shí)很少。萬(wàn)濤曾經(jīng)在國(guó)內(nèi)某知名大學(xué)信息安全專(zhuān)業(yè)學(xué)生中做過(guò)一個(gè)小調(diào)查，問(wèn)有多少人是因?yàn)閷?duì)信息安全感興趣而報(bào)的這個(gè)專(zhuān)業(yè)，整個(gè)教室中只有兩名學(xué)生給出了肯定回答。

曾經(jīng)在英國(guó)某大學(xué)攻讀信息安全專(zhuān)業(yè)的岑義濤對(duì)國(guó)內(nèi)外信息安全專(zhuān)業(yè)教育的差異深有感觸。他告訴記者，與國(guó)內(nèi)信息安全教育不同，國(guó)外信息安全專(zhuān)業(yè)的學(xué)習(xí)比較注重理論和實(shí)踐的結(jié)合，注重學(xué)生實(shí)踐能力的培養(yǎng)。在學(xué)習(xí)過(guò)程中，通常會(huì)通過(guò)很多的實(shí)際案例，結(jié)合相關(guān)學(xué)科進(jìn)行分析，并且對(duì)這類(lèi)學(xué)習(xí)內(nèi)容在期末考核中會(huì)占較大的比例。而信息安全授課老師的水平在國(guó)內(nèi)外高校也有較大差距。

“棱鏡”在國(guó)內(nèi)信息安全界引起巨大震動(dòng)，“棱鏡”也折射出中國(guó)信息安全存在的諸多問(wèn)題。我們無(wú)法期望短期內(nèi)能改變嚴(yán)峻的現(xiàn)狀，但“棱鏡”無(wú)疑是一個(gè)契機(jī)，希望它能激醒產(chǎn)業(yè)界一些麻木的神經(jīng)，面對(duì)現(xiàn)實(shí)并努力改變現(xiàn)實(shí)，因?yàn)樵诮裉欤覀円呀?jīng)到了不得不改變的時(shí)候。