斯諾登因曝光“棱鏡”計(jì)劃而邁上一條四處逃亡的路。在我們懷著追美劇般的好奇心去關(guān)注其命運(yùn)時(shí)，我們恐怕需要更多地聚焦“棱鏡”計(jì)劃本身，反思自我。“棱鏡”計(jì)劃只是美國情報(bào)監(jiān)控系統(tǒng)冰山一角，該系統(tǒng)設(shè)立的初衷是保證美國國家安全，它針對的不是美國公民，而是它認(rèn)為需要監(jiān)控的一切美國之外的信息，而被監(jiān)控的對象當(dāng)然也包括中國。

[[77237]]

在這個(gè)互聯(lián)網(wǎng)高度發(fā)達(dá)的時(shí)代，美國擁有最先進(jìn)的技術(shù)和產(chǎn)品，具備軟件環(huán)境和硬件資源等多重優(yōu)勢，整體形成了發(fā)展模式上的主導(dǎo)地位。如今，在享受其所提供的便利時(shí)，我們不得不對它產(chǎn)生越來越多的依賴，但與此同時(shí)，我們也已在不知不覺中讓自身信息更多地暴露出去。正因如此，當(dāng)“棱鏡”計(jì)劃曝光出來，我們有些不知所措。如果再不增強(qiáng)自身信息安全自主可控能力，繼續(xù)無節(jié)制地依賴他國，我們可能就會像溫水中的青蛙一樣慢慢被煮掉。

“棱鏡”下的美國情報(bào)冰山

今年6月，美國中情局(CIA)前職員愛德華·斯諾登將兩份絕密資料交給英國《衛(wèi)報(bào)》和美國《華盛頓郵報(bào)》，使美國國家安全局代號為“棱鏡”的秘密項(xiàng)目公之于眾，在“棱鏡”項(xiàng)目下，過去6年，美國國家安全局和聯(lián)邦調(diào)查局通過進(jìn)入谷歌、蘋果、雅虎等九大網(wǎng)絡(luò)巨頭的服務(wù)器，可實(shí)時(shí)跟蹤用戶電郵、聊天記錄、視頻、音頻、文件、照片等上網(wǎng)信息，全面監(jiān)控特定目標(biāo)及其聯(lián)系人的一舉一動。

“棱鏡”起源于2001年美國副總統(tǒng)切尼所倡導(dǎo)的星風(fēng)計(jì)劃(StellarWind)，2004年，由于該項(xiàng)目未能通過美國司法部的審查，美國前總統(tǒng)小布什將其一拆為四，即 “主干道”(MainWay)、“碼頭”(Marina)、“核子”(Nucleon)和“棱鏡”(PRISM)，其中，“棱鏡”的主要作用是通過美國互聯(lián)網(wǎng)廠商所開放的數(shù)據(jù)接口進(jìn)行數(shù)據(jù)信息收集。

實(shí)際上，與美國完備的監(jiān)控系統(tǒng)和網(wǎng)絡(luò)空間戰(zhàn)略相比，“棱鏡”只是冰山一角。

2010年，美國互聯(lián)網(wǎng)監(jiān)控成本接近300億元人民幣，其中包括間諜設(shè)備、間諜設(shè)備保養(yǎng)、數(shù)據(jù)存儲、互聯(lián)網(wǎng)流量、數(shù)量分析等各方面費(fèi)用。今天這一數(shù)字變得更大。美國在監(jiān)聽中所采用的光纖彎曲法(電纜彎曲形成散射以便對信號進(jìn)行偵聽)、竊聽散射法(利用激光技術(shù)竊聽)等先進(jìn)技術(shù)已超出普通人想象。

在美國，政府聯(lián)合大公司進(jìn)行監(jiān)控的行為由來已久。早在1916年至1918年間，美國的戰(zhàn)爭部(國防部前身)、海軍部、國務(wù)院等機(jī)構(gòu)，就是主要依靠私營企業(yè)協(xié)助，來完成密碼編制、破譯等各項(xiàng)工作的。從20世紀(jì)初期到21世紀(jì)的今天，美國政府與公司之間圍繞國家安全展開的密切合作，已經(jīng)拓展為一個(gè)產(chǎn)業(yè)，2008年的統(tǒng)計(jì)數(shù)據(jù)顯示，美國政府每年有70%的情報(bào)預(yù)算都外包給了私人公司。#p#

美國網(wǎng)絡(luò)空間威力令人咂舌

在全球網(wǎng)絡(luò)空間中，美國有著絕對的控制力，互聯(lián)網(wǎng)起源于美國，美國各大互聯(lián)網(wǎng)公司完全有能力幫助政府影響別國的信息安全。5年前，微軟“黑屏事件”已經(jīng)向我們展示出這種威力。所有連接網(wǎng)絡(luò)的計(jì)算機(jī)需要服務(wù)時(shí)，必須通過域名系統(tǒng)才能找到正確的服務(wù)器。而目前，全球共有13臺域名根服務(wù)器，其中，1臺為主根服務(wù)器，設(shè)在美國，其他12臺副根服務(wù)器有9臺設(shè)在美國，另外3臺分別在英國、瑞典和日本。從理論上說，美國通過根服務(wù)器，可輕易地進(jìn)行全球范圍的情報(bào)竊取、網(wǎng)絡(luò)監(jiān)控和攻擊。反觀中國，并沒有自己的根域名服務(wù)器，我國對網(wǎng)上服務(wù)器的訪問只能依賴于國外服務(wù)器的指示。

美國在網(wǎng)絡(luò)空間戰(zhàn)的準(zhǔn)備中不遺余力。美軍黑客部隊(duì)雛形最早可追溯到1988年，當(dāng)時(shí)，美國國防部建立了三軍計(jì)算機(jī)應(yīng)急反應(yīng)中隊(duì)，各軍種分別設(shè)一分隊(duì)，而那個(gè)時(shí)候，世界多數(shù)國家對計(jì)算機(jī)網(wǎng)絡(luò)還知之甚少。此后20多年，美國一直在系統(tǒng)地發(fā)展網(wǎng)絡(luò)戰(zhàn)能力，并逐步將執(zhí)行網(wǎng)絡(luò)空間任務(wù)作為美軍建設(shè)的重點(diǎn)領(lǐng)域。2009年，美國創(chuàng)建了網(wǎng)絡(luò)戰(zhàn)司令部，成為全球首個(gè)公開將戰(zhàn)爭機(jī)構(gòu)引入互聯(lián)網(wǎng)的國家。2010年美軍網(wǎng)絡(luò)戰(zhàn)司令部運(yùn)行之初，其活動預(yù)算是1.5億美元，2013年已增長到1.82億美元。

從信息安全方面看，美國政府在信息安全研發(fā)上的投入也一直在增加。2014年，美國政府各部門在信息安全技術(shù)研究方面的經(jīng)費(fèi)將占整個(gè)信息技術(shù)研發(fā)投入的1/4，這一比例僅次于對高性能計(jì)算機(jī)的經(jīng)費(fèi)投入。

值得深思的是，縱然美國已經(jīng)控制了網(wǎng)絡(luò)基礎(chǔ)技術(shù)，在技術(shù)和產(chǎn)品方面也早已實(shí)現(xiàn)完全“自主可控”，美國的信息安全之弦依然繃得比誰都緊。2012年，美國政府強(qiáng)調(diào)，網(wǎng)絡(luò)襲擊等同于武裝襲擊，應(yīng)該受到戰(zhàn)爭法則的約束，這意味著，對付網(wǎng)絡(luò)攻擊，美國將不排除采用常規(guī)戰(zhàn)爭手段。美國元首出訪別國，所用的防竊聽手段也令人驚嘆。他們會盡量選擇“自己人”開的酒店，實(shí)在沒有“安全”的地方，就在行李中帶上移動“保密帳篷”(學(xué)名為“敏感信息隔離設(shè)施”)，這種“保密帳篷”有獨(dú)立的空氣供給，能保證其中的筆記本電腦、收音機(jī)、電話等設(shè)備的電磁輻射不會泄漏，它還有“入侵檢測系統(tǒng)”以防范各種形式的闖入。#p#

國內(nèi)信息安全現(xiàn)實(shí)堪憂

中國是被監(jiān)視的重災(zāi)區(qū)。中國國家互聯(lián)網(wǎng)應(yīng)急中心的報(bào)告顯示，僅去年就有7.3萬個(gè)境外IP地址參與了控制中國境內(nèi)1400余萬臺主機(jī)的網(wǎng)絡(luò)攻擊事件;有3.2萬個(gè)境外IP地址通過植入后門，對中國境內(nèi)近3.8萬個(gè)網(wǎng)站進(jìn)行了遠(yuǎn)程控制。

然而，我們的信息安全意識卻與美國差距甚大?；ヂ?lián)網(wǎng)時(shí)代，我們已越來越習(xí)慣于享受信息系統(tǒng)帶來的種種便利，在不知不覺中對相關(guān)軟硬件產(chǎn)品、服務(wù)乃至模式產(chǎn)生無法擺脫的依賴，同時(shí)對信息安全隱患卻表現(xiàn)出不應(yīng)有的麻木。在信息和網(wǎng)絡(luò)的漫長鏈條上，誰都有機(jī)會接觸到我們提交的數(shù)據(jù)(不乏機(jī)密數(shù)據(jù))，任何一個(gè)環(huán)節(jié)都可能出現(xiàn)安全問題。

談到信息安全，我們可能談得更多的是產(chǎn)品安全、技術(shù)水平等，聚焦供應(yīng)鏈安全的卻很少。但實(shí)際上，由于我們對外依賴度高，從信息系統(tǒng)的生產(chǎn)者，到信息系統(tǒng)的運(yùn)行維護(hù)者，再到服務(wù)的提供者，誰都可能接觸到我們的機(jī)密數(shù)據(jù)。正如啟明星辰首席戰(zhàn)略官潘柱廷所說，“棱鏡”的曝光應(yīng)該讓我們認(rèn)識到，主流供應(yīng)鏈安全比其他安全問題更具有根本性和徹底性，目前我們對此重視不夠，甚至損失供應(yīng)鏈安全去換取一些其他東西，這非常危險(xiǎn)。

而在中國信息安全自主可控能力不足的背后，是中國信息安全頂層戰(zhàn)略設(shè)計(jì)的缺失。在IDF互聯(lián)網(wǎng)威懾防御實(shí)驗(yàn)室聯(lián)合創(chuàng)始人萬濤看來，中國信息安全產(chǎn)業(yè)經(jīng)歷的20年，最需要反思的是國家層面的安全，但事實(shí)上，從業(yè)者在實(shí)踐中卻常常急功近利，怎么賺錢怎么來。“棱鏡門”警醒我們，如果只有投機(jī)而沒有戰(zhàn)略，就根本談不上與別國展開博弈。

在安全技術(shù)層面，國家網(wǎng)絡(luò)信息安全技術(shù)研究所所長、中國國家互聯(lián)網(wǎng)應(yīng)急中心(CNCERT/CC)副總工程師杜躍進(jìn)指出，目前，我國在網(wǎng)絡(luò)安全能力上全面不足，包括：漏洞研究與漏洞處理、事件發(fā)現(xiàn)與早期預(yù)警、事件處置與應(yīng)急響應(yīng)、應(yīng)急預(yù)案與應(yīng)急演練、安全測試與滲透測試、軟件安全與安全編程、攻防研究與演練驗(yàn)證，都存在能力缺陷。

信息安全人才的缺乏讓安全產(chǎn)業(yè)發(fā)展后勁不足。與英美發(fā)達(dá)國家相比，中國高校的信息安全專業(yè)教育與實(shí)際人才需求存在較大的鴻溝，缺乏適合實(shí)踐的體系化培訓(xùn)。國內(nèi)高校信息安全相關(guān)專業(yè)教學(xué)中，很多信息安全專業(yè)的主要學(xué)習(xí)內(nèi)容是密碼學(xué)，這對信息安全實(shí)踐工作來說遠(yuǎn)遠(yuǎn)不夠。#p#

中國信息安全走向何方

斯諾登爆出的“棱鏡”計(jì)劃背后是美國完備的情報(bào)體系，而中美在網(wǎng)絡(luò)空間中的巨大差距更是令人汗顏。說“棱鏡”的曝光將改寫中國信息安全產(chǎn)業(yè)格局確實(shí)有點(diǎn)夸張，因?yàn)楦淖儾⒎且货矶?。不過，正如萬濤所言，“棱鏡”事件無疑會成為一個(gè)觸發(fā)變化的節(jié)點(diǎn)，我們已經(jīng)到了一個(gè)十字路口，一個(gè)不能不改變的時(shí)刻，我們需要奮起直追。而這個(gè)過程中，政府、企業(yè)、學(xué)界，乃至個(gè)人，都不能再坐以待斃，行動，就在眼前。

面對別國監(jiān)控和攻擊行動，我們必須建立起自己的網(wǎng)絡(luò)威脅應(yīng)對機(jī)制，提高防范能力。安全專家建議，我們需要開展“網(wǎng)絡(luò)戰(zhàn)”演習(xí)，以此提高我們應(yīng)對網(wǎng)絡(luò)攻擊的實(shí)戰(zhàn)能力，并在此基礎(chǔ)上建立應(yīng)對機(jī)制，對網(wǎng)絡(luò)威脅做到事前預(yù)防，及時(shí)處理。

今后，我們不僅需要做一些扎扎實(shí)實(shí)的技術(shù)研究，更需要從國家戰(zhàn)略層面出臺相關(guān)政策，從外交、立法等層面做一些工作。美國互聯(lián)網(wǎng)巨頭、網(wǎng)絡(luò)設(shè)備巨頭的入侵，越來越明顯地威脅到中國互聯(lián)網(wǎng)安全。“中國僅單純地譴責(zé)，不足以給美國政府構(gòu)成威懾。”北京郵電大學(xué)教授曾劍秋建議，中國盡快研究和出臺一些反制政策。如針對美國企業(yè)建立嚴(yán)格的審查機(jī)制，加大對中國互聯(lián)網(wǎng)設(shè)備的采購力度。從去年華為、中興在美國受阻，到今年曝光的“棱鏡門”，面對種種問題，毫無反制之力的我們卻顯得不知所措。

未來，我們需要打破發(fā)達(dá)國家對網(wǎng)絡(luò)基礎(chǔ)設(shè)施和網(wǎng)絡(luò)服務(wù)的壟斷，增強(qiáng)自主可控性。在網(wǎng)絡(luò)戰(zhàn)中，一些國外IT企業(yè)在所屬國的授意下，不僅可讓敵方遭到入侵，更可以拒絕對其提供網(wǎng)絡(luò)基礎(chǔ)設(shè)施運(yùn)行等服務(wù)，使敵方網(wǎng)絡(luò)陷入癱瘓。因此，增強(qiáng)自主可控是我國網(wǎng)絡(luò)安全防御的重要任務(wù)之一。我們需要積極開發(fā)具有自主知識產(chǎn)權(quán)的網(wǎng)絡(luò)軟硬件系統(tǒng)，還需要實(shí)施核心網(wǎng)絡(luò)與互聯(lián)網(wǎng)隔離：軍事、金融、電力等國家要害系統(tǒng)獨(dú)立建網(wǎng)，以保證安全。

在互聯(lián)網(wǎng)世界中對外依賴度頗高的情況下，在各個(gè)環(huán)節(jié)均不可靠的體系中，要構(gòu)建一個(gè)基本安全可控的整體框架談何容易。短期內(nèi)要完全實(shí)現(xiàn)信息安全自主可控并不現(xiàn)實(shí)。在目前情況下，我們能做什么? 杜躍進(jìn)表示，目前，我們在技術(shù)產(chǎn)品、系統(tǒng)運(yùn)行、數(shù)據(jù)這三個(gè)大的領(lǐng)域還不能實(shí)現(xiàn)自主可控。在實(shí)現(xiàn)自主可控之前，短期內(nèi)可以考慮的思路是：通過第三方安全測試和安全產(chǎn)品互相制約來緩解可能出現(xiàn)的問題。比如，如果你的大型服務(wù)器只能用A國的產(chǎn)品，那與此相連的其他環(huán)節(jié)就盡量不用B國的產(chǎn)品，如審計(jì)監(jiān)測系統(tǒng)。此外，還需要加強(qiáng)自身的第三方安全測試、安全監(jiān)測、協(xié)議和數(shù)據(jù)分析等方面的研究和能力建設(shè)。

“棱鏡”計(jì)劃被爆出，還讓我們看到，美國政府部門和私營企業(yè)在關(guān)鍵戰(zhàn)略產(chǎn)業(yè)上的完美協(xié)作，既維護(hù)了國家安全，又在國家安全產(chǎn)業(yè)上贏得了商業(yè)利益，這對我們而言是一個(gè)巨大的挑戰(zhàn)，但又何嘗不是一個(gè)很好的示范。在安天實(shí)驗(yàn)室首席技術(shù)架構(gòu)師肖新光看來，未來，中國的民企將一定會在國家安全戰(zhàn)略中起到重要作用，民企的自強(qiáng)有著非常重大的意義。