【IT168 评论】“棱镜”计划只是美国完备情报系统的冰山一角，该系统与“棱镜”曝光的“八大金刚”企业合作并非一日之功。当我们在享受信息系统带来的种种便利时，已经不知不觉地对相关软硬件产品、服务乃至模式产生越来越严重的依赖：从信息系统的生产者，到信息系统的运行维护者，再到服务的提供者，在整个长长的链条上，谁都有机会接触到我们提交的数据(包括机密数据)，任何一个环节都可能存在安全隐患。信息泄露等安全事件随时都可能在不知不觉中悄然发生。在信息产业的高速公路上，如果我们继续甘心于依赖别国，我们可能就会成为温水中被煮的青蛙，在毫无知觉中渐渐耗尽自己防御的能力。而从更宽泛的视角看，“棱镜”本身折射出的中国信息安全问题还远不止此。

　　被忽视的供应链安全

　　从“棱镜”深挖下去，你会发现，美国自一战以来已经建立了一套完备的情报监控体系。美国今天的强大，除了历史原因和地缘优势外，还有一些因素不容忽视，那就是其一以贯之的战略顶层设计和不被轻易阻断的执行。而这种战略顶层设计在信息产业的高速公路上也得到充分体现，其先发位置和企业能力在信息领域已形成足够的战略威慑力。

　　“棱镜”计划离不开与“八大金刚”企业(包括Skype、Facebook、Google等)接口所获得的重要信息，虽然通过与企业合作获得情报在美国并不少见，但与过去其他企业合作不同，美国情报系统与IT企业达成的堪称“天衣无缝”的合作并非一蹴而就，其基础早已打下。信息安全专家肖新光(江海客)认为，美国强大IT能力的形成经历了两个阶段：第一阶段是以技术和产品优势为主导的时代，这个时代，它具备了先进的核心计算能力、框架、软件体系、个人机和网络，英特尔、微软、Oracle、苹果等巨头企业的崛起是这个阶段的象征;第二阶段是以模式和资源为主导的时代，典型企业包括Google、Amazon、Facebook、Twitter，还有转型后的微软和苹果。在此阶段，经过积累，它已获得软件环境、知识产权和硬件资源优势。

　　反观中国，在信息产业高速公路上，我们对外依赖度却变得越来越高，今天，从信息系统的生产者，到信息系统的运行维护者，再到服务的提供者，谁都可能接触到我们的机密数据。而谈到信息安全，我们可能谈得更多的是产品安全、技术水平等，聚焦供应链安全的却很少。启明星辰首席战略官潘柱廷认为，实际上，从“棱镜门”可以看出，整个主流供应链安全比其他的安全问题更具有根本性和彻底性，目前我国对此重视不够，甚至损失供应链安全去换取一些其他东西，这非常危险。

　　信息安全缺乏战略顶层设计

　　中国信息安全自主可控能力不足的背后，是中国信息安全顶层战略设计的缺失。在IDF互联网威慑防御实验室联合创始人万涛看来，中国信息安全产业经历的20年，最需要反思的是国家层面的安全，但事实上，从业者在实践中却常常急功近利，怎么赚钱怎么来。“棱镜门”警醒我们，如果只有投机而没有战略，就谈不上博弈。

　　《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号文)发布已有近十年，从那时至今，我国再无优异信息安全战略发布。今年会不会发布国家信息安全战略?这已成为安全界热议的焦点，但一些安全专家坦言，这个期望能不能在今年实现还很难说。顶层战略设计的缺失，让政府对企业整体战略协作、支持、互动和响应能力严重不足。当去年华为、中兴被美国调查时，我们却鲜见有相关的反制措施推出。

　　与此形成极大反差的是，美国几乎年年都有相关战略出台，每两年必有一个重大战略出台。奥巴马当选总统不到半年，在2009年5月即发布《网络空间政策评估报告》，其中谈到10条近期计划，14条中期计划，规划非常详尽，在抢占网络空间制高点方面又迈进了一步。2011年，美国发布了《网络空间国际战略》，其网络空间战略的关注点已经从国家战略上升到国际战略层面。

　　差距还体现在网络战演习中。据有关专家介绍，美国大概从2006年开始，每两年就举办一次网络风暴演习，该演习由美国诸多联邦政府共同组织，也吸纳私营公司参加，而且，参与演习的私营公司一次比一次多。在2010年，大概有60家私营企业参加了演习(其中不乏大牌IT企业)，演习场景基本上是电力系统攻防。而在我国，攻防演习这一话题常常是被回避的，甚至安全公司的攻防实验室都会被改称作积极防御实验室。安全界普遍认为，从威慑的角度来说，国家层面应有的威慑力是应该建立的，不必讳言。

　　信息安全能力全面不足

　　“棱镜”计划的曝出，让中国信息安全界陷入深刻反思。国家网络信息安全技术研究所所长、中国国家互联网应急中心(CNCERT/CC)副总工程师杜跃进指出，目前，我国在网络安全能力上全面不足，包括：漏洞研究与漏洞处理、事件发现与早期预警、事件处置与应急响应、应急预案与应急演练、安全测试与渗透测试、软件安全与安全编程、攻防研究与演练验证，都存在能力缺陷。(详见《杜跃进：“棱镜”凸显中国信息安全能力亟待增强》)

　　漏洞处理方面，面对国家间的攻击，原有的漏洞发现与共享机制出现了重大问题：攻方如果是国家，一些漏洞会被当作战略资源储备，防守方无法再从原来的渠道通过共享获得漏洞信息。风险评估方面，在保护重点目标方面还不够，今天的网络中不同的应用、系统、设备等的相互关联关系异常复杂，但我们的风险评估还只是单点的，很难看出复杂网络的整体风险。安全测评方面，国内对于设备、软件、大型系统的安全性测试能力还比较弱，在安全测试所需要的方法研究、经验和数据积累、专用设备与平台等方面十分欠缺。攻防技术方面，缺乏系统化，分析能力不足。

　　事件处置方面，我们在一些核心软硬件产品、重要系统运行上都依赖国外，在宏观数据方面也处于战略被动地位，这会导致在事件处置(包括打击犯罪)时很被动。在应急响应方面，面对新的威胁我们可以说是完败。我们发现Flame的时候，它都传播好几年了，发现之后也分析不了，更谈不上应急。而对于国家间的网络攻击，如果我们前期什么都不知道，想应对最后的致命攻击完全不可能。应急演练方面，除了规则的演练，还要有单项技能演练、综合情况下攻击的防范和演练，以及真实环境下的实际演练。但是我们现在还没有这样系统化的演练，配套的演练手段和环境支持也十分缺乏。

　　“棱镜”事件凸显了“自主可控”的紧迫性。然而，一位互联网用户企业坦言，不是不想支持本土企业，而是国内安全企业的产品总是差强人意。比如，当测试到IPS时发现识别比例都只有50%时，当测试到上网行为管理产品无法满足企业需求时，企业根本不敢再用国产产品。这位用户表示，这种情况在网络设备选型中也同样会出现。

　　在自主可控方面，还有一种伪自主可控现象需要关注：一些本土安全企业OEM国外产品再贴上自己的品牌，就自称“自主创新”，这种情况不能称之为“自主可控”。

　　信息安全专业教育与实践鸿沟较大

　　关于“棱镜门”的爆料者斯诺登，还有个八卦，传闻称，斯诺登高中都没有毕业，只是在社区大学念过书，基本上属于自学成才，最后依然获得重用。实际上，在中国，很多安全从业者很多也并非科班出身，很多人都是出于兴趣走上这条道路，他们在大学里所学的专业五花八门，有学生物的，有学历史的，甚至有学医的，等等。

　　中国高校的信息安全专业教育与实际人才需求存在较大的鸿沟，缺乏适合实践的体系化培训。国内高校信息安全相关专业教学中，很多信息安全专业的主要学习内容是密码学，这对信息安全实践工作远远不够。

　　国内某一线安全公司高层就明确表示，该公司在选择技术人才时，几乎不会聘用信息安全专业毕业的学生，反而会录用学网络或者学开发专业的。目前的信息安全专业课程中，有关密码等方面的内容过多，但这个学习内容范围太窄，在实践中的作用十分有限。

　　讽刺的是，正在大学里学习信息安全专业的学生中，对本专业有兴趣的其实很少。万涛曾经在国内某知名大学信息安全专业学生中做过一个小调查，问有多少人是因为对信息安全感兴趣而报的这个专业，整个教室中只有两名学生给出了肯定回答。

　　曾经在英国某大学攻读信息安全专业的岑义涛对国内外信息安全专业教育的差异深有感触。他告诉记者，与国内信息安全教育不同，国外信息安全专业的学习比较注重理论和实践的结合，注重学生实践能力的培养。在学习过程中，通常会通过很多的实际案例，结合相关学科进行分析，并且对这类学习内容在期末考核中会占较大的比例。而信息安全授课老师的水平在国内外高校也有较大差距。

　　“棱镜”在国内信息安全界引起巨大震动，“棱镜”也折射出中国信息安全存在的诸多问题。我们无法期望短期内能改变严峻的现状，但“棱镜”无疑是一个契机，希望它能激醒产业界一些麻木的神经，面对现实并努力改变现实，因为在今天，我们已经到了不得不改变的时候。