【IT168 评论】斯诺登因曝光“棱镜”计划而迈上一条四处逃亡的路。在我们怀着追美剧般的好奇心去关注其命运时,我们恐怕需要更多地聚焦“棱镜”计划本身,反思自我。“棱镜”计划只是美国情报监控系统冰山一角,该系统设立的初衷是保证美国国家安全,它针对的不是美国公民,而是它认为需要监控的一切美国之外的信息,而被监控的对象当然也包括中国。
在这个互联网高度发达的时代,美国拥有非常先进的技术和产品,具备软件环境和硬件资源等多重优势,整体形成了发展模式上的主导地位。如今,在享受其所提供的便利时,我们不得不对它产生越来越多的依赖,但与此同时,我们也已在不知不觉中让自身信息更多地暴露出去。正因如此,当“棱镜”计划曝光出来,我们有些不知所措。如果再不增强自身信息安全自主可控能力,继续无节制地依赖他国,我们可能就会像温水中的青蛙一样慢慢被煮掉。
“棱镜”下的美国情报冰山
今年6月,美国中情局(CIA)前职员爱德华·斯诺登将两份绝密资料交给英国《卫报》和美国《华盛顿邮报》,使美国国家安全局代号为“棱镜”的秘密项目公之于众,在“棱镜”项目下,过去6年,美国国家安全局和联邦调查局通过进入谷歌、苹果、雅虎等九大网络巨头的服务器,可实时跟踪用户电邮、聊天记录、视频、音频、文件、照片等上网信息,全面监控特定目标及其联系人的一举一动。
“棱镜”起源于2001年美国副总统切尼所倡导的星风计划(StellarWind),2004年,由于该项目未能通过美国司法部的审查,美国前总统小布什将其一拆为四,即 “主干道”(MainWay)、“码头”(Marina)、“核子”(Nucleon)和“棱镜”(PRISM),其中,“棱镜”的主要作用是通过美国互联网厂商所开放的数据接口进行数据信息收集。
实际上,与美国完备的监控系统和网络空间战略相比,“棱镜”只是冰山一角。
2010年,美国互联网监控成本接近300亿元人民币,其中包括间谍设备、间谍设备保养、数据存储、互联网流量、数量分析等各方面费用。今天这一数字变得更大。美国在监听中所采用的光纤弯曲法(电缆弯曲形成散射以便对信号进行侦听)、窃听散射法(利用激光技术窃听)等先进技术已超出普通人想象。
在美国,政府联合大公司进行监控的行为由来已久。早在1916年至1918年间,美国的战争部(国防部前身)、海军部、国务院等机构,就是主要依靠私营企业协助,来完成密码编制、破译等各项工作的。从20世纪初期到21世纪的今天,美国政府与公司之间围绕国家安全展开的密切合作,已经拓展为一个产业,2008年的统计数据显示,美国政府每年有70%的情报预算都外包给了私人公司。
美国网络空间威力令人咂舌
在全球网络空间中,美国有着绝对的控制力,互联网起源于美国,美国各大互联网公司完全有能力帮助政府影响别国的信息安全。5年前,微软“黑屏事件”已经向我们展示出这种威力。所有连接网络的计算机需要服务时,必须通过域名系统才能找到正确的服务器。而目前,全球共有13台域名根服务器,其中,1台为主根服务器,设在美国,其他12台副根服务器有9台设在美国,另外3台分别在英国、瑞典和日本。从理论上说,美国通过根服务器,可轻易地进行全球范围的情报窃取、网络监控和攻击。反观中国,并没有自己的根域名服务器,我国对网上服务器的访问智能依赖于国外服务器的指示。
美国在网络空间战的准备中不遗余力。美军黑客部队雏形最早可追溯到1988年,当时,美国国防部建立了三军计算机应急反应中队,各军种分别设一分队,而那个时候,世界多数国家对计算机网络还知之甚少。此后20多年,美国一直在系统地发展网络战能力,并逐步将执行网络空间任务作为美军建设的重点领域。2009年,美国创建了网络战司令部,成为全球首个公开将战争机构引入互联网的国家。2010年美军网络战司令部运行之初,其活动预算是1.5亿美元,2013年已增长到1.82亿美元。
从信息安全方面看,美国政府在信息安全研发上的投入也一直在增加。2014年,美国政府各部门在信息安全技术研究方面的经费将占整个信息技术研发投入的1/4,这一比例仅次于对高性能计算机的经费投入。
值得深思的是,纵然美国已经控制了网络基础技术,在技术和产品方面也早已实现完全“自主可控”,美国的信息安全之弦依然绷得比谁都紧。2012年,美国政府强调,网络袭击等同于武装袭击,应该受到战争法则的约束,这意味着,对付网络攻击,美国将不排除采用常规战争手段。美国元首出访别国,所用的防窃听手段也令人惊叹。他们会尽量选择“自己人”开的酒店,实在没有“安全”的地方,就在行李中带上移动“保密帐篷”(学名为“敏感信息隔离设施”),这种“保密帐篷”有独立的空气供给,能保证其中的笔记本电脑、收音机、电话等设备的电磁辐射不会泄漏,它还有“入侵检测系统”以防范各种形式的闯入。
国内信息安全现实堪忧
中国是被监视的重灾区。中国国家互联网应急中心的报告显示,仅去年就有7.3万个境外IP地址参与了控制中国境内1400余万台主机的网络攻击事件;有3.2万个境外IP地址通过植入后门,对中国境内近3.8万个网站进行了远程控制。
然而,我们的信息安全意识却与美国差距甚大。互联网时代,我们已越来越习惯于享受信息系统带来的种种便利,在不知不觉中对相关软硬件产品、服务乃至模式产生无法摆脱的依赖,同时对信息安全隐患却表现出不应有的麻木。在信息和网络的漫长链条上,谁都有机会接触到我们提交的数据(不乏机密数据),任何一个环节都可能出现安全问题。
谈到信息安全,我们可能谈得更多的是产品安全、技术水平等,聚焦供应链安全的却很少。但实际上,由于我们对外依赖度高,从信息系统的生产者,到信息系统的运行维护者,再到服务的提供者,谁都可能接触到我们的机密数据。正如启明星辰首席战略官潘柱廷所说,“棱镜”的曝光应该让我们认识到,主流供应链安全比其他安全问题更具有根本性和彻底性,目前我们对此重视不够,甚至损失供应链安全去换取一些其他东西,这非常危险。
而在中国信息安全自主可控能力不足的背后,是中国信息安全顶层战略设计的缺失。在IDF互联网威慑防御实验室联合创始人万涛看来,中国信息安全产业经历的20年,最需要反思的是国家层面的安全,但事实上,从业者在实践中却常常急功近利,怎么赚钱怎么来。“棱镜门”警醒我们,如果只有投机而没有战略,就根本谈不上与别国展开博弈。
在安全技术层面,国家网络信息安全技术研究所所长、中国国家互联网应急中心(CNCERT/CC)副总工程师杜跃进指出,目前,我国在网络安全能力上全面不足,包括:漏洞研究与漏洞处理、事件发现与早期预警、事件处置与应急响应、应急预案与应急演练、安全测试与渗透测试、软件安全与安全编程、攻防研究与演练验证,都存在能力缺陷。
信息安全人才的缺乏让安全产业发展后劲不足。与英美发达国家相比,中国高校的信息安全专业教育与实际人才需求存在较大的鸿沟,缺乏适合实践的体系化培训。国内高校信息安全相关专业教学中,很多信息安全专业的主要学习内容是密码学,这对信息安全实践工作来说远远不够。
中国信息安全走向何方
斯诺登爆出的“棱镜”计划背后是美国完备的情报体系,而中美在网络空间中的巨大差距更是令人汗颜。说“棱镜”的曝光将改写中国信息安全产业格局确实有点夸张,因为改变并非一蹴而就。不过,正如万涛所言,“棱镜”事件无疑会成为一个触发变化的节点,我们已经到了一个十字路口,一个不能不改变的时刻,我们需要奋起直追。而这个过程中,政府、企业、学界,乃至个人,都不能再坐以待毙,行动,就在眼前。
面对别国监控和攻击行动,我们必须建立起自己的网络威胁应对机制,提高防范能力。安全专家建议,我们需要开展“网络战”演习,以此提高我们应对网络攻击的实战能力,并在此基础上建立应对机制,对网络威胁做到事前预防,及时处理。
今后,我们不仅需要做一些扎扎实实的技术研究,更需要从国家战略层面出台相关政策,从外交、立法等层面做一些工作。美国互联网巨头、网络设备巨头的入侵,越来越明显地威胁到中国互联网安全。“中国仅单纯地谴责,不足以给美国政府构成威慑。”北京邮电大学教授曾剑秋建议,中国尽快研究和出台一些反制政策。如针对美国企业建立严格的审查机制,加大对中国互联网设备的采购力度。从去年华为、中兴在美国受阻,到今年曝光的“棱镜门”,面对种种问题,毫无反制之力的我们却显得不知所措。
未来,我们需要打破发达国家对网络基础设施和网络服务的垄断,增强自主可控性。在网络战中,一些国外IT企业在所属国的授意下,不仅可让敌方遭到入侵,更可以拒绝对其提供网络基础设施运行等服务,使敌方网络陷入瘫痪。因此,增强自主可控是我国网络安全防御的重要任务之一。我们需要积极开发具有自主知识产权的网络软硬件系统,还需要实施核心网络与互联网隔离:军事、金融、电力等国家要害系统独立建网,以保证安全。
在互联网世界中对外依赖度颇高的情况下,在各个环节均不可靠的体系中,要构建一个基本安全可控的整体框架谈何容易。短期内要完全实现信息安全自主可控并不现实。在目前情况下,我们能做什么? 杜跃进表示,目前,我们在技术产品、系统运行、数据这三个大的领域还不能实现自主可控。在实现自主可控之前,短期内可以考虑的思路是:通过第三方安全测试和安全产品互相制约来缓解可能出现的问题。比如,如果你的大型服务器只能用A国的产品,那与此相连的其他环节就尽量不用B国的产品,如审计监测系统。此外,还需要加强自身的第三方安全测试、安全监测、协议和数据分析等方面的研究和能力建设。
“棱镜”计划被爆出,还让我们看到,美国政府部门和私营企业在关键战略产业上的完美协作,既维护了国家安全,又在国家安全产业上赢得了商业利益,这对我们而言是一个巨大的挑战,但又何尝不是一个很好的示范。在安天实验室首席技术架构师肖新光看来,未来,中国的民企将一定会在国家安全战略中起到重要作用,民企的自强有着非常重大的意义。