|
6月中旬,一個叫愛德華·斯諾登的美國中央情報局前特工震驚了世界。無論他是不是“叛徒”,是伸張正義還是泄露國家機密,有一點是毋庸置疑的,那就是美國政府在監視世界各國政府、官員、企業、大學、包括美國人民在內的世界人民,收集各種情報、秘密和個人隱私信息。 根據斯諾登的指證,美國情報部門監視網民數據和電話的行動代號是“棱鏡”,由美國國家安全局(NSA)自2007年起開始實施,是一個絕密級電子監聽活動。該活動對美國互聯網公司的外國用戶進行全面的竊聽與監控,包括任何在美國以外的地區使用美國公司服務的客戶,以及任何與國外通信的美國境內人員。針對普通公民的電話監控可以讓美國政府情報機構獲取并存儲海量通訊信息,包括時間、地點、通話人、頻次與通話時長等等。加入和參與NSA棱鏡計劃的美國互聯網公司包括微軟(包含許多中國人使用的電子郵件服務Hotmail)、谷歌、雅虎、Facebook、Skype和蘋果。根據華盛頓郵報提供的絕密級別的幻燈片,NSA能夠獲取用戶的電子郵件、聊天記錄、視頻、照片等所有存儲的信息,甚至可以擴展到用戶的社交網絡細節。 美國政府的情報部門不是單槍匹馬,而是得到了美國各類企業和社會組織的協助和配合的。超過上千家科技、金融和制造業公司與美國國家安全部門緊密合作,向其提供敏感信息,同時也獲得機密情報。這些參與者被稱作“可信合作伙伴”,范圍遠遠超過“棱鏡”計劃。根據斯諾登本月曝光的機密信息,NSA通過谷歌等互聯網公司持續收集數千萬美國居民的電話記錄,以及美國國外人士的計算機通信數據。實際上,人們與這些美企打交道的時候,等于是住進了他們的酒店,結果酒店的所有鏡子全是單透鏡子,而鏡子后面就是攝像機。美國情報機構不僅竊取信息,還重點收集可以收集用戶名和密碼,用于入侵其他國家的任何一臺計算機,其中不僅包括敵對國家,也包括非敵對國家甚至是美國的盟國。 實際上,真實的情況又要嚴重得多。美國情報部門的雷達和探針所及,要比前述的范圍還要深遠廣闊得多。當今的世界是一個全球性的整體網絡世界,其中使用的許多交換機、線纜和網絡設備均由美國公司運營和維護,因此美國情報部門收集數據的方法和手段可以說是法力無邊、手眼通天。全球性流動的信息、設備參數信息、互聯網數據在當今的大數據技術和數據挖掘技術的支持之下,能獲得什么簡直無法想象。不僅是在酒店,我們自己家里的鏡子、電視、窗戶、燈泡后面也到處都是攝像機。這也就是為什么美國人死活不讓華為進入美國市場的原因,因為他們怕別人像他們一樣。 奧巴馬政府的解釋是出于反恐的需求。這個解釋冠冕堂皇,不能說錯,但是在美國的情報戰略中的分量卻微乎及微。美國情報機構的任務當然是服務于美國的全面國家競爭——政治、軍事、外交、經濟、文化、教育等,也包括企業的全球競爭。不然的話,無利不起早,何以有這么多美國企業涉入其中?成千上萬的硬件企業、軟件公司、銀行、互聯網安全公司、衛星通信公司和信息企業早都是美國政府情報行動隊的隊員了。 斯諾登提供的最新機密文件顯示,美英兩國的間諜機構在2009年G20峰會上大肆竊聽各國領導的電話、截取了外交人員的電子郵件。GCHQ (英國國防部)竭盡所能、瞞天過海,甚至設立了虛假的網絡咖啡廳,用截奪電子郵件的軟件和鍵盤記錄軟件等方法監視各國領導人的電腦與手機;用間諜軟件入侵目標人物的黑莓手機,偷得電子郵件和電話信息。GCHQ的45位情報分析人員獲得了一份各國領導在峰會上的實況電話記錄。例如,土耳其財政部長與他的15名下屬全部被嚴密監視。GCHQ與美國情報機構有密切的合作,因此也得到了美國國防部提供的時任俄羅斯總統梅德韋杰夫的電話記錄和其他各種信息。 其實,美國政府和情報機構的這些活動事實早就存在,而且還會一直存在下去。這就是國際關系,這就是國家戰略,這就是全球競爭。去糾結正義還是違法這個問題毫無意義,問題是我們應該如何應對?難道美國情報機構會放過參加國際重要會議的中國領導人?會放過中國企業和中國人民? 只要參與國際合作談判、只要是使用美國的信息服務,無論中國政府官員、企業官員甚至是普通老百姓,都不可避免地會被監視、監聽、監控。也許我們很多人還不自知、甚至不以為然。在我們國家的反腐過程中,就曾經發現,有些腐敗官員的銀行賬號、財產情況、關聯企業和情人,我們還不了解,而國外的情報機構卻了如指掌。甚至有些官員因此而被國外機構和企業要挾、控制和擺布。很多企業都不知道,在國際商業競爭中,常常我們在談判桌上跟人家討價還價的時候,自以為早有預案,其實對方頭天晚上就已經從有關人員的Hotmail郵箱得到了預案的全部內容。很多官員也不明白為什么外方的投標總是最恰如其分,其實在項目招標之前,對方就已經通過互聯網拿到了標底。 根據調研,世界500強的美國企業中有90%以上的公司都設有情報部門。在情報和反情報方面,我們真的還很落后,尤其是基層政府和很多企業,連基本的正確認知都還沒有。這種情況導致我國的信息不斷外流、盲目決策。因此,這次的“棱鏡”事件,應該能給予我們足夠的警示和啟示了。 后“棱鏡”時代 莫讓信息安全鴻溝越拉越大 斯諾登因曝光“棱鏡”計劃而邁上一條四處逃亡的路。在我們懷著追美劇般的好奇心去關注其命運時,我們恐怕需要更多地聚焦“棱鏡”計劃本身,反思自我。“棱鏡”計劃只是美國情報監控系統冰山一角,該系統設立的初衷是保證美國國家安全,它針對的不是美國公民,而是它認為需要監控的一切美國之外的信息,而被監控的對象當然也包括中國。 在這個互聯網高度發達的時代,美國擁有最先進的技術和產品,具備軟件環境和硬件資源等多重優勢,整體形成了發展模式上的主導地位。如今,在享受其所提供的便利時,我們不得不對它產生越來越多的依賴,但與此同時,我們也已在不知不覺中讓自身信息更多地暴露出去。正因如此,當“棱鏡”計劃曝光出來,我們有些不知所措。如果再不增強自身信息安全自主可控能力,繼續無節制地依賴他國,我們可能就會像溫水中的青蛙一樣慢慢被煮掉。 
今年6月,美國中情局(CIA)前職員愛德華·斯諾登將兩份絕密資料交給英國《衛報》和美國《華盛頓郵報》,使美國國家安全局代號為“棱鏡”的秘密項目公之于眾,在“棱鏡”項目下,過去6年,美國國家安全局和聯邦調查局通過進入谷歌、蘋果、雅虎等九大網絡巨頭的服務器,可實時跟蹤用戶電郵、聊天記錄、視頻、音頻、文件、照片等上網信息,全面監控特定目標及其聯系人的一舉一動。 “棱鏡”起源于2001年美國副總統切尼所倡導的星風計劃(StellarWind),2004年,由于該項目未能通過美國司法部的審查,美國前總統小布什將其一拆為四,即 “主干道”(MainWay)、“碼頭”(Marina)、“核子”(Nucleon)和“棱鏡”(PRISM),其中,“棱鏡”的主要作用是通過美國互聯網廠商所開放的數據接口進行數據信息收集。 實際上,與美國完備的監控系統和網絡空間戰略相比,“棱鏡”只是冰山一角。 2010年,美國互聯網監控成本接近300億元人民幣,其中包括間諜設備、間諜設備保養、數據存儲、互聯網流量、數量分析等各方面費用。今天這一數字變得更大。美國在監聽中所采用的光纖彎曲法(電纜彎曲形成散射以便對信號進行偵聽)、竊聽散射法(利用激光技術竊聽)等先進技術已超出普通人想象。 在美國,政府聯合大公司進行監控的行為由來已久。早在1916年至1918年間,美國的戰爭部(國防部前身)、海軍部、國務院等機構,就是主要依靠私營企業協助,來完成密碼編制、破譯等各項工作的。從20世紀初期到21世紀的今天,美國政府與公司之間圍繞國家安全展開的密切合作,已經拓展為一個產業,2008年的統計數據顯示,美國政府每年有70%的情報預算都外包給了私人公司。 美國網絡空間威力令人咂舌 在全球網絡空間中,美國有著絕對的控制力,互聯網起源于美國,美國各大互聯網公司完全有能力幫助政府影響別國的信息安全。5年前,微軟“黑屏事件”已經向我們展示出這種威力。所有連接網絡的計算機需要服務時,必須通過域名系統才能找到正確的服務器。而目前,全球共有13臺域名根服務器,其中,1臺為主根服務器,設在美國,其他12臺副根服務器有9臺設在美國,另外3臺分別在英國、瑞典和日本。從理論上說,美國通過根服務器,可輕易地進行全球范圍的情報竊取、網絡監控和攻擊。反觀中國,并沒有自己的根域名服務器,我國對網上服務器的訪問智能依賴于國外服務器的指示。 美國在網絡空間戰的準備中不遺余力。美軍黑客部隊雛形最早可追溯到1988年,當時,美國國防部建立了三軍計算機應急反應中隊,各軍種分別設一分隊,而那個時候,世界多數國家對計算機網絡還知之甚少。此后20多年,美國一直在系統地發展網絡戰能力,并逐步將執行網絡空間任務作為美軍建設的重點領域。2009年,美國創建了網絡戰司令部,成為全球首個公開將戰爭機構引入互聯網的國家。2010年美軍網絡戰司令部運行之初,其活動預算是1.5億美元,2013年已增長到1.82億美元。 從信息安全方面看,美國政府在信息安全研發上的投入也一直在增加。2014年,美國政府各部門在信息安全技術研究方面的經費將占整個信息技術研發投入的1/4,這一比例僅次于對高性能計算機的經費投入。 值得深思的是,縱然美國已經控制了網絡基礎技術,在技術和產品方面也早已實現完全“自主可控”,美國的信息安全之弦依然繃得比誰都緊。2012年,美國政府強調,網絡襲擊等同于武裝襲擊,應該受到戰爭法則的約束,這意味著,對付網絡攻擊,美國將不排除采用常規戰爭手段。美國元首出訪別國,所用的防竊聽手段也令人驚嘆。他們會盡量選擇“自己人”開的酒店,實在沒有“安全”的地方,就在行李中帶上移動“保密帳篷”(學名為“敏感信息隔離設施”),這種“保密帳篷”有獨立的空氣供給,能保證其中的筆記本電腦、收音機、電話等設備的電磁輻射不會泄漏,它還有“入侵檢測系統”以防范各種形式的闖入。 國內信息安全現實堪憂 中國是被監視的重災區。中國國家互聯網應急中心的報告顯示,僅去年就有7.3萬個境外IP地址參與了控制中國境內1400余萬臺主機的網絡攻擊事件;有3.2萬個境外IP地址通過植入后門,對中國境內近3.8萬個網站進行了遠程控制。 然而,我們的信息安全意識卻與美國差距甚大。互聯網時代,我們已越來越習慣于享受信息系統帶來的種種便利,在不知不覺中對相關軟硬件產品、服務乃至模式產生無法擺脫的依賴,同時對信息安全隱患卻表現出不應有的麻木。在信息和網絡的漫長鏈條上,誰都有機會接觸到我們提交的數據(不乏機密數據),任何一個環節都可能出現安全問題。 談到信息安全,我們可能談得更多的是產品安全、技術水平等,聚焦供應鏈安全的卻很少。但實際上,由于我們對外依賴度高,從信息系統的生產者,到信息系統的運行維護者,再到服務的提供者,誰都可能接觸到我們的機密數據。正如啟明星辰首席戰略官潘柱廷所說,“棱鏡”的曝光應該讓我們認識到,主流供應鏈安全比其他安全問題更具有根本性和徹底性,目前我們對此重視不夠,甚至損失供應鏈安全去換取一些其他東西,這非常危險。 而在中國信息安全自主可控能力不足的背后,是中國信息安全頂層戰略設計的缺失。在IDF互聯網威懾防御實驗室聯合創始人萬濤看來,中國信息安全產業經歷的20年,最需要反思的是國家層面的安全,但事實上,從業者在實踐中卻常常急功近利,怎么賺錢怎么來。“棱鏡門”警醒我們,如果只有投機而沒有戰略,就根本談不上與別國展開博弈。 在安全技術層面,國家網絡信息安全技術研究所所長、中國國家互聯網應急中心(CNCERT/CC)副總工程師杜躍進指出,目前,我國在網絡安全能力上全面不足,包括:漏洞研究與漏洞處理、事件發現與早期預警、事件處置與應急響應、應急預案與應急演練、安全測試與滲透測試、軟件安全與安全編程、攻防研究與演練驗證,都存在能力缺陷。 信息安全人才的缺乏讓安全產業發展后勁不足。與英美發達國家相比,中國高校的信息安全專業教育與實際人才需求存在較大的鴻溝,缺乏適合實踐的體系化培訓。國內高校信息安全相關專業教學中,很多信息安全專業的主要學習內容是密碼學,這對信息安全實踐工作來說遠遠不夠。 中國信息安全走向何方 斯諾登爆出的“棱鏡”計劃背后是美國完備的情報體系,而中美在網絡空間中的巨大差距更是令人汗顏。說“棱鏡”的曝光將改寫中國信息安全產業格局確實有點夸張,因為改變并非一蹴而就。不過,正如萬濤所言,“棱鏡”事件無疑會成為一個觸發變化的節點,我們已經到了一個十字路口,一個不能不改變的時刻,我們需要奮起直追。而這個過程中,政府、企業、學界,乃至個人,都不能再坐以待斃,行動,就在眼前。 面對別國監控和攻擊行動,我們必須建立起自己的網絡威脅應對機制,提高防范能力。安全專家建議,我們需要開展“網絡戰”演習,以此提高我們應對網絡攻擊的實戰能力,并在此基礎上建立應對機制,對網絡威脅做到事前預防,及時處理。 今后,我們不僅需要做一些扎扎實實的技術研究,更需要從國家戰略層面出臺相關政策,從外交、立法等層面做一些工作。美國互聯網巨頭、網絡設備巨頭的入侵,越來越明顯地威脅到中國互聯網安全。“中國僅單純地譴責,不足以給美國政府構成威懾。”北京郵電大學教授曾劍秋建議,中國盡快研究和出臺一些反制政策。如針對美國企業建立嚴格的審查機制,加大對中國互聯網設備的采購力度。從去年華為、中興在美國受阻,到今年曝光的“棱鏡門”,面對種種問題,毫無反制之力的我們卻顯得不知所措。 未來,我們需要打破發達國家對網絡基礎設施和網絡服務的壟斷,增強自主可控性。在網絡戰中,一些國外IT企業在所屬國的授意下,不僅可讓敵方遭到入侵,更可以拒絕對其提供網絡基礎設施運行等服務,使敵方網絡陷入癱瘓。因此,增強自主可控是我國網絡安全防御的重要任務之一。我們需要積極開發具有自主知識產權的網絡軟硬件系統,還需要實施核心網絡與互聯網隔離:軍事、金融、電力等國家要害系統獨立建網,以保證安全。 在互聯網世界中對外依賴度頗高的情況下,在各個環節均不可靠的體系中,要構建一個基本安全可控的整體框架談何容易。短期內要完全實現信息安全自主可控并不現實。在目前情況下,我們能做什么? 杜躍進表示,目前,我們在技術產品、系統運行、數據這三個大的領域還不能實現自主可控。在實現自主可控之前,短期內可以考慮的思路是:通過第三方安全測試和安全產品互相制約來緩解可能出現的問題。比如,如果你的大型服務器只能用A國的產品,那與此相連的其他環節就盡量不用B國的產品,如審計監測系統。此外,還需要加強自身的第三方安全測試、安全監測、協議和數據分析等方面的研究和能力建設。 “棱鏡”計劃被爆出,還讓我們看到,美國政府部門和私營企業在關鍵戰略產業上的完美協作,既維護了國家安全,又在國家安全產業上贏得了商業利益,這對我們而言是一個巨大的挑戰,但又何嘗不是一個很好的示范。在安天實驗室首席技術架構師肖新光看來,未來,中國的民企將一定會在國家安全戰略中起到重要作用,民企的自強有著非常重大的意義。 |
