当清晨的第一缕阳光照耀自由岛,哈德逊河附近晨练的人总会不自主地抬起头,将目光投向高高耸立着的自由女神像。
她头戴象征世界七大洲的尖芒头冠,手上高举火炬,脚下是打碎的手铐、脚镣和锁链,默默守卫着“自由、民主和人权”。
然而,“棱镜门”事件却给无辜的自由女神塑像当头一棒。
被美国称为“叛徒”的斯诺登近日扔下了一枚重磅炸弹:自2007年起,美国情报机构就开始与美国各大互联网公司暗通款曲,自由调取全球公民的各种隐私。
一时间,整个世界陷入信息安全危机。
赤裸裸的威胁
无论你生活在世界的哪个角落,你的一颦一笑、一举一动都可能出现在美国情报机构的监控录像里。
因为自2007年起,美国国家安全局和联邦调查局就开始与谷歌、雅虎、微软、苹果、Facebook、美国在线、PalTalk、Skype、YouTube九大公司私下合作,通过这些公司的中心服务器直接接触世界众多国家用户的音频、视频、照片、电邮、文件和连接日志等信息。
即使作为盟友,欧盟也未能幸免。
至少有7个欧盟成员国的特工部门会向美国安局提供本国公民的电话和网络记录。
美国安局在欧盟的华盛顿和布鲁塞尔办公室安装过监听装置,并窃听其会议和电话,甚至入侵欧盟网络,偷看其内部文件和电邮。
欧洲议会议长Martin Schultz对此表示“深深的担忧和震惊”。在他眼里,美国此举将会“严重影响”欧美之间的关系,意味着当前关于建立跨大西洋自由贸易协定的讨论可能会搁浅。
法国总统Francois Hollande警告,美国针对法国政府的任何监控都必须马上停止。
德国更是暴跳如雷,因为美国情报机构对德国的“特殊优待”。
德国被列为与伊拉克和沙特阿拉伯同级的“第三级”伙伴,美国平均每月对德国通信的监控达到5亿多个。
“如果媒体的报道属实的话,这让我想起了冷战时期敌方采取的行径。”德国司法部长Sabine Schnarrenberger愤怒地说,“这让我无法理解,我们在美国的朋友将欧洲当作敌人。”
但是,美国的监控对象不仅在欧洲,它的触角遍布全球。美国安局全球范围内的网络攻击行动超过6.1万项,法国、意大利、希腊、日本、墨西哥、韩国、印度和土耳其等38个大使馆都“榜上有名”。
“根据斯诺登的报告,我认为某些国家的一些监视技术严重侵犯了(他人的权利)。我认为大规模的在国家内部或边缘进行监视尚可理解,但是如果入侵到别国的信息基础设施,这就太咄咄逼人了。”香港大学工程学院计算机科学系副教授邹锦沛在接受《科学新闻》采访时如是表示。
随着快速崛起,中国自然也成为了美国重点监控的对象。
据斯诺登公布的资料显示,美国政府多年来一直从事针对中国个人和机构的网络攻击行为,其入侵中国内地与中国香港的网络至少有4年时间。
美国政府黑客攻击的目标达到上百个,其中还包括学校。黑客通常是通过入侵巨型路由器,然后入侵成千上万台电脑,无需一一入侵个别电脑。
“包括我们国家在内的世界绝大多数国家的信息系统,买的几乎都是美国的产品。也就是说你的信息系统,从硬件到软件,都是用美国产业界提供的产品构建的。面对‘斯诺登事件’揭露出的美国信息产业巨头与美国安全部门合作的事实,怎么能保证这些系统是安全的?”中科院信息工程研究所副所长孟丹对此感到深深的担忧。
“全世界所有的顶级域名都是由根服务器来确定的,包括中国的顶级域名“.cn”也不例外。所以中国因特网是否可用,其控制权是在美国手中。”中国工程院院士倪光南这样告诉《科学新闻》。
他们担心,美国目前已经掌控了各国网络安全的命脉。
一旦战争爆发,美国政府极有可能利用思科提供的全套网络产品配置,并配合微软提供的系统漏洞,发动网络战,对他国实施致命打击。
但是,面对美国信息安全赤裸裸的威胁,各国政府和民众也只能叹一句奈何。
无奈的背后
无奈颇为沉重。美国肆无忌惮的背后,折射出它强大的信息技术和产业基础。
美国货几乎“控制”了全球。全球大多数互联网的软硬件都是清一色的美国货:希捷的硬盘,英特尔的CPU,思科的交换机、IBM和HP的服务器、微软的操作系统和办公软件
而数据更令人触目。
全球85.2%的PC微处理器被英特尔垄断,而在全球操作系统市场上,Windows和苹果操作系统以97.21%绝对优势控制着全球的电脑终端。
互联网的情况同样不容乐观。88.6%,这个近九成的数字,代表的是谷歌和雅虎两家公司占据全球搜索引擎的份额。
思科更是几乎掌控了中国各大网络命脉:政府、海关、邮政、金融、铁路、民航、医疗、军警等要害部门,以及中国电信、中国联通等电信运营商的网络基础建设。
“微软、苹果和谷歌控制了整个技术市场,所以他们有能力去决定人们所看到的东西和人们所能接触到的东西。”南澳大利亚大学UniSA学院副教授Stephen Boyle向《科学新闻》道出了美国在信息安全领域一家独大的缘由。
从网络设备到计算设备,再到存储设备,美国信息技术企业在全球各个核心领域占据了庞大的市场份额。在它们面前,世界各国的信息安全形同虚设。
但是一声叹息之后,人们却发现,这种趋势却很难改变。
英国剑桥大学计算机实验室安全工程教授Ross Anderson告诉《科学新闻》,美国的信息产业垄断是由于该产业自身的特性所决定的。
“信息产品和服务产业有很强的垄断倾向,因为网络效应、双边市场、技术锁定和较低的边际成本。”Anderson解释说,“这就是这个行业受到IBM、微软等公司控制的原因。”
日本曾经尝试过某些改变。
明治大学交叉数学科学院前沿媒体科学系教授Hiroaki Kikuchi向《科学新闻》介绍,日本在20世纪90年代曾经发展过自己的密码算法。大多数日本IT公司如日立、NEC、富士通、索尼、三菱都有他们自己的保密算法。
不幸的是,这些算法中的“窄轨道”都被开放式算法、AES、RSA和DSA所取代。时至今日,日本政府公钥基础设施(PKI)也只得退而求其次,鼓励将这些标准与日本标准一起使用。
美国发达的信息产业,像一张密密麻麻的大网,罩在世界各国的心头。而“棱镜门”的出现,让这张网瞬间收紧。
强势的手段
除了强大的信息产业做后盾,美国在全球“信息战”的胜券在握,周密的国家战略部署和顶层设计也发挥了很大作用。
“9.11”事件为美国赢得了一个合理的借口。
事件之后,小布什总统成立了“总统关键基础设施保护委员会(PCIPB)”,代表政府全面负责国家的网络空间安全工作。
甚至,布什政府刻意将总统关键基础设施保护委员会、国家基础设施保护中心(NIPC)和关键基础设施保障办公室(CIAO)三个机构搬至同一幢办公楼,让他们之间更容易“相互沟通”。
从那时起,美国由“发展优先”转而注重“安全优先”,并将“制网权”作为新的战略制高点,形成了“陆、海、空、天、网”5大国家战略发展要地。
而奥巴马总统也不遑多让。在他上任4个月后,就开始狠抓信息安全的组织架构,设立了由总统直接出面协调的“白宫网络安全办公室”,协调6大网络安全专职机构。
除此之外,奥巴马政府还在弗吉尼亚州的阿林顿成立了“国家网络空间安全和通信集成中心(NCCIC)”。该中心总投资约900万美元,专门负责协调和整合6大网络安全专职机构,24小时全天候监控涉及基础网络架构和美国国家安全的网络威胁。
在Anderson看来,美国有绝对 的“主场优势”。
在美国政府的信息安全构架中,除了“棱镜门”曝出的主动监控,还“主动”地以别国侵害美国安全为由,实现信息领域的自我保护。
最近几年,美国曾多次以“安全问题”为由发难,打击在美开展业务的中国企业。
2012年,美国因怀疑中国通信设备留有后门,不许美国电信运营商与中国华为、中兴两家公司进行合作,因为后者“可能对美国国家安全构成威胁”。
对此,中国工程院院士、网络安全专家方滨兴去年就曾发表过看法,认为美国此举实际上是以己度人。
另一方面,世界各国虽然无可奈何地使用着美国信息产业的软硬件和风靡全球的个人信息终端,但他们也认识到必须做些什么来保护自己的国家隐私。
近年来,世界各国也紧随超级大国美国的脚步,相继出台了一项项政策和法律,并积极完善顶层设计和管理组织架构,努力保障互联网安全。
作为军事、科技大国,“冷战”时的一极——俄罗斯,早在上世纪 90 年代就设立了国家技术委员会,主要负责执行统一的技术政策,协调信息保护领域的工作。并在《俄罗斯国家安全构想》中明确提出:保障国家安全应把保障经济安全放在第一位,而信息安全又是经济安全的重中之重。
虽然并未被“棱镜门”监控,美国盟友、英国政府还是发布了《英国网络安全战略》,明确提出2011年之后的未来四年,将斥资6.5亿英镑改善英国网络安全环境。
经济大国日本方面也未雨绸缪,针对互联网的威胁制定了“反黑客对策行动计划”。同时,日本政府还注意加强与美国在反黑客方面的合作,召开了“日美网络安全会议”,并派人到美国接受反黑客培训,建立自己的反黑客队伍。
近邻印度同样有所动作。印度陆军总部建立了专门负责网络中心战的网络安全部门,组建了一支超过1.5万人的网络战部队。同时,政府大力解决相关的法律和人才招募障碍,保护受雇于该项目的印度黑客,以先发制人的方式突破对手的安全防御。
虽然世界各国的努力仍然不能阻止美国的强势入侵,但这些努力为中国敲响了警钟。
“信息安全主要是社会问题、政治问题,而非科学问题,相比于美国的内紧外松,我国却是从上到下多个部门分散着管安全,当大张旗鼓说安全的时候,这反而有可能会不太安全。” 中国科学院计算技术研究所研究员闵应骅向《科学新闻》表达了忧虑。
毕竟,随着互联网技术的发展和基础设施对网络的依赖,网络信息战的毁灭性已经达到了前所未有的程度。俄罗斯更是将其称之为“第六代战争”。
这次,美国再一次走在全球的前面。该国国防部长罗伯特·盖茨宣布,美国成立了全球第一个“网络战”司令部,以保证在“第六代战争”中的绝对优势地位
宁可错杀一千
美国对信息安全的紧张度可以说到了“草木皆兵”的地步。
80年代初,一位天津的学者前往美国伯克利大学访问。访问进行得很顺利,但他在回国的时候却被拦住了,只因为他携带的软盘里有在美国实验室里拷贝的一个软件,而他对于被管控却一无所知。
“就在80年代,刚刚改革开放之时,在我国的知识分子对知识产权都不了解、不清楚的时候,美国就在做信息安全、信息保密工作了。”闵应骅不禁感叹道,美国做信息安全的基本条件是“内紧外松”,就是它明明管着你,你却意识不到。
而美国自身市场的封闭程度之深,也让华为、中兴等想要进驻美国市场的企业多番败走华容道。不在美国本土生产的坚决不用,宁可错杀一千,不可使一人漏网。
当初,联想收购IBM时,美国国务院原本订购了一万台IBM电脑。但是联想的收购行为,使美国政府决定撤购,因为他们认为这存在国家安全问题。
而且,IBM虽然归属于联想,但美方要求核心技术不能离开美国国土,甚至中国人都不能轻易进入联想购买的IBM研发中心。
但是当美国将中国制造拒之门外的同时,中国却对美国的信息产品门户大开。
“我们国家非常开放,买谁的都觉得没事。”中国科学院计算技术研究所研究员胡伟武在接受《科学新闻》采访时,为中国的信息安全意识淡薄感到深切不安,“安全本来就是七分管理,三分技术,而我们的意识弱,管理也不严格。”
俄罗斯的情况也不容乐观。
由于信息产业的长期落后,导致俄罗斯信息安全技术和产品方面整体的落后,如数据库防火墙、VPN技术产品等一些关键性的信息安全设备,目前只能在政府、军队等重要部门使用。
因此,俄某些政府部门的大部分机密信息完全靠西方国家的信息技术收集、存储和发布,本身尚无法生产具有足够信息防护能力的设备。
日本虽然有较为充实的政府、重要基础设施、企业和个人的信息安全对策,但却缺乏振兴信息安全产业的政策。
日本的信息安全产业构造与欧洲类似,即信息安全服务的市场份额多来自本地企业,而技术和产品供给则海外依存度过高。
“一个国家对美国信息产品到底要采用哪种方式,完全取决于他们的长期战略。或者是更加关注经济效率还是政治考虑,又或是他们在未来会不会与美国有冲突。”Anderson将各国对美国信息产品的态度分为了两类。
一类是以中国为代表的,提倡国内使用自己的公司,虽然这些本土的服务没有那么有效,而且还需要支付一定的社会和经济成本,但是从某种程度上保证了自主可控的信息安全。
另一类则是以英国、法国和俄罗斯为代表的国家,这些国家允许自己的民众使用美国的服务,但坚持机密材料不允许存储在位于美国的云服务。
“棱镜门”发生后,世界上越来越多的人希望自己的国家能够“错杀一千”。不过,这似乎需要产业和技术方面的底气。
警钟长鸣
如果说“9.11”事件是美国开始全面加强国土安全的转折点,那么“棱镜门”事件则应该是对中国乃至全世界敲响的警钟。
“在‘斯诺登事件’发生之后,我相信政府会开始考虑将信息安全作为IT发展的重要目标之一。”邹锦沛认为,“斯诺登事件”应该警醒各国,努力发展自己的信息安全手段。
因特网国际组织ICANN的成员(包括中国)曾经提议共管根服务器,但美国却宣布,基于日益增长的互联网安全威胁和全球通信与商务对互联网的依赖,美国商务部将无限期保留对这些根服务器的监控权。
“现实情况表明,要增强信息安全,各国主要应靠自己,不能有任何不切实际的幻想。”倪光南告诉《科学新闻》,“中国只有通过自主创新,自行解决公共信息网络的自主可控问题,才有可能摆脱目前中国公共信息网络依托因特网而受制于人的处境。”
而世界上一些主要国家对身陷信息安全危机也针芒在背。依靠自己,成了世界各国在信息安全危机中的不二选择。
俄罗斯挟冷战时期余威,尤其注重芯片和操作系统的研发。在其强项武器方面,很多信息化水平都超过了中国。
而越南、巴西等国都要求若干政府部门必须使用Linux系统,提高了政府信息系统的安全性。
印度在信息技术方面一直有着自己的独特优势。
目前,印度正在研制新的操作系统,将有效帮助计算机系统阻止黑客入侵,给印度提供了具有排他性和安全性能更高的操作系统。
成体系化的国家行为,则是世界各国整合国内资源,对抗信息安全的共同选择。各国在顶层设计、国家战略、组织机构设置、管理、标准、政策法规等方方面面协作,开始逐步探索。
俄罗斯在2000年出台的《国家信息安全学说》成为了信息安全立法的政策指导和理论依托。政府以《信息、信息化和信息网络保护法》为立法基础,构建了一个比较完善的国家信息安全法规体系。
而韩国则组建了总统直接领导的信息安全管理机构。
自1996年开始,韩国就先后成立了国家信息安全中心、计算机应急响应小组、国家网络安全中心,对来自国内外的各种威胁情报进行综合分析,在发现攻击迹象时协助各级机关制订安全对策,同时负责国家网络安全宣传工作及加强预防等工作
也有专家认为,在信息产业和政策法规改进的同时,大到政府、金融系统采购,小到公民个人,都应该培养积极的信息安全保护意识。
“在政府保护每个人信息安全的同时,民众自己也要注意谨慎选择自己使用的工具。”法国凡尔赛大学教授Diana Cooper-Richet向《科学新闻》表示。
法国就非常注重保护自己的民族特性,无论在信息产业还是其他产业,都实行非常严格的政策法规,通过征税和进口壁垒来保护本国的产品。
Boyle则从另一个角度指出,当无法阻止别人对你进行监控,重要的是教育人们如何保护自己。
澳大利亚现在已经开始针对安全使用互联网进行学校教育。Boyle相信,再过几年,人们就会开始改变他们的互联网使用行为和习惯。
对于加拿大渥太华大学政治研究学院副教授Jonathan Paquette来说,美国情报机构侵犯民众隐私根本就不是什么稀奇的事。
在他看来,Facebook刚出现的时候,人们一窝蜂地将自己的信息公布在网上。但随着时间的推移,人们逐渐发现过度暴露隐私的弊端。因此,人们也开始逐渐建立起各种界限,保护个人隐私。
“这只是个开始。人们已经在这种全新的体验中开始建立各种界限。”Paquette说,“但是你要记得,只要你把信息放在网上,不管有什么样的保护措施,别人还是有办法能够获取。”
希望,“棱镜门”能变成一个长鸣于全球的警钟。■
网络空间发展:安全至上
“棱镜门”事件之后,民众既为美国打着反恐的旗号监控他人隐私而不耻,又为自己手无缚鸡之力只能被动挨打而感到无可奈何。
为何中国信息安全的发展棋差一招?究竟如何才能扭转这种被动挨打的局面?为此,《科学新闻》专访了中国工程院院士倪光南与中国科学院计算技术研究所研究员胡伟武。
《科学新闻》:中国的信息安全是在什么时候起步的?目前的研究进展如何?
倪光南:十八大报告在我国首次提出了“高度关注网络空间安全”,从而使我国信息安全工作进入了一个新阶段。信息安全已纳入国家战略。过去,很多人对信息安全不够重视,往往将它作为一个一般性的指标加以考虑。现在,从保障网络空间安全的高度出发,就能将信息安全作为发展信息产业和推进信息化建设的一个基石,才能从根本上改进信息安全。
胡伟武:关于安全,有几个概念要搞清楚,一个是安全,一个是自主。这是两个不同的概念,安全的概念更广一些。自主是安全的必要非充分条件,也就是说不自主肯定是不安全的,但自主的也不一定安全。我们要把自主体系做起来,从器件到基础软件到应用软件到整个网络都要自成体系,因为一个路由器或者打印机都有可能成为安全漏洞。
《科学新闻》:“棱镜门”事件透视出中国信息安全受到了严重的威胁,您认为导致这一局面的原因是什么?
倪光南:正因为过去我们对信息安全不够重视,因此“棱镜门”事件的曝光使人们感到震惊。发现我们的网络一直在受到大规模的入侵,我们的各种信息一直被人任意监视和分析,这显然对我国信息安全造成严重威胁。
究其原因,最主要的是我国的网络系统、信息系统所使用的软硬件和服务大都是进口的,过去也没有审查的机制。在这种情况下,我们的网络和系统对“棱镜门”这类监视计划缺乏防御能力,完全处于被动的地位。
胡伟武:我们现在用的软硬件都是国外的,没有自主的软硬件,核心技术受制于人。这就像毛主席、周总理那代人当年花那么大力气去炼钢铁找石油,因为他们知道没有这两样东西就没有自主的工业体系。而我们今天如果没有自主的软硬件,就没有自主可控的信息产业体系。而任何一个购买来的技术或产品都有可能被留有“后门”,都能对我国的信息安全构成威胁。
《科学新闻》:目前中国信息安全的科学研究处于何种水平,距离国际尖端还有多远?
倪光南:信息安全涉及面很广,单是在技术层面上就覆盖了很多学科,需要多个领域的科技工作者协同工作,来解决信息安全相关的技术问题。为了适应这方面日益增长的需求,我国已设立了一些专门从事信息安全研究或教学的研究所、学院等等机构,但相比国际先进水平还有不少差距,需要急起直追。
胡伟武:我国在信息安全、可信计算方面一直跟踪国际前沿进行同步研究,取得了很大进展,也建立了比较严密的保密体系。关键还是要建立自主可控的产业体系,培养自主能力。我们刚开始宁愿小一点,也一定要形成体系,再小的体系也是块根据地,就像共产党打天下,有了根据地就有了进一步发展的基础。
《科学新闻》:您认为中国从政府层面到科研院所、科技企业,应该如何维护国家信息安全?
倪光南:为了维护国家网络空间安全,政府有关方面承担着重大的责任。与发达国家相比,我们在观念认识、战略制定、组织保障、规章制度、技术手段等方面都有很大差距。同时,我们从事信息安全业务的企业也普遍规模较小、创新能力不足,当前要维护国家信息安全还是一个很大的挑战。当然,这也是一个发展的机遇。
胡伟武:我们要提高安全意识,提高警惕性。要重视自主安全,建立自主可控的信息产业体系。这需要政府的支持,科研院所、科技企业的共同努力。建立自主可控的技术平台,采用“应用牵引、系统优化、形成体系”的措施建立技术产业根据地,建立有威慑力的知识产权体系。
《科学新闻》:在下一步的科研工作中,国家是否应该将信息安全作为最重要的一项目标?如何加强信息技术以及信息安全技术方面的自主知识创新?
倪光南:恐怕更重要的是在信息化建设中突出信息安全,为此应当有计划、有步骤地在网络系统、信息系统中,用自主可控的国产软硬件替换进口。有了这种市场需求,就能带动信息安全技术的发展,促进信息安全领域的自主创新。
胡伟武:国家肯定是要将信息安全作为最重要的一项目标的。只有做到自主信息化才能做到信息安全,自主创新能力是实现自主信息化的“枪杆子”。在实现自主信息化过程中,我们不能闭门造车,要开放,要合作。建立自主可控的软硬件技术体系,就能基于该技术体系进行持续改进,形成螺旋上升,否则在别人的技术体系中跟着升级,永远没有超越的机会,只能落后。
《科学新闻》:依靠自主研发解决信息安全方面的问题,还需要很长的一段时间。请谈谈您在这方面的建议。
倪光南:“核高基”等重大专项的启动具有战略意义,是从根本上增强信息安全的举措,不能因为实施中暴露一些问题而动摇。发展这类基础性技术,需要的时间,尤其是产业化的时间会长些,既要抓紧,也不能急于求成。这方面要向欧盟学习,他们支持空客,直到30年后才赢利,这种锲而不舍的精神是我们应当学习的。
胡伟武:“核高基”不是种粮食,不是一年就能成熟的。它是种树,十年、二十年才能收获。在“十一五”期间,“核高基”没有形成非常明确的目标,只能说是有一个良好的愿望,那就是培养中国自己的英特尔和微软。这是一个技术积累,产业探索的五年。
“十二五”以来,“核高基”把满足国家安全和国民经济安全的自主软硬件作为主要目标,在党政军办公、事务处理、实时调度等领域实现自主信息化。这个调整是正确的、务实可行的。这是实现行业突破的五年。
我们还需要十年或更多时间,形成自主可控的信息产业体系,实现自身产业的发展。因此历史地去看“核高基”,它是一条正确的路,体制上有优势,机制上需改进。总体上来看这个项目还是好的,而且也只有中国能做起来,所以不能太着急。