5月19日,美国以所谓网络窃密为由宣布起诉5名中国军官。而隐居在俄罗斯的美国前中情局雇员斯诺登再度爆料,美国国家安全局(NSA)入侵了华为公司的服务器。这一系列事件为我国网络安全敲响了警钟,在个人乃至国家网络信息被群狼环伺之际,我国亟须构建一道坚固的安全防线,其中需要国产设备担当重任,也需要相关准入政策的完善和落实。可喜的是,5月22日,中国国家互联网信息办公室宣布我国将出台网络安全审查制度,规定关系国家安全和公共利益的系统使用的重要技术产品和服务应通过网络安全审查,我国网络信息安全屏障正在逐渐形成。
现状:其他样本“棱镜门”仍在上演
“棱镜”事件并不是网络信息泄露之虞的终结。目前,印度版、新西兰版“棱镜门”仍在上演,国家和个人的网络信息仍然面临着被窃取的风险。
美国总统奥巴马今年2月12日发表声明称:“网络威胁是美国面临的最大国家安全危险之一。”为此,美国白宫正式推出一项可自愿加入的“网络安全框架”项目,旨在加强电力、运输和电信等所谓“关键基础设施”部门的网络安全。不过,美国政府此举无异于贼喊捉贼。美国皮尤互联网研究中心和《今日美国》展开的联合调查发现,四分之三的受访者不认为改革后的监控计划能够保护他们的隐私,美国国家安全局的监控项目才是许多美国人当前心目中“最主要的网络安全威胁”。
印度版、新西兰版“棱镜门”仍在上演。自2013年4月开始,印度政府悄然落实着监控系统。“国家网络协调中心”是用来收集整合来自不同网络路由器的信息数据,并且对数据进行分析,这将会帮助对网络安全威胁的实时评估,然后通过相关机构生成可行性报告和得到警示。预计印度9亿固定电话和移动电话用户以及1.2亿互联网用户都将成为被监控的目标。
新西兰议会2013年8月21日通过饱受争议的监听法案,将情报机构秘密监听新西兰民众的行为合法化。上述监听法案通过并实施后,国家通信安全局将保护政府通信和其他重要部门系统免受网络攻击,在获得有关部门授权后可获得新西兰公民的通信内容,也可协助安全情报部门、警方和国防军等机构监听民众。
无怪乎奥巴马安全顾问表示,美对所有国家都收集同样内容的情报,并称美对其他国家政府的监听行动原则上将继续下去,因为其他国家也会这么做。事实证明,美国一直没有停止这样做。2月23日出版的德国《星期日图片报》报道,美国国家安全局在“棱镜门”事件曝光之后,至今继续对300余名德国政府官员实施窃听。资料表明,美国国家安全局并没有在“棱镜门”后停止窃听。虽然对德国总理默克尔的窃听有所减少,但却加强了对其周围人的窃听,遭窃听的涉及320名政界及经济界人士。
对策:提升网络设备本土化率
不久前,斯诺登再度爆料,美国国家安全局入侵中国华为公司的服务器,不仅监听华为内部的电子邮件,在华为公司产品中植入漏洞,还涉嫌窃取华为设备相关软件的源代码。
在此前的“棱镜”事件中,据斯诺登披露,美国国家安全局在美国境外将近10万台电脑上安装软件,并植入硬件实施监控,进行网络攻击。
美国国家安全局通过无线电技术使没有连接互联网的电脑也完全暴露在监控之下。在美国国家安全局的首要监控目标中,中国军队赫然在榜。此外,美国国家安全局每天大约会截取全球近两亿条短信息,并利用这些信息获取诸如用户地理位置、联系人网络和信用卡等隐私数据。资料显示,美国国家安全局持续入侵中国多家主要电信公司,获取用户手机短信信息。
目前,从保障国家安全角度出发,从保护我国公民隐私以及企业合法权益免受侵害的角度出发,国家、政府、军队必须采取非常手段和措施,投入非常的力量,来加强网络空间和信息领域的安全。除了加大对互联网领域的资金投入、技术研发、人才建设等之外,还要从国家战略方面进行顶层设计,完善信息安全方面的法律法规,为我国网络空间构筑一道抵御外部信息入侵的坚固屏障,保障国家安全。
国家层面统一领导网络安全。国家层面对网络与信息安全越来越重视,将会从战略部署、组织架构、法律法规、关键基础设施安全、技术产业发展、攻防能力建设等方面加强顶层设计。好消息是,中央网络安全和信息化领导小组已经成立,将构建顶层指导协调机构。
提升关键基础设施设备的本土化率。出于国家安全考虑,在关系到国计民生的关键基础设施方面,如网络系统,信息系统,网络技术设施所用的硬件、软件、器件、部件、系统,呼吁逐步采用国产设备。
尽快组建中国网军。虽然针对中国网络部队的炒作从未停止过,不过,中国人民解放军信息工程大学校长邬江兴院士称,中国尚无网军。世界上多个国家已经组建了自己的网络部队,有些国家的网军多达数千之众,因此,为了打赢信息化战争,确保网络空间安全,我们必须尽快组建自己的网络部队。当然,我们的目标首先应是防御,在必要的时候也会毫不犹豫地进行反击。
继续加强通信加密技术研究。网络安全专家布鲁斯·施奈尔曾协助《卫报》浏览斯诺登爆出的机密文件。他表示,加密技术仍然是保证数据安全的法宝。美国国家安全局仍然无法破解一些加密手段。香港《大公报》最近传来了好消息,我国在量子通信领域已经走在世界前列,并在潜艇上先行先试,深海保密通信取得了成功,对“反窃听”意义重大。
进展:审查制度有望从源头杜绝风险
中国国家互联网信息办公室近日宣布,我国将出台网络安全审查制度。该项制度规定,关系国家安全和公共利益的系统使用的重要技术产品和服务,应通过网络安全审查。
近年来,国家级有组织网络攻击行为显著增多,给国家关键基础设施和重要信息系统带来严重威胁与挑战。据国家互联网应急中心(CNCERT)监测,我国面临大量来自境外地址的网站后门、网络钓鱼、木马和僵尸网络等攻击。越来越多的有组织高级持续性威胁(APT)攻击事件浮出水面,APT攻击成为国家间网络对抗的新型有力武器。一些国家利用信息化技术优势,大力推动研发计算机病毒武器,破解互联网加密算法,或直接在标准算法中放置后门,持续对我国实施APT攻击。我国政府机构、基础电信企业、科研院所、大型商业机构的网络信息系统遭受攻击和渗透入侵。2013年,CNCERT监测发现我国境内1.5万台主机被APT木马控制,对我国关键基础设施和重要信息系统安全造成严重威胁。
目前,我国网民数量跃居世界第一,已成为网络大国,加强法律制度建设势在必行。国家互联网信息办公室发言人姜军指出,网络安全审查制度的出台,将成为维护国家网络安全最有效的法理依据,对于网络强国建设具有重大推动作用。
同时,建立网络安全审查制度将从源头上杜绝网络安全风险隐患。工信部电信研究院副院长刘多在接受中新社采访时表示,中国作为网络大国,立足国情,顺应大势,建立网络安全审查制度,对国家关键基础设施和重要系统开展网络安全审查,可以从源头上杜绝网络安全风险隐患,确保公共安全和国家网络空间安全,这对于保障用户安全和国家安全、加快网络强国建设进程具有重要而深远的意义。
放眼国际,建立和实施网络安全审查制度是多国采用的做法。基于维护自身安全和社会稳定,针对信息技术产品及其供应商开展不同形式的网络安全审查,我国并非第一个,在美国早有先例。2012年,美国众议院情报委员会就以国家安全为由,对我国企业进行安全审查。此外,为应对日益应用广泛的云计算,美国政府还针对云计算服务提供者进行安全审查,并明确规定联邦政府部门只能选择通过审查的云计算服务提供者提供的服务。
我国的网络安全审查制度实施中将“一视同仁”。我国即将推出的网络安全审查制度,规定对进入我国市场的重要信息技术产品及其提供者进行网络安全审查,审查的重点在于该产品的安全性和可控性,旨在防止产品提供者利用提供产品的方便,非法控制、干扰、中断用户系统,非法收集、存储、处理和利用用户有关信息,对不符合安全要求的产品和服务,将不得在中国境内使用。刘多表示,对发现存在安全隐患的网络产品和服务,不论是外国企业还是中国境内企业,都一视同仁,都要遵从、适应这一管理制度,督促提高企业自身的技术和服务能力,满足国家关键基础设施和重要信息系统的安全性能要求,在保障安全的前提下实现良性发展、持续发展。
在实施过程中,该审查办法可以有多种方式。刘多表示,开展网络安全审查,要依靠权威专业检测机构对信息技术产品和服务进行技术审查,要依托专家力量深入开展专家论证,以及对企业的诚信和安全背景等进行审查,从而综合评判和认定带有安全风险的信息技术产品和服务。中国对接入公用电信网的电信设备实行进网许可制度,网络安全审查制度主要目的是为了维护安全,与电信设备进网许可制度目的相近,但网络安全审查制度不是行政许可,也不是对所有的设备和服务进行审查,而是侧重于重要信息系统。
论 道
国家应该加大网络安全技术系统方面的投资,在中央网络安全和信息化领导小组及其办公室的领导下,强化网络安全技术能力建设,把目前与美国之间严重不对称的网络安全对抗态势扭转一下,至少要像核武器装备一样,具备不对称中的震慑能力,才能够让这个世界“安静”下来。
——中国工程院院士 方滨兴
国家安全战略涉及产业政策、法律法规、芯片国产化、核心信息技术重大装备发展和信息安全保障的战略目标、提升IT基础设施防御能力等,设备、制度和监管都是安全战略的重要组成部分。
——北京信息产业协会专家委员会副主任 徐祖哲
对于包括中国在内的世界各国而言,在应对美国各类无理举动的同时,应着手认真研究网络空间全球治理的新架构。无论在联合国框架下,还是在第三方机构的框架下,都要建设安全、可信、长期发展的网络环境。
——北京邮电大学国际学院院长 李欲晓
