“棱鏡”事件：折射我國信息安全隱憂

?

“棱鏡”事件仍在發酵。29歲的美國人斯諾登的一舉一動，都牽動著整個世界的神經。近日，他通過德國《明鏡周刊》再爆猛料，稱美國曾對歐盟辦公室的電腦做手腳，以進入歐盟內部網絡。隨著這部現實版“諜戰片”劇情的不斷推進，圍繞“棱鏡”事件的討論也越發熱烈。聯想到本國現狀，人們不禁發出疑問：“棱鏡”事件給我國信息安全帶來哪些警示？如何讓國家的信息安全建設自主可控？“棱鏡”背后，會否隱藏著更多大規模秘密情報監視項目？

對此，記者采訪了中國工程院院士倪光南、中國國家網絡信息安全技術研究所所長杜躍進、中國科學院研究生院信息安全國家重點實驗室教授呂述望、北京郵電大學互聯網治理與法律研究中心主任李欲曉等幾位專家學者，請他們從安全防護、產業發展、法律建設、戰略規劃等角度來解讀“棱鏡”事件。

?

“棱鏡”給我國信息安全保護敲響警鐘

好萊塢電影《國家公敵》中有這樣一個情節，就是網民的信息被人完全操控，然而這樣駭人的場景竟成了現實——當世界各地的民眾在使用谷歌、臉譜、蘋果等知名公司的網絡產品進行社交、辦公或儲存信息時，他們絕不會想到自己屏幕的背后正隱藏著美國情報部門的身影。換句話說，我們在網上的一舉一動，都可能被美國情報部門看在眼里，記在“芯”上。

我們不得不承認，美國在信息和通信技術領域始終擁有著絕對優勢。中國工程院院士倪光南指出，美國掌控著因特網的基礎資源。“目前因特網的主根服務器在美國，其余12臺輔根服務器有9臺在美國，2臺在歐洲，1臺在日本。據說，在主根服務器系統上還有一個更高級的、隱藏著的母服務器，當然也在美國。全世界所有的頂級域名都是由這臺母服務器來確定的，即使是中國的頂級域名.cn也同樣依賴于根服務器，所以中國因特網是否可用，控制權在美國手中；而且，這種情況在相當長的時間里還很難改變。”

“此外，我國計算機及網絡信息系統使用的主要操作系統和芯片、數據庫、路由器等核心技術，以及互聯網領域的核心基礎服務等，也都掌握在美國手中。”中國國家網絡信息安全技術研究所所長杜躍進告訴記者。

目前，國內政府部門和企業對外國品牌的電子產品、信息技術產品過分依賴。據報道，在涉及政府、海關、郵政、金融、鐵路、民航、醫療、軍警等國家關鍵信息基礎設施的建設中，頻頻出現美國“八大金剛”（思科、IBM、谷歌、高通、英特爾、蘋果、甲骨文、微軟）的影子，特別是美國思科參與了中國幾乎所有大型網絡項目的建設——這種情形，無疑對我國信息安全構成了潛在威脅。

“我們所有的數據都要流經網絡設備，外國的信息服務提供商通過向中國市場提供服務，從中獲得大量信息，雖不必然帶來損害，但是存在風險。如果我們意識不到安全風險的存在，將對公民權益保障乃至國家安全帶來巨大的威脅。”北京郵電大學互聯網治理與法律研究中心主任李欲曉說。

中國科學院研究生院信息安全國家重點實驗室教授呂述望對此也不無擔憂：“美國多個信息監控和挖掘項目鋪天蓋地地‘入侵’中國，可我們卻全然不知，近似‘裸身’般被包圍著。”在他看來，信息新科技、新應用的迅速發展為我國的信息安全帶來了更多未知的風險。

“‘棱鏡’計劃還只是信息竊取事件，之前伊朗核設施被‘震網’病毒破壞，這已經不是竊密，而是毀壞基礎設施。美國宣稱建立了強大的‘網絡武器庫’，那里面還有什么我們不得而知，而且這些被逐漸披露的事件對各種動機的網絡攻擊勢力都具有啟發作用，使我們正在面臨著不同于過去的嚴重風險。因此，我國的信息安全必須盡快得到重視。”杜躍進強調說。

自主可控的信息安全建設刻不容緩

“‘棱鏡’事件為我國政府采購敲響了警鐘。”某網絡安全產品提供商對記者說，我國各級政府采購過大量的國外IT設備，這其中，一方面軟件類產品可能被預置“后門”程序，本身也可能帶有容易被攻擊的漏洞；另一方面，計算機、路由器等硬件產品所攜帶的操作系統、芯片等也存在安全風險。

倪光南指出，“棱鏡”事件充分暴露了中國網絡空間的軟肋，為了消除這個軟肋，從根本上提升中國網絡空間的防護能力，一個關鍵舉措就是用自主可控的國產軟硬件和服務來替代進口。“如果IT設備是進口的，一般說來是不可控的。這次‘棱鏡’事件表明，那些提供IT設備與服務的美國公司往往會按照美國情報部門的要求行事。使用它們而又不想被此類計劃所監控，恐怕只能是癡心妄想。我們至少應要求IT設備能自主可控，在此基礎上，再努力加強信息安全防護，這樣才有可能保障國家信息安全。”

其實按照我國相關規定，政府行業用戶應該優先采用本國研發和設計的產品，然而這一點在具體落實上卻并不盡如人意。“目前，我國華為、中興等公司的產品在世界市場上已有很強的競爭力，可是在我國國內市場上，思科仍然占據相當大的市場份額。這種情況是反常的，不符合產品性價比的實際情況。實際上，這也是缺乏民族自信、創新自信的表現。”倪光南說。

究其原因，業內專家表示，一是出于免責的需要。一些采購經辦人更關心如何能規避、降低職業風險，因為即便采購的國外產品出了問題，他們也不用承擔責任。二是出于觀念的原因。“一些地方和部門有‘習慣思維’，什么重大項目要上馬，首先想到的是找外國跨國公司，通過招商引資，用市場換技術。”

“要改變這種觀念需要有一個過程，不可能一蹴而就。”倪光南表示，首先應當確立這樣的目標，然后有計劃、有步驟地付諸實施，“好在現在我們看到情況正在向好的方向發展，只要我們踏踏實實地從公車國產化這類小事做起來，我相信國產IT設備的市場一定會迅速地擴大”。

但同時，有專家也強調，國產化亦非等同于絕對安全，在自主可控的基礎上，要高度重視網絡安全開發的技術與能力。“我們現在的問題還在于發現、監測、防護、處置能力不夠。比如在跨境數據流動當中，涉及安全的信息服務應該進行安全風險評估，同時進行相關數據業務的安全性檢測，給公眾一個可信的環境，建立安全可信的機制，包括保障機制、防范機制、檢測機制等。”李欲曉說。

保障信息安全要建立國家總體規劃

“‘棱鏡’事件給我們的教訓是深刻的。”倪光南認為，一方面它使人們認識到“網絡戰”不是電影的炒作，而是嚴酷的現實；另一方面，壞事可以變成好事，這次事件可以使我們大大提高對網絡空間安全的認識，從而促進制訂或完善相關的政策、法規、制度等。“例如政府采購是否應當采購國產貨物、工程和服務？我國的信息安全審核機制比較薄弱，過去對進口產品和服務幾乎不設防，習以為常，現在是否可以考慮建立必要的機構和制度加以補救？”

李欲曉則表示，“棱鏡”事件在一定程度上會促進國內信息安全立法。“如果沒有網絡立法，就像在沙地上蓋樓，基本規則沒有說清楚。”

他指出，全國人大制定的是上位法，還應形成一系列配套法律法規。“在網絡安全基礎設施建設中，在軟硬件的服務應用過程中，在與國家利益安全相關聯的跨境數據流動中，一定要有法律作保障；市場監管方面，對數據流動的安全性、合法性要加強監管；要高度重視公民網絡素養培養，并將其納入到國民教育體系。”此外，他還呼吁建立互聯網信息安全聯合國公約，“不能說某個國家擁有特殊權力，就凌駕于他國之上”。

呂述望指出，某些西方國家利用因特網大肆對別的國家進行入侵的事情早已有之。“一個國家使用因特網，最重要的是如何‘安全利用’——在這一點上，政府怎么做很重要，必須從最高層面加以統籌謀劃，整合與優化國家力量。”

“‘棱鏡’事件凸顯出我們對國家級攻擊的應對能力不足，因此未來要努力改進的不只是某個點上的技術措施，還有綜合安全能力的提升。”在杜躍進看來，應盡快出臺國家整體戰略，通過政策法規、技術建設、產業發展、外交戰略等各方面的明確與配合，才有可能從根本性的角度使問題有所改善。

李欲曉也認同這樣的觀點。他表示，信息安全的穩步發展要與國家實力相結合，要從國家戰略規劃、頂層設計方面認真考慮，而不是僅僅從信息化本身去思考，因為“這是一個全社會的問題”。

“未來網絡空間將成為國家間競爭和博弈的新戰場。”杜躍進指出：“其實從2010年開始，就已出現國家間網絡空間安全對抗的態勢。‘棱鏡’計劃的曝光讓人們更加認識到這種對抗的真實性和嚴重性，會有更多的國家嘗試做類似的事情。這種對抗態勢會破壞國際上很多層面的信任關系，讓本已艱難的網絡安全國際合作的效率和效果下降，阻礙信息通信技術的發展。如果這種狀況得不到改善而任其發展下去的話，對所有的國家、公民來說都不是好事，誰都不是最終的贏家。”（光明網記者張 薇）