侯峰:借鉴美国经验,高度重视和积极推进信息安全的社会化、商业化和体制化建设

十年前笔者参加美国信息安全会议,其中一个议题就是美国电网智能控制工程,权威人士特别强调,电网这种关系到国家安危的项目绝不容许任何外国技术参与,即使盟国也不例外,给笔者留下极为深刻的印象。道理很简单,一旦电网被别人通过后门或漏洞所控制或瘫痪,整个国家就瘫痪了。一台中毒电脑导致台积电网络全系统瘫痪三日。那么无论政府网、铁路干线网、电网被敌对势力通过后门所渗透,一旦爆发战争,顷刻之间,就可以瘫痪全中国,这绝非危言耸听。这就是为什么美国誓死不让中兴、华为网络设备进入美国的重要原因。

侯峰:借鉴美国经验,高度重视和积极推进信息安全的社会化、商业化和体制化建设

随着信息化的快速发展,网络信息安全已经成为影响社会各个层面、关乎国家安全的战略性问题。保障网络安全直接关系到国计民生、经济平稳运行和国防安全,是一个国家一个民族生死存亡的头等大事。然而在信息安全领域,无论从国家战略层面、政府监管力度、重要产业防护水平、到全民信息安全意识、网络安全体系架构、以及信息安全基础理论和软硬件生产都存在令人担忧的短板。

一、美国居安思危的战略安全意识和体制保障

2005年5月1日联想集团完成对IBM全球个人电脑业务的收购,令常人不可思议的是,美国政府立即启动政府部门及涉及国计民生重要企事业单位IBM相关电脑用户改用美国国产电脑(如Dell等)的在线IBM电脑的替换工程,尽管这些被替换的现有设备都是联想接手IBM PC前生产的。

2014年10月30日,联想宣布收购摩托罗拉移动智能手机业务。美国政府再次启动相关单位替换摩托罗拉手机的工程。联想并购摩托罗拉手机后,美国品牌的手机就剩下苹果一家,而美国政府采购限制购买奢侈产品,令美国政府处于两难境地,苹果手机太贵,不得已,采购盟国三星的低端手机产品替代原摩托罗拉留下的体制内市场。

2012年以来华为的业务已经从140个国家扩张到170个国家,并且宣称全球最大的50家无线运营商现有45个为其客户。2016年华为整体营收达到750亿美元,除电信设备业务外,华为智能手机也颇受市场欢迎。而今年华为智能手机与美国AT&T签约,准备推进美国市场,美国政府却以威胁美国安全为由封杀。紧接着美国政府宣布,中兴、华为、联想威胁美国国家安全。

事实上长期以来美国严格禁止华为中兴的网络设备进入美国,包括智能手机在内的华为主流产品都被美国禁入,而中兴在美国销售的产品,全都是家庭用小设备。

美国政府为什么对中国信息技术产品如此忌惮?

2013年6月5日,前中情局(CIA)职员爱德华·斯诺登将两份绝密资料交给英国《卫报》和美国《华盛顿邮报》,披露美国国家安全局有一项代号为“棱镜”的秘密项目,要求电信巨头威瑞森公司必须每天上交数百万用户的通话记录。6月6日,美国《华盛顿邮报》披露称,过去6年间,美国国家安全局和联邦调查局通过微软、谷歌、苹果、雅虎等九大网络巨头的服务器,监控每个公民的电子邮件、聊天记录、视频及照片等秘密资料。

随后斯诺登进一步曝光的美国“棱镜”计划,就包括美国所有软硬件信息技术产品都给美国政府留着后门,成为平时用于监听,战时控制他国的利器。美国不仅监听中俄这样的敌对国家,而且斯诺登还披露美国大规模监听联合国秘书长、德国总理、巴西总统等与美国友好国际机构及国家的政要。

美国在信息技术领域拥有绝对优势,是网络信息战的始作俑者,包括在所有民用软硬件信息技术产品留有后门,是为平时暗中监控他国,战时控制、瘫痪敌方国家命脉战略部署的先行者、也是唯一实践者。无论从理论研究、战略战术部署、乃至“网震”病毒摧毁伊朗核浓缩设施、及伊拉克战争瘫痪伊防空系统等信息战实战经验等,使得美国成为网络攻防、信息安全体制机制建设最成熟的国家。

正因为美国充分利用信息技术产品为美国国家战略服务,因此就最惧怕中国相关产业,包括华为、中兴、联想的产品为中国战略利益服务。

随着中国计算机信息产业的快速崛起,华为、中兴的网络技术已经与美国思科同台竞技,在世界范围内攻城掠地,后来居上,开始改变美国利用技术垄断监控世界的现状。

美国人心里明白,美国所有计算机、网络软硬件生产企业都给美国政府留着后门,他国(特别是中国、俄国这样的敌对国家)设备、技术也“必然涉嫌”留着后门。怎么能容忍中兴、华为自主技术的信息产品进入美国市场呢?

美国朝野上下对国家安全的敏感程度十分值得中国政府和行业研究和借鉴。美国作为高科技的引领着,信息技术知识产权拥有大国,极为重视高技术在国家安全上的影响。美国建立的以行政机构为主导,融合总统和国会处理意见的安全审查方式,也较好地达到经济投资和国家安全平衡的目的,足见美国政府战略安全意识根深蒂固的理念及成熟的体制机制。

2018年8月13日美国总统特朗普签署生效《2019财年国防授权法》,其中,法案要求美国外国投资委员会(CIFIUS)更加严格审查外资收购美国公司。美国外国投资委员会由美国财政部长担任委员会主席,由国防部部长、国土安全部部长、国务卿、商务部部长、能源部部长、司法部部长、美国贸易代表、白宫科技政策办公室主管等共同组成。同时,白宫国家安全工作人员、白宫经济顾问委员会、白宫国家经济委员会、管理与预算办公室等可以以“观察员”身份参与审查。九个永久席位每人只有一票,对于交易实行一票否决制,如果有任何一个人不同意,该交易可能就不被执行。如果联想并购IBM PC放在今天特朗普行政当局审查,恐怕就很难过关了。

二、战略安全意识的缺失、信息安全体制建设落伍是中国信息安全最大的短板

美国所有主流软硬件信息技术产品都给美国政府留着后门已经是众所周知的常识。然而,2018年9月13日《科技日报》刊文称,Windows 10神州网信政府版简称“政府版”,虽然名为“政府版”,但win10仍未通过安全审查。尽管没有通过市场准入,调查却发现,目前已有广东汕头、中科院自然科学研究所、中国农业技术开发中心等政府、机构采购了这一操作系统。

谁能保证微软在中国市场推出的 “政府版”不给美国政府留着后门。中国政府网即使有一台计算机使用微软“政府版”给美国政府留着后门,对于政府网意味着什么?其实任何专业人士都明白。

微软Win 10政府版团队已选择中国海关、上海市经济与信息化委员会和卫士通三家机构作为典型用户对Windows 10中国政府版进行了试用。联想将成为首个预装Win10政府版的厂商。2017年11月,中国政府采购网刊发通知,称win10定制版操作系统已列入中央预算单位协议供货范围,中央预算单位可以按需采购。另外,财政部制定政府采购信息发布媒体——中国政府采购新闻网在《2017年中国政府采购大事记》中,也特别提到正版软件采购网已上架win10政府版操作系统。https://m.guancha.cn/economy/2018_09_13_471955.shtml?s=zwyxgtjbt

联想并购IBM PC,美国政府立即着手替换所有IBM相关产品。而中国却主动向微软敞开大门,足见中国社会,包括政府部门及科研单位对于信息安全的意识与美国有着巨大差距。

三、信息安全关乎国家命运、民族兴衰

2018年8月7日《第一财经》报道“三天亏10多亿!台积电中毒“想哭”,连累苹果发新品”!此次事件源自台积电一台中毒电脑未经检测就连入系统,导致台积电网络全系统感染。所幸,此事件非针对性后台遥控黑客攻袭,没有对现有数据加密,勒索软件却没有勒索,没有人为直接破坏,否则,台积电损失恐怕难以估计。

2017年5月爆发的“想哭”勒索病毒,就是利用了微软Windows系统一个底层服务的漏洞MS17-010(或者说给美国政府专门预留的后门),该漏洞可以影响445端口,黑客就是通过在网络上扫描开放的445端口,然后把蠕虫病毒植入被攻击电脑。

此事件导致微软操作系统成为众矢之的,微软(Microsoft)出乎意外地向美国政府发出了抨击,指责美国政府“囤积”网络武器、为“想哭”(WannaCry)这类勒索软件发起的攻击提供了方便。微软法律总顾问布拉德-史密斯(Brad Smith)在一篇措辞激烈的博客文章中写道:“全球各国政府应该把这次攻击视为一记警钟”。微软在其声明中首次公开证实了安全分析师和情报官员只会私下吐露的说法:黑客用来散播病毒的技术,是最初由美国国家安全局(NSA)开发的,后来又被人从该局窃走。史密斯写道:“这次攻击是又一个例子,证明了为何政府囤积软件漏洞是如此重大的问题。”这句话指向了维基解密(WikiLeaks)披露的、美国中央情报局(CIA)对明显的漏洞加以利用的行为。

此事件再次表明,美国政府本身就是网络战的始作俑者,美国特别明白信息安全的战略意义、技术特征、漏洞及后门的作用,因而美国拥有世界最先进网络攻击和防备的技术和手段。故也极为重视全社会、特别是关系国计民生重点产业信息安全的政府监管、社会化推动,商业化普及,已经建立一套完善的信息安全网络。

十年前笔者参加美国信息安全会议,其中一个议题就是美国电网智能控制工程,权威人士特别强调,电网这种关系到国家安危的项目绝不容许任何外国技术参与,即使盟国也不例外,给笔者留下极为深刻的印象。道理很简单,一旦电网被别人通过后门或漏洞所控制或瘫痪,整个国家就瘫痪了。

一台中毒电脑导致台积电网络全系统瘫痪三日。那么无论政府网、铁路干线网、电网被敌对势力通过后门所渗透,一旦爆发战争,顷刻之间,就可以瘫痪全中国,这绝非危言耸听。这就是为什么美国誓死不让中兴、华为网络设备进入美国的重要原因。

以美国为师,建设疏而不漏,严谨有序、充满活力的信息安全体系

美国把信息安全当作国家安全的头等战略大事,从上至下建立了完备的信息安全网络。美国国家安全局、国防部、国土安全部、能源部、联邦调查局等政府机构从不同领域建立严密的信息安全构架,不断完善各种如PDRR模型、P2DR模型、IATF框架和黄金标准框架等信息安全机制建设,把各种网络安全防范单元进行有机集成、整合,通过社会化、商业化,快速推动信息安全意识的培养、人才储备、以及信息安全技术和监控的普及,危机反应机制的健全,形成网络信息安全防范系统。

美国基本实现立体化网络信息安全架构,而中国信息安全领域仍处在各自为政、点状布局的阶段,急需增强政府的监管力度,社会化、商业化普及,推动全民、特别是政府和产业信息安全意识和规范、快速升级信息安全技术和手段,标准化信息安全机制建设。

笔者1979级清华大学毕业,出国前参与政府改革开放早期工作,曾在国务院发展研究中心前身短暂借调工作,目前在美国中亚利桑那工程从事信息安全、系统管理工作20年,见证美国社会信息安全领域的进步、特别是911以后不断完善的全过程,体会到美国的经验有不少值得中国借鉴学习的地方。笔者有比较详细的设想和计划,希望同有关部门合作,利用大数据及网络技术推进信息安全的社会化、商业化和体制化建设,迅速提升中国全社会信息安全水平,满足日益严峻的国家安全需求。

【侯峰,察网专栏作家,旅美工程师,从事信息安全,系统控制和管理工作

「赞同、支持、鼓励!」

察网 CWZG.CN

感谢您的支持!
您的打赏将用于网站日常维护费用及作者稿费。
我们会更加努力地创作来回馈您!
如考虑对我们进行捐赠,请点击这里

使用微信扫描二维码完成支付

标签: 信息安全 美国

请支持独立网站,转发请注明本文链接:http://www.cwzg.cn/theory/201910/52110.html