經(jīng)濟(jì)觀察報(bào) 曹惺璧/文 當(dāng)前,信息化已經(jīng)滲透到社會生活的每一個角落,商業(yè)領(lǐng)域、政務(wù)領(lǐng)域、國防領(lǐng)域與信息技術(shù)的結(jié)合正變得越來越密切。毫無疑問,我們已步入一個極度依賴信息系統(tǒng)的時代。
然而,一個亟待我們正視的現(xiàn)實(shí)是,目前中國大部分重要領(lǐng)域,如金融、能源、電信等信息基礎(chǔ)設(shè)施中使用的中高端產(chǎn)品和關(guān)鍵服務(wù)都來自國外。有數(shù)據(jù)顯示,中國四大銀行及一些城市商業(yè)銀行的數(shù)據(jù)中心幾乎全部采用思科的設(shè)備,思科持有我國金融業(yè)70%以上的份額。在海關(guān)、公安、武警、工商、教育等國家部委和政府機(jī)關(guān),思科的份額超過50%;在鐵路方面,思科的市場份額達(dá)到60%;民航、空中管制等骨干網(wǎng)絡(luò),幾乎全部采用思科設(shè)備;機(jī)場、碼頭和港口,思科市場份額超過60%。在中國互聯(lián)網(wǎng)行業(yè),思科的市場份額約有60%;在媒體行業(yè),思科的份額達(dá)到80%以上。一個更為具體的數(shù)據(jù)顯示,中國電信的163和中國聯(lián)通169作為中國的骨干網(wǎng),大約承擔(dān)中國互聯(lián)網(wǎng)80%以上的流量,而思科目前大約分別占這兩個骨干網(wǎng)70%和80%以上的份額,占有幾乎所有的超級核心節(jié)點(diǎn)。
這些觸目驚心的數(shù)據(jù)背后隱藏的國家安全隱患讓我們不寒而栗。
在當(dāng)今社會,信息安全早已不是一個簡單的商業(yè)問題,它已成為國家主權(quán)的另一種承載方式。然而一直以來,信息安全問題的重要性在中國被嚴(yán)重低估了,我們在這方面的意識、管理規(guī)范以及立法準(zhǔn)備,都遠(yuǎn)遠(yuǎn)落后于現(xiàn)實(shí)的需要。因此,重新評估信息技術(shù)對國家安全的影響,并制定相應(yīng)的對策,已經(jīng)變得越來越重要與迫切。
在2013年3月3日《經(jīng)濟(jì)觀察報(bào)》主辦的“國家安全與信息主權(quán)”研討會上,國家網(wǎng)絡(luò)信息安全技術(shù)研究所所長杜躍進(jìn)、國際關(guān)系學(xué)院信息部主任陳一民、《中國信息安全》雜志社執(zhí)行主編崔光耀、中國政法大學(xué)知識產(chǎn)權(quán)中心研究員趙占領(lǐng)、工信部電子科學(xué)技術(shù)情報(bào)研究所信息服務(wù)業(yè)研究室主任王忠等各位專家圍繞國家信息安全的話題進(jìn)行了深入解讀。
危機(jī)比想象的更嚴(yán)重
中國每年有多少國內(nèi)的計(jì)算機(jī)被國外秘密控制?2011年的數(shù)據(jù)是890萬以上,2012年則增加到超過1400萬。“這次美國炒作‘中國威脅論’,其中有一個概念叫‘控制和指令中心’,其實(shí)很多的控制和指揮中心就位于美國。”杜躍進(jìn)指出。
國家網(wǎng)絡(luò)信息安全技術(shù)研究所2006年曾經(jīng)做過一個關(guān)于黑客地下產(chǎn)業(yè)鏈的調(diào)查,結(jié)果顯示,2006年全年中國大陸地區(qū)地下產(chǎn)業(yè)鏈產(chǎn)值是2.38億元,即黑客們賺取的利潤是2.38億元,而給國家?guī)淼膿p失卻高達(dá)76億元。
以上所舉都只是皮毛上的威脅,真正的危機(jī)比想象的要嚴(yán)重得多。2009年,中國曾經(jīng)發(fā)生過一次嚴(yán)重的斷網(wǎng)事件,中國有一半以上的電腦陷入癱瘓,而這起事件的起因則是有人出于惡意競爭的動機(jī),攻擊了一個非常小的網(wǎng)站,引起了連鎖反應(yīng)。為什么會這樣?因?yàn)楫?dāng)前在互聯(lián)網(wǎng)領(lǐng)域,用戶之間的依賴性比過去強(qiáng)得多,也復(fù)雜得多。在過去,危險(xiǎn)是看得見的,但是在今天的互聯(lián)網(wǎng),光中國的情況已經(jīng)異常復(fù)雜,更不用說國外。所以任何一個小問題都會引起連鎖反應(yīng),一個小黑客不小心做一件事,就可能會引起全網(wǎng)的癱瘓。而這些一旦被人故意利用,將會帶來意想不到的損失。
作為全球網(wǎng)絡(luò)設(shè)備最大的制造商的思科,此前頻頻爆出的安全漏洞則引起了各方面的普遍憂慮。美國的一位著名網(wǎng)絡(luò)黑客邁克爾·林恩曾指出,思科就像是網(wǎng)絡(luò)世界的一顆定時炸彈。
目前,中國的核心技術(shù)設(shè)備大量使用思科、微軟、英特爾的設(shè)備,特別是思科的設(shè)備,這些設(shè)備左右著我們的網(wǎng)絡(luò)命脈。思科因技術(shù)安全漏洞而頻發(fā)安全故障的案例舉不勝舉。以國內(nèi)來說,2005年7月12日,承載著超過200萬用戶的北京網(wǎng)通ADSL和LAN寬帶網(wǎng),突然同時大面積中斷。根據(jù)事后統(tǒng)計(jì),此次事故影響了至少20萬北京網(wǎng)民。而肇事的服務(wù)器,正是思科提供的設(shè)備。自2011年至今的兩年時間內(nèi),全國各地因?yàn)樗伎?ldquo;設(shè)備故障”引發(fā)的通信事故密集上演。2011年初,廈門電信城域網(wǎng)使用的思科設(shè)備經(jīng)常出現(xiàn)下掛IPTV業(yè)務(wù)異常問題,平均每兩周出現(xiàn)一次,故障很難定位。“在非和平時期,思科的設(shè)備可能會發(fā)揮很大的作用,如果說我們也像伊朗和這些國家被列為敵對國家遭受攻擊,遇到震網(wǎng)病毒、火焰病毒的話,電網(wǎng)一出事,整個國家經(jīng)濟(jì)就癱瘓了。”崔光耀說。
比爾·蓋茨在2004年致員工的一封信中告誡員工:“安全是你們的第一宗旨”,同年,微軟啟動了“高性能計(jì)算機(jī)計(jì)劃”。騰訊、百度、360等中國互聯(lián)網(wǎng)企業(yè)也越來越意識到,信息安全如果出了問題,企業(yè)發(fā)展會受到很大影響。華為則更是在美國拋出華為中興“損害美國國家安全”的論調(diào)后,高度重視安全問題,任正非把安全作為頭等重要的大事,美國的相關(guān)機(jī)構(gòu)來華,任正非本人都要抽出兩個小時,親自進(jìn)行交涉。
然而,信息安全問題并不單純是企業(yè)問題,光靠企業(yè)的力量顯然不夠。
自主可控成共識
針對國家信息安全問題,各位專家給出一些對策:
首先,信息安全要上升到國家戰(zhàn)略,要有頂層設(shè)計(jì)。崔光耀不同意美國封殺中興、華為的做法是“陰謀論”。“這是一個‘陽謀’。美國加強(qiáng)信息安全是公告于天下的,從克林頓政府建立信息高速公路,到布什總統(tǒng)出臺網(wǎng)絡(luò)空間的國家戰(zhàn)略,一直到奧巴馬當(dāng)前的戰(zhàn)略,出臺了很多相關(guān)規(guī)定,成立了相關(guān)的機(jī)構(gòu)。從布什讓克拉克出任安全顧問,到奧巴馬任命霍華德·施密特為網(wǎng)絡(luò)安全協(xié)調(diào)官,成立國土安全部進(jìn)行綜合協(xié)調(diào),這一條線是非常清晰的。奧巴馬多次指出,如果美國的網(wǎng)絡(luò)受到攻擊,可以動用國家所有的力量加以應(yīng)對。美國把安全問題看作是國家利益高于一切的問題。”他指出。
網(wǎng)絡(luò)基礎(chǔ)設(shè)施很多時候會被應(yīng)用到關(guān)系國計(jì)民生和國家安全的重要領(lǐng)域,因此,美國寧可不用華為生產(chǎn)的廉價(jià)而服務(wù)好的設(shè)備,而使用本國企業(yè)生產(chǎn)的設(shè)備。而中國過去多年來,在“GDP壓倒一切”思想的主導(dǎo)下,大量引進(jìn)外資,對外企大開國門,給外企提供超國民待遇,這種開放的心態(tài)才使得思科在中國市場獲得的利潤占到其全球利潤的30%以上,如今思科的通信設(shè)備廣泛進(jìn)入中國的商業(yè)、教育、政府和家庭通信市場。對比美國,中國工程院院士倪光南“電子信息產(chǎn)業(yè)安全的重要性不能以GDP衡量”的告誡猶在耳邊。
崔光耀認(rèn)為,國家當(dāng)前對信息安全的問題重視不足,信息安全要上升到國家戰(zhàn)略的高度,要有頂層設(shè)計(jì)。而當(dāng)前,整個機(jī)構(gòu)設(shè)置、頂層設(shè)計(jì)、戰(zhàn)略的國家力量投入上都不足。
其次,加強(qiáng)立法。趙占領(lǐng)認(rèn)為,信息安全的立法在過去一年雖然被提到了前所未有的高度,但安全立法的框架還存在很多不足。第一,信息安全包括信息資源的安全和信息基礎(chǔ)設(shè)施的安全,當(dāng)前立法的側(cè)重點(diǎn)是在于信息資源的安全,包括內(nèi)容的安全、個人信息保護(hù),而對于信息基礎(chǔ)設(shè)施的安全雖然有立法,但是這種立法可能更多的在于怎樣去保障信息的安全,而對于這種信息基礎(chǔ)設(shè)施的本身的安全,則缺乏很多的規(guī)定,或者說不是關(guān)注的重點(diǎn),這是現(xiàn)在立法比較欠缺的一個地方;第二,信息安全的重視程度這幾年在逐步上升,但還沒有上升到國家戰(zhàn)略的高度層面,無論是美國還是歐盟,他們對信息安全的重視程度,都已上升到國家戰(zhàn)略的層面,同時設(shè)立了一些常設(shè)的機(jī)構(gòu)。一些國家也組建網(wǎng)絡(luò)部隊(duì),他們對信息安全的重視,已經(jīng)超出了經(jīng)濟(jì)方面的安全,更多涉及到軍事、外交等方面的安全。中國從去年信息安全的立法這個方面已經(jīng)逐步的重視,工信部信息安全協(xié)調(diào)司正在起草信息安全的國家的戰(zhàn)略,但是上升到國家安全的戰(zhàn)略層面,還需要一個過程;第三,中國信息安全的立法涉及的監(jiān)管的職能部門非常多,但重疊與空白并存。
再次,自主可控。杜躍進(jìn)指出,中國現(xiàn)在對其他一些國家的產(chǎn)品的依賴性很強(qiáng),不光是路由器,還包括非常大型的軟件系統(tǒng)都運(yùn)行在極其關(guān)鍵的行業(yè)里。隨著國際之間的冷戰(zhàn)態(tài)勢越來越嚴(yán)重,如果不擺脫這種依賴,就可能會被利用從而給我們帶來很大風(fēng)險(xiǎn)。崔光耀認(rèn)為,做好自主可控就要強(qiáng)化我們自己民族的信息安全產(chǎn)業(yè),特別要加強(qiáng)監(jiān)管,加強(qiáng)國家力量的介入,在制度上理直氣壯去學(xué)習(xí)國外的東西,美國、英國都有很多的制度值得我們學(xué)習(xí)和借鑒。
當(dāng)然,要從根本上改變對國外的依賴,國內(nèi)企業(yè)也要加強(qiáng)自身的研發(fā)實(shí)力,政府也需要克服自身存在的一些問題。王忠領(lǐng)導(dǎo)的工信部電子科學(xué)技術(shù)情報(bào)研究所信息服務(wù)業(yè)研究室曾經(jīng)做過一項(xiàng)調(diào)研。為什么政府部門都愿意采購國外的產(chǎn)品,采購?fù)鈬a(chǎn)的軟件?采購最多的還是數(shù)據(jù)庫,因?yàn)閲a(chǎn)的數(shù)據(jù)庫問題很大,即便是采購國產(chǎn)的,用的時候同樣是采購的外國產(chǎn)的軟件。采購的國產(chǎn)軟件一旦出現(xiàn)故障,領(lǐng)導(dǎo)一問起來就會有問題,如果是外國產(chǎn)的,就沒有問題,為了規(guī)避責(zé)任,就采用外國進(jìn)口的軟件。
最后,中國要勇于在國際上發(fā)聲。在信息安全領(lǐng)域,中國人在國際上很少出聲,中國的媒體也很少有這方面報(bào)道。所以,最終就變成其他國家一味地在批評中國,到處都充斥著針對中國的“黑客威脅論”,聽不見中國的聲音。其中一個真實(shí)的情況是,在2007年底,全世界都發(fā)生了以竊取敏感數(shù)據(jù)、商業(yè)機(jī)密、科研秘密、國家秘密等攻擊行為,可是全世界沒有聽到中國的聲音,西方媒體都在說中國竊密。