“棱镜”的警示和启示
发布时间:2013-7-14 19:59
发布者:1770309616
关键词:
棱镜
|
6月中旬,一个叫爱德华·斯诺登的美国中央情报局前特工震惊了世界。无论他是不是“叛徒”,是伸张正义还是泄露国家机密,有一点是毋庸置疑的,那就是美国政府在监视世界各国政府、官员、企业、大学、包括美国人民在内的世界人民,收集各种情报、秘密和个人隐私信息。 根据斯诺登的指证,美国情报部门监视网民数据和电话的行动代号是“棱镜”,由美国国家安全局(NSA)自2007年起开始实施,是一个绝密级电子监听活动。该活动对美国互联网公司的外国用户进行全面的窃听与监控,包括任何在美国以外的地区使用美国公司服务的客户,以及任何与国外通信的美国境内人员。针对普通公民的电话监控可以让美国政府情报机构获取并存储海量通讯信息,包括时间、地点、通话人、频次与通话时长等等。加入和参与NSA棱镜计划的美国互联网公司包括微软(包含许多中国人使用的电子邮件服务Hotmail)、谷歌、雅虎、Facebook、Skype和苹果。根据华盛顿邮报提供的绝密级别的幻灯片,NSA能够获取用户的电子邮件、聊天记录、视频、照片等所有存储的信息,甚至可以扩展到用户的社交网络细节。 美国政府的情报部门不是单枪匹马,而是得到了美国各类企业和社会组织的协助和配合的。超过上千家科技、金融和制造业公司与美国国家安全部门紧密合作,向其提供敏感信息,同时也获得机密情报。这些参与者被称作“可信合作伙伴”,范围远远超过“棱镜”计划。根据斯诺登本月曝光的机密信息,NSA通过谷歌等互联网公司持续收集数千万美国居民的电话记录,以及美国国外人士的计算机通信数据。实际上,人们与这些美企打交道的时候,等于是住进了他们的酒店,结果酒店的所有镜子全是单透镜子,而镜子后面就是摄像机。美国情报机构不仅窃取信息,还重点收集可以收集用户名和密码,用于入侵其他国家的任何一台计算机,其中不仅包括敌对国家,也包括非敌对国家甚至是美国的盟国。 实际上,真实的情况又要严重得多。美国情报部门的雷达和探针所及,要比前述的范围还要深远广阔得多。当今的世界是一个全球性的整体网络世界,其中使用的许多交换机、线缆和网络设备均由美国公司运营和维护,因此美国情报部门收集数据的方法和手段可以说是法力无边、手眼通天。全球性流动的信息、设备参数信息、互联网数据在当今的大数据技术和数据挖掘技术的支持之下,能获得什么简直无法想象。不仅是在酒店,我们自己家里的镜子、电视、窗户、灯泡后面也到处都是摄像机。这也就是为什么美国人死活不让华为进入美国市场的原因,因为他们怕别人像他们一样。 奥巴马政府的解释是出于反恐的需求。这个解释冠冕堂皇,不能说错,但是在美国的情报战略中的分量却微乎及微。美国情报机构的任务当然是服务于美国的全面国家竞争——政治、军事、外交、经济、文化、教育等,也包括企业的全球竞争。不然的话,无利不起早,何以有这么多美国企业涉入其中?成千上万的硬件企业、软件公司、银行、互联网安全公司、卫星通信公司和信息企业早都是美国政府情报行动队的队员了。 斯诺登提供的最新机密文件显示,美英两国的间谍机构在2009年G20峰会上大肆窃听各国领导的电话、截取了外交人员的电子邮件。GCHQ (英国国防部)竭尽所能、瞒天过海,甚至设立了虚假的网络咖啡厅,用截夺电子邮件的软件和键盘记录软件等方法监视各国领导人的电脑与手机;用间谍软件入侵目标人物的黑莓手机,偷得电子邮件和电话信息。GCHQ的45位情报分析人员获得了一份各国领导在峰会上的实况电话记录。例如,土耳其财政部长与他的15名下属全部被严密监视。GCHQ与美国情报机构有密切的合作,因此也得到了美国国防部提供的时任俄罗斯总统梅德韦杰夫的电话记录和其他各种信息。 其实,美国政府和情报机构的这些活动事实早就存在,而且还会一直存在下去。这就是国际关系,这就是国家战略,这就是全球竞争。去纠结正义还是违法这个问题毫无意义,问题是我们应该如何应对?难道美国情报机构会放过参加国际重要会议的中国领导人?会放过中国企业和中国人民? 只要参与国际合作谈判、只要是使用美国的信息服务,无论中国政府官员、企业官员甚至是普通老百姓,都不可避免地会被监视、监听、监控。也许我们很多人还不自知、甚至不以为然。在我们国家的反腐过程中,就曾经发现,有些腐败官员的银行账号、财产情况、关联企业和情人,我们还不了解,而国外的情报机构却了如指掌。甚至有些官员因此而被国外机构和企业要挟、控制和摆布。很多企业都不知道,在国际商业竞争中,常常我们在谈判桌上跟人家讨价还价的时候,自以为早有预案,其实对方头天晚上就已经从有关人员的Hotmail邮箱得到了预案的全部内容。很多官员也不明白为什么外方的投标总是最恰如其分,其实在项目招标之前,对方就已经通过互联网拿到了标底。 根据调研,世界500强的美国企业中有90%以上的公司都设有情报部门。在情报和反情报方面,我们真的还很落后,尤其是基层政府和很多企业,连基本的正确认知都还没有。这种情况导致我国的信息不断外流、盲目决策。因此,这次的“棱镜”事件,应该能给予我们足够的警示和启示了。 后“棱镜”时代 莫让信息安全鸿沟越拉越大 斯诺登因曝光“棱镜”计划而迈上一条四处逃亡的路。在我们怀着追美剧般的好奇心去关注其命运时,我们恐怕需要更多地聚焦“棱镜”计划本身,反思自我。“棱镜”计划只是美国情报监控系统冰山一角,该系统设立的初衷是保证美国国家安全,它针对的不是美国公民,而是它认为需要监控的一切美国之外的信息,而被监控的对象当然也包括中国。 在这个互联网高度发达的时代,美国拥有最先进的技术和产品,具备软件环境和硬件资源等多重优势,整体形成了发展模式上的主导地位。如今,在享受其所提供的便利时,我们不得不对它产生越来越多的依赖,但与此同时,我们也已在不知不觉中让自身信息更多地暴露出去。正因如此,当“棱镜”计划曝光出来,我们有些不知所措。如果再不增强自身信息安全自主可控能力,继续无节制地依赖他国,我们可能就会像温水中的青蛙一样慢慢被煮掉。 
今年6月,美国中情局(CIA)前职员爱德华·斯诺登将两份绝密资料交给英国《卫报》和美国《华盛顿邮报》,使美国国家安全局代号为“棱镜”的秘密项目公之于众,在“棱镜”项目下,过去6年,美国国家安全局和联邦调查局通过进入谷歌、苹果、雅虎等九大网络巨头的服务器,可实时跟踪用户电邮、聊天记录、视频、音频、文件、照片等上网信息,全面监控特定目标及其联系人的一举一动。 “棱镜”起源于2001年美国副总统切尼所倡导的星风计划(StellarWind),2004年,由于该项目未能通过美国司法部的审查,美国前总统小布什将其一拆为四,即 “主干道”(MainWay)、“码头”(Marina)、“核子”(Nucleon)和“棱镜”(PRISM),其中,“棱镜”的主要作用是通过美国互联网厂商所开放的数据接口进行数据信息收集。 实际上,与美国完备的监控系统和网络空间战略相比,“棱镜”只是冰山一角。 2010年,美国互联网监控成本接近300亿元人民币,其中包括间谍设备、间谍设备保养、数据存储、互联网流量、数量分析等各方面费用。今天这一数字变得更大。美国在监听中所采用的光纤弯曲法(电缆弯曲形成散射以便对信号进行侦听)、窃听散射法(利用激光技术窃听)等先进技术已超出普通人想象。 在美国,政府联合大公司进行监控的行为由来已久。早在1916年至1918年间,美国的战争部(国防部前身)、海军部、国务院等机构,就是主要依靠私营企业协助,来完成密码编制、破译等各项工作的。从20世纪初期到21世纪的今天,美国政府与公司之间围绕国家安全展开的密切合作,已经拓展为一个产业,2008年的统计数据显示,美国政府每年有70%的情报预算都外包给了私人公司。 美国网络空间威力令人咂舌 在全球网络空间中,美国有着绝对的控制力,互联网起源于美国,美国各大互联网公司完全有能力帮助政府影响别国的信息安全。5年前,微软“黑屏事件”已经向我们展示出这种威力。所有连接网络的计算机需要服务时,必须通过域名系统才能找到正确的服务器。而目前,全球共有13台域名根服务器,其中,1台为主根服务器,设在美国,其他12台副根服务器有9台设在美国,另外3台分别在英国、瑞典和日本。从理论上说,美国通过根服务器,可轻易地进行全球范围的情报窃取、网络监控和攻击。反观中国,并没有自己的根域名服务器,我国对网上服务器的访问智能依赖于国外服务器的指示。 美国在网络空间战的准备中不遗余力。美军黑客部队雏形最早可追溯到1988年,当时,美国国防部建立了三军计算机应急反应中队,各军种分别设一分队,而那个时候,世界多数国家对计算机网络还知之甚少。此后20多年,美国一直在系统地发展网络战能力,并逐步将执行网络空间任务作为美军建设的重点领域。2009年,美国创建了网络战司令部,成为全球首个公开将战争机构引入互联网的国家。2010年美军网络战司令部运行之初,其活动预算是1.5亿美元,2013年已增长到1.82亿美元。 从信息安全方面看,美国政府在信息安全研发上的投入也一直在增加。2014年,美国政府各部门在信息安全技术研究方面的经费将占整个信息技术研发投入的1/4,这一比例仅次于对高性能计算机的经费投入。 值得深思的是,纵然美国已经控制了网络基础技术,在技术和产品方面也早已实现完全“自主可控”,美国的信息安全之弦依然绷得比谁都紧。2012年,美国政府强调,网络袭击等同于武装袭击,应该受到战争法则的约束,这意味着,对付网络攻击,美国将不排除采用常规战争手段。美国元首出访别国,所用的防窃听手段也令人惊叹。他们会尽量选择“自己人”开的酒店,实在没有“安全”的地方,就在行李中带上移动“保密帐篷”(学名为“敏感信息隔离设施”),这种“保密帐篷”有独立的空气供给,能保证其中的笔记本电脑、收音机、电话等设备的电磁辐射不会泄漏,它还有“入侵检测系统”以防范各种形式的闯入。 国内信息安全现实堪忧 中国是被监视的重灾区。中国国家互联网应急中心的报告显示,仅去年就有7.3万个境外IP地址参与了控制中国境内1400余万台主机的网络攻击事件;有3.2万个境外IP地址通过植入后门,对中国境内近3.8万个网站进行了远程控制。 然而,我们的信息安全意识却与美国差距甚大。互联网时代,我们已越来越习惯于享受信息系统带来的种种便利,在不知不觉中对相关软硬件产品、服务乃至模式产生无法摆脱的依赖,同时对信息安全隐患却表现出不应有的麻木。在信息和网络的漫长链条上,谁都有机会接触到我们提交的数据(不乏机密数据),任何一个环节都可能出现安全问题。 谈到信息安全,我们可能谈得更多的是产品安全、技术水平等,聚焦供应链安全的却很少。但实际上,由于我们对外依赖度高,从信息系统的生产者,到信息系统的运行维护者,再到服务的提供者,谁都可能接触到我们的机密数据。正如启明星辰首席战略官潘柱廷所说,“棱镜”的曝光应该让我们认识到,主流供应链安全比其他安全问题更具有根本性和彻底性,目前我们对此重视不够,甚至损失供应链安全去换取一些其他东西,这非常危险。 而在中国信息安全自主可控能力不足的背后,是中国信息安全顶层战略设计的缺失。在IDF互联网威慑防御实验室联合创始人万涛看来,中国信息安全产业经历的20年,最需要反思的是国家层面的安全,但事实上,从业者在实践中却常常急功近利,怎么赚钱怎么来。“棱镜门”警醒我们,如果只有投机而没有战略,就根本谈不上与别国展开博弈。 在安全技术层面,国家网络信息安全技术研究所所长、中国国家互联网应急中心(CNCERT/CC)副总工程师杜跃进指出,目前,我国在网络安全能力上全面不足,包括:漏洞研究与漏洞处理、事件发现与早期预警、事件处置与应急响应、应急预案与应急演练、安全测试与渗透测试、软件安全与安全编程、攻防研究与演练验证,都存在能力缺陷。 信息安全人才的缺乏让安全产业发展后劲不足。与英美发达国家相比,中国高校的信息安全专业教育与实际人才需求存在较大的鸿沟,缺乏适合实践的体系化培训。国内高校信息安全相关专业教学中,很多信息安全专业的主要学习内容是密码学,这对信息安全实践工作来说远远不够。 中国信息安全走向何方 斯诺登爆出的“棱镜”计划背后是美国完备的情报体系,而中美在网络空间中的巨大差距更是令人汗颜。说“棱镜”的曝光将改写中国信息安全产业格局确实有点夸张,因为改变并非一蹴而就。不过,正如万涛所言,“棱镜”事件无疑会成为一个触发变化的节点,我们已经到了一个十字路口,一个不能不改变的时刻,我们需要奋起直追。而这个过程中,政府、企业、学界,乃至个人,都不能再坐以待毙,行动,就在眼前。 面对别国监控和攻击行动,我们必须建立起自己的网络威胁应对机制,提高防范能力。安全专家建议,我们需要开展“网络战”演习,以此提高我们应对网络攻击的实战能力,并在此基础上建立应对机制,对网络威胁做到事前预防,及时处理。 今后,我们不仅需要做一些扎扎实实的技术研究,更需要从国家战略层面出台相关政策,从外交、立法等层面做一些工作。美国互联网巨头、网络设备巨头的入侵,越来越明显地威胁到中国互联网安全。“中国仅单纯地谴责,不足以给美国政府构成威慑。”北京邮电大学教授曾剑秋建议,中国尽快研究和出台一些反制政策。如针对美国企业建立严格的审查机制,加大对中国互联网设备的采购力度。从去年华为、中兴在美国受阻,到今年曝光的“棱镜门”,面对种种问题,毫无反制之力的我们却显得不知所措。 未来,我们需要打破发达国家对网络基础设施和网络服务的垄断,增强自主可控性。在网络战中,一些国外IT企业在所属国的授意下,不仅可让敌方遭到入侵,更可以拒绝对其提供网络基础设施运行等服务,使敌方网络陷入瘫痪。因此,增强自主可控是我国网络安全防御的重要任务之一。我们需要积极开发具有自主知识产权的网络软硬件系统,还需要实施核心网络与互联网隔离:军事、金融、电力等国家要害系统独立建网,以保证安全。 在互联网世界中对外依赖度颇高的情况下,在各个环节均不可靠的体系中,要构建一个基本安全可控的整体框架谈何容易。短期内要完全实现信息安全自主可控并不现实。在目前情况下,我们能做什么? 杜跃进表示,目前,我们在技术产品、系统运行、数据这三个大的领域还不能实现自主可控。在实现自主可控之前,短期内可以考虑的思路是:通过第三方安全测试和安全产品互相制约来缓解可能出现的问题。比如,如果你的大型服务器只能用A国的产品,那与此相连的其他环节就尽量不用B国的产品,如审计监测系统。此外,还需要加强自身的第三方安全测试、安全监测、协议和数据分析等方面的研究和能力建设。 “棱镜”计划被爆出,还让我们看到,美国政府部门和私营企业在关键战略产业上的完美协作,既维护了国家安全,又在国家安全产业上赢得了商业利益,这对我们而言是一个巨大的挑战,但又何尝不是一个很好的示范。在安天实验室首席技术架构师肖新光看来,未来,中国的民企将一定会在国家安全战略中起到重要作用,民企的自强有着非常重大的意义。 |
网友评论