12“棱镜门”事件带来的启示

1“棱镜门”事件带来的启示2013.10.21来源：科技日报作者：王闯2013年6月，美国代号为“棱镜”的秘密监视项目遭到曝光。从披露的信息看，美国依靠其在信息技术及产业上的巨大优势，绕过各国的信息安全防护，实现了对整个国际网络空间的监控。对我国而言，从根本上构建自主可控的信息安全产业体系，扭转我国信息安全的被动局面已是刻不容缓。1948年，英国作家乔治·奥威尔创作了一部讽刺小说——《1984》。在虚构的“大洋国”，人们的一言一行被一种称为“电幕”的高科技手段密切监控。这并不是臆想，现实版已经上演。2007年，美国国家安全局开始实施绝密电子监听计划——“棱镜”计划，它的触角已经延伸到世界各地。值得深思的是，美国之所以能够如此大范围地开展监控活动，关键在于其拥有强大的信息技术及产业优势。因此，要改变我国在网络空间博弈中的被动局面，也必须从根本入手。庞大产业支撑美国“棱镜”计划1.美国具备了国际产业市场的绝对统治力。美国凭借其在信息技术上的巨大优势，在操作系统、数据库、网络设备等信息安全基础领域占据了全球大部分市场份额。在芯片方面，国际知名厂商中大部分都是美国企业，如英特尔、AMD、高通等。在桌面操作系统方面，微软的统治地位至今无人可以撼动，市场份额超过96%。在移动操作系统方面，则由谷歌的安卓系统把控，市场份额已超过85%。在浏览器方面，来自美国企业的产品IE、Firefox、Chrome和Safari占据了全球市场的前四位，份额超过98%。在数据库方面，甲骨文、IBM和微软三家企业的产品占据着85%左右的市场份额。2.美国掌握了国际网络空间的实际控制权。全球13台根域名服务器2中的10台在美国，其大型数据库占到全球的70%。在美国的掌控下，信息网络充满风险。一方面，美国控制着全世界的网络空间，其他国家只能租借互联网地址和域名。这种格局下，美国可以随意让任何一个国家从互联网上消失。例如，2003年伊拉克战争期间，美国政府就曾授意互联网名称与数字地址分配机构（ICANN）终止对伊拉克国家顶级域名“.iq”的解析。另一方面，虽然美国一直宣称“保护互联网自由”，但依据美国法律，政府可以以国家安全为由对互联网进行监视。“棱镜门”正是对这一事实的揭露。3.美国实现了新兴信息技术的快速发展。近年来，美国持续采取多种政策措施对云计算和大数据等新兴信息技术进行支持。在云计算方面，美国将其定位为维持国家核心竞争力的重要手段之一，并通过强制政府采购和指定技术架构来推进云计算技术进步和产业发展。在大数据方面，美国发布了大数据研发计划，“大数据高级指导小组”并将其提高到国家战略的层面，形成了全体动员格局。4.美国建立了密切的政企合作机制。美国的信息技术和互联网管理职能大部分由私营机构掌控，为了加强对网络空间的管理和控制，美国不断加强和深化与IT企业之间的合作。美国发布的《网络空间行动战略》和《网络空间可信身份国家战略》等相关文件都明确提出，要加强政府部门与私营机构之间的合作。“棱镜门”事件暴露出的信息表明，美国国家安全局和美国联邦调查局可直接接入微软、谷歌、Facebook、苹果等9家美国IT企业中心服务器，挖掘数据，搜集情报，全面监控民众的网络行为。透过“棱镜”看我国的信息安全产业“棱镜门”事件展示了强大的信息安全产业基础对国家安全的重要作用，也揭示了我国信息安全产业发展的诸多问题。1.产业发展基础还需夯实。目前，我国信息安全产业发展还有不少问题亟待解决，集中表现在以下两个方面：其一，相对于基础技术的发展，我国产业界更加注重经济效益。事实证明，缺乏独立自主的基础信息技术，整体信息安全则无法实现。其二，信息安全企业整体实力相对较弱，缺少3经济实力雄厚、研发能力强大的行业龙头企业，对国家信息安全保障的支撑力不足。2.自主创新能力严重不足。由于我国信息技术起步晚，技术实力与西方国家存在代差，在安全操作系统、安全芯片等信息安全基础技术上，一直没能实现突破。在云计算、大数据等新兴信息技术方面，我国与国外几乎同时起步，但在信息安全保障方面却已远远落后。另外，我国自主创新环境有待优化。国内产业界和学术界自主创新积极性不足，知识产权保护有待加强。3.产业发展受到多方制约。我国信息安全产业发展一直饱受国外打压。一方面，西方国家针对我国采取了高技术产品禁运政策，限制高等级信息安全产品对华出口，包括B1级以上的操作系统和数据库等。另一方面，又通过多种手段对我国进入国际市场的高科技企业进行遏制。4.国内市场受制于人。我国在金融、化工等关键领域的信息系统严重依赖国外技术产品，网络空间控制权难以掌控。以思科为例，在基础网络方面，它占据了我国骨干网络超过70%的份额；在金融行业，占了70%以上的份额；在铁路系统，其份额约占60%；在石油、制造、轻工和烟草等行业，思科的份额也超过60%。5.信息安全支撑能力较弱。一是在密码破译、战略预警、态势感知、舆情掌控等信息安全核心技术产品上与西方国家还有较大差距。二是在关键技术和产品的信息安全测评方面还存在技术缺失，对进口技术和产品的检测主要集中在功能性测试，不能及时发现产品的安全漏洞和“后门”。三是政府与信息安全企业互动不足。信息安全产业需要深度变革解决我国信息安全问题的根本在于实现产业的独立自主。“君子弃瑕以拔才，壮士断腕以全质”，我国信息安全产业需要深度变革。1.大力改善信息安全技术自主创新环境。大力支持自主可控信息安全产业的发展，通过资金和其它优惠政策，鼓励有实力的企业介入开发周期长、资金回收慢的信息安全基础产品；依托高校、研究机构和企业自主创4新平台，加大核心信息技术的投入，严格管理研究资金，推动研究成果转化；加强信息安全市场的政策引导，合理利用国际规则，约束国外企业在国内市场的发展，为自主信息安全产品提供更好的生存空间。2.加速建设自主可控的信息安全生态体系。整合国家科研资源，多部委合作，加强安全芯片、安全操作系统、安全数据库等基础信息安全技术的攻关；促进上下游应用产品的开发，完善自主技术产品应用环境，提高相关技术产品的可用性；从思想上改变对国外信息技术产品的依赖性，制定切实可行的国产化替代时间表，从政府部门和国家关键领域开始，分领域推进国产化替代，带动从基础产品到应用产品以及包括服务在内的具有完全自主知识产权产业的发展。3.全面加强信息安全技术产品市场规范。启动核心信息技术产品的信息安全检查和强制性认证工作，依照应用领域的安全等级设定不同的检查要求；加强对国外进口技术、产品和服务的漏洞分析工作，提升发现安全隐患的能力，明确国外信息技术企业在国内提供产品、技术和服务时的责任和义务，对从事关键行业数据搜集和数据分析业务的企业采取备案和黑名单制度；建立新兴技术的信息安全预警机制，成立专门机构对新兴技术的信息安全隐患进行分析和研究，针对关键领域或部门出台强制性标准或规定，限制新兴技术的使用方式和范围，对掌握关键领域数据的企业进行管控。4.发展结构完整层次分明的信息安全产业。重点培育几家具有较强信息安全实力的企业，专门为政府、军队等提供整体架构设计和集成解决方案，形成解决国家级信息安全问题的承包商；重点发展一批提供行业解决方案和完整产品线的专业信息安全企业，具备提供完整的产品、设备，以及某个具体层面解决方案的能力；鼓励发展提供专用、新型技术和产品的独立信息安全企业，专门提供信息安全专用技术和产品，协助前两类企业，向政府和企业用户提供产品和技术。