時(shí)針轉回至10月8日,美國國會(huì )發(fā)布報告稱(chēng)華為、中興可能對美國國家安全構成安全威脅,并警告美國公司不要與這兩家中國公司有業(yè)務(wù)往來(lái)。
隨后披露的美國白宮調查結果對這種指控進(jìn)行了有力的回擊:沒(méi)有明顯證據表明華為替中國政府從事間諜活動(dòng)。但是這份調查報告仍表示,華為中興的設備可能存在被黑客利用的漏洞,從而對美國的網(wǎng)絡(luò )基礎設施造成危害。
一時(shí)間,華為中興“安全門(mén)”事件使得網(wǎng)絡(luò )信息安全再次成為業(yè)界討論的熱門(mén)話(huà)題。
沒(méi)有絕對的安全
其實(shí),沒(méi)有一家設備提供商的設備是絕對安全的。
在美國眾議院特別情報委員會(huì )的報告中寫(xiě)到,網(wǎng)絡(luò )給美國國家安全以及經(jīng)濟利益所帶來(lái)的威脅是一個(gè)不可規避的具有優(yōu)先級的威脅問(wèn)題,基于這樣的考慮,所以建議相關(guān)公司避免選用華為中興的設備。
然而,采用了本土設備的美國網(wǎng)絡(luò )基礎設施架構就安全了嗎?答案顯然是否定的。
作為世界上最早建立和使用計算機網(wǎng)絡(luò )的國家,美國一直將信息安全擺在美國國家安全戰略的高度。然而,層層保護的美國信息安全體系還是遭到攻擊。2010年11月,維基解密網(wǎng)站公布數十萬(wàn)份美國外交機密文件。美國在人們心目中樹(shù)立的強大的安全保護體系印象瞬間土崩瓦解。
而且這一事件的發(fā)生并沒(méi)有使得美國的安全體系變得更為強大。維基解密網(wǎng)站繼續公布和美國相關(guān)的文件。最近的是在10月25日,維基解密網(wǎng)站當地時(shí)間25日開(kāi)始公布新一批的美國國防文件,數量達100多份。
信息安全專(zhuān)家、中國計算機學(xué)會(huì )常務(wù)理事、北京啟明星辰公司首席戰略官潘柱廷在接受《通信產(chǎn)業(yè)報》(網(wǎng))記者采訪(fǎng)時(shí)表示:“所有的計算機和網(wǎng)絡(luò )相關(guān)產(chǎn)品都存在漏洞,沒(méi)有一家企業(yè)能夠采用相應的技術(shù)和產(chǎn)品來(lái)證明自己的產(chǎn)品是絕對安全的。”
即使美國企業(yè)思科提供的設備同樣存在諸多安全漏洞。潘柱廷向記者表示:“思科的交換機曾經(jīng)發(fā)生過(guò)漏洞,造成了很大的信息完全問(wèn)題。不管是后門(mén)也好,漏洞也好,都會(huì )對網(wǎng)絡(luò )和信息安全產(chǎn)生巨大威脅。”
2010年7月,思科向用戶(hù)發(fā)出緊急通告稱(chēng),其CDS系統發(fā)現了嚴重的安全漏洞,攻擊者能夠利用這些安全漏洞任意篡改用戶(hù)密碼代碼。而今年7月11日,思科在其在官方網(wǎng)站上發(fā)布公告,旗下高端網(wǎng)真產(chǎn)品線(xiàn)軟件出現漏洞,有被人窺視的風(fēng)險。
而且由于思科產(chǎn)品漏洞引發(fā)的網(wǎng)絡(luò )故障不勝枚舉。思科產(chǎn)品最近一次發(fā)生大面積故障是在一個(gè)月前,2012年9月20日,著(zhù)名電信運營(yíng)商AT&T的部分大客戶(hù)在亞特蘭大的ME業(yè)務(wù)出現故障,部門(mén)區域電話(huà)/互聯(lián)網(wǎng)中斷長(cháng)達3小時(shí),造成網(wǎng)絡(luò )中斷的原因,就是思科的核心路由器7600出現了故障。
而思科的設備在中國出現大面積故障的情況則可以追溯到2005年7月12日。當時(shí),承載著(zhù)200萬(wàn)用戶(hù)以上的北京網(wǎng)通ADSL和LAN寬帶網(wǎng),突然大面積中斷,事故大約影響了20萬(wàn)北京網(wǎng)民。
甚至連安全企業(yè)RSA也在去年遭遇黑客攻擊。報告稱(chēng),RSA被一種業(yè)內稱(chēng)之為高持續性威脅的復雜網(wǎng)絡(luò )攻擊,會(huì )導致一些秘密信息從RSA的SecurID雙因素認證產(chǎn)品中被提取出來(lái)。RSA客戶(hù)包括一些大軍事機構、政府、各種銀行及醫療和醫保設備。同樣,安全廠(chǎng)商賽門(mén)鐵克也曾發(fā)生過(guò)用戶(hù)數據泄露的事件。
可以看到,即使是安全廠(chǎng)商也不能保證他們的設備便是完全可靠的。
那么在全球使用最為廣泛的微軟Windows操作系統和Office辦公軟件安全嗎?答案也是否定的。國外媒體報道,一直以來(lái),對于大多數消費者和企業(yè)用戶(hù)來(lái)講,微軟Windows操作系統的安全都是一個(gè)噩夢(mèng)。為了確保企業(yè)使用Windows操作系統的安全性,包括賽門(mén)鐵克、邁克菲、趨勢科技在內的安全廠(chǎng)商都推出了豐富的解決方案。
而如今,網(wǎng)絡(luò )安全已經(jīng)從固網(wǎng)延伸至智能終端上。去年三月初,Android出現一系列的惡意應用軟件,這些應用軟件可竊取用戶(hù)數據和未得手機主人確認許可下“撥出”電話(huà)或發(fā)昂貴的短信。由于該問(wèn)題在技術(shù)上沒(méi)有找到好的解決辦法,谷歌Android官方應用商店不得不宣布將56款包含木馬的手機應用下架。
網(wǎng)絡(luò )戰時(shí)代來(lái)臨,信息安全提至國家層面
繼陸地、海洋、天空和太空之后,戰爭已經(jīng)進(jìn)入了第五空間:網(wǎng)絡(luò )空間。美國總統奧巴馬已經(jīng)宣布,美國的數字化基礎設施屬于“國家戰略資產(chǎn)”,并任命微軟的前安全總管霍華德·施密特(Howard·Schimidt)作為網(wǎng)絡(luò )安全總指揮。2010年5月,五角大樓成立了一個(gè)新的網(wǎng)絡(luò )司令部(Cybercom),擔任領(lǐng)導的是國家安全局局長(cháng)基思·亞歷山大(Keith·Alexander)將軍,他的任務(wù)是開(kāi)展“全方位”行動(dòng)——以保衛美國的軍事網(wǎng)絡(luò )和攻擊他國的系統。
網(wǎng)絡(luò )戰會(huì )是什么樣?負責反恐和網(wǎng)絡(luò )安全的白宮前幕僚理查德·克拉克(Richard Clarke)在他的書(shū)中設想了十五分鐘之內造成的災難性破壞。計算機病毒讓軍方的Email系統癱瘓;造成煉油廠(chǎng)和輸油管道爆炸;空中交通管制系統癱瘓;貨運和城市鐵路列車(chē)出軌;金融數據被涂改;美東電網(wǎng)斷電;軌道衛星運轉失控。隨著(zhù)食物緊缺,資金鏈斷裂,整個(gè)社會(huì )很快分崩離析。最糟糕的是,攻擊者的身份一直成謎。
由網(wǎng)絡(luò )安全公司McAfee發(fā)表的“虛擬犯罪報告”稱(chēng),這一切已經(jīng)從科幻小說(shuō)變成了現實(shí)。該報告警告說(shuō),網(wǎng)絡(luò )攻擊對國家的基礎設施有“破壞性的”影響,電網(wǎng)、供水系統和金融市場(chǎng)都處在危險之中。
因此,近年來(lái),美國對網(wǎng)絡(luò )安全的研究和實(shí)踐已經(jīng)處在全世界非常前沿的位置。“所以,華為中興事件不是孤立的,而是美國對網(wǎng)絡(luò )安全、網(wǎng)絡(luò )戰爭的持續性思考和實(shí)踐背景下做出的動(dòng)作。華為中興事件不僅僅是一種慣性的主動(dòng)防御也更具有美國先發(fā)制人的意味。”業(yè)內專(zhuān)家分析。
美國已經(jīng)成為最為積極和深度使用網(wǎng)絡(luò )戰的國家。據了解在過(guò)去數年伊朗的核工業(yè)網(wǎng)絡(luò )和核心設施持續遭遇到來(lái)自網(wǎng)絡(luò )病毒的攻擊和破壞便是美國主導的。2012年6月,美國和以色列官員最終承認和證實(shí),雙方對伊朗采用了網(wǎng)絡(luò )戰武器(Stuxnet、Duqu、Flame病毒)。Stuxnet病毒又稱(chēng)為“震網(wǎng)”病毒,一直潛伏在伊朗核設施中所使用的西門(mén)子設備,該病毒已經(jīng)輾轉侵入核設施離心機的工業(yè)軟件,長(cháng)達一年沒(méi)有被發(fā)現,感染了伊朗至少6萬(wàn)臺計算機。
安全專(zhuān)家分析,“震網(wǎng)”病毒不像普通的病毒木馬,需要非常專(zhuān)業(yè)的專(zhuān)家和資金投入才能研發(fā)出來(lái),可以說(shuō)是美國精心制造的網(wǎng)絡(luò )武器。專(zhuān)家提醒,美國可能還擁有更多的網(wǎng)絡(luò )武器,有些可能早已潛伏進(jìn)美國之外的各種設備中,等待喚醒。
而我國一旦遭遇“網(wǎng)絡(luò )戰”,或將造成非常嚴重的后果。這是因為,我國的網(wǎng)絡(luò )基礎設施大部分依賴(lài)思科、微軟和英特爾美國企業(yè)提供。
據了解,思科占據了中國電信163骨干網(wǎng)絡(luò )70%以上的份額,把持著(zhù)163骨干網(wǎng)所有的超級核心節點(diǎn)和絕大部分普通核心節點(diǎn);更是占據了中國聯(lián)通169骨干網(wǎng)80%以上的份額,把持著(zhù)所有超級核心、國際交換節點(diǎn)、國際匯聚節點(diǎn)和互聯(lián)互通節點(diǎn)。與此同時(shí),我國的計算機系統等設備幾乎全部采用英特爾的芯片,而操作系統和辦公軟件則依賴(lài)微軟提供。
更嚴重的是,在密碼后門(mén)、加密算法及協(xié)議設計等方面,思科IOS系統卻有著(zhù)鮮為人知的缺憾和威脅。2010年的黑帽大會(huì )上,IBM互聯(lián)網(wǎng)安全系統公司的研究人員Tom Cross論證說(shuō),黑客可輕易的利用思科IOS操作系統中的后門(mén),對路由器進(jìn)行管理配置,進(jìn)而將整個(gè)網(wǎng)絡(luò )置身于未知的風(fēng)險中。
而且在現網(wǎng)思科路由器產(chǎn)品中,使用的乃是上世紀70年代的加密算法DES(數據加密標準)。這種算法是1972年由美國IBM公司研制確定的,并已經(jīng)被多次證明不再安全,即使一臺普通的PC機,也能夠在10分鐘內完成DES算法的破解。
不僅如此,思科在協(xié)議報文的認證中,使用的也是DES算法,而這種極易被破解的算法,很容易造成用戶(hù)密碼的泄露,進(jìn)而對用戶(hù)安全造成威脅。
帶有如此硬傷的網(wǎng)絡(luò )設備,正在維系著(zhù)中國現網(wǎng)的運轉,由此不難想象,我國網(wǎng)絡(luò )安全已然到了緊要時(shí)刻。
潘柱廷指出:“中國的骨干網(wǎng)的接入設備大部分采用是的思科的設備,思科是目前世界上網(wǎng)絡(luò )設備主要廠(chǎng)商之一,掌握著(zhù)核心技術(shù),而一旦發(fā)生安全問(wèn)題,中國的信息網(wǎng)絡(luò )會(huì )全面癱瘓,后果不可小覷”。
因此,華為中興“安全門(mén)”事件也發(fā)出警示:我國政府必須把信息系統安全問(wèn)題提到關(guān)系國家安全和國家主權的戰略性高度。
據了解,“9·11”之后,美國政府很快設立了專(zhuān)門(mén)的總統網(wǎng)絡(luò )空間安全顧問(wèn),就信息安全問(wèn)題向總統直接匯報。對照我國,一直以來(lái),而中國的信息安全則是由信息安全部門(mén)負責。
中國計算機學(xué)會(huì )秘書(shū)長(cháng)、CCF YOCSEF創(chuàng )始人杜子德表示:“中國在國家安全上,應該學(xué)習美國,重視中國的網(wǎng)絡(luò )和信息安全問(wèn)題。”
中國科學(xué)院院士倪光南則表示:“信息安全關(guān)系到一個(gè)國家的信息主權問(wèn)題,我們必須自己掌握。”
建立對國外設備的安全審查制度
可以看到,網(wǎng)絡(luò )信息安全已經(jīng)成為國家安全的核心內容和關(guān)鍵要素,并日益成為整個(gè)社會(huì )安全的基礎。因此,專(zhuān)家呼吁,保障通信安全應建立審查制度,從設備采購為始,對設備進(jìn)行嚴格的審查,以長(cháng)期監管維護為終,進(jìn)行系統的定期審查,才能保障中國網(wǎng)絡(luò )信息安全。
目前,華為的網(wǎng)絡(luò )設備也被大規模運用在歐洲主流運營(yíng)商中,便是基于華為和政府以及運營(yíng)商之間的信任。
例如,在英國,政府與華為達成協(xié)議,采取了初步措施來(lái)解決問(wèn)題,建立了擁有獨立管理權的信息安全評估中心(CSEC)。CSEC獨立管理對華為在英國部署的電信基礎網(wǎng)絡(luò )設備和軟件的安全評估,并將評估的結果提供給英國的運營(yíng)商和政府。英國政府的目的是試圖減少華為在英國關(guān)鍵的電信基礎網(wǎng)絡(luò )中部署的產(chǎn)品帶來(lái)的威脅。
微軟為了表明系統的安全性,也與多個(gè)國家的政府簽署源代碼授權查看條約。例如,我國早在2003年便成立了中國信息安全產(chǎn)品測評認證中心源代碼查看實(shí)驗室,通過(guò)協(xié)議規定的方式查看微軟公司W(wǎng)indows操作系統的源代碼,進(jìn)行信息安全方面的研究。
潘柱廷建議,可由中國信息安全測評中心出面,參照調查微軟的方式,查看思科設備的源代碼并存檔。
此外他建議:“參照英國等國家的做法,要求思科遵循國際通用準則,由第三方機構做出評測,并提交安全報告。”
據了解,這個(gè)國際通用準則被稱(chēng)為“信息技術(shù)安全評價(jià)通用準則”(The Common Criteria for Information Technology security Evaluation,CC)。CC已經(jīng)成為國際主流的安全評價(jià)標準,被多個(gè)國家應用。
潘柱廷表示:“我們并不主張中國政府效仿美國國會(huì )的做法,而是希望能夠積極引入第三方測評工作,保證我國信息系統的安全。”
