我國(guó)須建立對(duì)國(guó)外設(shè)備的安全審查制度

時(shí)針轉(zhuǎn)回至10月8日，美國(guó)國(guó)會(huì)發(fā)布報(bào)告稱華為、中興可能對(duì)美國(guó)國(guó)家安全構(gòu)成安全威脅，并警告美國(guó)公司不要與這兩家中國(guó)公司有業(yè)務(wù)往來(lái)。
隨后披露的美國(guó)白宮調(diào)查結(jié)果對(duì)這種指控進(jìn)行了有力的回?fù)簦簺](méi)有明顯證據(jù)表明華為替中國(guó)政府從事間諜活動(dòng)。但是這份調(diào)查報(bào)告仍表示，華為中興的設(shè)備可能存在被黑客利用的漏洞，從而對(duì)美國(guó)的網(wǎng)絡(luò)基礎(chǔ)設(shè)施造成危害。
一時(shí)間，華為中興“安全門”事件使得網(wǎng)絡(luò)信息安全再次成為業(yè)界討論的熱門話題。
沒(méi)有絕對(duì)的安全
其實(shí)，沒(méi)有一家設(shè)備提供商的設(shè)備是絕對(duì)安全的。
在美國(guó)眾議院特別情報(bào)委員會(huì)的報(bào)告中寫到，網(wǎng)絡(luò)給美國(guó)國(guó)家安全以及經(jīng)濟(jì)利益所帶來(lái)的威脅是一個(gè)不可規(guī)避的具有優(yōu)先級(jí)的威脅問(wèn)題，基于這樣的考慮，所以建議相關(guān)公司避免選用華為中興的設(shè)備。
然而，采用了本土設(shè)備的美國(guó)網(wǎng)絡(luò)基礎(chǔ)設(shè)施架構(gòu)就安全了嗎?答案顯然是否定的。
作為世界上最早建立和使用計(jì)算機(jī)網(wǎng)絡(luò)的國(guó)家，美國(guó)一直將信息安全擺在美國(guó)國(guó)家安全戰(zhàn)略的高度。然而，層層保護(hù)的美國(guó)信息安全體系還是遭到攻擊。2010年11月，維基解密網(wǎng)站公布數(shù)十萬(wàn)份美國(guó)外交機(jī)密文件。美國(guó)在人們心目中樹立的強(qiáng)大的安全保護(hù)體系印象瞬間土崩瓦解。
而且這一事件的發(fā)生并沒(méi)有使得美國(guó)的安全體系變得更為強(qiáng)大。維基解密網(wǎng)站繼續(xù)公布和美國(guó)相關(guān)的文件。最近的是在10月25日，維基解密網(wǎng)站當(dāng)?shù)貢r(shí)間25日開始公布新一批的美國(guó)國(guó)防文件，數(shù)量達(dá)100多份。
信息安全專家、中國(guó)計(jì)算機(jī)學(xué)會(huì)常務(wù)理事、北京啟明星辰公司首席戰(zhàn)略官潘柱廷在接受記者采訪時(shí)表示：“所有的計(jì)算機(jī)和網(wǎng)絡(luò)相關(guān)產(chǎn)品都存在漏洞，沒(méi)有一家企業(yè)能夠采用相應(yīng)的技術(shù)和產(chǎn)品來(lái)證明自己的產(chǎn)品是絕對(duì)安全的。”
即使美國(guó)企業(yè)思科提供的設(shè)備同樣存在諸多安全漏洞。潘柱廷向記者表示：“思科的交換機(jī)曾經(jīng)發(fā)生過(guò)漏洞，造成了很大的信息完全問(wèn)題。不管是后門也好，漏洞也好，都會(huì)對(duì)網(wǎng)絡(luò)和信息安全產(chǎn)生巨大威脅。”
2010年7月，思科向用戶發(fā)出緊急通告稱，其CDS系統(tǒng)發(fā)現(xiàn)了嚴(yán)重的安全漏洞，攻擊者能夠利用這些安全漏洞任意篡改用戶密碼代碼。而今年7月11日，思科在其在官方網(wǎng)站上發(fā)布公告，旗下高端網(wǎng)真產(chǎn)品線軟件出現(xiàn)漏洞，有被人窺視的風(fēng)險(xiǎn)。
而且由于思科產(chǎn)品漏洞引發(fā)的網(wǎng)絡(luò)故障不勝枚舉。思科產(chǎn)品最近一次發(fā)生大面積故障是在一個(gè)月前，2012年9月20日，著名電信運(yùn)營(yíng)商AT&T的部分大客戶在亞特蘭大的ME業(yè)務(wù)出現(xiàn)故障，部門區(qū)域電話/互聯(lián)網(wǎng)中斷長(zhǎng)達(dá)3小時(shí)，造成網(wǎng)絡(luò)中斷的原因，就是思科的核心路由器7600出現(xiàn)了故障。
而思科的設(shè)備在中國(guó)出現(xiàn)大面積故障的情況則可以追溯到2005年7月12日。當(dāng)時(shí)，承載著200萬(wàn)用戶以上的北京網(wǎng)通ADSL和LAN寬帶網(wǎng)，突然大面積中斷，事故大約影響了20萬(wàn)北京網(wǎng)民。
甚至連安全企業(yè)RSA也在去年遭遇黑客攻擊。報(bào)告稱，RSA被一種業(yè)內(nèi)稱之為高持續(xù)性威脅的復(fù)雜網(wǎng)絡(luò)攻擊，會(huì)導(dǎo)致一些秘密信息從RSA的SecurID雙因素認(rèn)證產(chǎn)品中被提取出來(lái)。RSA客戶包括一些大軍事機(jī)構(gòu)、政府、各種銀行及醫(yī)療和醫(yī)保設(shè)備。同樣，安全廠商賽門鐵克也曾發(fā)生過(guò)用戶數(shù)據(jù)泄露的事件。
可以看到，即使是安全廠商也不能保證他們的設(shè)備便是完全可靠的。
那么在全球使用最為廣泛的微軟Windows操作系統(tǒng)和Office辦公軟件安全嗎?答案也是否定的。國(guó)外媒體報(bào)道，一直以來(lái)，對(duì)于大多數(shù)消費(fèi)者和企業(yè)用戶來(lái)講，微軟Windows操作系統(tǒng)的安全都是一個(gè)噩夢(mèng)。為了確保企業(yè)使用Windows操作系統(tǒng)的安全性，包括賽門鐵克、邁克菲、趨勢(shì)科技在內(nèi)的安全廠商都推出了豐富的解決方案。
而如今，網(wǎng)絡(luò)安全已經(jīng)從固網(wǎng)延伸至智能終端上。去年三月初，Android出現(xiàn)一系列的惡意應(yīng)用軟件，這些應(yīng)用軟件可竊取用戶數(shù)據(jù)和未得手機(jī)主人確認(rèn)許可下“撥出”電話或發(fā)昂貴的短信。由于該問(wèn)題在技術(shù)上沒(méi)有找到好的解決辦法，谷歌Android官方應(yīng)用商店不得不宣布將56款包含木馬的手機(jī)應(yīng)用下架。
網(wǎng)絡(luò)戰(zhàn)時(shí)代來(lái)臨，信息安全提至國(guó)家層面
繼陸地、海洋、天空和太空之后，戰(zhàn)爭(zhēng)已經(jīng)進(jìn)入了第五空間：網(wǎng)絡(luò)空間。美國(guó)總統(tǒng)奧巴馬已經(jīng)宣布，美國(guó)的數(shù)字化基礎(chǔ)設(shè)施屬于“國(guó)家戰(zhàn)略資產(chǎn)”，并任命微軟的前安全總管霍華德·施密特(Howard·Schimidt)作為網(wǎng)絡(luò)安全總指揮。2010年5月，五角大樓成立了一個(gè)新的網(wǎng)絡(luò)司令部(Cybercom)，擔(dān)任領(lǐng)導(dǎo)的是國(guó)家安全局局長(zhǎng)基思·亞歷山大(Keith·Alexander)將軍，他的任務(wù)是開展“全方位”行動(dòng)——以保衛(wèi)美國(guó)的軍事網(wǎng)絡(luò)和攻擊他國(guó)的系統(tǒng)。
網(wǎng)絡(luò)戰(zhàn)會(huì)是什么樣?負(fù)責(zé)反恐和網(wǎng)絡(luò)安全的白宮前幕僚理查德·克拉克(Richard Clarke)在他的書中設(shè)想了十五分鐘之內(nèi)造成的災(zāi)難性破壞。計(jì)算機(jī)病毒讓軍方的Email系統(tǒng)癱瘓;造成煉油廠和輸油管道爆炸;空中交通管制系統(tǒng)癱瘓;貨運(yùn)和城市鐵路列車出軌;金融數(shù)據(jù)被涂改;美東電網(wǎng)斷電;軌道衛(wèi)星運(yùn)轉(zhuǎn)失控。隨著食物緊缺，資金鏈斷裂，整個(gè)社會(huì)很快分崩離析。最糟糕的是，攻擊者的身份一直成謎。
由網(wǎng)絡(luò)安全公司McAfee發(fā)表的“虛擬犯罪報(bào)告”稱，這一切已經(jīng)從科幻小說(shuō)變成了現(xiàn)實(shí)。該報(bào)告警告說(shuō)，網(wǎng)絡(luò)攻擊對(duì)國(guó)家的基礎(chǔ)設(shè)施有“破壞性的”影響，電網(wǎng)、供水系統(tǒng)和金融市場(chǎng)都處在危險(xiǎn)之中。
因此，近年來(lái)，美國(guó)對(duì)網(wǎng)絡(luò)安全的研究和實(shí)踐已經(jīng)處在全世界非常前沿的位置。“所以，華為中興事件不是孤立的，而是美國(guó)對(duì)網(wǎng)絡(luò)安全、網(wǎng)絡(luò)戰(zhàn)爭(zhēng)的持續(xù)性思考和實(shí)踐背景下做出的動(dòng)作。華為中興事件不僅僅是一種慣性的主動(dòng)防御也更具有美國(guó)先發(fā)制人的意味。”業(yè)內(nèi)專家分析。
美國(guó)已經(jīng)成為最為積極和深度使用網(wǎng)絡(luò)戰(zhàn)的國(guó)家。據(jù)了解在過(guò)去數(shù)年伊朗的核工業(yè)網(wǎng)絡(luò)和核心設(shè)施持續(xù)遭遇到來(lái)自網(wǎng)絡(luò)病毒的攻擊和破壞便是美國(guó)主導(dǎo)的。2012年6月，美國(guó)和以色列官員最終承認(rèn)和證實(shí)，雙方對(duì)伊朗采用了網(wǎng)絡(luò)戰(zhàn)武器(Stuxnet、Duqu、Flame病毒)。Stuxnet病毒又稱為“震網(wǎng)”病毒，一直潛伏在伊朗核設(shè)施中所使用的西門子設(shè)備，該病毒已經(jīng)輾轉(zhuǎn)侵入核設(shè)施離心機(jī)的工業(yè)軟件，長(zhǎng)達(dá)一年沒(méi)有被發(fā)現(xiàn)，感染了伊朗至少6萬(wàn)臺(tái)計(jì)算機(jī)。
安全專家分析，“震網(wǎng)”病毒不像普通的病毒木馬，需要非常專業(yè)的專家和資金投入才能研發(fā)出來(lái)，可以說(shuō)是美國(guó)精心制造的網(wǎng)絡(luò)武器。專家提醒，美國(guó)可能還擁有更多的網(wǎng)絡(luò)武器，有些可能早已潛伏進(jìn)美國(guó)之外的各種設(shè)備中，等待喚醒。
而我國(guó)一旦遭遇“網(wǎng)絡(luò)戰(zhàn)”，或?qū)⒃斐煞浅?yán)重的后果。這是因?yàn)?，我?guó)的網(wǎng)絡(luò)基礎(chǔ)設(shè)施大部分依賴思科、微軟和英特爾美國(guó)企業(yè)提供。
據(jù)了解，思科占據(jù)了中國(guó)電信163骨干網(wǎng)絡(luò)70%以上的份額，把持著163骨干網(wǎng)所有的超級(jí)核心節(jié)點(diǎn)和絕大部分普通核心節(jié)點(diǎn);更是占據(jù)了中國(guó)聯(lián)通169骨干網(wǎng)80%以上的份額，把持著所有超級(jí)核心、國(guó)際交換節(jié)點(diǎn)、國(guó)際匯聚節(jié)點(diǎn)和互聯(lián)互通節(jié)點(diǎn)。與此同時(shí)，我國(guó)的計(jì)算機(jī)系統(tǒng)等設(shè)備幾乎全部采用英特爾的芯片，而操作系統(tǒng)和辦公軟件則依賴微軟提供。
更嚴(yán)重的是，在密碼后門、加密算法及協(xié)議設(shè)計(jì)等方面，思科IOS系統(tǒng)卻有著鮮為人知的缺憾和威脅。2010年的黑帽大會(huì)上，IBM互聯(lián)網(wǎng)安全系統(tǒng)公司的研究人員Tom Cross論證說(shuō)，黑客可輕易的利用思科IOS操作系統(tǒng)中的后門，對(duì)路由器進(jìn)行管理配置，進(jìn)而將整個(gè)網(wǎng)絡(luò)置身于未知的風(fēng)險(xiǎn)中。
而且在現(xiàn)網(wǎng)思科路由器產(chǎn)品中，使用的乃是上世紀(jì)70年代的加密算法DES(數(shù)據(jù)加密標(biāo)準(zhǔn))。這種算法是1972年由美國(guó)IBM公司研制確定的，并已經(jīng)被多次證明不再安全，即使一臺(tái)普通的PC機(jī)，也能夠在10分鐘內(nèi)完成DES算法的破解。
不僅如此，思科在協(xié)議報(bào)文的認(rèn)證中，使用的也是DES算法，而這種極易被破解的算法，很容易造成用戶密碼的泄露，進(jìn)而對(duì)用戶安全造成威脅。
帶有如此硬傷的網(wǎng)絡(luò)設(shè)備，正在維系著中國(guó)現(xiàn)網(wǎng)的運(yùn)轉(zhuǎn)，由此不難想象，我國(guó)網(wǎng)絡(luò)安全已然到了緊要時(shí)刻。
潘柱廷指出：“中國(guó)的骨干網(wǎng)的接入設(shè)備大部分采用是的思科的設(shè)備，思科是目前世界上網(wǎng)絡(luò)設(shè)備主要廠商之一，掌握著核心技術(shù)，而一旦發(fā)生安全問(wèn)題，中國(guó)的信息網(wǎng)絡(luò)會(huì)全面癱瘓，后果不可小覷”。
因此，華為中興“安全門”事件也發(fā)出警示：我國(guó)政府必須把信息系統(tǒng)安全問(wèn)題提到關(guān)系國(guó)家安全和國(guó)家主權(quán)的戰(zhàn)略性高度。
據(jù)了解，“9·11”之后，美國(guó)政府很快設(shè)立了專門的總統(tǒng)網(wǎng)絡(luò)空間安全顧問(wèn)，就信息安全問(wèn)題向總統(tǒng)直接匯報(bào)。對(duì)照我國(guó)，一直以來(lái)，而中國(guó)的信息安全則是由信息安全部門負(fù)責(zé)。
中國(guó)計(jì)算機(jī)學(xué)會(huì)秘書長(zhǎng)、CCF YOCSEF創(chuàng)始人杜子德表示：“中國(guó)在國(guó)家安全上，應(yīng)該學(xué)習(xí)美國(guó)，重視中國(guó)的網(wǎng)絡(luò)和信息安全問(wèn)題?！?br /> 中國(guó)科學(xué)院院士倪光南則表示：“信息安全關(guān)系到一個(gè)國(guó)家的信息主權(quán)問(wèn)題，我們必須自己掌握。”
建立對(duì)國(guó)外設(shè)備的安全審查制度
可以看到，網(wǎng)絡(luò)信息安全已經(jīng)成為國(guó)家安全的核心內(nèi)容和關(guān)鍵要素，并日益成為整個(gè)社會(huì)安全的基礎(chǔ)。因此，專家呼吁，保障通信安全應(yīng)建立審查制度，從設(shè)備采購(gòu)為始，對(duì)設(shè)備進(jìn)行嚴(yán)格的審查，以長(zhǎng)期監(jiān)管維護(hù)為終，進(jìn)行系統(tǒng)的定期審查，才能保障中國(guó)網(wǎng)絡(luò)信息安全。
目前，華為的網(wǎng)絡(luò)設(shè)備也被大規(guī)模運(yùn)用在歐洲主流運(yùn)營(yíng)商中，便是基于華為和政府以及運(yùn)營(yíng)商之間的信任。
例如，在英國(guó)，政府與華為達(dá)成協(xié)議，采取了初步措施來(lái)解決問(wèn)題，建立了擁有獨(dú)立管理權(quán)的信息安全評(píng)估中心(CSEC)。CSEC獨(dú)立管理對(duì)華為在英國(guó)部署的電信基礎(chǔ)網(wǎng)絡(luò)設(shè)備和軟件的安全評(píng)估，并將評(píng)估的結(jié)果提供給英國(guó)的運(yùn)營(yíng)商和政府。英國(guó)政府的目的是試圖減少華為在英國(guó)關(guān)鍵的電信基礎(chǔ)網(wǎng)絡(luò)中部署的產(chǎn)品帶來(lái)的威脅。
微軟為了表明系統(tǒng)的安全性，也與多個(gè)國(guó)家的政府簽署源代碼授權(quán)查看條約。例如，我國(guó)早在2003年便成立了中國(guó)信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心源代碼查看實(shí)驗(yàn)室，通過(guò)協(xié)議規(guī)定的方式查看微軟公司W(wǎng)indows操作系統(tǒng)的源代碼，進(jìn)行信息安全方面的研究。
潘柱廷建議，可由中國(guó)信息安全測(cè)評(píng)中心出面，參照調(diào)查微軟的方式，查看思科設(shè)備的源代碼并存檔。
此外他建議：“參照英國(guó)等國(guó)家的做法，要求思科遵循國(guó)際通用準(zhǔn)則，由第三方機(jī)構(gòu)做出評(píng)測(cè)，并提交安全報(bào)告。”
據(jù)了解，這個(gè)國(guó)際通用準(zhǔn)則被稱為“信息技術(shù)安全評(píng)價(jià)通用準(zhǔn)則”(The Common Criteria for Information Technology security Evaluation，CC)。CC已經(jīng)成為國(guó)際主流的安全評(píng)價(jià)標(biāo)準(zhǔn)，被多個(gè)國(guó)家應(yīng)用。
潘柱廷表示：“我們并不主張中國(guó)政府效仿美國(guó)國(guó)會(huì)的做法，而是希望能夠積極引入第三方測(cè)評(píng)工作，保證我國(guó)信息系統(tǒng)的安全?！?br />
來(lái)源：通信產(chǎn)業(yè)網(wǎng)