“棱镜门”事件折射中国信息安全隐忧

　　“棱镜”事件仍在发酵。29岁的美国人斯诺登的一举一动，都牵动着整个世界的神经。近日，他通过德国《明镜周刊》再爆猛料，称美国曾对欧盟办公室的电脑做手脚，以进入欧盟内部网络。随着这部现实版“谍战片”剧情的不断推进，围绕“棱镜”事件的讨论也越发热烈。联想到本国现状，人们不禁发出疑问：“棱镜”事件给我国信息安全带来哪些警示？如何让国家的信息安全建设自主可控？“棱镜”背后，会否隐藏着更多大规模秘密情报监视项目？

　　对此，记者采访了中国工程院院士倪光南、中国国家网络信息安全技术研究所所长杜跃进、中国科学院研究生院信息安全国家重点实验室教授吕述望、北京邮电大学互联网治理与法律研究中心主任李欲晓等几位专家学者，请他们从安全防护、产业发展、法律建设、战略规划等角度来解读“棱镜”事件。

　　“棱镜”给我国信息安全保护敲响警钟

　　好莱坞电影《国家公敌》中有这样一个情节，就是网民的信息被人完全操控，然而这样骇人的场景竟成了现实——当世界各地的民众在使用谷歌、脸谱、苹果等知名公司的网络产品进行社交、办公或储存信息时，他们绝不会想到自己屏幕的背后正隐藏着美国情报部门的身影。换句话说，我们在网上的一举一动，都可能被美国情报部门看在眼里，记在“芯”上。

　　我们不得不承认，美国在信息和通信技术领域始终拥有着绝对优势。中国工程院院士倪光南指出，美国掌控着因特网的基础资源。“目前因特网的主根服务器在美国，其余12台辅根服务器有9台在美国，2台在欧洲，1台在日本。据说，在主根服务器系统上还有一个更高级的、隐藏着的母服务器，当然也在美国。全世界所有的顶级域名都是由这台母服务器来确定的，即使是中国的顶级域名.cn也同样依赖于根服务器，所以中国因特网是否可用，控制权在美国手中；而且，这种情况在相当长的时间里还很难改变。”

　　“此外，我国计算机及网络信息系统使用的主要操作系统和芯片、数据库、路由器等核心技术，以及互联网领域的核心基础服务等，也都掌握在美国手中。”中国国家网络信息安全技术研究所所长杜跃进告诉记者。

　　目前，国内政府部门和企业对外国品牌的电子产品、信息技术产品过分依赖。据报道，在涉及政府、海关、邮政、金融、铁路、民航、医疗、军警等国家关键信息基础设施的建设中，频频出现美国“八大金刚”(思科、IBM、谷歌、高通、英特尔、苹果、甲骨文、微软)的影子，特别是美国思科参与了中国几乎所有大型网络项目的建设——这种情形，无疑对我国信息安全构成了潜在威胁。

　　“我们所有的数据都要流经网络设备，外国的信息服务提供商通过向中国市场提供服务，从中获得大量信息，虽不必然带来损害，但是存在风险。如果我们意识不到安全风险的存在，将对公民权益保障乃至国家安全带来巨大的威胁。”北京邮电大学互联网治理与法律研究中心主任李欲晓说。

　　中国科学院研究生院信息安全国家重点实验室教授吕述望对此也不无担忧：“美国多个信息监控和挖掘项目铺天盖地地‘入侵’中国，可我们却全然不知，近似‘裸身’般被包围着。”在他看来，信息新科技、新应用的迅速发展为我国的信息安全带来了更多未知的风险。

　　“‘棱镜’计划还只是信息窃取事件，之前伊朗核设施被‘震网’病毒破坏，这已经不是窃密，而是毁坏基础设施。美国宣称建立了强大的‘网络武器库’，那里面还有什么我们不得而知，而且这些被逐渐披露的事件对各种动机的网络攻击势力都具有启发作用，使我们正在面临着不同于过去的严重风险。因此，我国的信息安全必须尽快得到重视。”杜跃进强调说。

　　自主可控的信息安全建设刻不容缓

　　“‘棱镜’事件为我国政府采购敲响了警钟。”某网络安全产品提供商对记者说，我国各级政府采购过大量的国外IT设备，这其中，一方面软件类产品可能被预置“后门”程序，本身也可能带有容易被攻击的漏洞；另一方面，计算机、路由器等硬件产品所携带的操作系统、芯片等也存在安全风险。

　　倪光南指出，“棱镜”事件充分暴露了中国网络空间的软肋，为了消除这个软肋，从根本上提升中国网络空间的防护能力，一个关键举措就是用自主可控的国产软硬件和服务来替代进口。“如果IT设备是进口的，一般说来是不可控的。这次‘棱镜’事件表明，那些提供IT设备与服务的美国公司往往会按照美国情报部门的要求行事。使用它们而又不想被此类计划所监控，恐怕只能是痴心妄想。我们至少应要求IT设备能自主可控，在此基础上，再努力加强信息安全防护，这样才有可能保障国家信息安全。”

　　其实按照我国相关规定，政府行业用户应该优先采用本国研发和设计的产品，然而这一点在具体落实上却并不尽如人意。“目前，我国华为、中兴等公司的产品在世界市场上已有很强的竞争力，可是在我国国内市场上，思科仍然占据相当大的市场份额。这种情况是反常的，不符合产品性价比的实际情况。实际上，这也是缺乏民族自信、创新自信的表现。”倪光南说。

　　究其原因，业内专家表示，一是出于免责的需要。一些采购经办人更关心如何能规避、降低职业风险，因为即便采购的国外产品出了问题，他们也不用承担责任。二是出于观念的原因。“一些地方和部门有‘习惯思维’，什么重大项目要上马，首先想到的是找外国跨国公司，通过招商引资，用市场换技术。”

　　“要改变这种观念需要有一个过程，不可能一蹴而就。”倪光南表示，首先应当确立这样的目标，然后有计划、有步骤地付诸实施，“好在现在我们看到情况正在向好的方向发展，只要我们踏踏实实地从公车国产化这类小事做起来，我相信国产IT设备的市场一定会迅速地扩大”。

　　但同时，有专家也强调，国产化亦非等同于绝对安全，在自主可控的基础上，要高度重视网络安全开发的技术与能力。“我们现在的问题还在于发现、监测、防护、处置能力不够。比如在跨境数据流动当中，涉及安全的信息服务应该进行安全风险评估，同时进行相关数据业务的安全性检测，给公众一个可信的环境，建立安全可信的机制，包括保障机制、防范机制、检测机制等。”李欲晓说。

　　保障信息安全要建立国家总体规划

　　“‘棱镜’事件给我们的教训是深刻的。”倪光南认为，一方面它使人们认识到“网络战”不是电影的炒作，而是严酷的现实；另一方面，坏事可以变成好事，这次事件可以使我们大大提高对网络空间安全的认识，从而促进制订或完善相关的政策、法规、制度等。“例如政府采购是否应当采购国产货物、工程和服务？我国的信息安全审核机制比较薄弱，过去对进口产品和服务几乎不设防，习以为常，现在是否可以考虑建立必要的机构和制度加以补救？”

　　李欲晓则表示，“棱镜”事件在一定程度上会促进国内信息安全立法。“如果没有网络立法，就像在沙地上盖楼，基本规则没有说清楚。”

　　他指出，全国人大制定的是上位法，还应形成一系列配套法律法规。“在网络安全基础设施建设中，在软硬件的服务应用过程中，在与国家利益安全相关联的跨境数据流动中，一定要有法律作保障；市场监管方面，对数据流动的安全性、合法性要加强监管；要高度重视公民网络素养培养，并将其纳入到国民教育体系。”此外，他还呼吁建立互联网信息安全联合国公约，“不能说某个国家拥有特殊权力，就凌驾于他国之上”。

　　吕述望指出，某些西方国家利用因特网大肆对别的国家进行入侵的事情早已有之。“一个国家使用因特网，最重要的是如何‘安全利用’——在这一点上，政府怎么做很重要，必须从最高层面加以统筹谋划，整合与优化国家力量。”

　　“‘棱镜’事件凸显出我们对国家级攻击的应对能力不足，因此未来要努力改进的不只是某个点上的技术措施，还有综合安全能力的提升。”在杜跃进看来，应尽快出台国家整体战略，通过政策法规、技术建设、产业发展、外交战略等各方面的明确与配合，才有可能从根本性的角度使问题有所改善。

　　李欲晓也认同这样的观点。他表示，信息安全的稳步发展要与国家实力相结合，要从国家战略规划、顶层设计方面认真考虑，而不是仅仅从信息化本身去思考，因为“这是一个全社会的问题”。

　　“未来网络空间将成为国家间竞争和博弈的新战场。”杜跃进指出：“其实从2010年开始，就已出现国家间网络空间安全对抗的态势。‘棱镜’计划的曝光让人们更加认识到这种对抗的真实性和严重性，会有更多的国家尝试做类似的事情。这种对抗态势会破坏国际上很多层面的信任关系，让本已艰难的网络安全国际合作的效率和效果下降，阻碍信息通信技术的发展。如果这种状况得不到改善而任其发展下去的话，对所有的国家、公民来说都不是好事，谁都不是最终的赢家。”(光明网记者 张 薇)