物联网与网络空间安全

2011-12-27 01:05董淑英林克成郑雨昊
河北省科学院学报 2011年3期
关键词:网络空间信息安全

董淑英,林克成,郑雨昊

(1.军械工程学院计算机工程系,河北石家庄 050003;2.天津理工大学计算机与通信工程学院,天津 300000)

物联网与网络空间安全

董淑英1,林克成1,郑雨昊2

(1.军械工程学院计算机工程系,河北石家庄 050003;2.天津理工大学计算机与通信工程学院,天津 300000)

通过域名根服务器掌握互联网实际控制权的美国,还通过垄断的操作系统与大型应用软件实现了各种计算机系统的监测与实际控制,成为事实上最大的安全威胁,黑客不过是美国的有意误导。严峻的网络空间安全需要我们对“物联网”与“云计算”的热炒保持足够清醒的认识,中国的信息化必须是建立在中国自己构建的网络空间中,且安全管理与功能管理并重。只有这样中国的信息化产业才可能真正独立成长,并承担起对国家安全、社会稳定与经济发展的重任,而非仅仅是美国控制的互联网应用者。

网络空间安全;安全威胁;黑客攻击;物联网;基础软件

1 导言

“物联网”在2009年突然之间成为中国一个炙手可热的热门词汇。热炒中引起部分人的极度担忧,提醒警惕来自信息大国的“忽悠”与信息安全[1]。这个“忽悠”就是很多资料都会提到,据美国独立市场研究机构Forrester预测,物联网所带来的产业价值要比互联网高30倍,物联网将形成下一个上万亿元规模的高科技市场。这个市场是真的存在还是会成为一个新的IT泡沫,不仅取决于技术本身,更取决于市场与用户的选择。

在“一流企业出标准,二流企业出技术,三流企业出产品”的市场经济中,作为领域高端企业其引领作用恰恰需要庞大的三流企业来证明,只有出产的产品被市场接纳以后,高端企业前期的巨额投入才有可能转变成利润。否则,没有后来者接盘的新技术很快就成为一个被遗忘的名词,而企业也就因为错估市场而遭受重大挫折,甚至是灭顶之灾。中国要不要接“物联网”、“云计算”这个盘,不是简单的技术应用,而意味着中国面临一个历史性的岔路口,是继续技术跟随付出高额的技术使用费,还是重打锣鼓另开张建立中国自己的技术领域,这样需要慎重选择。这个重大的选择不仅会影响到中国的未来,更对很多企业产生决定性的影响。中国需要在这个问题上进行冷静而深远的思考,这个思考的起点就是信息安全。

2 “信息安全”与“网络空间安全”的区别

2.1 关注信息安全的原因

美国从克林顿时期“主张发展优先”逐渐变化为“主张安全优先”,从讲“适度安全”到“先发制人”,美国国家信息安全战略因为“9·11”事件发生重大变革。“9·11”发生之后的几年几乎所有有关信息政策或战略的法案都与信息安全而非信息发展相关[2]。中国信息化发展到今天,是需要重新审视信息发展与信息安全之间的关系的时候了。

对信息安全的担忧是因为我国的信息安全产品严重缺乏自主核心技术的支撑。中国信息安全存在“三大黑洞”:外国制造的芯片、外国的操作系统与数据库管理系统和外国的网管软件。目前,全球90%的CPU芯片为美国Intel、AMD等大公司控制;全球90%的操作系统由微软一统天下;存储器芯片、硬软盘的机芯等关键部件及关键技术大多掌握在美日韩等大企业手中,应用软件和中间件均被美欧少数企业垄断。中国软件行业协会统计显示,我国市场上2/3以上的软件是外国产品,操作系统和大型应用软件约90%,是国外产品[3],信息安全已经迫在眉睫。但中国关注的信息安全与美国一直强调的网络空间安全似乎有着根本性的不同,那么一直是紧跟美国的中国为何会在这个问题上不再跟随?

对我国金融系统计算机网络的安全现状,专家们有一些形象的比喻:使用不加锁的储柜存放资金(网络缺乏安全防护);使用“公共汽车”运送钞票(网络缺乏安全保障);使用“邮寄托寄”的方式传送资金(转帐支付缺乏安全渠道);使用“商店柜台”方式存取资金(授权缺乏安全措施);使用“平信”邮寄机密信息(敏感信息缺乏保密措施)[4]。这种安全担忧其实有着更为深层的问题,那就是源自我国对“信息安全”与“网络空间安全”其本质性差异的误解。

2.2 何谓“网络空间”与“信息安全”

本段内容也许有助于理解这种差距产生的根源。很罕见国内会有人注意到这两个词的区别,中国现代国际关系研究院安全与战略所副所长研究员俞晓秋曾对此有过关注,他说 “信息安全”这个词,英文有Information Security和Cyber Security两种表述,并曾就这两种表述的区别,请教过美国战略与国际研究中心的信息安全专家。他们的解释是:前者是一个含义较广的词,它包括网络和知识产权与数据两个内容的安全;后者更适用于网络安全,含义比较狭窄。在美国,多数人把二者视为同义词。布什政府公布的《保护网络空间国家安全战略》报告中使用的是“网络安全”(Cyber Security)而不是“信息安全”(Information Security),也反映了一种认识,即政府的作用在于保护信息网络基础设施,而不是在人们或企业处理其信息的过程中发挥作用。20世纪60、70年代有关美军通信保密与作战的文献,使用的就是Information Security,后来随着互联网的普及,Cyber Security一词应运而生。近年来美国新闻报道、研究文章和专著中大多使用了Cyber Security一词。中国学者谈论的“信息安全”一词,对应的英文词显然是Information Security。这也反映出,中美信息化发展阶段不同,学者对信息安全关注的侧重点也不同。中国还不是一个网络化国家,目前更多关注的是信息内容、信息系统运行和数据库的安全[5]。

笔者在学术期刊全文数据库中,分别以论文名称中含有的“物联网”、“信息安全”和“网络空间安全”进行精确查询,因名称中含“网络空间安全”的论文太少,只好改为对摘要进行精确查询,所得结果见表1。其结果可以证明俞研究员的结论。

表1 分别关注“物联网”、“信息安全”和“网络空间安全”的论文检索结果

3 网络空间的真正内涵

中国有句古话,“教会徒弟,饿死师傅”,用到这里也许可以改成“教会徒弟,吓死师傅”。很明显文中提到的美国战略与国际研究中心的信息安全专家,并没有对他的中国学生说实话。“信息安全”应该是指在“网络空间”中应用涉及的信息技术、设备和信息的安全,而“网络空间安全”则是指能够容纳信息处理的网络空间构建与管理的安全,是远比“信息安全”更为重要和根本的安全。这是两个完全不同内涵的名词,而非仅仅是涵盖范围的不同。因为网络空间作为更为基础的存在,决定了信息安全是否是可靠的,没有网络空间安全,就根本不会存在信息安全;虽然信息安全依然需要关注,但空间安全更需要掌控。美国人的本意是网络空间已经足够狭窄,仅够美国掌控。其他国家尤其是中国就无须进来占地盘,中国只要在空间领域内的应用上下工夫就足够了。当被美国人误导只关注于信息技术与网络技术的应用安全时,美国人却在悄悄对网络空间的控制与网络空间区域拓展上下工夫,物联网不过是对空间区域扩展上的应用。

事实是,有空间就意味着有主权。在现实空间中,首先要解决的是主权问题,陆、海、空就是主权可以施加影响的相应地盘,这个地盘就意味着所有人的权利和利益,争夺地盘(领土)也就是争夺权益。但在网络空间,却是只有美国人最清楚,至于欧洲和日韩是否清楚笔者不知道,中国人尚未明白过来却是不争的事实。我们看到的还仅仅是在现实空间中所存在的计算机和网络的软硬件构成技术,而美国看到的却是被构建起来的网络空间中的虚拟世界。

网络空间中,最重要的就是地盘以及依托这个地盘所存在的各种资源,这个地盘不仅仅是指在现实空间中所能看到的计算机与网络这些硬件设备,更包括由操作系统、网管程序、数据库和各种应用软件所构建的虚拟世界中的空间区域(地盘)以及区域管辖,虚拟世界中存在的资源,一方面是信息、程序(云计算机所真正算计的就是这部分资源);另一方面就是庞大的网民。从2008年底到2009年6月,中国的IPv4地址数量半年增长2375万个,目前已经达到2.05亿。截至2009年6月底,中国网民规模达到3.38亿人,网络购物的用户规模扩大到8788万;网络支付应用增长较快,2009年上半年增加的用户数达到2371万人[6]。如此庞大而且增长速度惊人的用户规模,无疑对所有国家都是一个极大的诱惑,作为世界信息技术领先者的美国自然深谙其中隐含的巨大利益以及对国家安全与发展的重大影响,争夺对网络空间的控制权也就成为一个必然的选择。

一个正常国家其主权与行政管辖权是统一的,如果主权与行政管辖权是分离的,那么这个国家就被认为是处于殖民地状态。对于美国来讲,由于现有的国际互联网的虚拟空间区域就是由美国进行域名管理,计算机操作系统与网络程序也都由美国绝对垄断,从某种意义上讲,现有的互联网空间就是由美国进行实质上的行政管辖,这也是美国一直否认网络空间有主权,而只有技术规范的最根本原因。因为,技术控制是美国一直在行使的,如果要承认在网络空间有主权,也就意味着美国要拱手让出其一直把持并希望能长期把持的网络空间控制权[7]。这对美国是根本不可能接受的,也不想接受。对我国而言,网络空间的管理在底层却处于“殖民地”状态。例如,操作系统以及很多软件在线升级就处于非可控制状态。

网络空间作为行使国家主权的重要领域,只能由国家层面来加以控制与管理。IBM所要构建的“智慧地球”和微软要推出的“云计算”,不过是在网络空间中所进行的企业盈利性经营行为而已,即使是国家支持,也只是企业行为。因此,笔者一直认为国家不应在企业行为层面介入过多,而应将全部注意力放到对网络空间的构建与安全管理上。

4 网络空间的主要威胁是否是黑客

美国国防部长罗伯特·盖茨在2009年6月正式下令成立新的军用网络司令部[8],是将美空军于2007年9月18日成立的临时网络司令部转为正式编制。美军组建网络司令部真正目的是为打造世界上最强大的“黑客部队”。美军战略司令部前司令、空军少将约翰·布雷德利直言不讳地说:“我们现在花在网络攻击上的时间远超过花在网络安保研究上的时间,因为非常高层的人对网络攻击感兴趣。”根据五角大楼的设想,一旦展开黑客攻击,美军只需通过在电脑终端前轻松敲打键盘,就可让敌国雷达系统失灵、电力供应和军民通信联络彻底中断。由此可见,拥有强大“黑客实力”的美军已全面展开渗透、监控、摧毁敌网络系统以及窃取情报的攻击活动,五角大楼夺取网络战制胜权的梦想正在实现。对这个司令部的建立中国有很多专家认为其威慑意义远远大于现实意义[9],笔者以为并不是美国人小题大做,是我们对网络空间在国家安全与经济利益中的重要性认识不够,对于美国在网络空间中拥有的控制能力与获取利益也不了解,所以,才会有这样轻描淡写地认为。

美国之所以在网络空间如此下工夫,按美国人的话说是因为受到“黑客”的频频攻击,并以此来指责中国。但笔者认为成立正式的网络部队的美国“黑客”才是互联网上最大的威胁。指责中国,只是为了配合美国渲染中国“网络空间”威胁,并以此为今后可能的网络攻击行为作好铺垫,中国是不可不防网络空间的黑客安全威胁,笔者以为完全是美国对世人的故意误导。这里有两个例子。

一个是“震网”病毒。2010年9月,伊朗境内的诸多工业企业遭遇了一种极为特殊的电脑病毒袭击,布舍尔核电站可能是“震网”蠕虫的重点“关照对象”,该病毒的发作致使其核电站推迟了发电计划。专家们在对“震网”病毒进行初步分析后认为,这种软件专门为袭击离心机而设计,该病毒能突然更改离心机中的发动机转速,这种突然的改变足以摧毁离心机运转能力且无法修复[10]。计算机安全专家在进行深入分析后发现,这可能是全球第一种投入实战的“网络武器”[11]。这种病毒根本不会是一般的黑客行为,也不是通过安全漏洞就可以实现的,必须是经过操作系统与工业监控软件的密切配合,才可能设计出来并得到实施。

另一个是笔者的亲身经历,由于注意到WORD文档会将文本之外的信息也进行保存之后,笔者就使用最后定稿的文档通过复制到一个新建WORD文档的方法。不过这个方法在2010年介绍后,今年初就发现已经不能用了,复制到新建WORD文档其大小也没有改变。这就是说,微软不仅已经修改了WORD程序,而且是未经过授权就升级了WORD版本(包括WORD 2003,WORD 2007两个版本),其中一台计算机仅仅通过U盘与外界进行数据传递,这说明通过U盘进行自动执行的程序并非只有“震网”病毒,微软的软件升级就是采取的如此操作。因此,这种升级本身就是意味着重大的安全威胁。更严重的是,我国乃至我军的信息安全专家除了忙于关注美国人所主张的“黑客”攻击外,很少有人注意到微软软件如此细微变化。

微软这样做恰好证实他们的做法并不是无意之举,而是有意为之。一方面是尽可能获得非授权信息;另一方面即使用户发觉了,微软也没有任何不安,甚至是采取这样的直接对抗行为。可是我们却还在努力把美国人把持的互联网扩大到物理空间的检测与智能控制上,这是可怕的未来。

“震网”病毒说明,网络战已经不仅仅是对网络空间的攻击,现在已经通过计算机对物理系统的监测和监控技术,能够使雷达系统失灵、电力供应和军民通信联络彻底中断成为现实。中美之间发生实体战争的几率不大,是因为战争成本对双方都无法承受。但是在网络空间发生对抗,只会产生一边倒的结果,这很容易让某些自制力差些的感到过度兴奋,难免做出欠思考的冲动行为。因为,伴随着中国信息化的深入,美军早就借助其信息技术产品对中国全面展开渗透和监控我国网络系统以及窃取情报等活动。到战争爆发时,先让那些预先种植的病毒发作,军事指控系统、政府、金融业、运输、水电和其他国家重点支柱企业,甚至是卫星航天系统都将因信息系统的瘫痪而出现重大问题乃至全部瘫痪。就算是部分网络有较好的安全防护,也被有选择地中断网络运行。设想一下,城市化导致过于密集的人口聚集,在水、电、煤气停止供应的情况下,企业无法生产,城市陷入混乱,还如何保持社会乃至人民生活的起码运行?不用见到一个敌人,整个国家无须被武装攻击,仅仅是网络攻击就会让中国尤其是人口最密集的城市变成人间地狱。让人不寒而栗的设想变成现实时,我们再认识到网络空间的安全到底意味着什么吗?

微软软件未授权升级说明,美国对中国进行信息监督与控制,并不需要通过什么黑客手段,即使用也仅仅是辅助手段。他们可以堂而皇之地通过操作系统和各种应用软件,就能完成对用户操作信息的直接获取和操控,这也符合美军擅长进行规模作战的传统。所以,网上黑客“偷鸡摸狗”的行为,即使会对用户造成一定程度的威胁,更大成分也只是美国将其他国家的注意力诱导到错误领域和方向的诱饵而已。美国越是强调黑客的危险,越是为了更好地隐蔽操作系统与应用软件的真正攻击力量。在某种意义上讲,微软与IBM之类公司在中美可能发生对抗时的作用,比起南满铁路是有过之而无不及。因为南满铁路的作用也仅限于他们所能到达的区域,而微软却是控制了中国基本上所有的家庭、企业、政府、军队的计算机,其后果并不难以估计。

吕诚昭也认为美国有意“误导网络安全态势认知”;且“掩盖源于其国内的恶意活动对互联网构成了最大威胁”;认为美建立网络司令部后,很有可能在网络空间实施“先发制人”的战略,也非常可能在网络空间中引起“军备竞赛”;而网络空间中“军备竞赛”的潜在后果就是可能将网络空间军事化,致使许多当前公认的网络安全理念将会发生质的变化[12]。吕诚昭的研究结论是国内对在网络空间威胁方面最接近现实,其认识很有见地。不过文中虽提到“桌面核心系统安全配置可能面临风险”,但仍没有敢更进一步地明确认为,美国在网络空间最大的威慑力与控制力来自操作系统与各种软件。

5 中国需要构建自己的网络空间

中国应该怎么办?我们可以把眼光转向俄罗斯,另一个清楚网络空间重要地位的国家。俄罗斯在发展信息安全技术上强调自主创新、坚持自成体系,注重芯片和操作系统的研发,把“为联邦国家权力机关、联邦各主体国家权力机关、军事安全系统建立专用的信息传输系统及其信息防护设备,特别是将确保国家在研究和使用国防用途的信息系统及其防护设备方面,保持技术上的独立性,作为国家军事政治和战略潜力的组成部分,列入长期发展计划和重要科研课题”。俄研制的自主安全内核的高安全等级操作系统,在与国外产品兼容上只局限于外层的功能调用,不受病毒和黑客侵犯[13]。为俄罗斯的网络空间建起高高的安全围墙。

因此,改变困局唯一可行的做法就是重新构建中国自己的网络空间。这在很多人也许是不敢想的事情,互联网、操作系统那都是美国人的理论、技术与产品,中国是否需要这样做?

首先,中国继续沿用美国的互联网以及相关的技术产品无疑是走向安全绝地之路,不是中国想要挑衅美国,而是当美国一些自制力差些的人以为进行网络战时会得到一本万利的结果,那样不仅将中国从此打入深渊,而且能够帮助美国就此摆脱今日之经济困境,走向新的辉煌。中美对抗尤其是在网络空间的对抗就不能只是假设,中国就必须为此作好准备。中国要想长久地保证国家安全、社会稳定与经济发展,就必然要能确保自己的网络空间安全,否则其他事情一切免谈。

其次,在科学技术领域虽有欠缺,但中国经过三十多年的发展已经有了长足的进步,装备制造能力也踏入世界前列,构建中国的网络空间已经具备了可行的基础条件。这些条件比中国开始航天事业的条件要优越得多,扎实得多。

第三,中国已经厌倦作为技术跟随者,去给别人抬轿子。中国需要在自己的地盘上建设自己的网络空间不仅是国家安全、社会稳定的需要,更是技术创新的需要,不受外人的标准与产品的制约,按照中国的安全需要,重打锣鼓另开张也是时代的需要。

第四,中国经济尤其是信息产业要想有大的发展,不仅要突破现有技术标准的制约,更是利益分配原则的重新洗牌。那种售价几百美元的产品,中国企业却只能拿到区区几美元加工费的时代应该渐去渐远。让中国信息产业走上自己能主导发展的快车道,而不是继续去做美国“脱胎换骨重获新生”[14]的垫脚,建立中国自己的网络空间更是一种历史的要求。

第五,需要强调的是美国人其实给了中国两个选择,要么选择微软操作系统,要么选择开放源代码操作系统。其实这两种选择都是从美国利益出发的药方。其结果意味着我们的网络空间,要么让微软管理,要么就是门户洞开无须设防。中国的操作系统应该是网络空间安全与管理并重的,才能建立起来既安全又有功能的网络空间,而不是先管理后加安全。

网络空间的构建其实也与现实空间可以类比。虽然美欧在电信、邮政方面要比中国更先进更完善,但建立中国的电信邮政业务,也不是美欧电信邮政业务的延续。中国可以打造自己的电信邮政产业,并不意味着中国的电信邮政就必定是封闭的、孤立的。只是需要建立起与国外相关业务的接口,实现相关电信邮政业务进行对等交换就可以了。

那么,在网络空间也是如此的,中国完全可以用自己的操作系统、数据库和大型应用软件来打造自己的网络空间,但要能与国际互联网兼容和联接,进行相关信息的交换。虽然这样的投入是巨大的,但经济收益以及安全收益更是巨大的。这样做根本没有必要理会美国企业要求的“市场平等”。美国仅仅因为华为创办人任正非曾是军人,华为的3项协议就被美国外国在美投资委员会封杀[15]。操作系统、数据库等基础软件对中国国家安全有重大影响,有必要进行领域保护。美国可以基于国家安全的理由,在市场之外进行额外选择,中国同样也应该有权力保护国家安全。

6 结束语

综合上述分析,再来讨论是否要让云计算、物联网等技术产品在中国市场得到快速发展,其答案也许就很清楚了。放慢甚至拒绝物联网和云计算,并不会让中国的信息技术发展停滞,也不会导致中国的信息产业萧条,拒绝的目的恰恰是为了让中国的信息技术得到根本性的自主进步,是为了让中国的信息产业从此走上健康与可靠的发展,并为中国网络空间的安全提供安全产品,从而保证国家安全、经济发展和社会稳定。

[1]周文豪.当前中国“物联网”概念解析[J].射频世界,2010,(5):7-11.

[2]蔡翠红.美国国家信息安全战略的演变与评价[J].信息网络安全,2010(01):71-73.

[3]许晔,程家瑜,杨起全.我国信息安全面临的挑战及发展重点研究[J].中国科技论坛,2007,(4):15-19.

[4]倪健民.信息化发展与我国信息安全[J].清华大学学报(哲学社会科学版),2000,15(4):56-62.

[5]俞晓秋等.国家信息安全综论[J].现代国际关系,2005,(4):40-59.

[6]吕建东,马睿翔.我国物联网产业发展的机遇和挑战[J].西安邮电学院学报,2010,15(6):7-9.

[7]张文贵,彭博.美国等西方国家加紧抢占网络空间制高点[J].信息网络安全,2010(10):79-82.

[8]洛莉塔.巴尔多.盖茨下令成立网络司令部[N].参考消息,2009-06-25日.

[9]祁磊,鲍龙飞,龚天健.美军加紧谋求“网络空间主导权”[J].国防科技,2007(12):95-96.

[10]魏亮.网络与信息安全——防范信息泄露成为关注焦点[J].世界电信,2011(1):75-78.

[11]陈梁.“震网”病毒敲响自动化系统安全警钟[J].自动化技术与应用,2010(10):138.

[12]吕诚昭.警惕网络空间被军事化的风险[J].信息安全与通信保密,2010(10):5-8.

[13]王峰,陈君.俄罗斯国家和军队信息安全建设概况[J].国际资料信息,2010(4):27-30.

[14]拉里.埃里奥特.美国显现衰落征兆[N].参考消息,2009-06-22.

[15]伊莎贝尔.希尔顿.西方忧心中国致力“拥有世界”[N].参考消息,2009-05-24.

Internet of Things and cyberspace safety

DONG Shu-ying1,LIN Ke-cheng1,ZHENG Yu-hao2

(1.DepartmentofComputerEngineering,OrdnanceEngineeringCollege,ShijizhuangHebei050003,China;2.SchoolofComputerandCommunicationEngineering,TianjinUniversityofTechnology,Tianjin300000,China)

The United States in possession of the root server not only takes actual control of Internet,but also carries out various examination and control of computer system by monopolizing operate systems and large application software,becomes the most serious safe threat in fact.The United States misleads the concept“Hacker”intentionally.The rigorous cyberspace safe situation demands us to keep enough understanding to“Internet of Things”and“Cloud Computes”.China of informationbased must be an establishment to set up at Chinese oneself in the cyberspace,safe management and function management lay equal stress on.Only so,the Information-based industry of China just takes real independence growth,and starts to undertake to develop responsibility to the national security,social stability and economy,not the application of Internet controlled by the United States.

Cyberspace safety;Safety thread;Hacker attack;Internet of Things;Basic software

TP393

:A

1001-9383(2011)03-0077-06

2011-06-30

董淑英(1962-),女,高级工程师,主要研究领域为复杂系统的模型描述与应用.

猜你喜欢
网络空间信息安全
《信息安全与通信保密》征稿函
共建诚实守信网络空间
信息安全专业人才培养探索与实践
网络空间并非“乌托邦”
保护信息安全要滴水不漏
高校信息安全防护
我国网络空间安全立法之名与实
网络空间安全人才培养探讨
保护个人信息安全刻不容缓
网络空间安全学科人才培养探索与思考