中国不得不防

早在2010年，美国攻击伊朗核设施的“震网”病毒，曾导致伊朗核设施1000多台离心机瘫痪。该病毒之所以具备如此威力，就是因为几乎伊朗每台电脑都安装了微软的 Windows 系统。

一位信息安全专家不无担忧地指出，中国几乎是赤身裸体地站在已经武装到牙齿的美国面前，在危机时刻，美国“八大金刚”可能对中国带来的危害，丝毫不亚于当年火烧圆明园的“八国联军”。

窃取难度为零？

“我们不能说某些国家和厂商就这样做了，但是单纯从技术层面上来讲，如果这些公司真的有意愿，丝毫不被察觉地窃取数据的方式和环节很多，而且难度几乎是零。”曙光公司总裁历军告诉《中国经济周刊》。

据历军介绍，信息系统分为硬件和软件两个层次，硬件主要包括网络互联、数据计算处理和存储三个环节；软件也有很多层次，从处理器内的微代码、硬件控制软件、操作系统、数据库到应用程序，假如厂商有动力，完全有能力把任何数据在任何一个环节轻松拿走，技术非常简单，而且用户都没有察觉的可能性。

比如，在信息计算的过程中，计算结果留存在你的电脑内存和硬盘的同时，只要厂商在芯片中加入一小段代码，就可以偷偷留存一份副本，然后在你不知道的时候偷偷地一点点往外发送。这种窃取数据的方法类似于木马病毒，但不同的是这是一个“原装木马”，你无法察觉，更无法清除。当然，这是极其简单的一种方式，有很多更为复杂的方法就更难以防范了。

再比如某些处理器的“后门”，其实就是在处理器中加入一小段微代码，这是一个别人不知道的数据传输的通道，厂商感兴趣的时候就可以把后门打开，把你的电脑中他感兴趣的数据信息传走。再比如一些代码不公开的软件（通常称为“封闭系统”），里面有什么大家并不知道，人们无法证明其中不存在所谓的“原装木马”。据记者了解，微软公司就因此受到过多次质疑，甚至引发诉讼。

“现在的‘棱镜门’几乎在软硬件的各个层面都有涉及，因为所谓的‘八大金刚’和一些互联网公司几乎涵盖了信息系统的各个层次与环节。”历军说。

尽管对于可能的泄密环节，可以采取一些防范措施，但是也还是会有漏洞可以钻。“我们在安全防护方面在用一些不安全的产品的情况几乎随处可见。”锐捷网络副总裁刘弘瑜告诉《中国经济周刊》，“即使是采用了物理隔离的专网（即该网络和外网是物理断开的），由于经常需要厂商对设备进行软件升级或者硬件维修，一旦基础设施被人通过这种‘维修或服务’的渠道进行‘接触’，就极有可能产生被监控、泄密的风险。”

“思科们”真的无辜吗？

“棱镜”计划被曝光后，多家被牵连的厂商都纷纷表示自己从未参与计划，试图撇清关系。对此，作为国内某知名硬件厂商高层的张亮（化名）并不认同，他认为这些厂商实际上是在玩文字游戏。

“厂商除了主动窃取，比如通过嵌入代码的方式把用户数据向某些部门发送，还有另外一种方式就是被动泄露，‘棱镜’更像是后者。因为IT系统都会有一些漏洞，所以才会有了黑客，寻找出漏洞然后去窃取资料，当然，厂商会不断打补丁去封死这些漏洞。但如果这些IT厂商专门留一些漏洞给某些机构而不去封堵，或者根据企业所在国家的授权而开放一些权限给某些部门，那么政府就可以直接通过这个通道去获得自己想要的数据信息，企业可能根本不知道政府做了什么，似乎也可以说自己没有参与‘棱镜’计划。”张亮告诉《中国经济周刊》。

以思科为代表的美国IT巨头们在中国的发展可谓风生水起，但与之形成鲜明对比的是，中国信息设备企业在美国却举步维艰。“棱镜门”的爆发让很多人不禁想起去年众多中国企业在美国遭到封杀的事件。

两国对他国IT企业的态度差异，张亮认为主要有两个方面的原因：一是我们过多地考虑了WTO的要求。中国自加入WTO后，就按照加入《政府采购协议》（GPA）的承诺，政府采购对外资和进口产品逐步实行国民待遇。

“目前，已经没有哪个政府采购领域不是开放的。”张亮说，“为什么美国就可以旗帜鲜明地说联想电脑就是不准进入美国政府，因为会影响美国的信息安全。”

二是虽然中央和国家的有关部门对于信息安全是高度重视的，但是在实际操作过程中，问题还是会出现。很多地方政府和部门会认为：我们又不是机密部门，或者是虽然是关键领域，但只是采购外国设备用于普通办公有什么关系？

“看看我们的军队、武警系统，历史上采用了大量进口信息设备，如今，国外的设备经过国内某些机构的包装，摇身一变就成了国产产品，堂而皇之地进入许多要害部门；许多银行的数据存在甲骨文和IBM的机器里；国家气象局最主要的业务系统仍然运行在IBM机器上……真是很可怕。中国的信息门户相当于完全敞开，真的是裸体不设防。”张亮说。

“在政府和重点行业部门的信息建设过程中，确实是有相关规定要倾向国产产品的，但强制性并不很强，也很容易规避。采购方如果提交申请，指定产品设计上的唯一性和不可替代性，经过一定流程是可以采购国外设备的。”刘弘瑜说。

云计算、大数据：

不能忽视微信息安全

“在大数据时代，许多看似无关的数据经过整理分析都可能成为重要的机密数据，这些数据的泄露比围墙里面的高度机密数据泄密更可怕。”历军说。

“‘棱镜门’把中国信息安全带到了一个更宏观层面，云计算和大数据背景下，要更加重视数据安全，过去我们只是对一个小的系统或者设备做风险评估。但是，局部的风险一旦累加起来，尤其在大数据时代，通过零散信息可能会拼接出一个重要的信息。” 国家信息中心专家委员会副主任宁家骏说。

“大数据时代，网络上流动的信息日渐主宰国家的运转和命脉，一些看似不相关的数据，在大数据的综合与深度挖掘下，可能会泄露出关系到国家的重要信息。”刘弘瑜说。

比如，一个普通百姓的消费数据几乎没有什么价值，但是如果一个亿、甚至几个亿的普通百姓消费数据被整合起来，就可能关系到整个国家经济发展诸多核心指标。而在云计算的背景之下，这种情况出现的可能性非常大。

云计算的核心是数据要集中、要整合、要关联和共享，一个地方高度密集地集中大量数据之后，就有了大数据的概念。历军认为，在这样新的技术背景下，既是挑战也是机遇，因为过去数据分散在100万个点上，要想保证每个点都不出问题其实非常难；但是在云计算时代，全国的大数据可以只集中在1000个点上，这样保障安全的可能性就会大大提高。

据记者了解，国家有关部门已经在着手研究云计算的准入制度了，外国企业只能在法律允许的范围内开展业务。

企业酝酿“去思科化运动”，

国货替代仍须关键创新

“尽快成立国家级权威信息安全部门”

《中国经济周刊》 记者 孙冰 | 北京报道

国家信息中心专家委员会副主任宁家骏告诉《中国经济周刊》，“棱镜门”为我们的全社会上了一堂非常生动的、新的技术背景下的信息安全课。

据记者了解，“棱镜门”对国内各大运营商的影响很大，各方的压力都非常大，接下来各运营商内部可能都会有“去思科化运动”。

宁家骏说：“以前谈到网络信息安全，我们比较重视政治思想领域，特别是意识形态方面的问题，比如一些反动的、敌对势力的不良言论，我们下了很大的功夫，处理得比较得当，但是对于基础网络和重要信息系统的安全，就显得重视程度不够了，经济社会民生方面的信息重视不够，甚至有些忽视。而这次的‘棱镜’计划，它的主要目的并非是政治原因，并不是说是西方反动势力的政治渗透，而更多的是出于经济目的。”

应采取“数据过境流管理办法”

宁家骏认为，基础网络和重要信息系统的安全必须尽快得到重视，基础网络包括电信、广播电视、电网，目前还是有自主可控安全保障能力不足的问题；而重要信息系统的安全，主要包括金融、保险、交通、能源等，似乎认识也不足。

“美国通过蠕虫病毒就破坏了伊朗的核设施非常轰动。而我们在交通、能源等方面使用的硬件、软件大量都是国外的产品和服务，一旦发生对峙甚至战争，就会存在被他国直接破坏的可能性。”宁家骏说，“再比如，现在很多外资银行掌握了很多我们国内优质客户的资源，但是目前外资银行在中国采集的数据是可以不设防地进出国门的。而很多国家都有‘数据过境流管理办法’，在本国采集的数据是要经过管理和控制、报备和审查才能发送至他国。”

“去年，我们还与思科谈了一个战略合作协议，要联手搞‘智慧城市’，还好最后考虑到安全问题没有真正进行。”国内某市经济和信息化委员会的相关负责人告诉《中国经济周刊》，“因为有专家提醒，如果与美国公司合作建设智慧城市，这个城市的任何信息从技术层面来讲美国政府都可以轻易获取。”

国货替代的契机与必须

“棱镜门”被曝光之后，A股市场上网络安全相关股票就一直再持续大涨，像美亚柏科、蓝盾股份、任子行、北信源、卫士通、启明星辰等等。而像联想、华为、中兴、曙光、浪潮这样的国内IT巨头们，也迎来了不小的利好。

“针对基础网络建设和信息化应用中的采购环节，为了避免信息泄露，政府行业的用户应该严格按照国家相关规定，优先采用本国研发和设计的产品，这不只是在中国，同时也是国际惯例。‘棱镜’事件更应该让我们认识到，这种选择不仅是一项简单的规定，更是一种责任。”国家审计署计算机技术中心主任王智玉告诉《中国经济周刊》，审计署信息系统无论是硬件还是软件，都选用了非常多的国产自主知识产权的品牌，特别是一些重要环节。

“坦率地讲，国外IT企业起步较早，技术确实有优势，我们很多政府和公司，常常会想，买就买个最好的吧。”曙光公司总裁历军告诉《中国经济周刊》，“但是，我敢肯定地说，在绝大多数情况下，中国企业的产品已经完全可以满足中国社会经济发展的需要了，华为交换机卖到全球，曙光的超级计算机全球排在前列了。中国IT技术水平已经达到了国际先进水平，虽然与国际领先水平还有一些差距，但在一般情况下，完全能够满足我国信息化建设的要求。”

锐捷网络副总裁刘弘瑜也非常自信：“中国信息产业经过十多年大力自主创新，国内厂商生产的设备，无论是技术、质量还是价格，基本可以替代国外的产品，甚至是替代国外的高端产品。”他说。

确实，经过入世十年以来的发展，我国已成为全球电子信息产业大国。电子信息产品制造业规模占全球总量30%以上，居世界第一。

但是，宁家骏认为，要避免风险，并不是简单的一概不用就解决问题了，这也不现实。“应该做到疏堵结合，一方面坚持开放，筛选出国外安全的产品和技术，同时要加强严格管理，如果有一些产品和设备确实无法实现国产化替代，那就要使用和管理上严格规范。比如，在重要的部门一定要求关闭远程端口，而且要经过有关部门的测试。”

宁家骏还提示，安全说到最终是人的问题。即使你用了国产的设备，但是如果管理人员外泄，一样会造成严重的后果。另外，也要警惕“假国货”，有的产品号称是自主产品，但其实是由国外产品改头换面而来。

“虽然经过多年的发展，我们国家的信息技术已经取得了非常不俗的成绩，也成长了一大批成功企业，但是核心技术受制于人的局面没有完全摆脱，我们在核心技术上的创新才是真创新，我们要鼓励这种真创新。”

工信部的一个司难以牵头管理

据记者了解，政府和重点行业部门在信息建设过程中所参照的法律，主要是2001年制定的《政府采购法》和《招标投标法》，但遗憾的是，其中的很多内容，已经很难适应日新月异的网络时代了，而且这两部法律对政府采购国产化产品的界定比较模糊。

网络空间战略研究所所长秦安就曾多次警示，“八大金刚”普遍采取了在中国寻找代理人的策略，与其结成“利益共同体”，并利用其巨大影响力，包括各级官员“政绩心态”在内的各种条件，形成了中国各级政府“不设防”甚至是欢迎的态度，直接造成“八大金刚”长驱直入事关国计民生的核心枢纽重地。

除了立法上的因素，当前我们国家信息安全管理体制仍然处在多头管理、难以协调的状态。记者在采访中也发现，似乎很难找到相应的政府部门去获得权威的信息安全数据。

“现在我们国家是把信息安全分成两类，一是信息技术安全，主要归工信部管理；二是信息内容安全，主要归国务院信息办管理，当然主要是关注意识形态方面的问题，但是信息内容安全要比意识形态内容丰富得多，比如经济社会领域的各种数据，一旦被人拿走做了大数据挖掘分析，可能会泄露非常多和非常重要的信息。”一位不愿具名的接近工信部的人士向《中国经济周刊》透露。

“与此同时，目前有多个国家部门都会涉及信息安全的管理工作，现在名义上是由工信部牵头，协调公安部、安全部、国家机密局、国家密码管理局和最权威的国务院信息办进行管理，但是，和这些‘被协调’的部门相比，工信部是个弱势部门，实际上根本协调不了什么的。把这么重要的工作，只是放在工信部的一个司，已经非常不能适应当前的形势要求了。”上述人士说。

这位人士还强烈建议，要想不再因为类似“棱镜门”让中国如此紧张，从根本上解决中国信息安全令人堪忧的局面，就应该尽快成立国家级的权威的信息安全部门，比如美国就是由直接向总统汇报的国土安全部来管理，韩国也是如此。“在信息安全管理上一定要坚持一元化，不能多头管理；一定要依法管理，不能政策只在中央。”