王克楠
从棱镜门事件看我国信息安全环境与对策
王克楠
文章梳理棱镜门事件,探讨我国信息安全环境,提出增强我国信息安全的措施,包括:战略定位是前提、理念意识是先导、体制架构是关键、技术能力是基础,以及管理水平是保障。
棱镜门事件信息安全国家安全
引用本文格式王克楠.从棱镜门事件看我国信息安全环境与对策[J].图书馆论坛,2016(7):46-48.
爱德华·约瑟夫·斯诺登(Edward Joseph Snowden)生于1983年6月,曾任美国中央情报局(CIA)技术助理、美国国家安全局(NSA)系统管理员;后供职于戴尔(Dell)和博思艾伦(Booz Allan),均为NSA合同商。2013年5月20日,斯诺登出走香港并向英国《卫报》和美国《华盛顿邮报》提供绝密资料,6月6日两家报纸披露NSA的棱镜(PRISM)监视计划及美国电信巨头威瑞森公司(Verizon)的元数据收集项目,引起全球关注。斯诺登提供的绝密资料主要包括:(1)网络安全政策,主要指2012年10月发布的绝密级总统指令“美国网络行动策略”;(2)网络监控事项,包括美国移动通信公司提交给NSA的用户通信数据、美英对2009年20国峰会领袖实施的网络监控与电话监听等;(3)网络监控项目,涉及棱镜、上行(Upstream)和无界线人(BoundlessInformant)等计划[1]。棱镜计划是NSA实施的绝密电子监视计划,正式名称为US—984XN,高度契合互联网时代的情报搜集特点。
棱镜计划表明美国已建成完整的电信与互联网监控体系:(1)被动监测(互联网、骨干光缆),包括上行和棱镜两个项目。上行通过分光镜复制、监听骨干光缆上运行的互联网通信;棱镜则从美国互联网集成商服务器上直接采集数据。(2)主动获取(官民一体,拉网过滤信息),运营商、服务商主动向NSA提供数据。(3)网络渗透、数据挖掘与分析。网络渗透是NSA通过入侵大型路由器盗取骨干网上信息,无需对个人计算机逐一渗透;数据挖掘与分析的主要对象是元数据,虽然表面看无关紧要且不涉及用户隐私,但通过交叉分析,可以准确定位用户的行为特征。
棱镜计划始于2007年,NSA通过网络巨头进行数据挖掘。监控类型包括电子邮件、即时消息、视频、照片、存储数据、语音聊天、文件传输、视频会议、登录时间、社交网络资料细节等,其中两个为秘密项目:一是民众的电话记录,二是民众的网络活动。参与的9家公司中,微软2007年成为首个合作伙伴,雅虎2008年参与,谷歌、脸谱和 Paltalk2009年加入,YouTube2010年加入,Skype和AOL2011年加入,苹果2012年加入。谷歌提供语音视频对话、照片库等;Paltalk和Skype既监听语音对话,又获取视频信息、文字记录;Facebook负责社交关系和个人信息;苹果搜集用户信息及照片、文件等[2]。上述信息一旦为某机构掌握,无论是组织还是个人都将面临安全威胁。
棱镜门事件表明我国所处的信息环境是一个国际对抗环境。与美国等发达国家相比,我国信息安全建设尚存差距:一是美国软硬件实力强。比如,全球13个根服务器,有10个在美国[3];二是美国有总体战略;三是美国出台了大量法律法规来保护网监行为;四是美国成立网军,形成由国家主导、官民一体的网络监控体系;五是美国拥有大量网络战武器;六是美国网络监控成熟、灵活、隐蔽。欧洲安全与防务智库SDA公司于2012年就网络安全的防御水平对23个国家进行评定,中国位居第16[4]。我国信息安全环境形势严峻主要表现在以下方面:
(1)信息安全战略规划不足。棱镜事件表明美国信息安全工作有完整的战略。2001年美国将“总统关键基础设施保护委员会”改为“总统关键基础设施保护办公室”,与“总统信息安全政策委员会”一起直接为总统决策服务,成员包括美国审计署、行政管理与预算局、国土安全部、国家安全局和全国计算机安全中心等权威部门。反观我国,《国家信息化领导小组关于加强信息安全保障工作的意见》颁布至今10年,再未发布过国家级信息安全战略。各部委“九龙治水”,无法形成拳头。
(2)信息安全立法缺失。棱镜门事件反映的既是安全问题、政治问题,也是法律问题。信息安全的国家战略只有通过立法才能获得真正的伸张与保护。美国通过的《爱国者法案》《外国情报监视法案》等不仅为电子监听、网络监控提供法理依据,而且强制企业与情报机构合作。
我国相关法律比较粗,信息安全建设基本参照2001年制定的《政府采购法》《招标投标法》等,不完全适应时代发展。比如,对政府采购本国产品的界定比较模糊,关于国家安全的规定不明确,对进口产品和国外品牌亦没有严格要求。
(3)信息安全忧患意识有待增强。信息产品的自主可控是一个国家网络安全的标志。所谓自主,是指有自主知识产权的产品;所谓可控,是指可以确保安全的产品。目前我国在网络设备、安全产品和云计算等方面对国外依存度高,棱镜门事件凸显自主可控的紧迫性。我国通信设备供应商屡遭美国政府审查,但美国相关企业在我国几乎畅通无阻。比如,我国信息系统的软硬件核心技术几乎来自国外,说明我国对信息产品为跨国公司所垄断的忧患意识不足。
(4)信息安全教育比较落后。人才是信息安全建设关键,我国相关教育与人才需求尚存差距。首先,部分教育内容较落后,如信息安全教学充斥着密码学等传统内容,脱离实际。其次,忽视理论与实践相结合,缺乏适应实践的教学体系。
3.1战略定位是前提
国际信息安全环境的复杂性使各国对信息主导权和控制权的争夺激烈,信息安全成为国家安全战略的重要组成部分,我国需尽早出台信息安全战略。该战略应提出具体目标、原则和措施,对内统一认识、指导工作,对外宣传政策主张;从宏观体制、运行机制、系统建设等方面提升信息安全水平,建立防护体系。在此过程中,应注重对他国经验的研究,取其精华,为我所用。
3.2理念意识是先导
信息安全与隐私冲突的激化使安全的边界问题突出。因此,认识的超越、理念的突破和意识的引导愈加重要。托夫勒预言:“谁掌握了信息,控制了网络,谁就将拥有整个世界。”[5]美国始终认为信息优势决定综合国力的强弱。棱镜门事件反映的正是美国在这种理念指导下逐步控制全球互联网的现实。
各国均高度重视培养国民的信息安全意识。比如,美国经常举行提升中小学生网络安全意识的活动;印度经常组织以信息安全为主题的研讨会、展览和竞赛。我国可将信息安全教育纳入国民教育和培训范畴,以增强国民的信息安全意识与能力。
3.3体制架构是关键
棱镜事件显示传统的人才队伍、组织架构、法律法规和合作机制难以适应信息安全的发展需要。为此,我国应在信息安全体制架构上进行创新发展:(1)强化领导机构。信息安全涉及众多领域,许多国家成立了专门的协调领导机构。比如,美国白宫设有网络安全办公室和协调官;英国设立网络安全办公室和网络安全行动中心,前者负责网络安全战略,后者负责监测和分析网络空间的发展趋势。2013年我国颁布的《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》规定国家成立网络与信息安全协调小组,统筹领导和协调,目前需要进一步完善和加快落实。(2)加强信息安全法律法规建设。我国在加强网络安全立法、防范网络病毒、加强网络技术安全等方面做了大量工作,但尚未形成一部综合的信息安全法,建议加快推进该法律的出台。(3)深化国际交流合作。与其他国家合作建立信息安全机制;推进网络外交,开展国际间的信息安全建设对话。(4)人才建设。在全国范围内建立信息安全教育体系,将人才建设作为信息安全建设的重要内容。
3.4技术能力是基础
奥巴马指出,网络基础设施是美国经济繁荣、军事强大、政府高效的根本保证,离开这些,美国无法应对21世纪的挑战[6]。棱镜门事件反映出美国在信息技术领域拥有绝对优势。我国信息安全建设必须重视技术能力的提升。(1)推动我国信息安全关键技术进步与重点产品开发。针对影响我国信息安全产业发展的芯片、路由器、操作系统等关键技术与重点产品,国家应制定研制计划,掌握核心技术,建设完整的信息安全产品体系。(2)扶持一批拥有自主知识产权的高新企业成为国家信息安全支柱企业是当务之急。
3.5管理水平是保障
斯诺登事件暴露了美国信息安全领域的管理疏漏。我国应吸取教训,提高管理水平:(1)提升网络安全管理水平。深化涉密信息与人员管理研究,完善制度建设,规范用网秩序,提高监管能力。重视管教结合,使网络技术和管理人员树立坚定的理想信念。(2)完善信息安全保障体系。信息安全保障是一个体系,应从基础做起,跟上信息技术发展步伐,提高信息获取能力;加强对数据中心等核心存储数据库的安全防护;推动综合管控系统建设,将核心数据分散存储。
[1]张学敏.中美报纸重大事件报道比较研究——以“棱镜门”事件为个案[D].南京:南京师范大学,2015.
[2]华盛顿邮报:美情报机构从互联网公司获取大量个人信息[N].联合早报,2013-06-07.
[3]13个根服务器,10个在美国[N].生活时报,2014-01-22(A08).
[4]许蔓舒.筹划中国网络空间安全[J].瞭望,2013(26):46-47.
[5]托夫勒.第三次浪潮[M].黄明坚,译.北京:中信出版社,2006.
[6]奥巴马把网络当成经济繁荣军事强大的保证[EB/OL].[2015-11-25].http://news.xinhuanet.com/internet/ content_13449821.htm.
(责任编辑:刘洪)
Information Safety Environment in China and Its Countermeasures from the Perspective of“Prism Gate”
WANG Ke-nan
This article discusses the information safety environment in China after doing a literature research on “Prism Gate”,and proposes the measures for enhancing the information safety,which include that strategic positioning is the premise,ideas is the precursor,institutional structure is the key and management is the guarantee.
Prism Gate;information safety;national security
王克楠,男,任职于国际关系学院图书馆。
2016-01-01