朱宇伦
网络安全的维护需要全社会的共同努力。
进入21世纪,伴随着以互联网技术为代表的第三次科技革命的进一步演进,世界各国再次进入了一个高速发展的机遇期。身处改革关键期的中国自然也不例外,正如当年邓小平所说:“科学技术是第一生产力。”中国在网络技术领域的发展,不仅将影响中国在这一关键时期的发展速度,某种程度上还将决定着中国在未来世界的话语权,重要性不言而喻。
而在网络技术领域之中,网络安全是一个极为重要而敏感的部分。伴随着近期第三个“中国国家网络安全周”的到来,这一话题也再度成为了人们关注的焦点。
喜忧参半
相信任何人都无法否认,互联网正在深刻地影响并改变这个世界。
适逢一年一度的G20峰会于杭州召开,由汕头大学国际互联网研究院、中国与全球化智库、互联网实验室、上海社科院信息研究所等多家研究机构联合编写的《G20国家互联网发展研究报告》也新鲜出炉。报告显示,当前,全球网络用户已突破30亿,占世界总人口的40%。其中G20网民用户达22.4亿,普及率为50.2%,高于世界平均值。
值得一提的是,在综合反映一个国家互联网产业发展的“互联网经济GDP占比”这一指数上,相关数据显示,英国、韩国、中国、欧盟、印度和美国的互联网经济占GDP比重分别为12.4%、8%、6.9%、5.7%、5.6%和5.4%,在G20成员中居于前六位。在互联网发展这一块,某种程度上,中国已经赶超了欧盟与美国。
有喜必有忧,联合国宽带可持续发展委员会近日发布的2016年版《宽带状况报告》显示,虽然中国是全球使用互联网人数最多的国家,但是,中国同时也是全球非网民人数最多的国家之一。
根据报告,尽管中国目前的互联网用户人数为7.21亿,远高于全球第二大互联网市场印度的3.33亿网民。但中国互联网普及率与领先国家还有较大差距——数据最能直观地说明中国互联网的发展状况。2015年,中国家庭互联网普及率为54.17%,名列全球第35位;个人互联网使用率为50.30%,名列全球第90位;居民固定宽带签约率为18.56%,名列全球第57位;居民活跃移动宽带签约率为56.03%,名列第69位。
当然,差距同时也意味着发展潜力。今年6月21日,《麻省理工科技评论》杂志在其网站上发表了题为《中国互联网正在蓬勃发展》的文章。文章指出,中国正在利用互联网在传统产业中进行创新;传统企业的巨头正在整合中国的互联网;任何一家大公司都有可能成为互联网科技公司;中国的科技企业可以无拘无束地发展,这是美国大企业做不到的。
此外,文章还称,中国企业将成为把互联网应用到其他生活和产业领域的先驱,西方在这方面则将成为一个追赶者。以中国最大的房地产开发商万科为例,万科正在开创性地将基于互联网的技术和服务整合进有线智慧社区。万科希望建立可为居民提供花园、安全食品、旅行、娱乐以及医疗和教育服务的城市枢纽,而这些都能靠互联网实现。
而诸如阿里巴巴、腾讯之类的互联网巨头,其影响力早已渗透进我们生活的方方面面,为我们的生活带来了极大的便利。
然而,在看到潜力与便利的同时,或许我们更应该关注的,恐怕还是蓬勃发展的现状背后,国内网络安全领域所存在的一系列问题。1994年,中国通过NCFC工程接入国际互联网,随着互联网产业的发展,中国的战略决策者也提出了建设网络强国的目标——时至今日,在单纯的网络技术与信息产业方面,中国的实力无疑已经走在了世界的前列,与之相对的,却是网络安全建设的严重滞后。
造成这一状况的,有多种原因。首先,是一个最根本性的问题——中国的重要信息系统、关键基础设施中使用的核心信息技术产品和关键服务大都高度依赖国外,尤其是美国。
在G20杭州峰会召开前的一个多月以及会议期间,网络安保300人的团队共击退3000多万次网络攻击。
相关数据显示,全球网络根域名服务器为美国掌控;中国90%以上的高端芯片依赖美国几家企业提供;智能操作系统的90%以上由美国企业提供。中国政府、金融、能源、电信、交通等领域的信息化系统主机装备中近一半采用外国产品。基础网络中七成以上的设备来自美国思科公司,几乎所有的超级核心节点、国际交换节点、国际汇聚节点和互联互通节点都由思科公司掌握。
这样的局面造成的后果就是,作为全球网络主导者的美国,在“以攻为主、先发制人”的网络威慑战略指引下,将网络情报搜集、防御性网络行动和进攻性网络行动确立为国家行动。而伴随着中国经济持续多年的高速增长,美国方面的这类国家级、有组织的网络攻击也变得日益复杂,大有呈现由“软攻击”向“硬摧毁”转变的趋势,网络空间对抗自然也就日趋激烈。
早在2011年,由美国主导的对伊朗核设施进行网络攻击的“震网”行动,就已经表明,美国已经具备了入侵他国重要信息系统、对他国实施网络攻击的能力。中国自然也在攻击目标之列。
臭名昭著的“棱镜门”事件就是一个极为典型的例子。2013年6月,英国、美国和中国香港媒体相继根据美国国家安全局前雇员爱德华·斯诺登提供的文件,报道了美国国家安全局代号为“棱镜”的监视并获取世界各国机密的秘密项目。中国有关部门经过了几个月的查证,发现针对中国的窃密行为的内容基本属实。
这之中,最令人细思极恐的,恐怕还是美国人监听和窃密的广度和深度。斯诺登提供的文件显示,中国是美国非法窃听的主要目标之一,中国的政府机构是美国窃听的重点关照对象,金融和电信行业是攻击的主要目标。美英两国的情报人员甚至假扮“玩家”,渗透入中国玩家极多的网络游戏《魔兽世界》《第二生命》中,收集电脑游戏玩家的记录,监视游戏玩家。中国用户经常使用的腾讯聊天软件QQ和中国移动的移动即时通信应用飞信也未能幸免,赫然在美国国家安全局的监视范围之列。
2014年3月,“棱镜门”曝料人斯诺登再次透露,美国国家安全局自2007年开始,就入侵了中国通信设备企业华为的主服务器;2014年5月19日,美国司法部更是以所谓的“网络窃密”为由,起诉5名中国军人。
正如中国工程院院士沈昌祥所说,目前中国对国外产品的安全隐患和风险尚不清楚。而出口中国的关键设备都被美国备案,美国掌握着中国重要信息系统使用产品和设备的清单,对产品和设备的漏洞、后门等十分清楚。
网络安全意识淡薄,对于所谓内部网络物理隔离系统的盲目信赖,也成为了中国网络安全的一大致命伤。这一现象,在军队、党政机关、关键领域重点企业等领域尤为严重。
在传统观念中,只要不和外界网络发生接触,内网隔离就能从根本上杜绝网络威胁。然而,事实并非如此,据报道,某公司曾对中国教育系统、航空公司、司法机构等100多家重点行业关键企业和机关部门的内部网络进行测试,结果网络全被攻破,最长的耗时不过三天,最短的竟然只需要30分钟。而在斯诺登公布的材料中,美国已经掌握了100多种方法,用来破物理隔离的内部网络系统。
在该公司的另外一项测试中,检测发现,中国100多万个网站中,65%左右有漏洞,近30%是高危漏洞,“基本上你只要下功夫,这个站就能被拿下”。
事实上,在沈昌祥院士的一项课题研究中发现,中国半数以上重要信息系统难以抵御一般性网络攻击,利用一般性攻击工具即可获取大多数中央部委门户网站控制权。
网络安全意识的淡薄,加剧了这样的不利局面。在不少中国重点企业及政府部门中,并没有设置所谓的网络安全负责人,又或者只是简单地让并无相关资质的机房管理员承担这一实质上责任重大的任务。
2012年1月,美国“安全与国防议程”智囊团曾发布报告,将全球23个国家的信息安全防御能力分为6个梯队,其中,中国处于中下等的第4梯队,这意味着,中国的网络与信息系统安全防护水平很低。
这也就无怪乎有人指出,中国拥有一流的网络规模,却只有四流的网络安全防御能力。
困境与探索
国际互联网的影响,已然深深根植于人们生活的方方面面,在这样一个云计算、物联网、移动互联网、大数据、智能化等网络信息化新兴应用持续拓展的大背景下,网络安全防御能力的不足,意味着国内网络信息与数据的流失毫无疑问将十分严重。
相应的,个人信息与财产的安全将难以得到保障,近期频繁发生的电信诈骗案件,就是个人信息流失问题的一个缩影。先有清华教师被诈骗资金1760万之巨,后有山东女生徐玉玉因被诈骗光大学学费而悲伤离世……诸如此类的案件,在此前的许多年间,在全国的各个地方,无时不刻不在发生。据公安部门披露,仅2015年一年,全国电信诈骗发案59万余起,涉案金额高达222亿元。
我们在惋惜年轻生命的逝去,在痛恨行骗者的恶行之时,更应该看到事件背后的本质,个人防范意识的缺失固然是一方面,个人信息的泄漏才是造成犯罪事件的根源。
而随着智能手机、平板电脑的普及,以及移动互联网的开放式接入,这一现象将变得更为严重。以占中国智能手机用户60%比例的安卓智能手机操作系统为例。复旦大学的一份调查显示,安卓系统300多款应用软件中,58%存在泄漏用户隐私行为,其中25%的程序还将泄漏的信息进行加密,使得确认其内容和传送目的地非常困难。
各式各样的信息遭到泄漏之后,不仅仅是流入不法分子的手中用以牟利,更多的是单向地流入了同一个目的地——美国。可以这么说,美国人凭借技术优势引领了过去二十年的信息化进程,同时,逐步在这一领域形成垄断,使得全球网络信息都向美国单方向聚合,从而形成了巨大的信息链流失风险。
正如国家安全战略研究中心信息技术与安全研究所副所长王标所说,赛门铁克、IBM、惠普等美国企业垄断了全球的75%的市场份额,也占据了中国政府80%的容灾备份市场份额,中国大量政府部门的网络信息数据由此渠道单向流入美国。
上升到国家战略层面,这样一种状况将使得国家在军事、政治、经济等几乎各个领域受到不可估量的损失。美国人足以运用获得的大数据,分析并先于中国政府得知中国政治、经济、社会的最新动态和趋势的能力。换言之,最了解中国人的,或许并非中国人自己,而是大洋彼岸的一群美国人。
“在未来的网络安全攻防对抗中,信息失衡将比技术失衡更可怕。”网络安全专家、Ucloud公司董事长季昕华的这番话,很好地概括了中国面临的这一困境。
当然,困境之下,必然有对于出路与解决方案的不懈探索——即让互联网在成为国家发展助力的同时,不会对于国家安全产生负面的影响。而关于这场探索,显然是一次自上而下的动作。
2016年4月19日,习近平主席在网络安全专题研讨会上做出强有力发言,中国就此开始采取重要举措加入发达国家行列,逐渐实现互联网的进一步开放。习近平表示,“大国网络安全博弈,不单是技术博弈,还是理念博弈、话语权博弈。”他认为,中国要想保证网络空间的安全,必须与网络强国展开博弈。习近平还表示:“中国开放的大门不能关上,也不会关上。”他强调敞开大门是互联网发展的重要一环。
以往,出于对所谓网络安全的考虑,中国的互联网接入其实是多有限制的(事实证明并不能阻挡美国人入侵的脚步),现如今,习主席的一番讲话,无疑是在释放一种积极的信号——无论现状如何,中国有自信更有能力改善网络安全形势,更敢于应对国际网络安全的博弈。
其实,在这之前,中国已经在这一领域取得了一定的技术性突破。早在2014年,美国《连线》杂志网站就曾发表文章称,受益于互联网的发展,中国正在打破科技跟随者的既有形象,成为创新之国,中国互联网创新或已开始领先美国。而从4月底的全球最大的安全行业大会RSAC2015展现出的趋势和方向看,受益于互联网的发展,中国的网络安全创新也正在引领世界安全产业。
得益于360创造的免费安全模式,使得安全软件的使用率尤其是正版安全软件的使用率领先于世界。目前中国正版安全软件的普及率接近100%,而美国正版安全软件的普及率还不到50%。
在去年的RSA大会上,360总裁齐向东就曾表示:“传统的网络安全中国完全是跟在美国后面学的,比如防火墙、IPS、IDS基本都是跟随和拷贝美国,亦步亦趋跟在美国后面做的。但是在新生态的网络安全技术上,尤其是基于互联网的安全上中国走在美国的前面。”
从技术上赶超美国,从而最终抵御住美国人的网络入侵,这恐怕才是最行之有效的办法。而中国人,显然正在这条路上奋力前行。
技术的支持是一方面,法律与制度的保障则是另外一方面。十二届全国人大常委会第十五次会议审议通过的《中华人民共和国国家安全法》,第一次提出了“网络空间主权”的概念,并明确规定,国家建设网络与信息安全保障体系,加强网络管理,防范、制止和依法惩治网络攻击、网络入侵、网络窃密、散布违法有害信息等网络违法犯罪行为。
我国还制定了严格的网络安全审查制度。该制度规定,对进入我国市场的重要信息技术产品及其提供者进行网络安全审查,审查重点在于该产品的安全性和可控性,旨在防止产品提供者利用提供产品的方便,非法控制、干扰、中断用户系统,非法收集、存储、处理和利用用户有关信息。对不符合安全要求的产品和服务,将不得在中国境内使用。
即将于武汉开幕的“2016国家网络宣传周”及一系列相关活动,也正是中国积极应对国际国内网络安全问题的一个真实写照。
无论是出于军事、社会或是经济方面的考虑,也无论是技术、法制或是其他各式各样的支持,作为网络大国的中国,当前正朝着一个网络强国的目标稳步推进。
互联网在改变世界,而中国,在改变互联网。