■ 王彩平

與領導干部談“如何與媒體打交道”之五注意 身邊的網絡安全

■ 王彩平

2014年4月14日，《衛(wèi)報》和《華盛頓郵報》憑借報道斯諾登揭露的“棱鏡門”事件，分享了2014年度普利策新聞獎最重要的獎項“公共服務獎”。2013年6月，斯諾登通過《衛(wèi)報》和《華盛頓郵報》對外披露了美國國家安全局（NSA）實施的棱鏡計劃（PRISM）的諸多細節(jié)，包括對默克爾等多國領導人、聯(lián)合國等國際組織實施監(jiān)聽監(jiān)控等行為。

棱鏡計劃是美國有史以來最大的監(jiān)控事件，其侵犯的人群之廣、程度之深讓人咋舌，反映出美國將互聯(lián)網作為對其他國家進行偵察、顛覆和作戰(zhàn)的行動空間和新戰(zhàn)場的真實意圖。因此，斯諾登事件的曝光引起國際輿論一片嘩然，有媒體將美國政府的這種做法指責為“深度奧威爾主義”，也有人調侃說，如果在天有靈，奧威爾可能會慨嘆自己的想象力還不夠強。

斯諾登事件引發(fā)網絡空間安全危機

受斯諾登事件影響，網絡空間的安全危機引起了各國高度重視，一些國家競相掀起新一輪網絡安全“保衛(wèi)戰(zhàn)”，有的在物理層面實施“技術隔離”，如俄聯(lián)邦航天署為多家下屬企業(yè)員工采購國產防竊聽手機，并要求在進行涉密對話時必須使用該手機。俄聯(lián)邦保衛(wèi)局決定斥資48.65萬盧布(約合1.5萬美元)，購買20臺打字機供打印機密文件之用。有的在技術層面進行“換代升級”，如德國宣布將在未來5年內投入1億歐元，加強對互聯(lián)網的建設，增加約100名工作人員，并提高計算能力和服務器性能。有的從戰(zhàn)略層面進行頂層設計，如“斯諾登事件”之后，據印度國家安全委員會秘書處的一份內部調查顯示，印度正在積極招募大批互聯(lián)網專家，構建本國“網絡安全體系”，同時積極構建法律體制。日本防衛(wèi)廳也已組建了一支由陸?？兆孕l(wèi)隊計算機專家組成的5000人左右的網絡戰(zhàn)部隊，專門從事網絡系統(tǒng)的攻防作戰(zhàn)。[ 吳定平，《“斯諾登震撼”令各國加強網絡安全》，2014年2月25日，新華網評]

作為棱鏡計劃的重點監(jiān)測對象，中國的網絡安全面臨著嚴峻的挑戰(zhàn)，突出體現(xiàn)在技術領域。

由于我國軟件行業(yè)發(fā)展基本上是在復制國外產品和模式，因此在競爭中始終處于被動地位。有報道說，在“棱鏡”的折射下，中國幾乎“一絲不掛”。美國建立多個監(jiān)視、

信息挖掘項目，通過與政府關系緊密的跨國企業(yè)，已經把中國網絡的七經八脈全部打通，電話、視頻、郵件，甚至每一個人的刷卡和旅游記錄，都有可能被一一傳送到美國國家安全局情報人員的硬盤里。

這不是危言聳聽。就電腦操作系統(tǒng)而言，我國的黨政軍要害部門以及金融、能源、電力、通訊、交通等關鍵基礎設施領域長期依賴于微軟XP系統(tǒng)。據國家計算機病毒應急處理中心發(fā)布的《WINDOWS XP系統(tǒng)安全狀況調研報告》顯示，在政府企業(yè)用戶群中所抽樣的121萬臺電腦設備中裝有XP系統(tǒng)的所占比例高達72.6%。如果再加上安裝微軟其他操作系統(tǒng)的用戶，Windows用戶數(shù)量超過90%，我國家庭個人用戶幾乎全是使用Windows操作系統(tǒng)。

網絡安全與安全網絡

1998年，股神巴菲特曾經對比爾·蓋茨做過一次采訪，問及微軟的中國策略，蓋茨的回答是：“盡管在中國每年有大約300萬臺電腦被售出，中國人卻不會為軟件付錢，不過總有一天他們會的，既然他們想要去偷，我們想讓他們偷我們的。他們會因此上癮，這樣接下來的十年我們就會找出某種辦法讓他們付賬。”今天，當中國的操作系統(tǒng)被微軟壟斷，蓋茨的話得到了應驗，僅Windows操作系統(tǒng)一項，中國每年要為此支付數(shù)百億美元的版權費用。

這還不是最嚴重的后果。2010年，美國“震網”病毒攻擊伊朗核設施，導致伊朗1000多臺離心機癱瘓，“震網”的威力，就來自于伊朗幾乎每臺電腦都安裝了微軟的 Windows 系統(tǒng)。斯諾登爆料稱，包括微軟在內的美國各大跨國IT公司，都在為美國國家安全局提供用戶的數(shù)據資料。由此不難想到，一旦美國政府通過法令，讓微軟基于其操作系統(tǒng)對中國用戶進行相關操作，中國所有使用Windows操作系統(tǒng)的電腦，可以瞬間被“裸奔”，甚至“崩潰”。

基于操作系統(tǒng)在IT網絡空間中的核心作用，各國開始重新思考打造自己的自主可控操作系統(tǒng)，法德等歐洲大國一直在議會和政府部門電腦安裝基于歐洲人開發(fā)的Linux操作系統(tǒng)，俄羅斯政府計劃花費數(shù)億美元在IT部門研制“Windows替代系統(tǒng)”，韓國大企業(yè)喊出要占領國內30%操作系統(tǒng)市場份額的“宏偉目標”。朝鮮、印度、古巴、日本等都在研發(fā)或計劃推出自主性更強的OS。而在“震網”之后，伊朗在2013年完成國家的內聯(lián)網系統(tǒng)建設，其中關鍵部門和政府機構網絡系統(tǒng)已經脫離互聯(lián)網。此外，伊朗還計劃開發(fā)“清真網絡”，斷開與國際互聯(lián)網的接口，同時研究新系統(tǒng)取代微軟的Windows操作系統(tǒng)。

2012年10月26日，微軟推出新一代操作系統(tǒng)Windows8，該系統(tǒng)不僅采用了已被中國政府采購拒之門外的vista系統(tǒng)的“可信計算”架構，而且還捆綁了微軟自主的殺毒軟件Windows Defender，這使得微軟可以借“殺毒”之名，隨時掃描用戶計算機，并隨時發(fā)布“補丁”。2013年8月23日，德國《時代周報》報道，德國政府及私營機構將考慮拒絕使用“Windows8”，其主要理由是微軟的“可信計算”實際上是NSA的后門——它讓微軟和NSA事實上能遠程控制任何計算機。

2014年5月16日，中央國家機關政府采購中心發(fā)布《關于進行信息類協(xié)議供貨強制節(jié)能產品補充招標的通知》，對入圍中央機關采購范圍內的信息類產品提出新的采購要求，其中要求所有計算機類產品不允許安裝Windows8操作系統(tǒng)。但是，2014年4月8日，微軟停止了對Windows XP操作系統(tǒng)的服務，這引發(fā)了人們對于電腦系統(tǒng)性風險的擔憂，有人認為XP停服將使大量載有重要信息的政府部門電腦設備失去基本防護，重要資料、敏感資料可能丟失甚至被盜取，中國國家信息安全面臨很大威脅。

我國也曾開發(fā)過“紅旗Linux”和 “中標麒麟”兩款操作系統(tǒng)，其中，中科紅旗公司曾是國產自主操作系統(tǒng)代表廠商，但由于一直依賴政府哺育型的開發(fā)機制，靠申請“核高基”項目課題獲取收入，產品不貼近市場，得不到消費者認可和接受，2014年初，中科紅旗被解散清算。而“中標麒麟”操作系統(tǒng)，則被質疑抄襲美國的FreeBSD開放源代碼操作系統(tǒng)。

當前，除了PC端的操作系統(tǒng)被壟斷之外，中國的移動智能終端又被安卓與蘋果操作系統(tǒng)雙寡頭壟斷。而在絕大多數(shù)關鍵信息基礎設施領域，美國“八大金剛”（思科、IBM、谷歌、高通、英特爾、蘋果、甲骨文、微軟）都占據了龐大的市

場份額。一些儲存重要信息的數(shù)據庫軟件，以及工業(yè)控制系統(tǒng)，均為西方高科技公司所研發(fā)。

以思科為例，騰訊、阿里巴巴、百度、新浪等排名前20的互聯(lián)網企業(yè)，思科設備占據了約60%份額；在電信行業(yè)，思科占據了中國電信163個骨干網絡約73%的份額，把持了163個骨干網所有的超級核心節(jié)點和絕大部分普通核心節(jié)點；在金融行業(yè)，中國四大銀行及各城市商業(yè)銀行的數(shù)據中心全部采用思科設備，思科占有金融行業(yè)70%以上的份額；在海關、公安、武警、工商、教育等政府機構，思科的份額超過了50%；在鐵路系統(tǒng)，思科的份額約占60%；在民航，空中管制的骨干網絡全部為思科設備；在機場、碼頭和港口，思科占有超過60%以上的份額；在石油、制造、輕工和煙草等行業(yè)，思科的份額超過60%，甚至很多企業(yè)和機構只采用思科設備；在電視臺及傳媒行業(yè)，思科的份額更是達到了80%以上……

為此，有人不無憂慮地指出，中國的信息安全在以思科為代表的美國“八大金剛”面前形同虛設，美國“八大金剛”可能對中國帶來的危害，絲毫不亞于當年火燒圓明園的“八國聯(lián)軍”。

此外，伴隨著云時代的到來，云計算的安全問題也日益凸顯出來。由于極高的技術和資金門檻，全球真正有實力研發(fā)和提供云計算服務的公司只有微軟、谷歌、思科、IBM 等少數(shù)互聯(lián)網巨頭，微軟還計劃聯(lián)合其他巨頭組成“云計算聯(lián)盟”。依托國內網絡巨頭，美國壟斷和控制著云計算的發(fā)展趨勢，如果我們不具備“自主可控”的云計算能力，將不得不借助于相關跨國巨頭的云計算中心進行存儲和計算數(shù)據，這就使得中國的網絡安全面臨更為嚴峻的挑戰(zhàn)。

目前，全球13個根域名服務器中除了英國、瑞典和日本各有1個之外，其余10個都在美國。而簽署和發(fā)放根服務器的互聯(lián)網域名與號碼分配機構（ICANN）實際上是由美國控制的，美國因而掌握了對全球信息的絕對控制權。

如何才能從網絡安全走向安全網絡？

如今，網絡空間已經成為繼領土、領海和領空之后的第四空間，網絡空間安全也成為國家安全的重要組成部分。那么，如何才能從網絡安全走向安全網絡呢？

首先，要形成總體網絡安全觀。正如習近平總書記所指出，沒有網絡安全就沒有國家安全，沒有信息化就沒有現(xiàn)代化。早在2003 年，美國總統(tǒng)布什就出臺了《美國保護網絡空間國家戰(zhàn)略》；2009 年6 月，美國正式組建網絡戰(zhàn)司令部。2011年，美國總統(tǒng)奧巴馬發(fā)布《網絡空間國際戰(zhàn)略》，第一次提出當網絡受到攻擊以后可以用軍事手段進行反擊。2014年3月4日，美國國防部最新頒布的《四年防務報告》，首次公開提出要“建設133支網絡部隊”的戰(zhàn)略目標，其中包括13支“國家任務部隊”、8支“國家支援部隊”、27支“作戰(zhàn)任務部隊”、17支“作戰(zhàn)支援部隊”、18支“國家防御部隊”、24支“國家網絡防御維護部隊”、26支“作戰(zhàn)指揮與國防部信息網絡防御部隊”。2014年4月10日，外交部網絡事務協(xié)調員傅聰在博鰲亞洲論壇上表示：目前已有40多個國家建有網絡部隊，部分國家著手開發(fā)網絡武

器，恐怖分子則利用網絡散發(fā)恐怖信息、組織恐怖活動，全球網絡安全形勢非常嚴峻。

因此，一定要在總體國家安全的層面上來認識網絡安全。2014年2月27日，由習近平總書記任組長的中央網絡安全與信息化領導小組正式成立，這是黨的十八屆三中全會以后，由總書記直接擔任組長、總理擔任第一副組長的第三個跨黨政軍的重要機構。中央網絡安全和信息化領導小組的成立，體現(xiàn)了中國最高層全面深化改革、加強頂層設計的意志，顯示出國家保障網絡安全、維護國家利益、推動信息化發(fā)展的決心，表明我國對網絡與信息安全將越來越重視，有利于國家在總體上從戰(zhàn)略部署、組織架構、法律法規(guī)、關鍵基礎設施安全、技術產業(yè)發(fā)展、攻防能力建設等方面加強頂層設計。

其次，要提升自主科技創(chuàng)新能力。如今，網絡安全成為了國家與社會運行的“生命線”。一旦關鍵信息基礎設施和網絡出現(xiàn)故障或受到大規(guī)模攻擊而發(fā)生斷網，就會導致行業(yè)或整個社會網絡化服務的局部性、或是全面性癱瘓，就會帶來難以估量的巨大經濟與社會財富損失，甚至是人員傷亡。

目前，我國軟件與互聯(lián)網行業(yè)發(fā)展基本上是在復制國外產品與模式。以應用軟件為例，為了使應用軟件在Windows上面跑得順暢，獲得兼容，我國做應用軟件的公司不得不完全遵循微軟的相關技術準則，按照別人的規(guī)則去比賽，這種被牽著鼻子走的競爭顯然是一種被動的、不平等的競爭。

中國的信息化建設要想擺脫受制于國際互聯(lián)網巨頭所制定的標準和游戲規(guī)則的局面，必須提升自主科技創(chuàng)新能力，聚焦關鍵技術和核心產品，在創(chuàng)新中不斷突破芯片技術、操作系統(tǒng)、身份認證技術、密碼技術等，都是網絡安全的基礎核心技術，只有掌握了這些核心技術，才可能掌握行業(yè)發(fā)展的主動權，中國從網絡大國走向網絡強國的戰(zhàn)略目標才有可能實現(xiàn)。

因此，要改變過去通過行政手段配置資源的做法，在充分發(fā)揮市場資源配置作用的同時，通過政策引領，鼓勵企業(yè)創(chuàng)新，如通過政府采購來培植更多像華為、中興這樣的具有全球影響力的大企業(yè)，使中國的信息化產品逐步形成產業(yè)鏈條，從而具有持續(xù)的動力和發(fā)展的活力。

再次，要完善法律法規(guī)和標準體系。在美國，“911”事件之后通過的《愛國者法案》將關鍵性基礎設施定義為：“對國家而言具有重要性的物理和虛擬系統(tǒng)及手段的總和，一旦它們發(fā)生故障或被摧毀，有可能在國防、經濟、衛(wèi)生及國家安全領域產生毀滅性后果?！币虼耍覀兛吹?012年在對中興、華為兩家企業(yè)長達11個月的調查后，美國眾議院情報委員會發(fā)表報告稱，美國電信運營商不應和中國華為、中興兩家公司進行合作，因為后者“可能對美國國家安全構成風險”。而在斯諾登事件之后，這一法律也成為美國政府進行辯解的主要依據。有人說，《愛國者法案》是一部惡法，但不可否認的是，美國決策和立法部門對自身國家安全的高度重視。在信息安全領域，美國是全球唯一一個將進攻與防御并重的國家，居然將信息安全提到了這樣的高度，形成了立法部門、政府部門、企業(yè)部門等密集互動的一體網絡。

我國的網絡安全領域還處于發(fā)展的初級階段，法制化治理和管理模式尚未形成。當前信息網絡領域的管理、協(xié)調主要是依據行政手段、規(guī)章和全國人大常委會的《關于加強網絡信息保護的決定》，缺乏完整統(tǒng)一、相互銜接并且細化的法律法規(guī)，如信息網絡安全法、公民信息保護法以及信息保密法律等，因此，應不斷完善法律法規(guī)和安全標準，推動互聯(lián)網管理的法制進程。2014年全國人大常委會立法工作計劃中，網絡安全法被列入立法日程，這對于網絡安全來說無疑具有重要的意義。

值得注意的是，早在2003年5月12日，我國就正式發(fā)布了我們自主研發(fā)的、擁有自主知識產權的無線局域網安全技術標準——WAP。但是十多年來，在實際操作中，WAPI一直處于未采用、邊緣化的狀態(tài)，而目前采用的WiFi標準，不僅使國家公共基礎設施網絡存在極大的安全隱患和公共信息安全問題，而且使我們自己發(fā)布的國家強制標準失去了權威性，正如同美國著名法學家伯爾曼在《法律與宗教》一書中寫下的不朽名言：“法律必須被信仰，否則它將形同虛設?！?/p>

（作者系國家行政學院副教授）