棱镜门事件反思 网络与信息安全的攻防是高科技较量 唐 岚

经过“棱镜”事件，中国上下必须重新认识网络安全问题的战略意义，真正看到网络经济创新力和信息安全保障力。如何抓住在全球各个网络节点穿越的信息流和数据流，更成为美国技术研发的重点。

“谁掌握了信息，控制了网络，谁就将拥有整个世界。”

——阿尔文·托夫勒《第三次浪潮》

日前，美国国家安全局前雇员爱德华·斯诺登曝光了包括“棱镜”在内的美政府多个秘密监视项目。尽管美国及其盟友铺设的全球监控网一直是个公开的秘密，但此次曝光揭露的监视范围之广、程度之深以及数据量之大，仍引起全世界震惊。“棱镜”等系列项目的曝光再次揭示了中国与发达国家在网络领域的实力差距。我们应该借此机会深刻反思，抓住新一轮信息技术革命的机遇，全面筹划构筑牢固的网络防线。

反思之一：网络与信息安全应上升为国家战略

美国的霸权地位一直由三个因素来支撑，即军事力量、美元体系和科技创新。金融危机致使美元体系摇摇欲坠，而且受伊、阿战争拖累，美国难有足够精力连续发动战争来转移国内危机。与此同时，以金砖国家为代表的新兴经济体发展迅猛，美国衰弱论一时间甚嚣尘上。美国只有也必须发动一场新的技术革命才能化解危机，保住已有的霸权和优势。毋庸置疑，信息通讯技术就是这场新革命的主战场。

20xx年奥巴马刚履新，就宣布经济刺激资金将会投入到宽带网络等新兴技术中去——毫无疑问，这就是美国在21世纪保持和夺回竞争优势的方式。但这一切能否实现，有一个前提条件——“美国21世纪的经济繁荣将取决于网络空间的安全”。

在两个任期内，奥巴马政府相继推出《网络政策评估报告》《网络空间国际战略》《确保未来网络安全的蓝图——美国国土安全相关实体网络安全战略报告》《网络空间可信身份战略》等多个文件，一再重申网络安全已上升为美国家安全的核心问题，大刀阔斧地改革网络安全体制，将网络安全主管部门的行政级别一举提升至最高级，在白官和国务院设立“协调官”，统揽网络安全内外事务。系列举动表明，美国站在全方位、立体和多维的视角来认识网络空间，把网络安全作为事关国家未来的战略问题加以谋划。

继美之后，英、澳、日、法、德、新西兰、荷、韩以及欧盟等均出台了各自的网络安全战略，既提升网络安全的重要地位，以塑造坚固的网络防御为要务，又着重加强国家层面的统筹和规划，纲举目张。

网络空间的较量关系到全球信息化格局和信息社会的发展，关系到国家的综合实力和战略优势。正如《第三次浪潮》的作者阿尔文·托夫勒所断言：“谁掌握了信息，控制了网络，谁就将拥有整个世界。”正是受这种理念驱动，美国坚定不移地把信息优势看做决定综合国力的关键因素。“棱镜”折射出来的，正是美国实际上已经拥有了全球互联网的控制权，具体又体现在重要资源的分配权、网络空间行为规则的话语权、核心技术的垄断权以及全球数据的掌握权之上。

经过“棱镜”事件，中国上下必须重新认识网络安全问题的战略意义，真正看到网络经济创新力和信息安全保障力。因为网络空间的影响力及互联网管理能力将关系到未来在可能爆发战争中的生死存亡，关系到信息时代的荣辱兴衰。

反思之二：网络与信息安全的攻防是高科技较量

“棱镜”及其后来曝光的“巧言”和Tempora计划，均展示了美英两国在网络监控、海量数据的挖掘、收集和分析技术等领域的领先地位。事实上，互联网的诞生、信息通讯技术的更新换代、信息革命的风起云涌，后面都有美国的身影。我们不得不承认美国在信息和通信技术领域始终拥有着绝对优势，全球计算机及网络信息系统使用的操作系统和芯片、数据库、路由器等核心技术，以及互联网领域的各种核心服务运营等，都牢牢掌握在美国手中。 最近几年，美国更是频频推出云计算、物联网、工业互联网、大数据等技术理念和商业模式，并在人工智能、现实增强等高端技术领域充当领军，引领着信息化和网络化的发展方向。舍恩伯格在《大数据》一书中指出，过去信息技术变革的重点往往在“T”（技术）而不是“I”（信息），现在是时候把聚光灯打向“I”了。

如何抓住在全球各个网络节点穿越的信息流和数据流，更成为美国技术研发的重点。美军情部门是诸多尖端技术的先驱，国家安全局（NSA）、国防高级研究局（DARPA）、国防信息系统局（DISA）等在网络安全态势感知、网络防御和攻击手段研发等方面让其他国家难以望

其项背。除此次参与网络监控的所谓“8大金刚”或“9大巨头”外，传统的国防承包商洛克希德·马丁、波音、雷神、SAIC等也是美网络攻防技术研发的主力。它们每年都能接到来自政府的大单合同，全面参与了“国家网络靶场”、网络武器开发的各种项目。例如，被称为“网络空间曼哈顿计划”的“国家网络安全全面倡议”计划（CNCI），开始于布什政府后期，涉及反情报、供应链安全、预防入侵、技术研发及威慑战略等多层面，目的是在美政府内建立起第一道能抵挡所有类型威胁的网络防线。

在奥巴马政府2014财年预算中，用于IT的经费达到820亿美元，秘密IT项目和网络武器的开发还未包括在内。其中，五角大楼所占比重最大，占到全部IT支出的48%。与此同时，美国又以“国家安全”为借口，企图挡住来自中国等国家的IT产品和服务，其实就是担心中国“以其人之道还治其人之身”。

“棱镜”再次充分暴露了中国网络空间的软肋。一方面，我国虽然正在经历信息化的跨越式发展，后发优势突出且进展快速，但信息技术和互联网产业水平仍落后于美国，自身不硬则难免受人所困。另一方面，我们所使用的信息技术、设备、系统和服务大多是由参与“棱镜”这类计划的公司提供的。常规的安全措施虽然能起到某种防护作用，但信息处理和传输要依靠它们的软硬件，信息存储要依赖它们的服务器，根本的安全难以保障。因此，如何规划我国信息化建设，找准未来发展方向和重点领域，值得思考。

反思之三：网络与信息安全必须举国家之力

网络与信息安全的战略意义和高层次的科技含量，决定了政府必须从最高层面加以统筹谋划，整合和优化国家力量。参考美国的经验，政府在维护网络与信息安全中应发挥好以下三方面作用。

首先是立法先行。“棱镜”被曝光后，美国政府、军方纷纷表态，表明这些计划的实施有法可依且受到严格的法律监督。事实上，美国的确建立了完备的信息安全法律体系，政府信息安全、打击计算机犯罪、隐私保护、关键基础设施保护及技术采购和出口管制等各种法律一应俱全。近三年来，美国国会还在不断提出各种新法案，为政府保障网络与信息安全提供充足的“保护伞”。可见，只有掌握了有力的法理依据，国家才能更好地行使在网络空间的管辖权。

其次是善用规则。美国一方面以所谓“中国通信公司给美国带来国家安全威胁”为由，把华为、中兴等挡在其国门之外，联想的多次收购之路也充满坎坷；另一方面，又依据WTO规则，反过来指责中国以国家安全为由设置了贸易壁垒，对其出口中国的IT产品和服务进行审查并要求交出源代码。而实际情况是，我国的信息安全审核机制仍较薄弱，对进入中国的国外产品几乎不设防，从而留下较大的安全隐患。核心技术的自主可控是我国扭转这一被动局面的主要举措，但自主研发是一个长期的过程，国产化亦非等同于安全，现阶段应以可控为主，通过灵活利用国际规则和国际惯例，完善信息安全产品审查和政府采购的立法、政策、机制和手段，提高国外产品入境尤其是进入核心部门的门槛。

最后是营造环境。科学处理技术研发与市场推广的关系，通过行政手段和市场激励在社会全面推广安全意识教育。政府要在社会上形成一种导向，推动国产基础软件的市场化和普及化，增加应用试点示范，逐步拓展国产软硬件的市场占有率，同时也要提高技术研发的针对性，更好地满足使用者的需求。（作者为中国现代国际关系研究院信息与社会发展研究所副所长）

 

第二篇：从“棱镜门”事件热议中带出的冷思考

科技日报：关于“棱镜门”事件的警示

从“棱镜门”事件热议中带出的冷思考

“棱镜门”事件，令人触目惊心！那么，透过其隐没在背后的“黑手”，到底给我们带来那些警示？我国又该如何来应对日益激烈的网络信息“安全战”？带着这些值得深思的问题，今天，科技日报记者走访了一些业内有关专家和企业家。

“美国实际掌控着全球互联网的绝对‘话语权’”

连日来，美国“棱镜门”事件在不断持续的“发酵”，美国利用其互联网强势地位入侵他国电脑系统的行径正在遭到各国的声讨，也使其陷入了“全球偷窥者”的尬尴境地。

美国相关情报部门通过“棱镜”（PRISM）互联网信息筛选项目直接接触九大互联网企业的用户数据，侦查用户行为。这些互联网企业主要包括微软、谷歌、脸谱、苹果、雅虎等，而这些科技巨头则向美国两大情报机构开放服务器，使美国政府能够轻而易举地监控全球。 “事件不仅为国家信息安全保护敲响了警钟，也让国产软件厂商更深切的体会到产业发展的重要性和自己所肩负的国家信息安全保护的重大责任。”无锡永中软件有限公司研发中心总经理党永在在接受科技日报记者采访时说。

据有关业内有关专家透露，多年来，美国始终实际掌控着全球互联网的绝对话语权。目前，互联网关键汇集渠道都是服务器，全球共有13台根服务器，而12台都在美国，信息核心节点周转在美国；全球大部分用户经常使用的软硬件设备，信息的正常运行关键在于交换机、手机、芯片、系统等设备。大部分主流软硬件厂商均来自美国，如英特尔、微软、谷歌、苹果等公司，用户在使用过程中，信息很容易被监听、过滤。Cookies技术的广泛应用，也使得监测用户的互联网信息、隐私成为可能。

有专家指出，“从信息安全和国家安全的角度考虑，以上隐患首先威胁到的是掌握国家信息核心部门的政府。事实上，这个问题在我国一些政府部门却一直没有引起足够的重视。日前，一些政府机构均有采购微软Office软件。这些软件类产品可能被预置了‘后门’，而软件产品本身可能就带有容易被攻击的漏洞。这都给国家信息安全造成了重大威胁。”

据业内有关人士介绍，我国经过入世十年以来的发展，已成为全球的电子信息产业大国。电子信息产品制造业规模占全球总量30%以上，居世界第一；20xx年，我国电子信息产业规模占中国GDP比重近5%。

虽然说，我国电子信息产业在全球是起步较早的，但一直受各种因素影响发展缓慢，整体科技水平与发达国家相比仍存在较大差距。

为改变这一现状，20xx年8月，国家科技部作为组长单位，工信部、国家发改委、财政部为副组长单位，教育部、总装备部、国防科工委和中国科学院为成员单位，开始启动‘核高基’重大专项，力图扭转中国在信息产业方面的“技术短板”。

这个国家重大专项启动近七年来，应该说，有效地促进了信息产业基础部件的国产化发展，但在一些专家与企业家眼里，就国家信息安全方面来说，我国仍存在很大“风险”。

“加快使用国产软件可从根本上杜绝带来的威胁”

信息安全责任重大。中国工程院倪光南院士曾在多次重大场合呼吁：“任何国家的政府采购都要以保障信息安全、国家安全为前提。”

中国瑞达系统装备公司（前身是国防部第十研究院）高级工程师杨九雁指出，“由于特定的信息安全方面的需求,安全范畴将从单纯的物理层面扩大到信息层面。目前，我国对信息安全真正理解的人很少，社会各行业对信息安全的关注度也很低，国家应该通过技术规范及安全论证，大力推广信息安全基础部件的国产化，使我们对信息安全更加关注，确保国家信息系统自主、可控、安全。”

“加快使用国产自主研发的软件，便可以从根本上杜绝海外软件产品给国家信息安全带来的威胁。以国内具有完全自主知识产权的永中Office办公软件为例，其自主研发的源代码规模接近300万行。从多年来永中Office办公软件在各个领域的实际应用来看，其产品功能全面、智能化，集成创新、跨平台、中文特色等应用从各个方面最大程度上满足了不同用户

的需求，完全可以替代国外的同类产品。”原中国软件董事长唐敏说。

那么，从保障国家信息安全来说，我国的技术水平如何？

“我们在北京刚刚向全球同步发布的永中Office 2013全新版本，采用全方位‘立体式‘安全模式，创建文档‘安全盾’：支持多级密码保护，采用永中自主专利的加密算法技术，对用户操作进行权限控制，实现文档操作全程跟踪；对文档的全生命周期进行实时监控保护，‘文档不落地、文档的碎片传输、存储’等核心技术的全面应用，满足用户不同的文档保密需求，完善能够全方位、多角度、多手段确保文档的保密安全。”党永在称。

“要多措并举加大对国家信息安全进行全面保护”

透过“棱镜门”事件，我们该如何来提高警惕，真正将安全放在第一位，将国家利益放在第一位，全力支持国产基础软件企业加快自主研发和做强做大，更好地推动我国自主基础信息软件产业的发展？这已成为我国急需解决的一个突出问题。

“各级政府要多措并举支持国产基础软件企业发展，加大对国家信息安全进行全面保护”。 唐敏说。

事实上，记者在采访中耳闻了这样一些令人担忧之事：

作为“核高基”重大专项“办公软件”承担者无锡永中，经过13年潜心发展，无论在办公软件核心技术的研发，还是办公软件产业的发展，都取得了较大的成绩，也作为无锡创建“软件名城”中基础软件的一个重要组成部分。

然而，让人不可思议的是。这家拥有我国自主知识产权的国产基础软件重点企业，多年来在与海外厂商的竞争中，却始终是在“曲折”中前行，企业发展非常困难。

用无锡永中有关负责人的话来说，“《政府采购法》对涉及国家安全领域的规定还处于不明确状态，对进口产品和海外品牌的产品没有进行原则上的规定，海外品牌借助其已有的品牌影响力，从各个层面打压国产软件，使得国产软件厂商只能在夹缝中求得生存。”

更让永中人感到不公平不公正的事是，近期，与永中公司一墙之隔的大楼上却挂起了“Microsoft”的牌子。

据有关知情者透露，“所属当地的区政府给微软公司的装修补贴是整个园区最高的，将近3500元/平米，是同类公司的6至7倍。除此之外，当地有关部门还承诺了一定数量的微软软件采购量。”

“这样的‘引资’项目，这些缺乏保护国产软件产业发展的现状，到底能给中国自主软件研发及产业化带来什么？是否与我国信息产业实现‘自主、可控、安全’的宗旨相一致。有关业内人士发出如此的责疑。

更有业内部人士一针见血指出，“这不仅仅是一个简单支持不支持国产基础软件企业的生存与发展的问题，而是折射出一场地方政府利益与国家信息安全保护的博弈，所带来的是未来国产软件与国外品牌产品更加激烈的交锋。

倪光南指出，“我国应当切实按照《政府采购法》的规定，除了一些特殊情况外，应当采购本国软硬件产品。实际上，联想微机的核心技术，包括CPU和操作系统等等都是美国的，即使是这样，美国政府还不放心。相比之下，我国信息系统软硬件的核心技术几乎都是外国的，怎么反而可以高枕无忧呢？现在我国有些地方的政府部门在国产软件基本可用的情况下却大量采购外国软件，说明他们十分缺乏安全意识，缺乏法制观念。社会上各界对于基础软件被跨国公司垄断的安全隐患缺乏认识。”

例如，最近微软的WGA作为“危急的安全补丁软件”在用户不知情的情况下，被安装到了无数计算机上，它每隔一定时间就将用户计算机的关键信息发送给微软，被许多人称为“间谍件”，这一在国际上引起轩然大波甚至被一些团体告上法院的事件在中国却很少反响，这表明公众对于信息安全的意识很差。凡此种种，都需要加以改进。

为此，有专家呼吁：“对于涉及国家机密或国家安全的产品要以国家利益至上的原则采取限定性的措施”，要采取有力举措提高全社会对信息安全的意识的同时，通过立法等手段加大对国产软件产品进行保护、对国家信息安全进行全面保护。”