周德旺 程相然
2013年6月以来,根据美国国家安全局前雇员爱德华·斯诺登提供的文件和约定,英国《卫报》和美国《华盛顿邮报》最先抛出有关“棱镜”计划的信息资料。此后,美国监听世界的“新闻”不断曝光。世人这才了解到,原来美国这个自喻为网络世界的“受害者”,却是网络空间最大的“监控者”和“窃密者”。
近期,随着国外媒体不断抛出美国对全球35个国家政要实施监听、美国与多国联手搜集情报等“重磅炸弹”,“棱镜”事件引发的风波不断升级,越来越多的国家加入批判美国“监听全世界”的行列:德国总理默克尔致电美国总统奥巴马,对其手机被监听表示强烈不满;法国总统奥朗德表示,在朋友间从事间谍活动“不可接受”;欧洲议会派出代表团前往华盛顿向美国讨说法……对此,美国含糊其辞,左支右绌,大玩文字游戏。奥巴马称,“现在没有”监听德国总理的手机,其安全和反恐助手莉萨莫纳科竭力向盟国保证,情报搜集并未“走火入魔”。俄罗斯总理梅德韦杰夫却一语道破天机:“‘对不起,我们不会这么干了’或者‘我们不会再试图监听你了’,没人会信。”
信息安全形势愈加严峻
随着信息化建设的不断推进,新技术以“摩尔定律”滚动发展,在不断提高信息获取、处理、流通、交换效率的同时,也对新形势下我国的信息安全、数据保密、隐私保护等问题提出了十分严峻的挑战。
我国与西方国家在信息技术领域存在着严重的不对称性。美国是互联网的发明者,也是信息技术的领跑者,几乎控制着互联网的所有关键基础设施和核心技术。全球13台根服务器,包括唯一一台主根服务器在内,有10台在美国,另3台在欧洲和日本,高性能计算机、操作系统、数据库、网络交换五大核心网络技术,全部被国外IT巨头垄断。目前,我国政府部门、基础设施、安全系统和家庭用户的大量计算机和网络设备,均来自参与“棱镜”监控计划的微软、思科、英特尔等“八大金刚”,“信息通道”、“网络要津”、“数据仓库”严重受制于人。
攻击窃密技术与安全防护技术存在严重的不平衡性。网络最初产生的唯一目的在于应用,缺乏整体上的安全性考虑,具有先天的安全缺陷,网络安全漏洞层出不穷,源代码拥有者、设备制造商很容易暗设机关、埋下“伏兵”,加上黑客攻击技术门槛低、费用小,造成近年来我国受病毒、木马攻击的事件频发,成为网络攻击的重要受害国。我国信息安全产业起步晚、基础薄弱,在基础安全防护方面尚存在技术性缺失,西方国家又一直限制高等级信息安全技术和产品对华出口,因此,面对花样不断翻新的攻击窃密技术,我国现有的网络安全技术对国家信息安全保障的支撑能力严重不足。
新兴信息技术与安全防护技术存在严重的不同步性。当前,云计算、大数据、物联网等新兴信息技术不断涌现,然而,技术研发者和应用者都普遍重视快速推广应用,而没有充分考虑其带来的安全隐患和风险,导致相关领域的技术创新和产品研发严重滞后。
陈旧保密观念亟须破除
当前,平板电脑、智能手机“飞入寻常百姓家”,网络化世界、数字化社会、新媒体时代、物联网平台正深刻改变着我们工作、生活甚至存在方式,在享受种种迅捷和便利的同时,人们似乎淡忘了“隔墙有耳”的古训。“棱镜”事件的曝光再次为我们敲响了“手机有耳”、“网上有眼”的警钟,面对外国情报机构窃密活动的“网状包围”之势,做好新形势下的信息安全保密工作必须在观念上与时俱进。
要破除“无密可保”的麻痹观念。“无密可保”的错误思想主要表现为“保不住密”和“不涉密”两个方面,前一种情况容易破除,后一种情况缘于缺乏对技术发展的清醒认识。其实,在大数据技术面前,一些看似毫不相关的数据,经过深度挖掘和整理分析,也可能成为重要的涉密信息。比如,若将某人几年来在社交网络上写的日记进行分析整理,其结果可能比他本人认识自己要更深刻。以此类推,个体的消费数据几乎没有什么价值,但是数亿人的群体消费数据被整合起来,就可能推算出整个国家经济发展的核心指标。从这个意义上讲,保护个人隐私一定程度上也是保守国家秘密。
要破除“关门锁柜”的过时观念。网络时代的安全保密工作远远超出了“关门锁柜”、“三铁一器”的范围。比如使用未经审查的复印设备复印涉密文件、私自将移动电话带入涉密场所、违规将非保密设备连接涉密机等,都可能被情报机构利用,造成不可挽回的严重后果。可以说,及时更新保密观念、了解敌对势力窃密技术发展、认清窃密手段的多样性、复杂性,具有十分重要的意义。
要破除“下不为例”的侥幸观念。随着技术的发展,窃密手段的先进性常常超乎人们的想象,比如“摆渡”攻击,一旦U盘等移动载体在涉密网与互联网之间交叉使用,秘密数据就有可能瞬间外传。祸患常积于忽微,只有破除“仅此一次”、“下不为例”等侥幸思想,触网即思风险,用网不忘安全,才能不给敌对分子任何可乘之机。
构建“信息安全综合防范体系”任重道远
当前,互联网已成为人类社会赖以运转的重要基础,信息安全作为国家安全的重要组成部分,对政治安全、经济安全、金融安全、国防安全、文化安全等传统安全产生着深刻影响。作为“棱镜”监控计划的重点目标,我国面临着严峻、复杂的信息安全保密形势,必须按照“积极防御、综合防范”的思路,从技术、制度、管理等多个方面加快构建信息安全保密防线。
一是加快突破核心技术。不打破国外核心信息网络技术的长期垄断,扭转受制于人的被动局面,信息安全保密就永远没有底数、没有底气。要以国家创新驱动发展战略为牵引,整合优势科研资源和力量,抓紧安全芯片、安全操作系统、安全数据库等基础和核心信息安全技术的创新攻关,区分轻重缓急,分领域、分步骤推动软硬件产品国产化、自主化替代进程,尽快把网络安全的“命门”夺回自己手中。对于云计算、大数据、物联网、智慧地球等新兴技术,既要自主创新、抢占先机,又要保持警惕、关注风险,坚持新兴信息技术与安全防护技术同步规划、同步研发、同步实施,构建可信、可控、可行的网络安全技术体系。
二是抓紧完善相关法规制度。法规制度具有基础性、规范性、长远性作用,构建完备的信息安全保密法规制度,对于政府信息安全、打击网络犯罪、隐私保护、关键基础设施防护、信息技术产品采购至关重要。要参考国外信息安全立法的实践经验,结合国家信息安全需求和国内信息产业发展,对现行的信息安全保密法律法规进行必要的修改和完善,尽快建立健全技术准入标准、产品测评认证、政府采购限制、供应链安全等法规制度,为信息安全保密提供“保护伞”。
三是切实加强日常保密管理。组织领导、保密设施建设、保密宣传教育、涉密人员和载体管理、技防措施的更新升级、泄密事件查处等日常性管理工作非常关键,尤其要重视防外与防内相结合,抓好内部人员上网信息的保密审查和动态监管,防止无意失密、过失泄密、故意卖密,堵塞“密从手出、密从口出”渠道,督促其养成良好的保密习惯,形成人防、物防、技防、制度防“多位一体”的信息安全保密防线。 自中国保密在线