潘峙钢:中国网络安全由美国人在站岗?

我国广泛运用于金融、电信、电商、航空、政府、乃至军工等高安全强度的单位的基石技术都来自美国。中国如何在国际互联网(也是美国互联网)上构建自主可控网络安全?如何界定我们的网络主权?这是我们这一代人应该思考的问题。

我国目前的网络安全是否由美国人在站岗?
我国目前的网络安全是否由美国人在站岗?

最近美国媒体沸沸扬扬的大事渲染报道,美国政府5月19日起诉5名中国军官“网络商业窃密”,美国联邦调查局(FBI)还发出附带照片的“通缉令”,“带头执法”的美国司法部煞有介事地称,这是美国政府首次就商业黑客罪起诉外国公务人员。美国媒体把兴奋点主要放在“对中国的公开点名和羞辱”上,这对于中国政府和普通中国人来说,无疑是重大挑衅。

那么先让我们看看美国的网络安全战略吧。

美国“棱镜门”事件曝光后,各个国家都将网络安全提升为国家安全战略;追根溯源,我们简单分析一下就知道“棱镜门”项目的曝光不是一个简单的问题,而是美国的国家战略使然。

2005年,美国国防部在其《国防战略报告》中已明确表明,要把网络空间和陆、海、空、太空定义为同等重要、需要美国维持“决定性优势”的五大空间之一。美国近10年已经将网络安全由“政策”、“计划”提升到国家战略层面高度,并相继完善发布了《保护网络空间的国家战略》的正式版本,重点突出国家政府层面上的战略任务。

2009年5月29日,美国总统奥巴马公布了《网络空间政策评估报告》,该报告认为来自网络空间的威胁已成为美国面临的最严重的经济和军事威胁之一。

2009年6月23日,美国宣布组建网络战司令部,同时任命亚历山大上将任网络战争司令部司令,统一指挥美军的网络战争行动,这意味着在世界范围内将引起一场新的军事竞争,从而加速战争形态由机械化向信息化转变。此项人事任命足以说明美国高层对网络战争的重视程度。

2011年4月11日,美国总统奥巴马签署《网络空间可信身份国家战略》;2013年6月13日,斯诺登曝光“棱镜门”计划。因此,针对互联网(通常所说的国际互联网)其实质就是美国互联网,各国在美国互联网上做安全保护犹如沙滩上建设高楼大厦,局部的安全设计根本无法解决整体的互联网安全系统。

再让我们看看美国对中国做了什么?

5月26日中国互联网新闻研究中心昨天发表《美国全球监听行动纪录》。该纪录说,中国有关部门经过了几个月的查证,发现针对中国的窃密行为的内容基本属实。中国是美国非法窃听的主要目标之一,窃听范围涵盖国家领导人、科研机构、金融机构、电信机构、大学、企业等。

美国利用自己在政治、经济、军事和技术等领域的霸权,肆无忌惮地对中国和其他国家进行监听,这早已超出了“反恐”的需要,显示出其为了利益完全不讲道义的丑陋一面。

该纪录援引德国《明镜》周刊报道称,已被曝光的一份美国2010年的“监听世界地图”包含了世界90个国家的监控点,中国作为美国在东亚的首要监听对象,北京、上海、成都、香港及台北等城市,均在美国国家安全局重点监控目录之下。

从2009年开始,美国国家安全局就开始入侵中国大陆和香港的电脑和网络系统,中国大陆和香港已有数百个目标受到监视。该纪录援引《南华早报》报道称,斯诺登表示:“美国国家安全局无所不用其极,利用非法侵入中国主要电信公司等手段,窃取用户的手机数据。”

该纪录还援引路透社报道称,美国国家安全局曾与加密技术公司美国安全服务商RSA达成了1000万美元的协议,联合在加密算法中加入漏洞后门,旨在削弱软件加密标准,辅助相关机构RSA开展大规模监控程序。RSA的中国客户包括三大电信运营商中国电信[微博]、中国移动、中国联通中国银行、中国工商银行、中国建设银行等,以及电信设备商华为和家电制造商海尔等。

再看看目前中国的网络安全状况如何?

目前,我国的网络安全安全体系建设是在美国CA公司研发的数字认证证书的基础上建立起来的,后来的PKI技术体系、IBC技术体系、CPK技术体系都是基于挑战/应答技术的基础实现的。任何一项安全技术的应用都有其局限性,在不同的场景、不同的使用条件下某项技术使用是相对安全的,但是一个国家的安全保密技术体系建立在一项技术的基础上首先是不科学的,特别是身份鉴别技术作为网络安全的技术基础和信息安全的基石技术,一旦网络身份被“冒用”或者“盗用”,其网络的其他措施如防火墙、入侵检测、安全网关、堡垒机、杀毒软件等都形同虚设。

举例说明:我国目前网上银行采用的认证技术和签名技术都是美国公司专利技术,包括网上银行用的U盾和动态口令令牌,U盾采用的是美国CA公司的PKI技术(U盘预装数字认证证书,采用挑战应答技术),动态口令采用的是美国RSA公司的SECURID技术(令牌一分钟显示一个密码),属于单向认证技术。

国内没有一个厂家在认证领域拥有技术独占的发明专利技术,都是模仿和抄袭。现有动态口令技术无法克服“盗号木马”“钓鱼网站”“网页挂马”“重放攻击”“中间人攻击”“网页劫持”“更改时间戳”等攻击方式,而我国广泛运用于金融、电信、电商、航空、政府、乃至军工等高安全强度的单位的基石技术都来自美国。

还有我国在数据库方面采用的是ORACLE、SYSBASE、INFORMION、IBM[微博]的DB2、微软[微博]的MYSQL等等,即使我们其他方面的安全措施很多,只要能进入数据库获取数据,信息也会泄露。

这些数据库采用的压缩软件也是美国人开发的如:ZIP、ARA、PDF、图像压缩技术MPEG1、2、4等等,这些厂商通过代理商或者系统集成商以正版服务等理由要求把系统配置的超级管理员权限和密码除一份交业主备份外,另外一份厂商要备案,这些厂商都与美国FBI有合作。

这种情况,我们的网络能安全吗?当然,更不要说CPU等核心关键技术,通信数据传输方面的加密和解密系统领域技术,云安全技术领域和物联网技术领域技术等等。试问:我国目前的网络安全是否由美国人在站岗?

“网络自主可控”、“网络主权”、“网络安全”成为现代国家网络空间的核心防护能力,建造和巩固自主型网络安全技术,其意义深远。中国如何在国际互联网(也是美国互联网)上构建自主可控网络安全?如何界定我们的网络主权?这是我们这一代人应该思考的问题。

文/新浪财经专栏作家 潘峙钢

(本文作者介绍:国家发改委国际合作中心产业金融项目办公室主任、国家开发银行专家、联合国工业发展组织高级顾问)

您可能还喜欢…

1 Response

  1. 实现安全的自动化编排,安全初创企业Phantom获1350万美元B轮融资说道:

    Phantom可将多个安全应用自动化编排实现对安全事件的自动响应。

    伴随着数字化和互联网的普及,安全问题也日益深化和加剧。尽管各种安全工具层出不穷,但不可否认的是,按个按钮就能解除隐患的银弹并不存在,安全的防范和威胁的解除仍然需要大量人力和流程的配合。不过有一家公司正在朝着这个方向努力,近日首家提供基于社区的安全自动化编排平台Phantom获得了1350万美元融资。

    Phantom是一家安全初创企业,成立于2014年,总部位于加州Palo Alto。为了帮助安全人才缺乏的企业组织应对安全问题,Phantom建立了全球首家为特定目的打造的、由社区提供支撑的安全自动化编排平台。

    该平台可以对安全操作进行自动化和编排,可以在数秒钟之内实现手工操作需要数小时甚至数天才能完成的事情。而Phantom Apps则可以充当结缔组织,将企业部署的各个分散的安全产品集成到一起。所谓自动化编排,就是将多个安全应用按照一定的逻辑配合,实现多种安全业务功能,自动化编排进而提高安全运营效率,减少企业各项成本。

    目前,Phantom集成的安全产品集成超过了100个的里程碑,覆盖的类型包括了信用服务、端点技术、沙盒、防火墙以及一般的移动、虚拟机云安全解决方案。Phantom可以连接Splunk、QRadar等安全数据分析工具,根据数据分析工具提供的大量安全事件数据,利用自动化的脚本Playbook,执行一系列的动作,并运用集成的安全产品,对安全事件进行调查、围堵、隔离、打补丁、漏洞管理等响应。Phantom还因为该独特的解决方案获得了RSA 2016大会最具创新性公司的称号。

    此轮融资由KPCB领投,原有投资者TechOperators Venture Capital、黑石、Foundation Capital、 In-Q-Tel、Rein Capital以及Zach Nelson与John W. Thompson等跟投。加上2015年获得的270万美元种子轮和650万美元A轮融资,其总融资已达2270万美元。

    IT的一个普遍趋势是接口的标准化以及软件化一切,在这种趋势的作用下,所有的IT相关事务和操作都可以通过编程的方式解决,将来也许包括网络和安全在内的运维自动化就能逐步实现了。

发表评论

邮箱地址不会被公开。 必填项已用*标注

您可以使用这些HTML标签和属性: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>