虽然该报告建立在怀疑假设、制造假想敌的思维基础上,但是美方的这种对网络安全的担忧和先发制敌的策略却对我国是一种警醒。
中国科学院计算所研究员倪光南表示,美国人给了我们两点要特别注意:第一,它的贸易保护是非常的厉害的;第二,信息主权的概念,政府要提倡信息安全是对的,信息被别人掌握了,还有什么主权?美国很清楚,网络的基础设施关系到国家的安全。我们国家还没有把信息安全提高到这种高度。
第五空间战争:网络战
近年来,美国对网络安全的研究和实践已经处在全世界非常前沿的位置。华为中兴事件不是孤立的,而是美国对网络安全、网络战争的持续性思考和实践背景下做出的动作。华为中兴事件不仅仅是一种惯性的主动防御也更具有美国先发制人的意味。
继陆地、海洋、天空和太空之后,战争已经进入了第五空间:网络空间。美国总统奥巴马已经宣布,美国的数字化基础设施属于“国家战略资产”,并任命微软的前安全总管霍华德?施密特(Howard?Schimidt)作为网络安全总指挥。2010年5月,五角大楼成立了一个新的网络司令部(Cybercom),担任领导的是国家安全局局长基思?亚历山大(Keith?Alexander)将军,他的任务是开展“全方位”行动——以保卫美国的军事网络和攻击他国的系统。
网络战会是什么样?负责反恐和网络安全的白宫前幕僚理查德?克拉克(RichardClarke)在他的书中设想了十五分钟之内造成的灾难性破坏。计算机病毒让军方的Email系统瘫痪;造成炼油厂和输油管道爆炸;空中交通管制系统瘫痪;货运和城市铁路列车出轨;金融数据被涂改;美东电网断电;轨道卫星运转失控。随着食物紧缺,资金链断裂,整个社会很快分崩离析。最糟糕的是,攻击者的身份一直成谜。由网络安全公司McAfee发表的“虚拟犯罪报告”称,这一切已经从科幻小说变成了现实。该报告警告说,网络攻击对国家的基础设施有“破坏性的”影响,电网、供水系统和金融市场都处在危险之中。
美国对伊朗启动了埋藏数年的网络武器
美国是最为积极和深度使用网络战的国家。在过去数年伊朗的核工业网络和核心设施持续遭遇到来自网络病毒的攻击和破坏。2012年6月,美国和以色列官员最终承认和证实,双方对伊朗采用了网络战武器(Stuxnet、Duqu、Flame病毒)。Stuxnet病毒又称为“震网”病毒,一直潜伏在伊朗核设施中所使用的西门子设备,该病毒已经辗转侵入核设施离心机的工业软件,长达一年没有被发现,感染了伊朗至少6万台计算机。震网”病毒利用了微软视窗操作系统之前未被发现的4个漏洞,它不像普通的病毒木马,需要非常专业的专家和资金投入才能研发出来。Duqu和Flame病毒则更早潜伏进伊朗,潜伏时间至少五年,主要功能是收集来自大型计算机上的网络信息,很明显准备对工业目标实施更加广泛的攻击。
这几个病毒不像普通的病毒木马,需要非常专业的专家和资金投入才能研发出来,可以说是美国精心制造的网络武器。美国可能还拥有更多的网络武器,有些可能早已潜伏进美国之外的各种设备中,等待唤醒。
中国信息产业半壁江山被美国控制追溯中国的信息产业历史,是跟美国亦步亦趋和被美国掌控的历史。中国的信息产业链条上,路由器、交换机、芯片和软件等基础设备用的是思科、英特尔的;操作系统用的是微软的;Office等应用软件用的是美国的;新兴的移动互联网产业同样处于被美方控制的不利位置,国人热衷使用苹果手机,三大手机操作系统IOS、Android、Windows都是美国的。
中国的互联网企业后来者居上,守住了本土市场,但是其背后的资本(风险投资、赴美上市)很大部分来自美国。可以说,中国信息产业半壁江山都被美方控制。如果美方认为华为、中兴给美国国家安全利益带来巨大威胁,显然我们面临的威胁更大。
按照美国逻辑,思科掐住中国的网络安全咽喉
路由器不仅是互联网关键性基础设备,也是网络安全的枢纽。互联网可以把数据分拆,通过多个路由传输,即使在大部分网络受损的时候,它仍能幸免于难。思科正是凭借建造转换系统(路由器),而一跃成为行业巨头。现在思科的业务几乎涉及网络基础设施的每一个角落——从网络硬件(路由器、交换机等)到网络管理软件,服务政府、企业、每一个家庭。思科1994年进入中国,服务的客户包括中国国家金融数据通信骨干网、中国人民银行、上海期货交易所、上海证券交易所、中国电信、新疆移动、北京市政府、黑龙江省政府、国家统计局、中国石化、中石油、甘肃电力、内蒙古电力、中科院、国防科技大学、北京无线CBD、浦东机场、新华网等等。此外,在民用通信设备得到长足发展之后,鉴于采购成本和设备的通用性,中国军队的部分通用通信设备转而采购一些专业通信设备提供商,比如思科。
如果以美国众议院情报委员会针对华为中兴的报告、美国对网络战的设计构想来看思科,不难看出思科对中国国家安全利益的威胁。如果中美网络开战,以思科对中国金融证券、能源电网、政府部门、骨干网络、科研单位、交通、媒体等的渗透,理查德?克拉克(RichardClarke)所设想的灾难性后果也有可能发生在中国。军队系统瘫痪、炼油厂和输油管爆炸,空中交通管制系统瘫痪;货运和城市铁路列车出轨;金融数据被涂改;电网断电……国家基础设施遭到毁灭性打击。
网络战时代,中国怎么办?
美国已经建立网络司令部,建立网络部队,制造网络武器,在政策立法层面制定的《网络空间战略》等一系列的纲领性文件,在贸易层面实施贸易保护主义,对非美国的企业如中兴华为实施压制阻拦策略。
中国怎么办?虽然中国提出“信息安全保障”很多年了,但是中国的信息安全意识还是很低,中市场对思科、微软、高通、苹果、三星等国际品牌和产品不舍阻拦,国人的信息安全意识更低。
中国计算机学会常务理事潘柱廷指出,美国的信息安全管理是全供应链的风险管理。国家的很多战略资源部门里面不冲突。这对我们来说是一个非常好的提醒和借鉴,我们很多战略部门的考虑是非常的不同的。
显然,华为中兴事件在某种意义上警醒了中国需要注意网络安全,需要向美国学习,把网络安全提升到信息主权、国家安全的战略层面。网络安全对中国的现实问题不是要不要管,而是怎么管的问题。我们在立法、制度、组织、人才等方面,政治、经济、文化、技术等层面如何应对?