网络安全关乎国家安全

网络安全关乎国家安全

美国外交政策杂志曝光了神秘部门TAO(Office of Tailored Access Operations，定制接入行动办公室) ，该部门创建于1997年，是NSA下属的顶尖网络攻击部门，人员总数超过1000名，包括军事和民间“黑客”、情报分析师、目标定位专家、计算机软硬件设计师等。其任务是通过黑客手段，秘密入侵海外目标的计算机与通讯系统，破坏和窃取相关的数据情报。

“此前有报道称，TAO已成功侵入中国计算机与通讯系统达15年之久。而这事谁该出来受审？是远程行动中心（ROC）的人？电信网络技术部门（TNTB）的人？任务基础设施技术部门（MITB）的人？还是接入技术行动部门（ATOB）的人？哪个国家具有定位到他们的能力？美国司法部门却无视这些事实，在非法获得不明‘证据’情况下，却倒打一耙来锁定我方军事人员，其用心一目了然。”

“美国互联网通过涡轮（TURBINE）计划已经发展到以自动化的手段向目标计算机注入间谍程序、数据收集的程度，从而极大地提高控制目标机的能力，可以大批量地控制他们所希望控制的目标。” 方滨兴说。

“无论是硬件设备还是软件，美国都有技术进行攻击。针对鼠标、键盘、USB插头等，他们有专门的攻击手段，例如改造USB插头使得能够截获或插入信息的特种插头（水蝮蛇-I）的价格高达2万美元，唯有美国有这样的能力。只要你使用，电脑就相当于被对方控制。”

“美国对包括中国、印度等数十个国家进行过攻击入侵。事实上，斯诺登事件之前，中国就发现了铁证如山的美国中央情报局针对我国境内数百个重要信息系统的实施攻击的

事件，包括中国电信运营商企业。”日前，隐居俄罗斯的美国前中情局雇员斯诺登再度爆料，美国国家安全局入侵中国华为公司的服务器，不仅监听华为内部的电子邮件，在华为公司产品中植入漏洞，还涉嫌窃取华为设备相关软体的源代码。

“美国是互联网发源地、掌握为数众多的根服务器，可以说互联网的天下，就是美国的天下。美国作为电脑或网络空间的绝对霸主，历年来一直在非法监听全世界，窃取包括军事、商业等多领域机密。世界各国的域名都需要在美国进行解析，不用美国的根服务器，则无法让世界各地浏览网页，一旦用美国的根服务器，在安全方面就会受到美国的掣肘，这种担心并非杞人忧天。”

中国国家互联网应急中心公布的美国攻击中国网络的最新数据，今年3月19日至5月18日，2077个位于美国的木马或僵尸网络控制服务器，直接控制了我国境内约118万台主机。135台位于美国的主机承载了563个针对我国境内网站的钓鱼页面，造成网络欺诈侵害事件约1.4万次。2016个位于美国的IP对我国境内1754个网站植入后门，涉及后门攻击事件约5.7万次。 以上数据不难说明，美国才是当今世界上最大的网络窃密者，也是中国网络的头号攻击国。

“我国政府所用电脑设备往往注明是政府采购，这对一些国际品牌供应商来说，是很好的攻击设备植入的目标，很容易被美国方面进行监控。甚至我国政府采购时，供货商还被要求注明最终用户是谁，这等于把我们的政府部门完全暴露在人家攻击之下。刚刚曝光的NSA向思科路由器植入后门的照片说明，美国甚至可以跳过供货商直接在出口海关处做手脚。这说明我国政府采购尽管解决了资金节省问题，但却在安全方面带来了风险，给别人下手的机会。如果对方不知道购买者是谁，恐怕也就不会随意设置后门了，毕竟成本很高。”

世界互联网的空间秩序应如何维护？如何进行公正评判？方滨兴认为，联合国在这方面也束手无策。2012年国际电联（ITU）曾要求美国将“根服务器管理权”交出来，由国际社会来管理，但遭到美国的坚决反对。实际上，各国完全可以各自建自己的根服务器，负责为本国网民做解析。如果世界各国联合起来，尤其是那些被美国视为重点监控的国家都建设自己的“根服务器”，通过相互认证交换的方法完成解析服务器的指向，这才能彻底摆脱美国的控制。各国之间以通报的方式交换各国的根解析服务器的地址，这样各国的网络就可以不受一个国家所控制了。但因世界各国声音太弱，危机感也不强，所以美国绝对控制互联网的现状短期内难改观。

“美国的网络攻击能力太强大，别人挨打都不知道怎么挨的打，不知道打人者何时、何地、从何处出的手，没有能力抓住他们的现行，所以美国才有恃无恐。”方滨兴表示，对这件事情，我们不能仅仅停留在口头抗议中，还应该加大国家的网络安全技术能力，要具备网络攻击的溯源能力，不能仅仅停留在美国数千个IP地址直接控制我国境内上百万台主机的宏观监控上面，还要具备能力来追溯美国什么人在对我国主机进行控制，获取了我国什么方面的信息。

“我们成立了中央网络安全和信息化领导小组，并将推出网络安全审查制度，足以表明对网络安全的重视程度。国家应该加大网络安全技术系统方面的投资，强化网络安全技术能力的建设，扭转目前与美国之间严重不对称的网络安全态势。”

国家互联网信息办公室22日发布消息称，我国将于近期推出网络安全审查制度。我国为什么要出台网络安全审查制度？审查将以何种方式进行？网络安全审查制度中又有哪些亮点？《经济日报》记者就这些问题采访了有关专家——

国家互联网信息办公室有关负责人介绍说，所谓网络安全审查，就是对关系国家安全

和社会稳定的信息系统中使用的信息技术产品与服务进行测试评估、检测分析、持续监督的过程。专家普遍认为，网络安全审查制度的出台恰逢其时，将大大推动我国网络强国建设。

“没有网络安全就没有国家安全，网络已经成为继陆、海、空、天之外的国家第五大主权空间。如果网络安全出了问题，国家安全就没有保障，控制网络空间，就可以控制一个国家的经济命脉、政治导向和社会稳定。”中国工程院院士沈昌祥如此评价信息时代网络安全的重要性。

关于网络信息安全保障体系建设，我国早在2003年就提出了“积极防御，综合防范”的方针。然而，此前仅仅是针对网络安全产品。中国信息安全研究院副院长左晓栋告诉《经济日报》记者：“从现在的网络安全形势看，仅对网络产品进行安全测评已远远不够，因为系统都是由网络产品和服务搭建起来的，如果产品和服务的安全性得不到保障，网络安全就像沙滩上的城堡。”

正因如此，此次公布的网络安全审查制度，首次将“关系国家安全和公共利益的系统使用的重要信息技术产品和服务”纳入审查范围。专家表示，党、政、军等重要部门和交通、能源、金融等关键行业所使用的网络产品和服务将被首先纳入审查范围。

此次公布的网络安全审查制度，也吸取了发达国家的经验。中国工程院院士方滨兴表示，俄罗斯、澳大利亚、加拿大、日本、印度都有相应或者类似的制度、机制。他坦言：“出台网络安全审查制度算是接上了长期以来的短板，有助于缩短与美国等西方国家在网络安全保障方面的差距，使我国今后的网络建设能在保障网络安全的大前提下进行。”

不少业内人士担心，网络安全审查制度将限制或阻碍信息产业的发展。对此，中国工

程院院士倪光南表示，审查制度的建立有助于让更多用户放心使用网络产品和服务。那些拥有安全实力、能够杜绝漏洞和后门的厂商通过审查后，相当于拿到了进入市场的“通行证”，实际上拓展了他们的市场空间，有利于产业的持续健康发展。

中国工程院院士、中国互联网协会理事长邬贺铨告诉《经济日报》记者，在设计网络安全审查制度时，我国明确对国内外产品和服务一视同仁，不搞国别差异、不针对个别地区和个别产品。“只要国外厂商禁得住审查，证明自己的产品安全可控，我国就会采用。在这一点上，我们是符合WTO有关规定的。”

在中国信息安全测评中心总工程师王军看来，网络安全审查制度和此前种种安全认证最大的不同，在于它是一个综合性的审查，不仅关注技术，也关注市场安全、经济安全、社会安全等。左晓栋赞同这一观点，他表示：“过去更多是检查产品的标准符合性，符合了就通过，现在则更多关注产品的可控性和可信性。比如，产品完全符合标准，但有后门或有远程控制的功能没有告知用户，就不能通过审查。”

关于具体操作，方滨兴表示，将由第三方测评机构与相关部门配合完成。“如技术测评交给第三方、查验资质需要工商部门、调查开发者背景需要公安部门参与等，充分统筹和调动资源。”

此外，网络安全审查制度强调事前检测与事中监督相结合的方式。王军表示，尽管实施细则尚未出台，但他预计将采取“白名单”和“黑名单”结合的制度。“在事中监督过程中也会有一个触发机制，用户、主管部门、研究单位均可提出建议或提请进入安全审查程序。一旦进入这样的程序，相关产品和服务的提供商就必须通过安全审查，才能继续在我国提供产品和服务。”