倪光南：由“棱镜门”事件反思国家信息安全

　　一项由美国国家安全局(NSA)实施的绝密电子监听项目曝光后，在美国国内和国际社会间掀起轩然大波。此事件被称之为“棱镜门”(代号PRISM)，涉及到美国9大互联网服务商与国家安全局之间存在的所谓“数据合作关系”，其造成的影响正在全球网民间持续升温，成为连日来国外媒体评论的焦点。

　　“棱镜门”敲响警钟

　　持续发酵的“棱镜门”事件给中国的网络用户敲响了警钟，对重点领域的中国用户来说，在未来的IT采购中就更需要引以为戒，加倍小心了。

　　美国中情局(CIA)前技术人员爱德华·斯诺登不仅揭露了美国情报机构从微软、谷歌、Facebook、苹果、雅虎等大型互联网企业获取用户数据，并且指出美国国家安全局通过思科路由器在监控中国网络和电脑。

　　“棱镜”项目的揭秘者斯诺登还进一步揭露，美国政府曾入侵中国网络系统，时间长达4年。斯诺登披露，美国国家安全局攻击了中国大学、商业和政府机构的网站。攻击目标多达数百个。并且，这还仅仅只是冰山的一角。

　　棱镜门事件引发了国人关于国家信息安全的思考。棱镜门事件充分暴露了中国网络空间的软肋：我们所使用的信息技术、设备、系统和服务大多是由上述参与“棱镜”这类计划的公司所提供的。依托微软、谷歌、苹果、思科等外国公司的技术和装备运作的中国网络空间是缺乏防护能力的。为了消除这个软肋，从根本上提升中国网络空间的防护能力，一个关键举措是用自主可控的国产软硬件和服务来替代进口。甚至有媒体在呼吁，中国应该以立法的形式对重点领域的用户采购的国产化做出明文规定。

　　以国产替代进口：确立目标+分步实施

　　用自主可控的国产软硬件和服务来替代进口，这需要一个过程，不可能一蹴而就。但首先应当确立这样的目标，然后有计划、有步骤地付诸实施。这方面，我国用自主可控的北斗卫星导航系统逐步替代GPS就是一个范例。

　　当然，北斗系统还需要其他技术的支持，特别是移动操作系统的支持，才能保证移动设备在获取导航、定位、授时等服务时能运用北斗系统，并且保护好相应的信息。

　　一般说来，基础软件(如操作系统)、基础硬件(如CPU)和关键网络设备，对信息安全的影响最大，必须优先替换。我们要高度重视基础软硬件和关键网络设备的国产化，打好构建网络空间安全体系的基础，这样，才有可能在不久的将来，使中国网络空间具有强大的防御能力，能真正保护中国单位和个人的信息不被“棱镜”这类计划所监视和利用。

　　“棱镜”项目的曝光为国内企业的信息安全敲响了警钟，企业的商业机密随时可能被黑客、竞争对手窃取，甚至一些关系到企业生死存亡的数据在不知不觉间被匿名第三方备份。这些后果轻则制约企业的生存发展，重则威胁国家安全。国内一些单位在选择国外电子产品同时企业信息安全体系建设基本为零，而企业允许员工将自有的个人电脑、手机、平板电脑等终端设备接入企业内网也将成为企业信息安全的致命伤，另外，新科技、新应用发展迅速，这也为企业信息安全带来了很多未知风险。

　　据媒体报道，对于信息安全存在的隐患，尤其是基础设备的“后门”问题，一些重要部门和大型央企早已经开始警觉。比较有代表性的中国联通“China169”骨干网搬迁工程中，被搬迁的正是思科路由器。民族品牌锐捷网络表示：从技术实力上、用户认可程度上，目前我国的通信技术水平已经达到世界水准，以锐捷网络为代表的本土企业已经有能力承载网络的全面建设和安全运营。

　　透过“棱镜门”事件，我们该如何提高警惕，真正将安全放在第一位?任何政府采购都要以保障信息安全、国家安全为前提。

　　联想微机的核心技术，包括CPU和操作系统等等都是美国的，即使是这样，美国政府还不放心。相比之下，我国信息系统软硬件的核心技术几乎都是外国的，怎么反而可以高枕无忧呢?现在我国有些地方的政府部门在国产软件基本可用的情况下却大量采购外国软件，说明他们十分缺乏安全意识。社会各界对于基础软件被跨国公司垄断的安全隐患缺乏认识。

　　纵观国内各行业信息化的现状，金融行业基本上是拿来主义，绝大多数采购国外产品和技术;一些政府部门用户也对国外软件情有独钟。棱镜门事件给中国各领域用户的IT采购部门敲响了警钟，是时候增强安全防护意识了!中国IT产品的软、硬件供应商也应该反思，为什么用户乐于采购国外产品?如果国产IT厂商能提供稳定、可靠、好用的产品和服务，用户为什么非要去采购国外产品呢?

　　棱镜门事件引发了我们对于IT采购的思考，同时，国内的软、硬件供应商也应当提供满足用户需求的产品和服务，以此来真正赢得用户的信赖。要保障国家的信息安全，不是靠政府部门强制采购国产设备就能做到的。

　　华为、中兴已经赢得了很多国内、外用户的信赖，并在用户采购中逐步取代国外品牌的设备，其他国内IT厂商是否也能做到呢?

　　(以上内容根据倪光南院士演讲整理而成)

　　相关链接：“棱镜门”背景介绍

　　“棱镜门”事件缘起一份美国国家安全局绝密级别的文件。6月3日，英国《卫报》和美国《华盛顿邮报》在首次对此事的报道中称，文件显示一个代号“棱镜”的电子监听项目，正由美国家安全局和联邦调查局展开，包括微软、雅虎、谷歌、苹果在内的9家美国互联网公司参与了这一项目，而监听的对象可以是任何使用这些服务商的美国境外客户，以及与国外人士通信的美国公民。

　　据称，“9·11”之后，布什政府开始了所谓的恐怖分子监视计划。斯诺登爆料，2007年小布什时期，美国国家安全局和联邦调查局启动一个代号为“棱镜”的秘密项目。

　　布什政府开始了所谓的恐怖分子监视计划，参与行动的政府部门可以在无法院批准的情况下秘密监控美国境内的电话和电子邮件。

　　在2007年就已开始的这项计划中，美国情报机构可直接接入9家美国互联网公司中心服务器进行数据挖掘，而无需采取一般黑客们的入侵方法。负责这项工作的人员完全可直接接触到对象用户的文档、电子邮件、其与网上联络人的视频语音记录、文件传输、登录通知、网络日志等等资料，并跟踪到用户的行动，进而得到他们想要的情报。

　　2008年，美国国会通过一项法案，将该计划的部分编入法典，同时赋权美国情报部门可以从外国情报监视法庭获得批条，这样更大范围地进行电子监控。

　　该法案更新了30年前的《外国情报监听法案》，允许情报部门监控那些被怀疑参与恐怖活动或其他犯罪的境外非美国公民的电子邮件、互联网活动以及电话。美国国会在去年通过投票表决将该法案延长至2017年年底。

　　该项目年度成本2000万美元，自奥巴马上任后日益受重视。2012年，作为总统每日简报的一部分，项目数据被引用1477次，国安局至少有1/7的报告使用项目数据。

(本文不涉密)
责任编辑：

转载：感谢您对网站平台的认可，以及对我们原创作品以及文章的青睐，非常欢迎各位朋友分享到个人站长或者朋友圈，但转载请说明文章出处。