“棱镜@@”计划只是美国完备情报系统的冰山一角@@,该系统与@@“棱镜@@”曝光的@@“八大金刚@@”企业@@合作并非一日之功@@。当我们在@@享受信息系统带来的种种便利时@@,已经不知不觉地对相关软硬件产品@@、服务乃至模式产生越来越严重的依赖@@:从@@信息系统的生产者@@,到信息系统的运行维护者@@,再到服务的提供者@@,在@@整个长长的链条上@@,谁都有机会接触到我们提交的数据@@(包括@@机密数据@@),任何一个环节都可能存在@@安全隐患@@。信息泄露等@@安全事件随时都可能在@@不知不觉中悄然发生@@。在@@信息产业的高速公路上@@,如果我们继续甘心于依赖别国@@,我们可能就会成为温水中被煮的青蛙@@,在@@毫无知觉中渐渐耗尽自己防御的能力@@。而从@@更宽泛的视角看@@,“棱镜@@”本身折射出的中国信息安全问题还远不止此@@。
被忽视的供应链安全@@
从@@“棱镜@@”深挖下去@@,你会发现@@,美国自一战以来已经建立了一套完备的情报监控体系@@。美国今天@@的强大@@,除了历史原因和地缘优势外@@,还有一些因素不容忽视@@,那就是其一以贯之的战略顶层设计和不被轻易阻断的执行@@。而这种战略顶层设计在@@信息产业的高速公路上@@也得到充分体现@@,其先发位置和企业@@能力在@@信息领域已形成足够的战略威慑力@@。
“棱镜@@”计划离不开与@@“八大金刚@@”企业@@(包括@@Skype、Facebook、Google等@@)接口所获得的重要信息@@,虽然通过与企业@@合作获得情报在@@美国并不少见@@,但与过去其他企业@@合作不同@@,美国情报系统与@@IT企业@@达成的堪称@@“天衣无缝@@”的合作并非一蹴而就@@,其基础早已打下@@。信息安全专家肖新光@@(江海客@@)认为@@,美国强大@@IT能力的形成经历了两个阶段@@:第一阶段是以技术和产品优势为主导的时代@@,这个时代@@,它具备了先进的核心计算能力@@、框架@@、软件体系@@、个人机和网络@@,英特尔@@、微软@@、Oracle、苹果等@@巨头企业@@的崛起是这个阶段的象征@@;第二阶段是以模式和资源为主导的时代@@,典型企业@@包括@@@@Google、Amazon、Facebook、Twitter,还有转型后的微软@@和苹果@@。在@@此阶段@@,经过积累@@,它已获得软件环境@@、知识产权和硬件资源优势@@。
反观中国@@,在@@信息产业高速公路上@@,我们对外依赖度却变得越来越高@@,今天@@,从@@信息系统的生产者@@,到信息系统的运行维护者@@,再到服务的提供者@@,谁都可能接触到我们的机密数据@@。而谈到信息安全@@,我们可能谈得更多@@的是产品安全@@、技术水平等@@@@,聚焦供应链安全的却很少@@。启明星辰首席战略官潘柱廷认为@@@@,实际上@@,从@@“棱镜@@门@@”可以看出@@,整个主流供应链安全比其他的安全问题更具有根本性和彻底性@@,目前我国对此重视不够@@,甚至损失供应链安全去换取一些其他东西@@,这非常危险@@。
信息安全缺乏战略顶层设计@@
中国信息安全自主可控能力不足的背后@@,是中国信息安全顶层战略设计的缺失@@@@。在@@IDF互联网@@威慑防御实验室联合创始人万涛看来@@,中国信息安全产业经历的@@20年@@,最需要反思的是国家层面的安全@@,但事实上@@,从@@业者在@@实践中却常常急功近利@@,怎么赚钱怎么来@@。“棱镜@@门@@”警醒我们@@,如果只有投机而没有战略@@,就谈不上博弈@@。
《国家信息化领导小组关于加强信息安全保障工作的意见@@》(中办发@@[2003]27号文@@)发布已有近十年@@@@,从@@那时至今@@,我国再无国家级信息安全战略发布@@。今年@@会不会发布国家信息安全战略@@?这已成为安全界热议的焦点@@,但一些安全专家坦言@@,这个期望能不能在@@今年@@实现还很难说@@。顶层战略设计的缺失@@,让政府@@对企业@@整体战略协作@@、支持@@、互动和响应能力严重不足@@。当去年@@华为@@、中兴被美国调查时@@,我们却鲜见有相关的反制措施推出@@。
与此形成极大反差的是@@,美国几乎年@@年@@都有相关战略出台@@,每两年@@必有一个重大战略出台@@。奥巴马当选总统不到半年@@@@,在@@2009年@@5月即发布@@《网络空间@@政策评估报告@@》,其中谈到@@10条近期计划@@,14条中期计划@@,规划非常详尽@@,在@@抢占网络空间@@制高点方面又迈进了一步@@。2011年@@,美国发布了@@《网络空间@@国际战略@@》,其网络空间@@战略的关注@@点已经从@@国家战略上升到国际战略层面@@。
差距还体现在@@网络战演习中@@。据有关专家介绍@@,美国大概从@@@@2006年@@开始@@,每两年@@就举办一次@@网络风暴演习@@,该演习由美国诸多联邦政府@@共同组织@@,也吸纳私营公司参加@@,而且@@,参与演习的私营公司一次@@比一次@@多@@。在@@2010年@@,大概有@@60家私营企业@@参加了演习@@(其中不乏大牌@@IT企业@@),演习场景基本上是电力系统攻防@@。而在@@我国@@,攻防演习这一话题常常是被回避的@@,甚至安全公司的攻防实验室都会被改称作积极防御实验室@@。安全界普遍认为@@@@,从@@威慑的角度来说@@,国家层面应有的威慑力是应该建立的@@,不必讳言@@。
