早在2010年，美國(guó)攻擊伊朗核設(shè)施的“震網(wǎng)”病毒，曾導(dǎo)致伊朗核設(shè)施1000多臺(tái)離心機(jī)癱瘓。該病毒之所以具備如此威力，就是因?yàn)閹缀跻晾拭颗_(tái)電腦都安裝了微軟的 Windows 系統(tǒng)。

一位信息安全專家不無(wú)擔(dān)憂地指出，中國(guó)幾乎是赤身裸體地站在已經(jīng)武裝到牙齒的美國(guó)面前，在危機(jī)時(shí)刻，美國(guó)“八大金剛”可能對(duì)中國(guó)帶來(lái)的危害，絲毫不亞于當(dāng)年火燒圓明園的“八國(guó)聯(lián)軍”。

竊取難度為零？

“我們不能說(shuō)某些國(guó)家和廠商就這樣做了，但是單純從技術(shù)層面上來(lái)講，如果這些公司真的有意愿，絲毫不被察覺(jué)地竊取數(shù)據(jù)的方式和環(huán)節(jié)很多，而且難度幾乎是零。”曙光公司總裁歷軍告訴《中國(guó)經(jīng)濟(jì)周刊》。

據(jù)歷軍介紹，信息系統(tǒng)分為硬件和軟件兩個(gè)層次，硬件主要包括網(wǎng)絡(luò)互聯(lián)、數(shù)據(jù)計(jì)算處理和存儲(chǔ)三個(gè)環(huán)節(jié)；軟件也有很多層次，從處理器內(nèi)的微代碼、硬件控制軟件、操作系統(tǒng)、數(shù)據(jù)庫(kù)到應(yīng)用程序，假如廠商有動(dòng)力，完全有能力把任何數(shù)據(jù)在任何一個(gè)環(huán)節(jié)輕松拿走，技術(shù)非常簡(jiǎn)單，而且用戶都沒(méi)有察覺(jué)的可能性。

比如，在信息計(jì)算的過(guò)程中，計(jì)算結(jié)果留存在你的電腦內(nèi)存和硬盤的同時(shí)，只要廠商在芯片中加入一小段代碼，就可以偷偷留存一份副本，然后在你不知道的時(shí)候偷偷地一點(diǎn)點(diǎn)往外發(fā)送。這種竊取數(shù)據(jù)的方法類似于木馬病毒，但不同的是這是一個(gè)“原裝木馬”，你無(wú)法察覺(jué)，更無(wú)法清除。當(dāng)然，這是極其簡(jiǎn)單的一種方式，有很多更為復(fù)雜的方法就更難以防范了。

再比如某些處理器的“后門”，其實(shí)就是在處理器中加入一小段微代碼，這是一個(gè)別人不知道的數(shù)據(jù)傳輸?shù)耐ǖ溃瑥S商感興趣的時(shí)候就可以把后門打開(kāi)，把你的電腦中他感興趣的數(shù)據(jù)信息傳走。再比如一些代碼不公開(kāi)的軟件（通常稱為“封閉系統(tǒng)”），里面有什么大家并不知道，人們無(wú)法證明其中不存在所謂的“原裝木馬”。據(jù)記者了解，微軟公司就因此受到過(guò)多次質(zhì)疑，甚至引發(fā)訴訟。

“現(xiàn)在的‘棱鏡門’幾乎在軟硬件的各個(gè)層面都有涉及，因?yàn)樗^的‘八大金剛’和一些互聯(lián)網(wǎng)公司幾乎涵蓋了信息系統(tǒng)的各個(gè)層次與環(huán)節(jié)?！睔v軍說(shuō)。

盡管對(duì)于可能的泄密環(huán)節(jié)，可以采取一些防范措施，但是也還是會(huì)有漏洞可以鉆?！拔覀?cè)诎踩雷o(hù)方面在用一些不安全的產(chǎn)品的情況幾乎隨處可見(jiàn)?！变J捷網(wǎng)絡(luò)副總裁劉弘瑜告訴《中國(guó)經(jīng)濟(jì)周刊》，“即使是采用了物理隔離的專網(wǎng)（即該網(wǎng)絡(luò)和外網(wǎng)是物理斷開(kāi)的），由于經(jīng)常需要廠商對(duì)設(shè)備進(jìn)行軟件升級(jí)或者硬件維修，一旦基礎(chǔ)設(shè)施被人通過(guò)這種‘維修或服務(wù)’的渠道進(jìn)行‘接觸’，就極有可能產(chǎn)生被監(jiān)控、泄密的風(fēng)險(xiǎn)。”

“思科們”真的無(wú)辜嗎？

“棱鏡”計(jì)劃被曝光后，多家被牽連的廠商都紛紛表示自己從未參與計(jì)劃，試圖撇清關(guān)系。對(duì)此，作為國(guó)內(nèi)某知名硬件廠商高層的張亮（化名）并不認(rèn)同，他認(rèn)為這些廠商實(shí)際上是在玩文字游戲。

“廠商除了主動(dòng)竊取，比如通過(guò)嵌入代碼的方式把用戶數(shù)據(jù)向某些部門發(fā)送，還有另外一種方式就是被動(dòng)泄露，‘棱鏡’更像是后者。因?yàn)镮T系統(tǒng)都會(huì)有一些漏洞，所以才會(huì)有了黑客，尋找出漏洞然后去竊取資料，當(dāng)然，廠商會(huì)不斷打補(bǔ)丁去封死這些漏洞。但如果這些IT廠商專門留一些漏洞給某些機(jī)構(gòu)而不去封堵，或者根據(jù)企業(yè)所在國(guó)家的授權(quán)而開(kāi)放一些權(quán)限給某些部門，那么政府就可以直接通過(guò)這個(gè)通道去獲得自己想要的數(shù)據(jù)信息，企業(yè)可能根本不知道政府做了什么，似乎也可以說(shuō)自己沒(méi)有參與‘棱鏡’計(jì)劃。”張亮告訴《中國(guó)經(jīng)濟(jì)周刊》。

以思科為代表的美國(guó)IT巨頭們?cè)谥袊?guó)的發(fā)展可謂風(fēng)生水起，但與之形成鮮明對(duì)比的是，中國(guó)信息設(shè)備企業(yè)在美國(guó)卻舉步維艱?！袄忡R門”的爆發(fā)讓很多人不禁想起去年眾多中國(guó)企業(yè)在美國(guó)遭到封殺的事件。

兩國(guó)對(duì)他國(guó)IT企業(yè)的態(tài)度差異，張亮認(rèn)為主要有兩個(gè)方面的原因：一是我們過(guò)多地考慮了WTO的要求。中國(guó)自加入WTO后，就按照加入《政府采購(gòu)協(xié)議》（GPA）的承諾，政府采購(gòu)對(duì)外資和進(jìn)口產(chǎn)品逐步實(shí)行國(guó)民待遇。

“目前，已經(jīng)沒(méi)有哪個(gè)政府采購(gòu)領(lǐng)域不是開(kāi)放的?！睆埩琳f(shuō)，“為什么美國(guó)就可以旗幟鮮明地說(shuō)聯(lián)想電腦就是不準(zhǔn)進(jìn)入美國(guó)政府，因?yàn)闀?huì)影響美國(guó)的信息安全?！?/p>

二是雖然中央和國(guó)家的有關(guān)部門對(duì)于信息安全是高度重視的，但是在實(shí)際操作過(guò)程中，問(wèn)題還是會(huì)出現(xiàn)。很多地方政府和部門會(huì)認(rèn)為：我們又不是機(jī)密部門，或者是雖然是關(guān)鍵領(lǐng)域，但只是采購(gòu)?fù)鈬?guó)設(shè)備用于普通辦公有什么關(guān)系？

“看看我們的軍隊(duì)、武警系統(tǒng)，歷史上采用了大量進(jìn)口信息設(shè)備，如今，國(guó)外的設(shè)備經(jīng)過(guò)國(guó)內(nèi)某些機(jī)構(gòu)的包裝，搖身一變就成了國(guó)產(chǎn)產(chǎn)品，堂而皇之地進(jìn)入許多要害部門；許多銀行的數(shù)據(jù)存在甲骨文和IBM的機(jī)器里；國(guó)家氣象局最主要的業(yè)務(wù)系統(tǒng)仍然運(yùn)行在IBM機(jī)器上……真是很可怕。中國(guó)的信息門戶相當(dāng)于完全敞開(kāi)，真的是裸體不設(shè)防?！睆埩琳f(shuō)。

“在政府和重點(diǎn)行業(yè)部門的信息建設(shè)過(guò)程中，確實(shí)是有相關(guān)規(guī)定要傾向國(guó)產(chǎn)產(chǎn)品的，但強(qiáng)制性并不很強(qiáng)，也很容易規(guī)避。采購(gòu)方如果提交申請(qǐng)，指定產(chǎn)品設(shè)計(jì)上的唯一性和不可替代性，經(jīng)過(guò)一定流程是可以采購(gòu)國(guó)外設(shè)備的?！眲⒑腓ふf(shuō)。

云計(jì)算、大數(shù)據(jù)：

不能忽視微信息安全

“在大數(shù)據(jù)時(shí)代，許多看似無(wú)關(guān)的數(shù)據(jù)經(jīng)過(guò)整理分析都可能成為重要的機(jī)密數(shù)據(jù)，這些數(shù)據(jù)的泄露比圍墻里面的高度機(jī)密數(shù)據(jù)泄密更可怕?！睔v軍說(shuō)。

“‘棱鏡門’把中國(guó)信息安全帶到了一個(gè)更宏觀層面，云計(jì)算和大數(shù)據(jù)背景下，要更加重視數(shù)據(jù)安全，過(guò)去我們只是對(duì)一個(gè)小的系統(tǒng)或者設(shè)備做風(fēng)險(xiǎn)評(píng)估。但是，局部的風(fēng)險(xiǎn)一旦累加起來(lái)，尤其在大數(shù)據(jù)時(shí)代，通過(guò)零散信息可能會(huì)拼接出一個(gè)重要的信息?！?國(guó)家信息中心專家委員會(huì)副主任寧家駿說(shuō)。

“大數(shù)據(jù)時(shí)代，網(wǎng)絡(luò)上流動(dòng)的信息日漸主宰國(guó)家的運(yùn)轉(zhuǎn)和命脈，一些看似不相關(guān)的數(shù)據(jù)，在大數(shù)據(jù)的綜合與深度挖掘下，可能會(huì)泄露出關(guān)系到國(guó)家的重要信息?！眲⒑腓ふf(shuō)。

比如，一個(gè)普通百姓的消費(fèi)數(shù)據(jù)幾乎沒(méi)有什么價(jià)值，但是如果一個(gè)億、甚至幾個(gè)億的普通百姓消費(fèi)數(shù)據(jù)被整合起來(lái)，就可能關(guān)系到整個(gè)國(guó)家經(jīng)濟(jì)發(fā)展諸多核心指標(biāo)。而在云計(jì)算的背景之下，這種情況出現(xiàn)的可能性非常大。

云計(jì)算的核心是數(shù)據(jù)要集中、要整合、要關(guān)聯(lián)和共享，一個(gè)地方高度密集地集中大量數(shù)據(jù)之后，就有了大數(shù)據(jù)的概念。歷軍認(rèn)為，在這樣新的技術(shù)背景下，既是挑戰(zhàn)也是機(jī)遇，因?yàn)檫^(guò)去數(shù)據(jù)分散在100萬(wàn)個(gè)點(diǎn)上，要想保證每個(gè)點(diǎn)都不出問(wèn)題其實(shí)非常難；但是在云計(jì)算時(shí)代，全國(guó)的大數(shù)據(jù)可以只集中在1000個(gè)點(diǎn)上，這樣保障安全的可能性就會(huì)大大提高。

據(jù)記者了解，國(guó)家有關(guān)部門已經(jīng)在著手研究云計(jì)算的準(zhǔn)入制度了，外國(guó)企業(yè)只能在法律允許的范圍內(nèi)開(kāi)展業(yè)務(wù)。

企業(yè)醞釀“去思科化運(yùn)動(dòng)”，

國(guó)貨替代仍須關(guān)鍵創(chuàng)新

“盡快成立國(guó)家級(jí)權(quán)威信息安全部門”

《中國(guó)經(jīng)濟(jì)周刊》 記者 孫冰 | 北京報(bào)道

國(guó)家信息中心專家委員會(huì)副主任寧家駿告訴《中國(guó)經(jīng)濟(jì)周刊》，“棱鏡門”為我們的全社會(huì)上了一堂非常生動(dòng)的、新的技術(shù)背景下的信息安全課。

據(jù)記者了解，“棱鏡門”對(duì)國(guó)內(nèi)各大運(yùn)營(yíng)商的影響很大，各方的壓力都非常大，接下來(lái)各運(yùn)營(yíng)商內(nèi)部可能都會(huì)有“去思科化運(yùn)動(dòng)”。

寧家駿說(shuō)：“以前談到網(wǎng)絡(luò)信息安全，我們比較重視政治思想領(lǐng)域，特別是意識(shí)形態(tài)方面的問(wèn)題，比如一些反動(dòng)的、敵對(duì)勢(shì)力的不良言論，我們下了很大的功夫，處理得比較得當(dāng)，但是對(duì)于基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng)的安全，就顯得重視程度不夠了，經(jīng)濟(jì)社會(huì)民生方面的信息重視不夠，甚至有些忽視。而這次的‘棱鏡’計(jì)劃，它的主要目的并非是政治原因，并不是說(shuō)是西方反動(dòng)勢(shì)力的政治滲透，而更多的是出于經(jīng)濟(jì)目的?！?/p>

應(yīng)采取“數(shù)據(jù)過(guò)境流管理辦法”

寧家駿認(rèn)為，基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng)的安全必須盡快得到重視，基礎(chǔ)網(wǎng)絡(luò)包括電信、廣播電視、電網(wǎng)，目前還是有自主可控安全保障能力不足的問(wèn)題；而重要信息系統(tǒng)的安全，主要包括金融、保險(xiǎn)、交通、能源等，似乎認(rèn)識(shí)也不足。

“美國(guó)通過(guò)蠕蟲病毒就破壞了伊朗的核設(shè)施非常轟動(dòng)。而我們?cè)诮煌?、能源等方面使用的硬件、軟件大量都是?guó)外的產(chǎn)品和服務(wù)，一旦發(fā)生對(duì)峙甚至戰(zhàn)爭(zhēng)，就會(huì)存在被他國(guó)直接破壞的可能性。”寧家駿說(shuō)，“再比如，現(xiàn)在很多外資銀行掌握了很多我們國(guó)內(nèi)優(yōu)質(zhì)客戶的資源，但是目前外資銀行在中國(guó)采集的數(shù)據(jù)是可以不設(shè)防地進(jìn)出國(guó)門的。而很多國(guó)家都有‘?dāng)?shù)據(jù)過(guò)境流管理辦法’，在本國(guó)采集的數(shù)據(jù)是要經(jīng)過(guò)管理和控制、報(bào)備和審查才能發(fā)送至他國(guó)。”

“去年，我們還與思科談了一個(gè)戰(zhàn)略合作協(xié)議，要聯(lián)手搞‘智慧城市’，還好最后考慮到安全問(wèn)題沒(méi)有真正進(jìn)行?！眹?guó)內(nèi)某市經(jīng)濟(jì)和信息化委員會(huì)的相關(guān)負(fù)責(zé)人告訴《中國(guó)經(jīng)濟(jì)周刊》，“因?yàn)橛袑＜姨嵝?，如果與美國(guó)公司合作建設(shè)智慧城市，這個(gè)城市的任何信息從技術(shù)層面來(lái)講美國(guó)政府都可以輕易獲取?！?/p>

國(guó)貨替代的契機(jī)與必須

“棱鏡門”被曝光之后，A股市場(chǎng)上網(wǎng)絡(luò)安全相關(guān)股票就一直再持續(xù)大漲，像美亞柏科、藍(lán)盾股份、任子行、北信源、衛(wèi)士通、啟明星辰等等。而像聯(lián)想、華為、中興、曙光、浪潮這樣的國(guó)內(nèi)IT巨頭們，也迎來(lái)了不小的利好。

“針對(duì)基礎(chǔ)網(wǎng)絡(luò)建設(shè)和信息化應(yīng)用中的采購(gòu)環(huán)節(jié)，為了避免信息泄露，政府行業(yè)的用戶應(yīng)該嚴(yán)格按照國(guó)家相關(guān)規(guī)定，優(yōu)先采用本國(guó)研發(fā)和設(shè)計(jì)的產(chǎn)品，這不只是在中國(guó)，同時(shí)也是國(guó)際慣例。‘棱鏡’事件更應(yīng)該讓我們認(rèn)識(shí)到，這種選擇不僅是一項(xiàng)簡(jiǎn)單的規(guī)定，更是一種責(zé)任?！眹?guó)家審計(jì)署計(jì)算機(jī)技術(shù)中心主任王智玉告訴《中國(guó)經(jīng)濟(jì)周刊》，審計(jì)署信息系統(tǒng)無(wú)論是硬件還是軟件，都選用了非常多的國(guó)產(chǎn)自主知識(shí)產(chǎn)權(quán)的品牌，特別是一些重要環(huán)節(jié)。

“坦率地講，國(guó)外IT企業(yè)起步較早，技術(shù)確實(shí)有優(yōu)勢(shì)，我們很多政府和公司，常常會(huì)想，買就買個(gè)最好的吧?！笔锕夤究偛脷v軍告訴《中國(guó)經(jīng)濟(jì)周刊》，“但是，我敢肯定地說(shuō)，在絕大多數(shù)情況下，中國(guó)企業(yè)的產(chǎn)品已經(jīng)完全可以滿足中國(guó)社會(huì)經(jīng)濟(jì)發(fā)展的需要了，華為交換機(jī)賣到全球，曙光的超級(jí)計(jì)算機(jī)全球排在前列了。中國(guó)IT技術(shù)水平已經(jīng)達(dá)到了國(guó)際先進(jìn)水平，雖然與國(guó)際領(lǐng)先水平還有一些差距，但在一般情況下，完全能夠滿足我國(guó)信息化建設(shè)的要求?！?/p>

銳捷網(wǎng)絡(luò)副總裁劉弘瑜也非常自信：“中國(guó)信息產(chǎn)業(yè)經(jīng)過(guò)十多年大力自主創(chuàng)新，國(guó)內(nèi)廠商生產(chǎn)的設(shè)備，無(wú)論是技術(shù)、質(zhì)量還是價(jià)格，基本可以替代國(guó)外的產(chǎn)品，甚至是替代國(guó)外的高端產(chǎn)品。”他說(shuō)。

確實(shí)，經(jīng)過(guò)入世十年以來(lái)的發(fā)展，我國(guó)已成為全球電子信息產(chǎn)業(yè)大國(guó)。電子信息產(chǎn)品制造業(yè)規(guī)模占全球總量30%以上，居世界第一。

但是，寧家駿認(rèn)為，要避免風(fēng)險(xiǎn)，并不是簡(jiǎn)單的一概不用就解決問(wèn)題了，這也不現(xiàn)實(shí)。“應(yīng)該做到疏堵結(jié)合，一方面堅(jiān)持開(kāi)放，篩選出國(guó)外安全的產(chǎn)品和技術(shù)，同時(shí)要加強(qiáng)嚴(yán)格管理，如果有一些產(chǎn)品和設(shè)備確實(shí)無(wú)法實(shí)現(xiàn)國(guó)產(chǎn)化替代，那就要使用和管理上嚴(yán)格規(guī)范。比如，在重要的部門一定要求關(guān)閉遠(yuǎn)程端口，而且要經(jīng)過(guò)有關(guān)部門的測(cè)試?！?/p>

寧家駿還提示，安全說(shuō)到最終是人的問(wèn)題。即使你用了國(guó)產(chǎn)的設(shè)備，但是如果管理人員外泄，一樣會(huì)造成嚴(yán)重的后果。另外，也要警惕“假國(guó)貨”，有的產(chǎn)品號(hào)稱是自主產(chǎn)品，但其實(shí)是由國(guó)外產(chǎn)品改頭換面而來(lái)。

“雖然經(jīng)過(guò)多年的發(fā)展，我們國(guó)家的信息技術(shù)已經(jīng)取得了非常不俗的成績(jī)，也成長(zhǎng)了一大批成功企業(yè)，但是核心技術(shù)受制于人的局面沒(méi)有完全擺脫，我們?cè)诤诵募夹g(shù)上的創(chuàng)新才是真創(chuàng)新，我們要鼓勵(lì)這種真創(chuàng)新?！?/p>

工信部的一個(gè)司難以牽頭管理

據(jù)記者了解，政府和重點(diǎn)行業(yè)部門在信息建設(shè)過(guò)程中所參照的法律，主要是2001年制定的《政府采購(gòu)法》和《招標(biāo)投標(biāo)法》，但遺憾的是，其中的很多內(nèi)容，已經(jīng)很難適應(yīng)日新月異的網(wǎng)絡(luò)時(shí)代了，而且這兩部法律對(duì)政府采購(gòu)國(guó)產(chǎn)化產(chǎn)品的界定比較模糊。

網(wǎng)絡(luò)空間戰(zhàn)略研究所所長(zhǎng)秦安就曾多次警示，“八大金剛”普遍采取了在中國(guó)尋找代理人的策略，與其結(jié)成“利益共同體”，并利用其巨大影響力，包括各級(jí)官員“政績(jī)心態(tài)”在內(nèi)的各種條件，形成了中國(guó)各級(jí)政府“不設(shè)防”甚至是歡迎的態(tài)度，直接造成“八大金剛”長(zhǎng)驅(qū)直入事關(guān)國(guó)計(jì)民生的核心樞紐重地。

除了立法上的因素，當(dāng)前我們國(guó)家信息安全管理體制仍然處在多頭管理、難以協(xié)調(diào)的狀態(tài)。記者在采訪中也發(fā)現(xiàn)，似乎很難找到相應(yīng)的政府部門去獲得權(quán)威的信息安全數(shù)據(jù)。

“現(xiàn)在我們國(guó)家是把信息安全分成兩類，一是信息技術(shù)安全，主要?dú)w工信部管理；二是信息內(nèi)容安全，主要?dú)w國(guó)務(wù)院信息辦管理，當(dāng)然主要是關(guān)注意識(shí)形態(tài)方面的問(wèn)題，但是信息內(nèi)容安全要比意識(shí)形態(tài)內(nèi)容豐富得多，比如經(jīng)濟(jì)社會(huì)領(lǐng)域的各種數(shù)據(jù)，一旦被人拿走做了大數(shù)據(jù)挖掘分析，可能會(huì)泄露非常多和非常重要的信息?！币晃徊辉妇呙慕咏ば挪康娜耸肯颉吨袊?guó)經(jīng)濟(jì)周刊》透露。

“與此同時(shí)，目前有多個(gè)國(guó)家部門都會(huì)涉及信息安全的管理工作，現(xiàn)在名義上是由工信部牽頭，協(xié)調(diào)公安部、安全部、國(guó)家機(jī)密局、國(guó)家密碼管理局和最權(quán)威的國(guó)務(wù)院信息辦進(jìn)行管理，但是，和這些‘被協(xié)調(diào)’的部門相比，工信部是個(gè)弱勢(shì)部門，實(shí)際上根本協(xié)調(diào)不了什么的。把這么重要的工作，只是放在工信部的一個(gè)司，已經(jīng)非常不能適應(yīng)當(dāng)前的形勢(shì)要求了。”上述人士說(shuō)。

這位人士還強(qiáng)烈建議，要想不再因?yàn)轭愃啤袄忡R門”讓中國(guó)如此緊張，從根本上解決中國(guó)信息安全令人堪憂的局面，就應(yīng)該盡快成立國(guó)家級(jí)的權(quán)威的信息安全部門，比如美國(guó)就是由直接向總統(tǒng)匯報(bào)的國(guó)土安全部來(lái)管理，韓國(guó)也是如此?！霸谛畔踩芾砩弦欢ㄒ獔?jiān)持一元化，不能多頭管理；一定要依法管理，不能政策只在中央?！?/p>