早在2010年,美国攻击伊朗核设施的“震网”病毒,曾导致伊朗核设施1000多台离心机瘫痪。该病毒之所以具备如此威力,就是因为几乎伊朗每台电脑都安装了微软的Windows系统。
一位信息安全专家不无担忧地指出,中国几乎是赤身裸体地站在已经武装到牙齿的美国面前,在危机时刻,美国“八大金刚”可能对中国带来的危害,丝毫不亚于当年火烧圆明园的“八国联军”。
窃取难度为零?
“我们不能说某些国家和厂商就这样做了,但是单纯从技术层面上来讲,如果这些公司真的有意愿,丝毫不被察觉地窃取数据的方式和环节很多,而且难度几乎是零。”曙光公司总裁历军告诉《中国经济周刊》。
据历军介绍,信息系统分为硬件和软件两个层次,硬件主要包括网络互联、数据计算处理和存储三个环节;软件也有很多层次,从处理器内的微代码、硬件控制软件、操作系统、数据库到应用程序,假如厂商有动力,完全有能力把任何数据在任何一个环节轻松拿走,技术非常简单,而且用户都没有察觉的可能性。
比如,在信息计算的过程中,计算结果留存在你的电脑内存和硬盘的同时,只要厂商在芯片中加入一小段代码,就可以偷偷留存一份副本,然后在你不知道的时候偷偷地一点点往外发送。这种窃取数据的方法类似于木马病毒,但不同的是这是一个“原装木马”,你无法察觉,更无法清除。当然,这是极其简单的一种方式,有很多更为复杂的方法就更难以防范了。
再比如某些处理器的“后门”,其实就是在处理器中加入一小段微代码,这是一个别人不知道的数据传输的通道,厂商感兴趣的时候就可以把后门打开,把你的电脑中他感兴趣的数据信息传走。再比如一些代码不公开的软件(通常称为“封闭系统”),里面有什么大家并不知道,人们无法证明其中不存在所谓的“原装木马”。据记者了解,微软公司就因此受到过多次质疑,甚至引发诉讼。
“现在的‘棱镜门’几乎在软硬件的各个层面都有涉及,因为所谓的‘八大金刚’和一些互联网公司几乎涵盖了信息系统的各个层次与环节。”历军说。
尽管对于可能的泄密环节,可以采取一些防范措施,但是也还是会有漏洞可以钻。“我们在安全防护方面在用一些不安全的产品的情况几乎随处可见。”锐捷网络副总裁刘弘瑜告诉《中国经济周刊》,“即使是采用了物理隔离的专网(即该网络和外网是物理断开的),由于经常需要厂商对设备进行软件升级或者硬件维修,一旦基础设施被人通过这种‘维修或服务’的渠道进行‘接触’,就极有可能产生被监控、泄密的风险。”
“思科们”真的无辜吗?
“棱镜”计划被曝光后,多家被牵连的厂商都纷纷表示自己从未参与计划,试图撇清关系。对此,作为国内某知名硬件厂商高层的张亮(化名)并不认同,他认为这些厂商实际上是在玩文字游戏。
“厂商除了主动窃取,比如通过嵌入代码的方式把用户数据向某些部门发送,还有另外一种方式就是被动泄露,‘棱镜’更像是后者。因为IT系统都会有一些漏洞,所以才会有了黑客,寻找出漏洞然后去窃取资料,当然,厂商会不断打补丁去封死这些漏洞。但如果这些IT厂商专门留一些漏洞给某些机构而不去封堵,或者根据企业所在国家的授权而开放一些权限给某些部门,那么政府就可以直接通过这个通道去获得自己想要的数据信息,企业可能根本不知道政府做了什么,似乎也可以说自己没有参与‘棱镜’计划。”张亮告诉《中国经济周刊》。
以思科为代表的美国IT巨头们在中国的发展可谓风生水起,但与之形成鲜明对比的是,中国信息设备企业在美国却举步维艰。“棱镜门”的爆发让很多人不禁想起去年众多中国企业在美国遭到封杀的事件。
两国对他国IT企业的态度差异,张亮认为主要有两个方面的原因:一是我们过多地考虑了WTO的要求。中国自加入WTO后,就按照加入《政府采购协议》(GPA)的承诺,政府采购对外资和进口产品逐步实行国民待遇。
“目前,已经没有哪个政府采购领域不是开放的。”张亮说,“为什么美国就可以旗帜鲜明地说联想电脑就是不准进入美国政府,因为会影响美国的信息安全。”
二是虽然中央和国家的有关部门对于信息安全是高度重视的,但是在实际操作过程中,问题还是会出现。很多地方政府和部门会认为:我们又不是机密部门,或者是虽然是关键领域,但只是采购外国设备用于普通办公有什么关系?
“看看我们的军队、武警系统,历史上采用了大量进口信息设备,如今,国外的设备经过国内某些机构的包装,摇身一变就成了国产产品,堂而皇之地进入许多要害部门;许多银行的数据存在甲骨文和IBM的机器里;国家气象局最主要的业务系统仍然运行在IBM机器上……真是很可怕。中国的信息门户相当于完全敞开,真的是裸体不设防。”张亮说。
“在政府和重点行业部门的信息建设过程中,确实是有相关规定要倾向国产产品的,但强制性并不很强,也很容易规避。采购方如果提交申请,指定产品设计上的唯一性和不可替代性,经过一定流程是可以采购国外设备的。”刘弘瑜说。
云计算、大数据:不能忽视微信息安全
“在大数据时代,许多看似无关的数据经过整理分析都可能成为重要的机密数据,这些数据的泄露比围墙里面的高度机密数据泄密更可怕。”历军说。
“‘棱镜门’把中国信息安全带到了一个更宏观层面,云计算和大数据背景下,要更加重视数据安全,过去我们只是对一个小的系统或者设备做风险评估。但是,局部的风险一旦累加起来,尤其在大数据时代,通过零散信息可能会拼接出一个重要的信息。”国家信息中心专家委员会副主任宁家骏说。
“大数据时代,网络上流动的信息日渐主宰国家的运转和命脉,一些看似不相关的数据,在大数据的综合与深度挖掘下,可能会泄露出关系到国家的重要信息。”刘弘瑜说。
比如,一个普通百姓的消费数据几乎没有什么价值,但是如果一个亿、甚至几个亿的普通百姓消费数据被整合起来,就可能关系到整个国家经济发展诸多核心指标。而在云计算的背景之下,这种情况出现的可能性非常大。
云计算的核心是数据要集中、要整合、要关联和共享,一个地方高度密集地集中大量数据之后,就有了大数据的概念。历军认为,在这样新的技术背景下,既是挑战也是机遇,因为过去数据分散在100万个点上,要想保证每个点都不出问题其实非常难;但是在云计算时代,全国的大数据可以只集中在1000个点上,这样保障安全的可能性就会大大提高。
据记者了解,国家有关部门已经在着手研究云计算的准入制度了,外国企业只能在法律允许的范围内开展业务。