习近平总书记在中央网络安全和信息化领导小组第一次会议上指出:“没有网络安全,就没有国家安全”,将网络安全的重要性提升到了国家安全的层面。当前,随着互联网与移动互联网的迅速发展,网络已不仅仅是世界经济社会运行的基础平台,更是大国博弈和争夺国际事务主导权的重要领域。互联网与移动互联网的安全一直是伴随网络空间发展而日益增长的难题。美国情报界的一份报告《Current and Projected National Security Threats to the United States》曾指出美国决策者面临两大难题:“一是如何明确网络攻击的实时归属,即知道谁实施了攻击以及实施者的位置;二是如何管理网络信息技术供应链中的大量脆弱性。”2013年斯诺登披露的“棱镜门”事件震惊了世界,不仅使各国政府和公众深刻地感受到了网络安全的重要性,也充分地暴露出了“网络信息技术供应链中的脆弱性”。
网络设备安全是整网安全的基础
20世纪90年代以来中国互联网的发展吸引了许多美国知名信息技术公司来华投资,开展硬件设备制造、软件产品研发、电子商务运营等业务,一度占据网络设备、操作系统、数据平台、个人终端、搜索引擎等产品和服务市场的主要份额。这些国外的产品在我国互联网的建设过程中确实起到了关键的作用,但也带来了一定的安全隐患,今天这一隐患已经上升为实际威胁。
根据国家互联网应急中心(CNCERT)发布的《2013年我国互联网网络安全态势综述》显示,多家厂商的路由器产品存在后门,黑客可由此直接控制路由器,进一步发起DNS劫持、窃取信息、网络钓鱼等攻击。例如,只要攻击者将浏览器的UA标识修改为特定标识,访问路由器就会直接获得管理权限,任意查看或篡改路由器的配置。更严重的是,很多路由器厂商实际上都是采用的同一种芯片解决方案,也就是说,如果“后门”存在于软件系统层面,那么只要使用相同芯片和相同软件的其它品牌网络设备就会存在同样的“后门”。另外,由于这类入侵发生在路由器操作系统上,从技术角度来说,PC上的任何安全软件都无法判断路由器上的访问是后门入侵还是用户自主访问。
网络设备的安全性是整个网络安全的基础。为保证网络设备的安全,发达国家采取了十分严格的审查机制来限制、监管对国外网络设备的采购和使用。美国政府在对通信设备的审查方面主要是通过美国众议院情报委员会来完成,具体的流程包括企业约谈、会见、发送问卷、举行听证会、出具报告、立法等。2012年10月9日,美国众议院情报委员会在经过近一年的“调查”后公布了一份报告,认为中兴和华为两家中国公司进入美国市场的意图可疑,可能为中国政府从事间谍活动和网络窃取提供帮助,从而对美国国家安全产生威胁,故建议美国政府禁止这两家公司获得任何美国敏感网络的接入权,并禁止其收购美国资产。2012年10月10日,加拿大政府利用“国家安全例外条款”(即在不违反国际贸易义务的前提下,区别性对待某些被认为危险的企业,并拒绝其参与通讯网络建设,禁止其承担传输政府电话、电子邮件、数据中心等服务),对华为公司展开调查。在调查结束后加拿大政府声称,基于安全考虑,将禁止华为参与政府通信网络的建设。在网络设备的安全问题上,这些国家都采取了“宁可信其有,不可信其无”的做法。
国外设备的超国民待遇几时休?
虽然欧美国家对华为、中兴的阻挠带有明显的贸易保护色彩,但其通过立法、行政等手段限制国外产品进入国内核心领域的作法,对维护其国家安全还是能起到一定的积极作用。反观我国对于国外产品的采购和监管,则相对要落后许多。国内各级政府对国外的很多网络设备几乎没有设置门槛,甚至有时候可以享受超国民待遇。国外的网络产品遍布国内几大领域的核心企业,其客户名单中既包括金融、通信、能源等核心领域的央企,还包括各地政府部门。
以公众互联网为例,中国电信和中国联通承担了中国互联网80%以上的流量,而超级核心节点和绝大部分普通核心节点都采用的是国外公司的产品。在金融行业,中国四大银行及各城市商业银行的数据中心,国外公司的网络设备也占有绝对优势的份额。国外企业的网络信息设备之所以能如此快速扩张,除了技术方面的因素,以及中国本土企业起步晚之外,另外一个原因是中国相关法律法规还不够健全,不具备对国外产品的有效限制和监管。
三点入手建立健全网络设备安全准入机制
为了维护我国网络基础设施的安全,我国应该积极建立健全网络设备安全准入机制。首先,在产品研发上,应大力扶持国内企业的发展,研发具有自主知识产权的网络设备来打破国外产品的垄断。其次,在制度上应该分析借鉴其它国家网络产品的准入制度,设立相应的审查机构,利用专利控制、反倾销和国家安全等办法禁止或限制在我国骨干网以及涉及国家安全的重要领域内使用国外产品。最后,对目前还不具备自主知识产权的应用领域,应该借鉴国外的源代码托管和首席安全官制度,建立一整套适于我国的网络设备安全审查机制。
如果不能保证网络设备的安全性,网络安全就无从谈起,应本着“宁可信其有 不可信其无”的原则,事先做好准备和安排,以免在使用时才发现问题而措手不及。只有对网络设备实施安全认证,杜绝网络设备中潜在的后门,防止其实施信息监听和收集,才能有效确保网络设备的安全性,维护国家的网络信息安全。
|