今年6月,英國《衛(wèi)報》和美國《華盛頓郵報》先后披露了前中情局職員愛德華?斯諾登提供的關(guān)于美國國家安全局一項代號為“棱鏡”的秘密項目的相關(guān)資料,揭露美國政府利用大型跨國網(wǎng)絡企業(yè)對人們的互聯(lián)網(wǎng)信息和行為進行秘密監(jiān)視。對世界各國的政府來說,“棱鏡門”事件無疑重重地敲響了信息安全問題的警鐘。
“棱鏡”項目的設計與實施緊跟當前社會化媒體、云計算等互聯(lián)網(wǎng)發(fā)展與應用的最新趨勢,監(jiān)視范圍涉及全球多個國家各類機構(gòu),我國也是該項目關(guān)注的重點區(qū)域之一。隨著“棱鏡”項目資料的陸續(xù)發(fā)布,我國信息化發(fā)展過程中所存在的信息安全隱患也隨之顯現(xiàn)。
首先,互聯(lián)網(wǎng)基礎結(jié)構(gòu)和工作機理的設計使得美國在網(wǎng)絡世界處于主導地位,也在信息通訊領域擁有絕對優(yōu)勢。今天的全球互聯(lián)網(wǎng)的13臺根服務器中,1臺為主根服務器,設置在美國弗吉尼亞州的杜勒斯,由美國VeriSign公司負責運營維護;其余12臺全部為輔根服務器,9臺在美國,另外3臺分別設置在英國、瑞典和日本。通過管理和維護主、輔根服務器,美國掌握了世界各國域名信息的第一層級管理權(quán)。同時,美國的“互聯(lián)網(wǎng)名稱與數(shù)字地址分配機構(gòu)”是全球互聯(lián)網(wǎng)的最高管理機構(gòu),它決定著互聯(lián)網(wǎng)技術(shù)的取舍、網(wǎng)絡通信協(xié)議的制定、域名和IP地址的分配、域名登記與出售以及相關(guān)政策的制定。可見,盡管我國網(wǎng)民數(shù)量已超過5.91億,但美國始終居于網(wǎng)絡結(jié)構(gòu)的中心位置,是國際互聯(lián)網(wǎng)的實際控制者。
其次,云計算的發(fā)展使得通過互聯(lián)網(wǎng)獲取個人信息更加容易、可獲取的內(nèi)容也更多。在云計算環(huán)境下,提供信息托管服務的“云服務”提供商天然具有對存儲于其設備上的用戶數(shù)據(jù)的優(yōu)先訪問權(quán),數(shù)據(jù)在從終端到云端的傳輸過程中也不可避免地存在受到黑客或惡意相鄰租戶的截獲或篡改的威脅。正如英國廣播公司所指出的,“美國國家安全局通過互聯(lián)網(wǎng)獲得個人信息,首先得歸功于云計算時代。如今大量用戶數(shù)據(jù)不再存放于個人電腦中,而是在云服務提供商手中”。
第三,數(shù)據(jù)挖掘技術(shù)的提高使得目標信息能夠被還原得更加準確。近年來,以Twitter、Facebook、微信為代表的社交媒體受到熱捧。人們熱衷于在這些社交媒體上發(fā)布自己的照片、心情、行蹤等各類信息;與此同時,服務器還會記錄下用戶的登錄時間、信息消費習慣、地理位置等大量后臺數(shù)據(jù)。以這些信息為基礎進行數(shù)據(jù)挖掘,便能夠準確地掌握需要的個人隱私信息。在“棱鏡”項目中,美國國家安全局正是通過數(shù)據(jù)挖掘技術(shù),對從大型互聯(lián)網(wǎng)公司獲取的信息進行分析獲取情報。這一方式不僅能夠大幅降低監(jiān)視成本,還能保證信息分析結(jié)果的準確性。
第四,對國外公司提供的設備和系統(tǒng)的高度依賴使得國內(nèi)網(wǎng)絡信息安全更加難以保證。目前,我國在操作系統(tǒng)、芯片以及互聯(lián)網(wǎng)多個領域的電子產(chǎn)品和信息產(chǎn)品方面國產(chǎn)比例很低,對國外企業(yè)的依賴度極高。這意味著,我們的信息網(wǎng)絡向這些國外企業(yè)敞開了大門。美國國家安全局和聯(lián)邦調(diào)查局只需通過微軟、因特爾、思科、IBM、谷歌、蘋果等公司的服務器,就能夠?qū)崿F(xiàn)對我國用戶信息的搜集。據(jù)中國國家互聯(lián)網(wǎng)應急中心的報告顯示,僅2012年就有7.3萬個境外IP地址參與了控制中國境內(nèi)1400余萬臺主機的網(wǎng)絡攻擊事件;有3.2萬個境外IP地址通過植入后門,對中國境內(nèi)3.8萬個網(wǎng)站進行了遠程控制。
“棱鏡門”事件讓我們看到,技術(shù)的發(fā)展為權(quán)力的轉(zhuǎn)移提供了機會,并使信息時代的權(quán)力和優(yōu)勢越來越向某一個或幾個國家集中。因此,要維護信息時代的安全與主權(quán),我們就必須深刻認識信息化建設過程中所積累的潛在風險與危機,及時建構(gòu)起能夠?qū)夹g(shù)權(quán)力形成制約的機制和體制。
提高信息基礎設施的“國產(chǎn)化”程度。從我國信息化建設的現(xiàn)狀來看,核心技術(shù)和關(guān)鍵裝備主要依賴進口,這使得國外企業(yè)幾乎能夠完全掌握我國信息基礎設施的構(gòu)造與運行方式,我們從而喪失了基礎設施層面的信息安全防御能力。因此,提高基礎設施的國產(chǎn)化程度,加快形成基礎信息網(wǎng)絡、重要信息系統(tǒng)以自主可控技術(shù)為主的新格局的需求迫在眉睫。實現(xiàn)這一目標,需要加強產(chǎn)品和技術(shù)的研發(fā),提高國產(chǎn)品牌的競爭力;也需要引導相關(guān)行業(yè)機構(gòu)和人員調(diào)整思維,改變習慣。值得注意的是,基礎設施和系統(tǒng)的國產(chǎn)化也并不意味著絕對安全,還需要從整體網(wǎng)絡的層面建立起強大而有效的信息安全保障體系。
將“國家信息安全保障體系”納入國家安全體系進行建構(gòu)。隨著信息化對經(jīng)濟社會發(fā)展的影響不斷加深,“信息安全”亦上升為關(guān)系國家安全乃至國家生存發(fā)展的戰(zhàn)略性問題。因此,“國家信息安全保障體系”有必要納入國家安全體系進行規(guī)劃、設計、建設和完善,有必要站在國家戰(zhàn)略的角度建設安全等級保護制度、信息安全監(jiān)控體系、應急處理體系等,重點保護基礎信息網(wǎng)絡和關(guān)系國家安全、經(jīng)濟命脈、社會穩(wěn)定的信息系統(tǒng)。
當前,我國正逐步進入三網(wǎng)融合的全面推廣階段,融合后的互聯(lián)網(wǎng)、電信網(wǎng)和廣播電視網(wǎng)將構(gòu)成我國未來信息社會發(fā)展和運行的基礎結(jié)構(gòu)。在這一過程中,電信、廣電和互聯(lián)網(wǎng)都在進行著從結(jié)構(gòu)、技術(shù)、系統(tǒng)到終端、應用和服務方面的轉(zhuǎn)換、調(diào)適與創(chuàng)新,使得原先封閉的電信網(wǎng)、廣電網(wǎng)不斷開放,由此為病毒、惡意軟件等從互聯(lián)網(wǎng)向電信網(wǎng)和廣電網(wǎng)轉(zhuǎn)移提供了機會。這就要求我國的“國家信息安全保障”不能沿用傳統(tǒng)的思維模式和管理方式,需要建構(gòu)起符合和適應三網(wǎng)融合后網(wǎng)絡建設和運行規(guī)律的新的保障體系。這一體系既要從宏觀上對國家安全、信息安全、文化安全進行關(guān)照,還應對公民的隱私和自由給予充分保護。
以動態(tài)的“信息安全”觀念持續(xù)完善信息安全保障體系。隨著信息技術(shù)與互聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)的快速發(fā)展,所呈現(xiàn)出的安全問題也日益增加。例如,網(wǎng)上銀行業(yè)務引發(fā)的資金安全問題、社交媒體引發(fā)的隱私安全問題、云服務引發(fā)的信息傳輸和存儲安全問題等。新的安全問題總是與新技術(shù)、新應用相伴而來、層出不窮,又需要快速處理,及時應對。這就要求我們秉持著動態(tài)的“信息安全”概念,隨著信息技術(shù)的發(fā)展不斷更新和擴大其內(nèi)涵與外延,并以此為基礎完善信息安全相關(guān)制度,擴大信息安全監(jiān)控范圍,并及時建立相應領域的信息安全機制。