時針轉回至10月8日���,美國國會發(fā)布報告稱華為�����、中興可能對美國國家安全構成安全威脅��,并警告美國公司不要與這兩家中國公司有業(yè)務往來�。
隨后披露的美國白宮調查結果對這種指控進行了有力的回擊:沒有明顯證據(jù)表明華為替中國政府從事間諜活動���。但是這份調查報告仍表示,華為中興的設備可能存在被黑客利用的漏洞��,從而對美國的網絡基礎設施造成危害�����。
一時間����,華為中興“安全門”事件使得網絡信息安全再次成為業(yè)界討論的熱門話題����。
沒有絕對的安全
其實��,沒有一家設備提供商的設備是絕對安全的�����。
在美國眾議院特別情報委員會的報告中寫到����,網絡給美國國家安全以及經濟利益所帶來的威脅是一個不可規(guī)避的具有優(yōu)先級的威脅問題,基于這樣的考慮�,所以建議相關公司避免選用華為中興的設備。
然而���,采用了本土設備的美國網絡基礎設施架構就安全了嗎?答案顯然是否定的��。
作為世界上最早建立和使用計算機網絡的國家����,美國一直將信息安全擺在美國國家安全戰(zhàn)略的高度��。然而,層層保護的美國信息安全體系還是遭到攻擊����。2010年11月,維基解密網站公布數(shù)十萬份美國外交機密文件����。美國在人們心目中樹立的強大的安全保護體系印象瞬間土崩瓦解。
而且這一事件的發(fā)生并沒有使得美國的安全體系變得更為強大��。維基解密網站繼續(xù)公布和美國相關的文件��。最近的是在10月25日����,維基解密網站當?shù)貢r間25日開始公布新一批的美國國防文件,數(shù)量達100多份���。
信息安全專家�、中國計算機學會常務理事����、北京啟明星辰公司首席戰(zhàn)略官潘柱廷在接受《通信產業(yè)報》網記者采訪時表示:“所有的計算機和網絡相關產品都存在漏洞���,沒有一家企業(yè)能夠采用相應的技術和產品來證明自己的產品是絕對安全的��?��!?/p>
即使美國企業(yè)思科提供的設備同樣存在諸多安全漏洞����。潘柱廷向記者表示:“思科的交換機曾經發(fā)生過漏洞�,造成了很大的信息完全問題。不管是后門也好���,漏洞也好���,都會對網絡和信息安全產生巨大威脅?����!?/p>
2010年7月�,思科向用戶發(fā)出緊急通告稱,其CDS系統(tǒng)發(fā)現(xiàn)了嚴重的安全漏洞����,攻擊者能夠利用這些安全漏洞任意篡改用戶密碼代碼����。而今年7月11日���,思科在其在官方網站上發(fā)布公告����,旗下高端網真產品線軟件出現(xiàn)漏洞��,有被人窺視的風險���。
而且由于思科產品漏洞引發(fā)的網絡故障不勝枚舉�����。思科產品最近一次發(fā)生大面積故障是在一個月前�,2012年9月20日��,著名電信運營商AT&T的部分大客戶在亞特蘭大的ME業(yè)務出現(xiàn)故障�����,部門區(qū)域電話/互聯(lián)網中斷長達3小時��,造成網絡中斷的原因�,就是思科的核心路由器7600出現(xiàn)了故障。
而思科的設備在中國出現(xiàn)大面積故障的情況則可以追溯到2005年7月12日��。當時�,承載著200萬用戶以上的北京網通ADSL和LAN寬帶網,突然大面積中斷��,事故大約影響了20萬北京網民�����。
甚至連安全企業(yè)RSA也在去年遭遇黑客攻擊����。報告稱,RSA被一種業(yè)內稱之為高持續(xù)性威脅的復雜網絡攻擊��,會導致一些秘密信息從RSA的SecurID雙因素認證產品中被提取出來���。RSA客戶包括一些大軍事機構��、政府���、各種銀行及醫(yī)療和醫(yī)保設備����。同樣�,安全廠商賽門鐵克也曾發(fā)生過用戶數(shù)據(jù)泄露的事件。
可以看到�����,即使是安全廠商也不能保證他們的設備便是完全可靠的���。
那么在全球使用最為廣泛的微軟Windows操作系統(tǒng)和Office辦公軟件安全嗎?答案也是否定的��。國外媒體報道����,一直以來�,對于大多數(shù)消費者和企業(yè)用戶來講,微軟Windows操作系統(tǒng)的安全都是一個噩夢��。為了確保企業(yè)使用Windows操作系統(tǒng)的安全性���,包括賽門鐵克����、邁克菲、趨勢科技在內的安全廠商都推出了豐富的解決方案�����。
而如今�,網絡安全已經從固網延伸至智能終端上���。去年三月初�����,Android出現(xiàn)一系列的惡意應用軟件����,這些應用軟件可竊取用戶數(shù)據(jù)和未得手機主人確認許可下“撥出”電話或發(fā)昂貴的短信����。由于該問題在技術上沒有找到好的解決辦法,谷歌Android官方應用商店不得不宣布將56款包含木馬的手機應用下架���。
網絡戰(zhàn)時代來臨��,信息安全提至國家層面
繼陸地����、海洋、天空和太空之后����,戰(zhàn)爭已經進入了第五空間:網絡空間。美國總統(tǒng)奧巴馬已經宣布���,美國的數(shù)字化基礎設施屬于“國家戰(zhàn)略資產”����,并任命微軟的前安全總管霍華德·施密特Howard·Schimidt作為網絡安全總指揮�。2010年5月,五角大樓成立了一個新的網絡司令部Cybercom�����,擔任領導的是國家安全局局長基思·亞歷山大Keith·Alexander將軍���,他的任務是開展“全方位”行動——以保衛(wèi)美國的軍事網絡和攻擊他國的系統(tǒng)��。
網絡戰(zhàn)會是什么樣?負責反恐和網絡安全的白宮前幕僚理查德·克拉克RichardClarke在他的書中設想了十五分鐘之內造成的災難性破壞��。計算機病毒讓軍方的Email系統(tǒng)癱瘓;造成煉油廠和輸油管道爆炸;空中交通管制系統(tǒng)癱瘓;貨運和城市鐵路列車出軌;金融數(shù)據(jù)被涂改;美東電網斷電;軌道衛(wèi)星運轉失控����。隨著食物緊缺,資金鏈斷裂�����,整個社會很快分崩離析�。最糟糕的是���,攻擊者的身份一直成謎�。
由網絡安全公司McAfee發(fā)表的“虛擬犯罪報告”稱��,這一切已經從科幻小說變成了現(xiàn)實��。該報告警告說���,網絡攻擊對國家的基礎設施有“破壞性的”影響�����,電網����、供水系統(tǒng)和金融市場都處在危險之中。
因此�,近年來,美國對網絡安全的研究和實踐已經處在全世界非常前沿的位置�。“所以�����,華為中興事件不是孤立的���,而是美國對網絡安全����、網絡戰(zhàn)爭的持續(xù)性思考和實踐背景下做出的動作���。華為中興事件不僅僅是一種慣性的主動防御也更具有美國先發(fā)制人的意味���。”業(yè)內專家分析�����。
美國已經成為最為積極和深度使用網絡戰(zhàn)的國家。據(jù)了解在過去數(shù)年伊朗的核工業(yè)網絡和核心設施持續(xù)遭遇到來自網絡病毒的攻擊和破壞便是美國主導的��。2012年6月����,美國和以色列官員最終承認和證實,雙方對伊朗采用了網絡戰(zhàn)武器Stuxnet���、Duqu�����、Flame病毒。Stuxnet病毒又稱為“震網”病毒����,一直潛伏在伊朗核設施中所使用的西門子設備,該病毒已經輾轉侵入核設施離心機的工業(yè)軟件�,長達一年沒有被發(fā)現(xiàn),感染了伊朗至少6萬臺計算機��。
安全專家分析����,“震網”病毒不像普通的病毒木馬���,需要非常專業(yè)的專家和資金投入才能研發(fā)出來,可以說是美國精心制造的網絡武器��。專家提醒���,美國可能還擁有更多的網絡武器�����,有些可能早已潛伏進美國之外的各種設備中���,等待喚醒。
而我國一旦遭遇“網絡戰(zhàn)”����,或將造成非常嚴重的后果。這是因為�,我國的網絡基礎設施大部分依賴思科、微軟和英特爾美國企業(yè)提供����。
據(jù)了解,思科占據(jù)了中國電信163骨干網絡70%以上的份額�����,把持著163骨干網所有的超級核心節(jié)點和絕大部分普通核心節(jié)點;更是占據(jù)了中國聯(lián)通169骨干網80%以上的份額,把持著所有超級核心��、國際交換節(jié)點�����、國際匯聚節(jié)點和互聯(lián)互通節(jié)點����。與此同時,我國的計算機系統(tǒng)等設備幾乎全部采用英特爾的芯片����,而操作系統(tǒng)和辦公軟件則依賴微軟提供。
更嚴重的是����,在密碼后門���、加密算法及協(xié)議設計等方面����,思科IOS系統(tǒng)卻有著鮮為人知的缺憾和威脅。2010年的黑帽大會上�����,IBM互聯(lián)網安全系統(tǒng)公司的研究人員TomCross論證說���,黑客可輕易的利用思科IOS操作系統(tǒng)中的后門�,對路由器進行管理配置���,進而將整個網絡置身于未知的風險中���。
而且在現(xiàn)網思科路由器產品中,使用的乃是上世紀70年代的加密算法DES數(shù)據(jù)加密標準���。這種算法是1972年由美國IBM公司研制確定的�,并已經被多次證明不再安全����,即使一臺普通的PC機,也能夠在10分鐘內完成DES算法的破解���。
不僅如此��,思科在協(xié)議報文的認證中��,使用的也是DES算法��,而這種極易被破解的算法��,很容易造成用戶密碼的泄露�,進而對用戶安全造成威脅。
帶有如此硬傷的網絡設備�,正在維系著中國現(xiàn)網的運轉,由此不難想象����,我國網絡安全已然到了緊要時刻。
潘柱廷指出:“中國的骨干網的接入設備大部分采用是的思科的設備�,思科是目前世界上網絡設備主要廠商之一,掌握著核心技術��,而一旦發(fā)生安全問題�,中國的信息網絡會全面癱瘓,后果不可小覷”���。
因此,華為中興“安全門”事件也發(fā)出警示:我國政府必須把信息系統(tǒng)安全問題提到關系國家安全和國家主權的戰(zhàn)略性高度����。
據(jù)了解����,“9·11”之后��,美國政府很快設立了專門的總統(tǒng)網絡空間安全顧問����,就信息安全問題向總統(tǒng)直接匯報。對照我國��,一直以來�����,而中國的信息安全則是由信息安全部門負責��。
中國計算機學會秘書長�、CCFYOCSEF創(chuàng)始人杜子德表示:“中國在國家安全上,應該學習美國��,重視中國的網絡和信息安全問題��。”
中國科學院院士倪光南則表示:“信息安全關系到一個國家的信息主權問題�����,我們必須自己掌握���?����!?/p>
建立對國外設備的安全審查制度
可以看到��,網絡信息安全已經成為國家安全的核心內容和關鍵要素�,并日益成為整個社會安全的基礎�����。因此����,專家呼吁,保障通信安全應建立審查制度����,從設備采購為始���,對設備進行嚴格的審查��,以長期監(jiān)管維護為終�����,進行系統(tǒng)的定期審查����,才能保障中國網絡信息安全。
目前��,華為的網絡設備也被大規(guī)模運用在歐洲主流運營商中���,便是基于華為和政府以及運營商之間的信任����。
例如�,在英國,政府與華為達成協(xié)議�,采取了初步措施來解決問題,建立了擁有獨立管理權的信息安全評估中心CSEC�����。CSEC獨立管理對華為在英國部署的電信基礎網絡設備和軟件的安全評估,并將評估的結果提供給英國的運營商和政府�。英國政府的目的是試圖減少華為在英國關鍵的電信基礎網絡中部署的產品帶來的威脅。
微軟為了表明系統(tǒng)的安全性��,也與多個國家的政府簽署源代碼授權查看條約����。例如,我國早在2003年便成立了中國信息安全產品測評認證中心源代碼查看實驗室����,通過協(xié)議規(guī)定的方式查看微軟公司Windows操作系統(tǒng)的源代碼,進行信息安全方面的研究�����。
潘柱廷建議����,可由中國信息安全測評中心出面,參照調查微軟的方式���,查看思科設備的源代碼并存檔�����。
此外他建議:“參照英國等國家的做法�����,要求思科遵循國際通用準則��,由第三方機構做出評測��,并提交安全報告����?�!?/p>
據(jù)了解���,這個國際通用準則被稱為“信息技術安全評價通用準則”TheCommonCriteriafor Information Technology security Evaluation��,CC��。CC已經成為國際主流的安全評價標準�����,被多個國家應用��。
潘柱廷表示:“我們并不主張中國政府效仿美國國會的做法��,而是希望能夠積極引入第三方測評工作��,保證我國信息系統(tǒng)的安全�。”
來源:通信產業(yè)網
版權及免責聲明:凡本網所屬版權作品��,轉載時須獲得授權并注明來源“中國產業(yè)經濟信息網”��,違者本網將保留追究其相關法律責任的權力��。凡轉載文章�,不代表本網觀點和立場。版權事宜請聯(lián)系:010-65363056�����。
延伸閱讀
