“红、橙、蓝、绿”——国家信息化专家咨询委员会委员、国家信息中心专家委员会主任宁家骏将信息安全由低到高划分为这四个等级。他评价中国近些年信息安全形势:“确实比较严峻复杂,但整体仍属可控状态,可以说总体安全形势是蓝色,局部是橙色。”
宁家骏说,目前面临的信息安全问题主要有两类:一种是网络攻击,会导致网络信息被篡改甚至瘫痪。另一种是通过各种技术手段监控、窃取信息。据相关监测数据显示:今年3—5月,我国境内有118万多台主机受到美国僵尸网络或者木马的控制,130多万台主机中发现500多个钓鱼页面,造成网络欺诈事件14000多次。同期,有2000多个美国的IP地址对我国境内1700多个网站植入“后门”。
“所谓‘后门’,简单地理解,就是不走正门,非法进入你的系统内部,非法获取数据。”宁家骏解释说。
《美国全球监听行动纪录》中也显示,美国确实针对中国进行大规模网络进攻,攻击目标包括商务部、外交部、银行和电信公司等,以及中国六大骨干网之一的中国教育和科研计算机网主干网络。
“尽管如此,需要指出的是,我国网络环境还是基本安全的。”宁家骏介绍,自2003年以来,在国家信息化领导小组的统一部署和指导下,中国一直加强网络信息安全保障体系建设,已经初步建立一套比较成功的防护体系,基本防御了黑客攻击和信息监听窃取,还制定了包括预警感知、防御、清除、反制等措施,有力打击了网络犯罪,成效显著。
“如今国家成立中央网络安全和信息化领导小组,已将信息安全保障体系放在了前所未有的高度来建设。发挥举国体制优势能更好地发展信息安全产业。”宁家骏说。
“如果信息设备不能国产化,那么信息安全将沦为空谈”
“如果信息设备不能国产化,那么信息安全将沦为空谈!” 中国科学院计算所研究员、中国工程院院士倪光南表示,信息设备的大量进口是威胁国家信息安全的重要原因之一。
倪光南认为,每一个国家都有信息安全的问题,美国是受到网络攻击最多的国家,但美国的重要优势在于使用的信息基础设施和关键核心技术设备几乎都是自主研发的,“而我国使用的信息基础设施和关键核心技术设备大量都是外国的,存在着严重的‘后门’威胁。”
在设备和技术中植入“后门”是美国进行信息监控和窃取的主要手段之一。例如之前某些型号的思科路由器、英特尔奔腾3处理器芯片等设备或器件已被证实发现存在“后门”。倪光南认为,在各种硬件设备中,服务器的国产化替代十分关键。高端容错服务器是国家信息化建设的核心设备,支撑着金融、电信、税务、财政、电力、交通等关键行业的信息系统与数据库建设。
倪光南解释说,服务器通常连接到单位的数据库,如果服务器存在“后门”,就可能通过网络向外泄露重要信息,造成的危害远超一台普通终端,“更可怕的是,即使服务器形式上没有联网,也可能通过无线手段向外泄露。”
据不完全统计,之前中高端服务器的国产化率不到10%。金融行业的信息化设备国产率更低,其信息设备国产化率只有1.8%左右,中高端服务器几乎清一色采用了IBM、惠普等国外公司的产品。目前这种国产设备比例虽略有好转,但基本局面尚未改变。
“高端容错服务器过度依赖进口产品,不仅危害国家信息安全,也给经济安全造成严重隐患,重要信息系统关乎国家经济命脉。”宁家骏说。近年来,一些政府部门或某些重要信息系统都发生过因为关键设备故障未能及时维修,导致系统瘫痪或无法正常运行的实例。“而把设备或关键部件退回国外原厂维修,安全风险不言而喻。”
倪光南强调,除了硬件设备,操作系统等核心软件的国产化也势在必行。使用国外研发的软件,就无法了解其中存在的问题,也就无法应对漏洞、病毒以及别人的攻击利用。
尤其在大数据技术越来越强大的今天,我国使用的数以十亿计的智能终端操作系统,从电脑到移动终端,几乎全都使用国外操作系统。操作系统提供者也有可能获取用户的各种信息,如身份、账号、位置、爱好等。
“垄断智能终端操作系统的几家公司在‘棱镜门’这类监控计划中都扮演了重要角色。如果这些用户信息都被外国掌握,那么我国的任何社会活动都无秘密可言了 。”倪光南说。
这并非“草木皆兵”的过度担忧,据相关部门披露,美国国家安全局拥有一种“无边界情报员”系统,以30天为周期可从全球网络系统中接收到970亿条信息,再通过比对信用卡或通讯记录等方式,能够几近真实地还原个人实时状况。
信息技术产品国产化有进展,但市场占有率不高,推广前景也不乐观
在强调网络安全、信息安全的前提下鼓励竞争,涉及到国家安全领域必须自主可控
国产信息设备和核心软件的国产化并非没有进展。目前我国已经研制出具有自主知识产权的高端容错服务器以及操作系统等,许多金融机构的应用软件大部分也是自主开发。但总体来说,国产信息产品研发的企业数量有限,市场占有率不高,推广前景也不乐观。
推进国产化,倪光南认为国家意志非常重要。民用领域如手机、个人电脑等设备和软件系统的选择应该依靠市场竞争。但涉及到国家安全的领域则必须自主可控才能保证安全,“所以必须大力推进重要信息系统的国产化替代。在当前形势下,我们首先要强调网络安全、信息安全,在这个前提下鼓励竞争。”
宁家骏认为,从现实情况来看,国产产品的替代需要一个过程。“我个人并不赞成把国外设备全部排除在外,北京奥运会期间一些重要信息系统也使用了不少国外的设备,使用情况良好。这证明只要加强管理,信息风险是可以控制的。”
宁家骏说,近日国家有关部门正式宣布将出台网络安全审查制度,规定对进入我国市场的重要信息技术产品及其提供者进行网络安全审查,这也是通过加强立法规划进一步保障网络安全的重要举措。
当前,国产产品仍需要经历市场的“大浪淘沙”,政府的支持应该主要发挥在加强服务和引导、创造良好的市场和体制环境上。
“国家主导建设由第三方评测的大型国产化产品试验床势在必行,为电子政务、金融、电信等重要信息系统提供高仿真环境,对国产化装备进行评测、试运行,不断提高完善其性能,从而取得国内用户的信赖。”宁家骏建议。(记者赵展慧)