今年6月,英國《衛(wèi)報(bào)》和美國《華盛頓郵報(bào)》先后披露了前中情局職員愛德華?斯諾登提供的關(guān)于美國國家安全局一項(xiàng)代號(hào)為“棱鏡”的秘密項(xiàng)目的相關(guān)資料,揭露美國政府利用大型跨國網(wǎng)絡(luò)企業(yè)對(duì)人們的互聯(lián)網(wǎng)信息和行為進(jìn)行秘密監(jiān)視。對(duì)世界各國的政府來說,“棱鏡門”事件無疑重重地敲響了信息安全問題的警鐘。
“棱鏡”項(xiàng)目的設(shè)計(jì)與實(shí)施緊跟當(dāng)前社會(huì)化媒體、云計(jì)算等互聯(lián)網(wǎng)發(fā)展與應(yīng)用的最新趨勢(shì),監(jiān)視范圍涉及全球多個(gè)國家各類機(jī)構(gòu),我國也是該項(xiàng)目關(guān)注的重點(diǎn)區(qū)域之一。隨著“棱鏡”項(xiàng)目資料的陸續(xù)發(fā)布,我國信息化發(fā)展過程中所存在的信息安全隱患也隨之顯現(xiàn)。
首先,互聯(lián)網(wǎng)基礎(chǔ)結(jié)構(gòu)和工作機(jī)理的設(shè)計(jì)使得美國在網(wǎng)絡(luò)世界處于主導(dǎo)地位,也在信息通訊領(lǐng)域擁有絕對(duì)優(yōu)勢(shì)。今天的全球互聯(lián)網(wǎng)的13臺(tái)根服務(wù)器中,1臺(tái)為主根服務(wù)器,設(shè)置在美國弗吉尼亞州的杜勒斯,由美國VeriSign公司負(fù)責(zé)運(yùn)營(yíng)維護(hù);其余12臺(tái)全部為輔根服務(wù)器,9臺(tái)在美國,另外3臺(tái)分別設(shè)置在英國、瑞典和日本。通過管理和維護(hù)主、輔根服務(wù)器,美國掌握了世界各國域名信息的第一層級(jí)管理權(quán)。同時(shí),美國的“互聯(lián)網(wǎng)名稱與數(shù)字地址分配機(jī)構(gòu)”是全球互聯(lián)網(wǎng)的最高管理機(jī)構(gòu),它決定著互聯(lián)網(wǎng)技術(shù)的取舍、網(wǎng)絡(luò)通信協(xié)議的制定、域名和IP地址的分配、域名登記與出售以及相關(guān)政策的制定。可見,盡管我國網(wǎng)民數(shù)量已超過5.91億,但美國始終居于網(wǎng)絡(luò)結(jié)構(gòu)的中心位置,是國際互聯(lián)網(wǎng)的實(shí)際控制者。
其次,云計(jì)算的發(fā)展使得通過互聯(lián)網(wǎng)獲取個(gè)人信息更加容易、可獲取的內(nèi)容也更多。在云計(jì)算環(huán)境下,提供信息托管服務(wù)的“云服務(wù)”提供商天然具有對(duì)存儲(chǔ)于其設(shè)備上的用戶數(shù)據(jù)的優(yōu)先訪問權(quán),數(shù)據(jù)在從終端到云端的傳輸過程中也不可避免地存在受到黑客或惡意相鄰租戶的截獲或篡改的威脅。正如英國廣播公司所指出的,“美國國家安全局通過互聯(lián)網(wǎng)獲得個(gè)人信息,首先得歸功于云計(jì)算時(shí)代。如今大量用戶數(shù)據(jù)不再存放于個(gè)人電腦中,而是在云服務(wù)提供商手中”。
第三,數(shù)據(jù)挖掘技術(shù)的提高使得目標(biāo)信息能夠被還原得更加準(zhǔn)確。近年來,以Twitter、Facebook、微信為代表的社交媒體受到熱捧。人們熱衷于在這些社交媒體上發(fā)布自己的照片、心情、行蹤等各類信息;與此同時(shí),服務(wù)器還會(huì)記錄下用戶的登錄時(shí)間、信息消費(fèi)習(xí)慣、地理位置等大量后臺(tái)數(shù)據(jù)。以這些信息為基礎(chǔ)進(jìn)行數(shù)據(jù)挖掘,便能夠準(zhǔn)確地掌握需要的個(gè)人隱私信息。在“棱鏡”項(xiàng)目中,美國國家安全局正是通過數(shù)據(jù)挖掘技術(shù),對(duì)從大型互聯(lián)網(wǎng)公司獲取的信息進(jìn)行分析獲取情報(bào)。這一方式不僅能夠大幅降低監(jiān)視成本,還能保證信息分析結(jié)果的準(zhǔn)確性。
第四,對(duì)國外公司提供的設(shè)備和系統(tǒng)的高度依賴使得國內(nèi)網(wǎng)絡(luò)信息安全更加難以保證。目前,我國在操作系統(tǒng)、芯片以及互聯(lián)網(wǎng)多個(gè)領(lǐng)域的電子產(chǎn)品和信息產(chǎn)品方面國產(chǎn)比例很低,對(duì)國外企業(yè)的依賴度極高。這意味著,我們的信息網(wǎng)絡(luò)向這些國外企業(yè)敞開了大門。美國國家安全局和聯(lián)邦調(diào)查局只需通過微軟、因特爾、思科、IBM、谷歌、蘋果等公司的服務(wù)器,就能夠?qū)崿F(xiàn)對(duì)我國用戶信息的搜集。據(jù)中國國家互聯(lián)網(wǎng)應(yīng)急中心的報(bào)告顯示,僅2012年就有7.3萬個(gè)境外IP地址參與了控制中國境內(nèi)1400余萬臺(tái)主機(jī)的網(wǎng)絡(luò)攻擊事件;有3.2萬個(gè)境外IP地址通過植入后門,對(duì)中國境內(nèi)3.8萬個(gè)網(wǎng)站進(jìn)行了遠(yuǎn)程控制。
“棱鏡門”事件讓我們看到,技術(shù)的發(fā)展為權(quán)力的轉(zhuǎn)移提供了機(jī)會(huì),并使信息時(shí)代的權(quán)力和優(yōu)勢(shì)越來越向某一個(gè)或幾個(gè)國家集中。因此,要維護(hù)信息時(shí)代的安全與主權(quán),我們就必須深刻認(rèn)識(shí)信息化建設(shè)過程中所積累的潛在風(fēng)險(xiǎn)與危機(jī),及時(shí)建構(gòu)起能夠?qū)夹g(shù)權(quán)力形成制約的機(jī)制和體制。
提高信息基礎(chǔ)設(shè)施的“國產(chǎn)化”程度。從我國信息化建設(shè)的現(xiàn)狀來看,核心技術(shù)和關(guān)鍵裝備主要依賴進(jìn)口,這使得國外企業(yè)幾乎能夠完全掌握我國信息基礎(chǔ)設(shè)施的構(gòu)造與運(yùn)行方式,我們從而喪失了基礎(chǔ)設(shè)施層面的信息安全防御能力。因此,提高基礎(chǔ)設(shè)施的國產(chǎn)化程度,加快形成基礎(chǔ)信息網(wǎng)絡(luò)、重要信息系統(tǒng)以自主可控技術(shù)為主的新格局的需求迫在眉睫。實(shí)現(xiàn)這一目標(biāo),需要加強(qiáng)產(chǎn)品和技術(shù)的研發(fā),提高國產(chǎn)品牌的競(jìng)爭(zhēng)力;也需要引導(dǎo)相關(guān)行業(yè)機(jī)構(gòu)和人員調(diào)整思維,改變習(xí)慣。值得注意的是,基礎(chǔ)設(shè)施和系統(tǒng)的國產(chǎn)化也并不意味著絕對(duì)安全,還需要從整體網(wǎng)絡(luò)的層面建立起強(qiáng)大而有效的信息安全保障體系。
將“國家信息安全保障體系”納入國家安全體系進(jìn)行建構(gòu)。隨著信息化對(duì)經(jīng)濟(jì)社會(huì)發(fā)展的影響不斷加深,“信息安全”亦上升為關(guān)系國家安全乃至國家生存發(fā)展的戰(zhàn)略性問題。因此,“國家信息安全保障體系”有必要納入國家安全體系進(jìn)行規(guī)劃、設(shè)計(jì)、建設(shè)和完善,有必要站在國家戰(zhàn)略的角度建設(shè)安全等級(jí)保護(hù)制度、信息安全監(jiān)控體系、應(yīng)急處理體系等,重點(diǎn)保護(hù)基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國家安全、經(jīng)濟(jì)命脈、社會(huì)穩(wěn)定的信息系統(tǒng)。
當(dāng)前,我國正逐步進(jìn)入三網(wǎng)融合的全面推廣階段,融合后的互聯(lián)網(wǎng)、電信網(wǎng)和廣播電視網(wǎng)將構(gòu)成我國未來信息社會(huì)發(fā)展和運(yùn)行的基礎(chǔ)結(jié)構(gòu)。在這一過程中,電信、廣電和互聯(lián)網(wǎng)都在進(jìn)行著從結(jié)構(gòu)、技術(shù)、系統(tǒng)到終端、應(yīng)用和服務(wù)方面的轉(zhuǎn)換、調(diào)適與創(chuàng)新,使得原先封閉的電信網(wǎng)、廣電網(wǎng)不斷開放,由此為病毒、惡意軟件等從互聯(lián)網(wǎng)向電信網(wǎng)和廣電網(wǎng)轉(zhuǎn)移提供了機(jī)會(huì)。這就要求我國的“國家信息安全保障”不能沿用傳統(tǒng)的思維模式和管理方式,需要建構(gòu)起符合和適應(yīng)三網(wǎng)融合后網(wǎng)絡(luò)建設(shè)和運(yùn)行規(guī)律的新的保障體系。這一體系既要從宏觀上對(duì)國家安全、信息安全、文化安全進(jìn)行關(guān)照,還應(yīng)對(duì)公民的隱私和自由給予充分保護(hù)。
以動(dòng)態(tài)的“信息安全”觀念持續(xù)完善信息安全保障體系。隨著信息技術(shù)與互聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)的快速發(fā)展,所呈現(xiàn)出的安全問題也日益增加。例如,網(wǎng)上銀行業(yè)務(wù)引發(fā)的資金安全問題、社交媒體引發(fā)的隱私安全問題、云服務(wù)引發(fā)的信息傳輸和存儲(chǔ)安全問題等。新的安全問題總是與新技術(shù)、新應(yīng)用相伴而來、層出不窮,又需要快速處理,及時(shí)應(yīng)對(duì)。這就要求我們秉持著動(dòng)態(tài)的“信息安全”概念,隨著信息技術(shù)的發(fā)展不斷更新和擴(kuò)大其內(nèi)涵與外延,并以此為基礎(chǔ)完善信息安全相關(guān)制度,擴(kuò)大信息安全監(jiān)控范圍,并及時(shí)建立相應(yīng)領(lǐng)域的信息安全機(jī)制。