您当前的位置: 首页 > 环保节能

网络安全:“毒种子”比“毒面包”更可怕

2017-01-24 13:09:14
【导读】:国家互联网信息办公室近期宣布我国行将推出网络安全审查制度,将对关系国家安全和公共利益的系统使用重要信息技术产品和服务进行网络安全审查。这是在今年初中央网络安全和信息化领导小组成立后,我国在网络安全领域推出的1项战略性举措,对保护国家网络安全、建设网络强国具有重大推动作用。
中国环保网讯:国家互联网信息办公室近期宣布我国行将推出网络安全审查制度,将对关系国家安全和公共利益的系统使用重要信息技术产品和服务进行网络安全审查。这是在今年初中央网络安全和信息化领导小组成立后,我国在网络安全领域推出的1项战略性举措,对保护国家网络安全、建设网络强国具有重大推动作用。

这意味着我国网络安全管理的视野进1步扩大,更加强调对构成网络安全基本要素的技术和产品的管控与规制。网络安全审查制度的出台对构筑我国全方位、立体、综合网络安全保障能力有着10分重大的意义,对加强我国网络安全自主创新能力、激起产业创新也有着10分积极的推动作用。

互联网是现代信息技术高度发展的产物,中国在加入网络大潮、分享到互联网络高速发展带来的巨大社会经济效益的同时,也承受着随之而来的风险。特别是由于产业格局不对等,在中国的信息化建设中,大量使用国外产品,特别是美国的“8大金刚”(微软、思科等8家美国公司)的计算机和网络装备产品,未经审查却大量部署在我国基础网络和重要信息系统中,种种“漏洞”和预置的“后门”给我国的关键信息基础设施带来很大要挟。正如“棱镜门”事件所揭露的,包括我国前领导人在内的重要网络信息均遭到美国情报机构的监控。

为应对这类严峻的情势,国家在制度层面强化对网络技术产品的规制管控,对加强我国关键信息基础设施保障能力,无疑10分必要而且势在必行。纵观美国、欧盟,在大力发展ICT(信息通讯技术)产业的同时,均建立了类似的技术产品审查制度,均规定凡是政府信息系统中采购的装备必须经过相应的技术审查和产品认证。我国推出这1审查制度,符合国际趋势及网络发展的客观规律。

技术和产品本身的安全是构筑网络安全的基本条件,从技术和产品层面实行安全审查,可谓是正本清源,捉住了网络安全治理的要害和关键。其中,相对产品安全而言,技术安全还要更加基本。从ICT产业规律而言,常常是技术发明在先,相应的工程实现和产品开发在后。计算机、服务器、网络装备集成了大量事前发明的技术,才具有计算和联网通讯的能力。如果说计算机、服务器和网络装备是“面包”的话,集成在这些产品中的“芯片架构”、“网络协议”、“安全协议”等基础技术就是 “小麦种子”,由它种出小麦,进而加工成面包。

因此,在我们贯彻实行网络安全审查制度之时,特别要重视“种子”层面的审查规制,在严防“毒面包”的同时,还要加大力气解决管控“毒种子”的问题。很多时候,“毒种子”比“毒面包”更可怕,其散布面更广,隐藏更深,因此危害更大。

就构成网络安全的基本技术层面而言,我国目前使用的网络基础安全技术都是美国政府和企业主导开发的,比如保证网络安全连接和数据安全传输的网络安全协议技术;银行网银使用的认证技术和签名技术。大量这类未经严格技术审查的基础安全技术,广泛利用在我国的基础网络和重要信息系统中。有些技术在近年陆续被验证有重大安全漏洞,如近期暴光的“SSL心脏出血漏洞”等,对我国政府、企事业单位和广大网民造成极大的网络要挟和安全隐患;斯诺登表露的文件也显示出,美国国家安全局等情报机构正是利用IPSec、SSL等技术漏洞设置后门和实行网络监控的。

这些网络基础安全技术在技术方案本身及其工程实现的软件代码层面,均存在严重的“漏洞”。这些“漏洞”很大程度上是蓄意为之。这些漏洞不同于普通利用软件和网络装备中的“后门”,其影响范围之广、危害程度之深超越想象。技术方案层面的漏洞能够通过产业链逐级传递,好比种子有毒,从麦子到面粉到馒头,全产业链都遭到污染。因此,解决网络安全核心技术问题,需从网络安全协议等网络基础安全技术这1国家战略资源抓起。

这1问题的重要性在中美之间围绕WAPI标准长达10余年的博弈中可见1斑:中国推出自主可控的网络安全协议技术标准WAPI以后,美国3位内阁部长联名致信我国政府,并连续在中美贸易谈判中施压,要求中国放弃WAPI标准,背后深层的缘由是美国认识到在产业链源头掌握基础安全技术控制力的重要性及战略意义。

从技术源头保证网络安全的自主可控,才能从根本上加强我国网络安全的纵深防御能力。因此,网络安全审查制度的贯彻落实须从产业链源头抓起,除要对计算机、服务器、路由器等计算机网络装备及其操作系统和利用软件行审查以外,还要加强对网络安全协议等基础安全技术的审查规制。

推荐阅读
图文聚焦