2013年6月,美國代號為“棱鏡”的秘密監(jiān)視項目遭到曝光,美國借互聯(lián)網(wǎng)自由之名行監(jiān)控世界網(wǎng)絡(luò)之實的虛偽本質(zhì)得以暴露,也給世界各國敲響了警鐘。毋庸置疑,強大的信息技術(shù)及產(chǎn)業(yè)優(yōu)勢是美國開展相關(guān)監(jiān)控活動的基礎(chǔ)。對我國而言,分析美國在信息安全產(chǎn)業(yè)發(fā)展方面的優(yōu)勢,反思自身存在的問題,進而不斷改進,以扭轉(zhuǎn)我國信息安全被動局面已是刻不容緩。
“棱鏡門”發(fā)生的產(chǎn)業(yè)基礎(chǔ)
從根本上講,美國之所以能長期實施“棱鏡”等監(jiān)視計劃,主要依托的就是其在信息技術(shù)和信息安全產(chǎn)業(yè)方面的巨大優(yōu)勢。
(一)具備了國際產(chǎn)業(yè)市場的絕對統(tǒng)治力
美國憑借其在信息技術(shù)上的巨大優(yōu)勢,在操作系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備等信息安全基礎(chǔ)領(lǐng)域占據(jù)了全球大部分市場份額。在芯片方面,國際知名廠商中大部分都是美國企業(yè),如英特爾、AMD、高通等。據(jù)IC Insights的研究報告,今年一季度英特爾芯片銷售額為115.6億美元,占全球芯片銷售額的21.6%。在桌面操作系統(tǒng)方面,微軟的統(tǒng)治地位至今無人可以撼動,市場份額超過96%。在移動操作系統(tǒng)方面,由谷歌的安卓系統(tǒng)把控,市場份額已超過85%。在瀏覽器方面,來自美國企業(yè)的產(chǎn)品IE、Firefox、Chrome和Safari占據(jù)了全球市場的前四位,份額超過98%。在數(shù)據(jù)庫方面,甲骨文、IBM和微軟三家企業(yè)的產(chǎn)品占據(jù)著85%左右的市場份額。
(二)掌握了國際網(wǎng)絡(luò)空間的實際控制權(quán)
美國目前依然實際掌握著國際網(wǎng)絡(luò)空間的控制權(quán)和管理權(quán)。全球13臺根域名服務(wù)器中的10臺在美國,其大型數(shù)據(jù)庫占到全球的70%。雖然越來越多的國家開始質(zhì)疑美國對互聯(lián)網(wǎng)的控制權(quán),但美國一直以可能傷害互聯(lián)網(wǎng)自由為名,拒絕讓出控制權(quán)。而事實上,在美國的掌控下,信息網(wǎng)絡(luò)充滿風(fēng)險。一方面,美國控制和擁有全世界的網(wǎng)絡(luò)空間,其他國家只能租借互聯(lián)網(wǎng)地址和域名,這實際上形成了美國獨家壟斷全球互聯(lián)網(wǎng)的霸權(quán)格局。美國可以隨意讓任何一個國家從互聯(lián)網(wǎng)上消失。例如,2003年伊拉克戰(zhàn)爭期間,美國政府就曾授意ICANN終止對伊拉克國家頂級域名“.iq”的解析。另一方面,雖然美國一直宣稱“保護互聯(lián)網(wǎng)自由”,但依據(jù)美國法律,政府可以以國家安全為由對互聯(lián)網(wǎng)進行監(jiān)視,這時其監(jiān)視的就是整個互聯(lián)網(wǎng)。“棱鏡門”事件揭露的正是美國對全世界網(wǎng)絡(luò)空間進行監(jiān)視這一事實。
(三)實現(xiàn)了新興信息技術(shù)的快速發(fā)展
近年來,美國政府持續(xù)采取多種政策措施對云計算和大數(shù)據(jù)等新興信息技術(shù)進行支持。在云計算方面,美國政府將云計算技術(shù)和產(chǎn)業(yè)定位為維持國家核心競爭力的重要手段之一。美國政府深度介入云計算產(chǎn)業(yè)的發(fā)展,通過強制政府采購和指定技術(shù)架構(gòu)來推進云計算技術(shù)進步和產(chǎn)業(yè)發(fā)展。美國于2012年3月發(fā)布了大數(shù)據(jù)研發(fā)計劃,同時組建“大數(shù)據(jù)高級指導(dǎo)小組”,將其提高到國家戰(zhàn)略的層面,形成了全體動員格局。此外,美國的投入也獲得豐厚回報。2012年12月,美國中央情報局首席技術(shù)官格斯·漢特透露了云計算和大數(shù)據(jù)技術(shù)對追蹤恐怖分子和監(jiān)控社會情緒所起的作用。由此可見,在“棱鏡”等監(jiān)視項目中,云計算和大數(shù)據(jù)等新興信息技術(shù)起到了十分重要的作用,為其從監(jiān)視數(shù)據(jù)中獲取情報提供了有效支撐。
(四)建立了密切的政企合作機制
美國政府與各大IT企業(yè)之間建立了廣泛而深入的合作關(guān)系。美國的信息技術(shù)和互聯(lián)網(wǎng)管理職能大部分由私營機構(gòu)掌控,為了加強對網(wǎng)絡(luò)空間的管理和控制,美國政府不斷加強和深化與IT企業(yè)之間的合作。美國發(fā)布的《網(wǎng)絡(luò)空間行動戰(zhàn)略》和《網(wǎng)絡(luò)空間可信身份國家戰(zhàn)略》等相關(guān)文件都明確提出,要加強政府部門與私營機構(gòu)之間的合作。“棱鏡門”事件暴露出的信息表明,美國政府與相關(guān)企業(yè)的合作已經(jīng)十分深入。例如,NSA和FBI可直接接入微軟、谷歌、Facebook、蘋果等9家美國IT企業(yè)中心服務(wù)器,挖掘數(shù)據(jù),搜集情報,全面監(jiān)控民眾的網(wǎng)絡(luò)行為。
“棱鏡門”折射出我國信息安全產(chǎn)業(yè)存在的問題
“棱鏡門”事件展示了強大的信息安全產(chǎn)業(yè)基礎(chǔ)對國家安全的重要作用,也揭示了我國信息安全產(chǎn)業(yè)發(fā)展的諸多問題。
(一)產(chǎn)業(yè)發(fā)展基礎(chǔ)還需夯實
目前,我國信息安全產(chǎn)業(yè)發(fā)展還有不少問題亟待解決,集中表現(xiàn)在以下兩個方面:
其一,對信息安全基礎(chǔ)技術(shù)發(fā)展重視還需加強。產(chǎn)業(yè)界更加注重經(jīng)濟效益,忽視了基礎(chǔ)技術(shù)的發(fā)展。事實證明,缺乏獨立自主的基礎(chǔ)信息技術(shù),整體信息安全則無法實現(xiàn)。其二,信息安全企業(yè)整體實力相對較弱,產(chǎn)品和技術(shù)研發(fā)能力不強,缺少經(jīng)濟實力雄厚、研發(fā)能力強大的行業(yè)龍頭企業(yè),對信息安全支撐不足,在國家信息安全保障中沒有起到應(yīng)有的作用。
(二)自主創(chuàng)新能力嚴重不足
我國信息安全產(chǎn)業(yè)最大的問題是缺乏核心技術(shù)的自主創(chuàng)新能力,整體自主創(chuàng)新環(huán)境有待優(yōu)化。一是信息安全基礎(chǔ)技術(shù)研發(fā)能力不足。由于我國信息技術(shù)起步晚,技術(shù)實力與西方國家存在代差,在安全操作系統(tǒng)、安全芯片等信息安全基礎(chǔ)技術(shù)上,一直沒能實現(xiàn)突破。二是針對新興信息技術(shù)的信息安全研究不及時。在云計算、大數(shù)據(jù)等新興信息技術(shù)方面,我國與國外幾乎同時起步,但在信息安全保障方面卻已遠遠落后。三是我國自主創(chuàng)新環(huán)境有待優(yōu)化。國內(nèi)產(chǎn)業(yè)界和學(xué)術(shù)界自主創(chuàng)新積極性不足,學(xué)術(shù)造假現(xiàn)象時有發(fā)生,知識產(chǎn)權(quán)保護有待加強。
(三)產(chǎn)業(yè)發(fā)展受到多方制約
我國信息安全產(chǎn)業(yè)發(fā)展一直飽受國外打壓。一方面,西方國家針對我國采取了對高技術(shù)產(chǎn)品的禁運政策,限制高等級信息安全產(chǎn)品對華出口,包括B1級以上的操作系統(tǒng)和數(shù)據(jù)庫等。另一方面,又通過多種手段對我國進入國際市場的高科技企業(yè)進行遏制。例如,美國國會于去年10月發(fā)布了針對華為、中興的調(diào)查結(jié)果報告,建議美國企業(yè)盡量避免同華為、中興合作。今年3月,美國總統(tǒng)簽署一項新的開支法案,對美國政府機構(gòu)從與中國政府有關(guān)的公司購買信息技術(shù)產(chǎn)品進行了限制。
(四)國內(nèi)市場受制于人
我國在金融、化工等關(guān)鍵領(lǐng)域的信息系統(tǒng)嚴重依賴國外技術(shù)產(chǎn)品,網(wǎng)絡(luò)空間控制權(quán)難以掌控。被稱為美國“八大金剛”的思科、IBM、谷歌、高通、英特爾、蘋果、甲骨文、微軟等企業(yè)占有我國大量市場份額。以思科為例,在基礎(chǔ)網(wǎng)絡(luò)方面,它占據(jù)了我國骨干網(wǎng)絡(luò)超過70%的份額;在金融行業(yè),占有了70%以上的份額;在鐵路系統(tǒng),其份額約占60%;在石油、制造、輕工和煙草等行業(yè),思科的份額也超過60%。
(五)信息安全支撐能力較弱
當前我國信息安全技術(shù)和產(chǎn)業(yè)支撐能力不足。一是在密碼破譯、戰(zhàn)略預(yù)警、態(tài)勢感知、輿情掌控等信息安全核心技術(shù)產(chǎn)品上與西方國家還有較大差距。二是在關(guān)鍵技術(shù)和產(chǎn)品的信息安全測評方面還存在技術(shù)缺失,對進口技術(shù)和產(chǎn)品的檢測主要集中在功能性測試,不能及時發(fā)現(xiàn)產(chǎn)品的安全漏洞和“后門”。三是政府與信息安全企業(yè)互動不足。市場化機制下是應(yīng)當給予企業(yè)足夠的自主權(quán),但如果涉及到國家安全,則企業(yè)應(yīng)與國家充分互動,比如美國就以法律的形式提出了相關(guān)企業(yè)的義務(wù)。
對策建議
解決我國信息安全問題的根本在于實現(xiàn)產(chǎn)業(yè)的獨立自主,“君子棄瑕以拔才,壯士斷腕以全質(zhì)”,我國信息安全產(chǎn)業(yè)需要深度變革。
(一)大力改善信息安全技術(shù)自主創(chuàng)新環(huán)境
一是大力支持自主可控信息安全產(chǎn)業(yè)的發(fā)展,通過資金和其它優(yōu)惠政策鼓勵有實力的企業(yè)介入開發(fā)周期長、資金回收慢的信息安全基礎(chǔ)產(chǎn)品,比如安全操作系統(tǒng)和安全芯片等。二是依托高校、研究機構(gòu)和企業(yè)自主創(chuàng)新平臺,加大核心信息技術(shù)的投入,嚴格管理研究資金,推動研究成果轉(zhuǎn)化。三是加強信息安全市場的政策引導(dǎo),合理利用國際規(guī)則,約束國外企業(yè)在國內(nèi)市場的發(fā)展,為自主信息安全產(chǎn)品提供更好的生存空間。
(二)加速建設(shè)自主可控的信息安全生態(tài)體系
一是整合國家科研資源,多部委合作,加強安全芯片、安全操作系統(tǒng)、安全數(shù)據(jù)庫等基礎(chǔ)信息安全技術(shù)的攻關(guān)。二是促進上下游應(yīng)用產(chǎn)品的開發(fā),完善自主技術(shù)產(chǎn)品應(yīng)用環(huán)境,提高相關(guān)技術(shù)產(chǎn)品的可用性。三是從思想上改變對國外信息技術(shù)產(chǎn)品的依賴性,制定切實可行的國產(chǎn)化替代時間表,從政府部門和國家關(guān)鍵領(lǐng)域開始,分領(lǐng)域推進國產(chǎn)化替代,帶動從基礎(chǔ)產(chǎn)品到應(yīng)用產(chǎn)品以及包括服務(wù)在內(nèi)的具有完全自主知識產(chǎn)權(quán)產(chǎn)業(yè)的發(fā)展。
(三)全面加強信息安全技術(shù)產(chǎn)品市場規(guī)范
一是啟動核心信息技術(shù)產(chǎn)品的信息安全檢查和強制性認證工作,依照應(yīng)用領(lǐng)域的安全等級設(shè)定不同的檢查要求,比如對關(guān)鍵領(lǐng)域應(yīng)用的產(chǎn)品進行源代碼級檢測。二是加強對國外進口技術(shù)、產(chǎn)品和服務(wù)的漏洞分析工作,提升發(fā)現(xiàn)安全隱患的能力,明確國外信息技術(shù)企業(yè)在國內(nèi)提供產(chǎn)品、技術(shù)和服務(wù)時的責(zé)任和義務(wù),對從事關(guān)鍵行業(yè)數(shù)據(jù)搜集和數(shù)據(jù)分析業(yè)務(wù)的企業(yè)采取備案和黑名單制度。三是建立新興技術(shù)的信息安全預(yù)警機制,成立專門機構(gòu)對新興技術(shù)的信息安全隱患進行分析和研究,針對關(guān)鍵領(lǐng)域或部門出臺強制性標準或規(guī)定,限制新興技術(shù)的使用方式和范圍,對掌握關(guān)鍵領(lǐng)域數(shù)據(jù)的企業(yè)進行管控。
(四)發(fā)展結(jié)構(gòu)完整層次分明的信息安全產(chǎn)業(yè)
一是重點培育幾家具有較強信息安全實力的企業(yè),專門為政府、軍隊等提供整體架構(gòu)設(shè)計和集成解決方案,形成解決國家級信息安全問題的承包商,類似于美國的洛克希德·馬丁、波音和雷神公司等企業(yè)。二是重點發(fā)展一批提供行業(yè)解決方案和完整產(chǎn)品線的專業(yè)信息安全企業(yè),具備提供完整的產(chǎn)品、設(shè)備,以及某個具體層面解決方案的能力,類似于IBM、微軟、思科等企業(yè)。三是鼓勵發(fā)展提供專用、新型技術(shù)和產(chǎn)品的獨立信息安全企業(yè),專門提供信息安全專用技術(shù)和產(chǎn)品,協(xié)助前兩類企業(yè),向政府和企業(yè)用戶提供產(chǎn)品和技術(shù),類似于賽門鐵克、RSA等。