通過掌上DOIT移動(dòng)客戶端可以訂閱科技專欄���,第一時(shí)間獲得知名專家和業(yè)界領(lǐng)袖的深度剖析與趨勢分析���。本文作者:王志海先生系北京明朝萬達(dá)科技有限公司董事長,專注于密碼學(xué)應(yīng)用及數(shù)據(jù)安全領(lǐng)域����,致力拓展密碼學(xué)技術(shù)在計(jì)算機(jī)、移動(dòng)信息化�����、云計(jì)算和各種業(yè)務(wù)系統(tǒng)中的數(shù)據(jù)安全應(yīng)用�����。
DOIT專欄:斯諾登曝光美國NSA“棱鏡”計(jì)劃后�����,將一些潛規(guī)則以鐵的證據(jù)公之于眾����,打破了很多人對美國NSA監(jiān)控全球信息化網(wǎng)絡(luò)持“陰謀論”態(tài)度的幻想,同時(shí)也讓國內(nèi)眾多領(lǐng)導(dǎo)�����、專家和信息化主管人員產(chǎn)生恐慌,積極尋求應(yīng)對“棱鏡”的對策���。
一���、“棱鏡”問題的根源及基礎(chǔ)
縱觀美國“棱鏡”計(jì)劃的背景和目的,總結(jié)起來有三個(gè)方面是美國實(shí)施“棱鏡”計(jì)劃的基礎(chǔ)�,包括信息化基礎(chǔ)、網(wǎng)絡(luò)及數(shù)據(jù)�。
首先,美國是國際上信息化的鼻祖及領(lǐng)頭羊�����,中國包括國際上絕大部分基礎(chǔ)及重要的信息化軟硬件系統(tǒng)產(chǎn)品及服務(wù)都由美國企業(yè)提供���,這是其能夠?qū)嵤?ldquo;棱鏡”計(jì)劃的重要基礎(chǔ)���,這使得其觸角可以深入到國防軍事及國計(jì)民生的方方面面,也是“棱鏡”計(jì)劃之所以讓世界各國政府寢食難安的根本原因�。
其次,網(wǎng)絡(luò)特別是互聯(lián)網(wǎng)的普及則使得美國“棱鏡”具備了“運(yùn)籌帷幄���、決勝千里”的能力�����,使得其可以即時(shí)將遍布全世界各個(gè)角落的“信息間諜”數(shù)據(jù)快速集中和分析���,形成了幾乎無所不能的超級監(jiān)控甚至打擊能力。
最后�,“棱鏡”計(jì)劃之所以可以靜悄悄地運(yùn)行多年無人發(fā)現(xiàn),就是因?yàn)槠渲饕繕?biāo)是竊取“數(shù)據(jù)”����,而不是傳統(tǒng)安全主要防患的破壞性攻擊,具有高度的隱蔽性和長遠(yuǎn)危害性�。
雖然國內(nèi)外對美國“棱鏡”的這三個(gè)基礎(chǔ)都認(rèn)識清晰,但讓大家如鯁在喉的是��,在相當(dāng)長一段時(shí)間內(nèi)���,“棱鏡”得以存在的這三個(gè)基礎(chǔ)都無法改變����,也就意味著美國“棱鏡”計(jì)劃不會因斯諾登曝光而停止執(zhí)行��,該計(jì)劃將持續(xù)下去并不斷增強(qiáng)其能力。
二��、國內(nèi)應(yīng)對“棱鏡”的幾種思路
“棱鏡”事件曝光后�����,國家安全和信息化主管部門采取了積極的應(yīng)對行動(dòng)���,進(jìn)行了廣泛的意見征求和措施探討���,總結(jié)起來主要有以下幾種聲音:
第一種思路信息化軟硬件系統(tǒng)國產(chǎn)化。應(yīng)該說這種聲音是直擊“棱鏡”的根基��,“棱鏡”計(jì)劃之所以得以全面執(zhí)行�,就在于美國對中國和全球信息化系統(tǒng)的根本性控制,然而實(shí)際存在的情況是���,中國存在信息化起步晚���、建設(shè)照搬美國模式和信息化研發(fā)生產(chǎn)能力落后的現(xiàn)實(shí)問題,由其國內(nèi)信息化企業(yè)在過去的“金融地產(chǎn)經(jīng)濟(jì)”時(shí)代喪失了寶貴的十年時(shí)間���,短時(shí)間內(nèi)要想較大規(guī)模實(shí)現(xiàn)信息系統(tǒng)國產(chǎn)化難以達(dá)成���,需要數(shù)以十年的時(shí)間才有可能完成��。
第二種思路是可信計(jì)算�。該思路基于可信計(jì)算理論��,構(gòu)建對于中國來說完全可信任的計(jì)算平臺����,但該思路最終將與第一種思路殊途同歸的是�,需要從芯片、主板����、操作系統(tǒng)和軟件應(yīng)用系統(tǒng)完全自主可控和國產(chǎn)化,其全面實(shí)現(xiàn)的過程依然比較漫長�����。
第三種思路是將重要系統(tǒng)加強(qiáng)網(wǎng)絡(luò)隔離�。該思路在某些特殊應(yīng)用場景能夠得以執(zhí)行,但是在信息化大背景下大部分場景是無法實(shí)現(xiàn)的���,比如戰(zhàn)場信息化通信不可能進(jìn)行隔離�����,又如需要與國際結(jié)算相關(guān)的金融領(lǐng)域也無法執(zhí)行�����,這種思路違反信息化的發(fā)展趨勢�,只能讓國內(nèi)信息安全保障體系建設(shè)陷入更加被動(dòng)落后的局面。
第四種思路以數(shù)據(jù)安全為核心的國產(chǎn)密碼技術(shù)應(yīng)用推廣���。該思路主要有國內(nèi)信息安全產(chǎn)業(yè)界及密碼專家所倡導(dǎo)����。該思路的出發(fā)點(diǎn)是基于目前信息化系統(tǒng)主要采用國外產(chǎn)品短期內(nèi)難以獲得改變的現(xiàn)狀�����,提出通過自主可控的國產(chǎn)加密技術(shù)將“棱鏡”所希望獲取的“數(shù)據(jù)”保護(hù)起來����,從而增加“棱鏡”計(jì)劃獲取數(shù)據(jù)的難度,降低“棱鏡”計(jì)劃的危害�����。該計(jì)劃雖然沒能從根本上將“棱鏡”拒之門外,但卻具有高度可實(shí)施性和立竿見影的效果����,也能給軟硬件系統(tǒng)全面國產(chǎn)化爭取時(shí)間。
總結(jié)這四種思路��,第一種和第二種需要長期的努力才能見到成效��,也是必須堅(jiān)持的方向和最終目標(biāo);第三種是違反信息化促進(jìn)信息流通和交換的原生目標(biāo)的�����,不值得推崇;第四種則是可以在短期內(nèi)快速產(chǎn)生效果的方案����,是目前應(yīng)該給予大力鼓勵(lì)和支持的�����。
三�����、國產(chǎn)密碼應(yīng)用能夠快速筑起“數(shù)據(jù)安全堡壘”
國產(chǎn)密碼技術(shù)經(jīng)過幾十年的發(fā)展�,無論在理論體系�、應(yīng)用體系����、標(biāo)準(zhǔn)體系還是產(chǎn)業(yè)體系上都已經(jīng)形成了規(guī)模,特別是最近十多年來���,商用密碼產(chǎn)業(yè)蓬勃發(fā)展����,已經(jīng)培養(yǎng)了幾百家企業(yè)�,已經(jīng)具備了大規(guī)模推廣應(yīng)用的各方面基礎(chǔ)。然而一直以來�,加密技術(shù)最廣泛的應(yīng)用領(lǐng)域卻集中在通信和身份認(rèn)證上,鮮有構(gòu)建基于密碼完整鏈條的信息安全體系��,在這方面做的最好的應(yīng)該說是銀行的核心交易系統(tǒng)�����。要應(yīng)對“棱鏡”�����,構(gòu)建“數(shù)據(jù)安全堡壘”,必須將國產(chǎn)密碼技術(shù)應(yīng)用推廣到數(shù)據(jù)全生命周期的安全管理體系中�����,包括數(shù)據(jù)的產(chǎn)生��、使用��、交換(傳輸)�、存儲和銷毀等所有環(huán)節(jié),構(gòu)建密碼安全的閉環(huán)���,才能讓“棱鏡”無孔可入����,讓NSA只能拿到看不懂的加密數(shù)據(jù)���。目前����,眾多國內(nèi)專業(yè)數(shù)據(jù)安全廠商已經(jīng)完全具備了建立應(yīng)用系統(tǒng)全生命周期數(shù)據(jù)安全體系的能力�,以政府和國企為代表的用戶信息管理部門中也具備了一批密碼技術(shù)應(yīng)用的專家��,中國完全有能力通過國產(chǎn)密碼技術(shù)應(yīng)用推廣快速筑起“數(shù)據(jù)安全堡壘”����,降低“棱鏡”的威脅����。
四���、總結(jié)
應(yīng)對“棱鏡”是個(gè)長遠(yuǎn)而艱巨的任務(wù)�,從根本上解決需要中國信息化產(chǎn)業(yè)實(shí)現(xiàn)完全自主可控的充分發(fā)展����,這可能需要幾代人的時(shí)間來完成。短期內(nèi)�����,已經(jīng)做好充分準(zhǔn)備的國產(chǎn)密碼技術(shù)在國內(nèi)信息化系統(tǒng)的推廣應(yīng)用����,給“棱鏡”最終竊取的目標(biāo)數(shù)據(jù)加上保護(hù)層,是中國短期內(nèi)可以快速做到的首選措施之一�����。國家相關(guān)管理部門應(yīng)該在密碼技術(shù)特別是影響廣泛的商用密碼應(yīng)用政策上進(jìn)一步細(xì)化落實(shí),甚至對重要行業(yè)制定更加具備針對性的規(guī)范��,以推動(dòng)國產(chǎn)密碼技術(shù)的廣泛應(yīng)用���,快速筑起應(yīng)對“棱鏡”的新長城����。
