构建安全的、自主的、可控的信息安全体系是当前工作重点
2013年6月,美国代号为“棱镜”的秘密监视项目遭到曝光,美国借互联网自由之名行监控世界网络之实的虚伪本质得以暴露,也给世界各国敲响了警钟。毋庸置疑,强大的信息技术及产业优势是美国开展相关监控活动的基础。对我国而言,分析美国在信息安全产业发展方面的优势,反思自身存在的问题,进而不断改进,以扭转我国信息安全被动局面已是刻不容缓。
“棱镜门”发生的产业基础
从根本上讲,美国之所以能长期实施“棱镜”等监视计划,主要依托的就是其在信息技术和信息安全产业方面的巨大优势。
(一)具备了国际产业市场的绝对统治力
美国凭借其在信息技术上的巨大优势,在操作系统、数据库、网络设备等信息安全基础领域占据了全球大部分市场份额。在芯片方面,国际知名厂商中大部分都是美国企业,如英特尔、AMD、高通等。据IC Insights的研究报告,今年一季度英特尔芯片销售额为115.6亿美元,占全球芯片销售额的21.6%。在桌面操作系统方面,微软的统治地位至今无人可以撼动,市场份额超过96%。在移动操作系统方面,由谷歌的安卓系统把控,市场份额已超过85%。在浏览器方面,来自美国企业的产品IE、Firefox、Chrome和Safari占据了全球市场的前四位,份额超过98%。在数据库方面,甲骨文、IBM和微软三家企业的产品占据着85%左右的市场份额。
(二)掌握了国际网络空间的实际控制权
美国目前依然实际掌握着国际网络空间的控制权和管理权。全球13台根域名服务器中的10台在美国,其大型数据库占到全球的70%。虽然越来越多的国家开始质疑美国对互联网的控制权,但美国一直以可能伤害互联网自由为名,拒绝让出控制权。而事实上,在美国的掌控下,信息网络充满风险。一方面,美国控制和拥有全世界的网络空间,其他国家只能租借互联网地址和域名,这实际上形成了美国独家垄断全球互联网的霸权格局。美国可以随意让任何一个国家从互联网上消失。例如,2003年伊拉克战争期间,美国政府就曾授意ICANN终止对伊拉克国家顶级域名“.iq”的解析。另一方面,虽然美国一直宣称“保护互联网自由”,但依据美国法律,政府可以以国家安全为由对互联网进行监视,这时其监视的就是整个互联网。“棱镜门”事件揭露的正是美国对全世界网络空间进行监视这一事实。
(三)实现了新兴信息技术的快速发展
近年来,美国政府持续采取多种政策措施对云计算和大数据等新兴信息技术进行支持。在云计算方面,美国政府将云计算技术和产业定位为维持国家核心竞争力的重要手段之一。美国政府深度介入云计算产业的发展,通过强制政府采购和指定技术架构来推进云计算技术进步和产业发展。美国于2012年3月发布了大数据研发计划,同时组建“大数据高级指导小组”,将其提高到国家战略的层面,形成了全体动员格局。此外,美国的投入也获得丰厚回报。2012年12月,美国中央情报局首席技术官格斯·汉特透露了云计算和大数据技术对追踪恐怖分子和监控社会情绪所起的作用。由此可见,在“棱镜”等监视项目中,云计算和大数据等新兴信息技术起到了十分重要的作用,为其从监视数据中获取情报提供了有效支撑。
(四)建立了密切的政企合作机制
美国政府与各大IT企业之间建立了广泛而深入的合作关系。美国的信息技术和互联网管理职能大部分由私营机构掌控,为了加强对网络空间的管理和控制,美国政府不断加强和深化与IT企业之间的合作。美国发布的《网络空间行动战略》和《网络空间可信身份国家战略》等相关文件都明确提出,要加强政府部门与私营机构之间的合作。“棱镜门”事件暴露出的信息表明,美国政府与相关企业的合作已经十分深入。例如,NSA和FBI可直接接入微软、谷歌、Facebook、苹果等9家美国IT企业中心服务器,挖掘数据,搜集情报,全面监控民众的网络行为。
“棱镜门”折射出我国信息安全产业存在的问题
“棱镜门”事件展示了强大的信息安全产业基础对国家安全的重要作用,也揭示了我国信息安全产业发展的诸多问题。
(一)产业发展基础还需夯实
目前,我国信息安全产业发展还有不少问题亟待解决,集中表现在以下两个方面:
其一,对信息安全基础技术发展重视还需加强。产业界更加注重经济效益,忽视了基础技术的发展。事实证明,缺乏独立自主的基础信息技术,整体信息安全则无法实现。其二,信息安全企业整体实力相对较弱,产品和技术研发能力不强,缺少经济实力雄厚、研发能力强大的行业龙头企业,对信息安全支撑不足,在国家信息安全保障中没有起到应有的作用。
(二)自主创新能力严重不足
我国信息安全产业最大的问题是缺乏核心技术的自主创新能力,整体自主创新环境有待优化。一是信息安全基础技术研发能力不足。由于我国信息技术起步晚,技术实力与西方国家存在代差,在安全操作系统、安全芯片等信息安全基础技术上,一直没能实现突破。二是针对新兴信息技术的信息安全研究不及时。在云计算、大数据等新兴信息技术方面,我国与国外几乎同时起步,但在信息安全保障方面却已远远落后。三是我国自主创新环境有待优化。国内产业界和学术界自主创新积极性不足,学术造假现象时有发生,知识产权保护有待加强。
(三)产业发展受到多方制约
我国信息安全产业发展一直饱受国外打压。一方面,西方国家针对我国采取了对高技术产品的禁运政策,限制高等级信息安全产品对华出口,包括B1级以上的操作系统和数据库等。另一方面,又通过多种手段对我国进入国际市场的高科技企业进行遏制。例如,美国国会于去年10月发布了针对华为、中兴的调查结果报告,建议美国企业尽量避免同华为、中兴合作。今年3月,美国总统签署一项新的开支法案,对美国政府机构从与中国政府有关的公司购买信息技术产品进行了限制。
(四)国内市场受制于人
我国在金融、化工等关键领域的信息系统严重依赖国外技术产品,网络空间控制权难以掌控。被称为美国“八大金刚”的思科、IBM、谷歌、高通、英特尔、苹果、甲骨文、微软等企业占有我国大量市场份额。以思科为例,在基础网络方面,它占据了我国骨干网络超过70%的份额;在金融行业,占有了70%以上的份额;在铁路系统,其份额约占60%;在石油、制造、轻工和烟草等行业,思科的份额也超过60%。
(五)信息安全支撑能力较弱
当前我国信息安全技术和产业支撑能力不足。一是在密码破译、战略预警、态势感知、舆情掌控等信息安全核心技术产品上与西方国家还有较大差距。二是在关键技术和产品的信息安全测评方面还存在技术缺失,对进口技术和产品的检测主要集中在功能性测试,不能及时发现产品的安全漏洞和“后门”。三是政府与信息安全企业互动不足。市场化机制下是应当给予企业足够的自主权,但如果涉及到国家安全,则企业应与国家充分互动,比如美国就以法律的形式提出了相关企业的义务。
对策建议
解决我国信息安全问题的根本在于实现产业的独立自主,“君子弃瑕以拔才,壮士断腕以全质”,我国信息安全产业需要深度变革。
(一)大力改善信息安全技术自主创新环境
一是大力支持自主可控信息安全产业的发展,通过资金和其它优惠政策鼓励有实力的企业介入开发周期长、资金回收慢的信息安全基础产品,比如安全操作系统和安全芯片等。二是依托高校、研究机构和企业自主创新平台,加大核心信息技术的投入,严格管理研究资金,推动研究成果转化。三是加强信息安全市场的政策引导,合理利用国际规则,约束国外企业在国内市场的发展,为自主信息安全产品提供更好的生存空间。
(二)加速建设自主可控的信息安全生态体系
一是整合国家科研资源,多部委合作,加强安全芯片、安全操作系统、安全数据库等基础信息安全技术的攻关。二是促进上下游应用产品的开发,完善自主技术产品应用环境,提高相关技术产品的可用性。三是从思想上改变对国外信息技术产品的依赖性,制定切实可行的国产化替代时间表,从政府部门和国家关键领域开始,分领域推进国产化替代,带动从基础产品到应用产品以及包括服务在内的具有完全自主知识产权产业的发展。
(三)全面加强信息安全技术产品市场规范
一是启动核心信息技术产品的信息安全检查和强制性认证工作,依照应用领域的安全等级设定不同的检查要求,比如对关键领域应用的产品进行源代码级检测。二是加强对国外进口技术、产品和服务的漏洞分析工作,提升发现安全隐患的能力,明确国外信息技术企业在国内提供产品、技术和服务时的责任和义务,对从事关键行业数据搜集和数据分析业务的企业采取备案和黑名单制度。三是建立新兴技术的信息安全预警机制,成立专门机构对新兴技术的信息安全隐患进行分析和研究,针对关键领域或部门出台强制性标准或规定,限制新兴技术的使用方式和范围,对掌握关键领域数据的企业进行管控。
(四)发展结构完整层次分明的信息安全产业
一是重点培育几家具有较强信息安全实力的企业,专门为政府、军队等提供整体架构设计和集成解决方案,形成解决国家级信息安全问题的承包商,类似于美国的洛克希德·马丁、波音和雷神公司等企业。二是重点发展一批提供行业解决方案和完整产品线的专业信息安全企业,具备提供完整的产品、设备,以及某个具体层面解决方案的能力,类似于IBM、微软、思科等企业。三是鼓励发展提供专用、新型技术和产品的独立信息安全企业,专门提供信息安全专用技术和产品,协助前两类企业,向政府和企业用户提供产品和技术,类似于赛门铁克、RSA等。
