加强国外企业设备安全审查 把握网络战中的话语权
扫描二维码
随时随地手机看文章
时针转回至10月8日,美国国会发布报告称华为、中兴可能对美国国家安全构成安全威胁,并警告美国公司不要与这两家中国公司有业务往来。
随后披露的美国白宫调查结果对这种指控进行了有力的回击:没有明显证据表明华为替中国政府从事间谍活动。但是这份调查报告仍表示,华为中兴的设备可能存在被黑客利用的漏洞,从而对美国的网络基础设施造成危害。
一时间,华为中兴“安全门”事件使得网络信息安全再次成为业界讨论的热门话题。
没有绝对的安全
其实,没有一家设备提供商的设备是绝对安全的。
在美国众议院特别情报委员会的报告中写到,网络给美国国家安全以及经济利益所带来的威胁是一个不可规避的具有优先级的威胁问题,基于这样的考虑,所以建议相关公司避免选用华为中兴的设备。
然而,采用了本土设备的美国网络基础设施架构就安全了吗?答案显然是否定的。
作为世界上最早建立和使用计算机网络的国家,美国一直将信息安全摆在美国国家安全战略的高度。然而,层层保护的美国信息安全体系还是遭到攻击。2010年11月,维基解密网站公布数十万份美国外交机密文件。美国在人们心目中树立的强大的安全保护体系印象瞬间土崩瓦解。
而且这一事件的发生并没有使得美国的安全体系变得更为强大。维基解密网站继续公布和美国相关的文件。最近的是在10月25日,维基解密网站当地时间25日开始公布新一批的美国国防文件,数量达100多份。
信息安全专家、中国计算机学会常务理事、北京启明星辰公司首席战略官潘柱廷在接受《通信产业报》(网)记者采访时表示:“所有的计算机和网络相关产品都存在漏洞,没有一家企业能够采用相应的技术和产品来证明自己的产品是绝对安全的。”
即使美国企业思科提供的设备同样存在诸多安全漏洞。潘柱廷向记者表示:“思科的交换机曾经发生过漏洞,造成了很大的信息完全问题。不管是后门也好,漏洞也好,都会对网络和信息安全产生巨大威胁。”
2010年7月,思科向用户发出紧急通告称,其CDS系统发现了严重的安全漏洞,攻击者能够利用这些安全漏洞任意篡改用户密码代码。而今年7月11日,思科在其在官方网站上发布公告,旗下高端网真产品线软件出现漏洞,有被人窥视的风险。
而且由于思科产品漏洞引发的网络故障不胜枚举。思科产品最近一次发生大面积故障是在一个月前,2012年9月20日,著名电信运营商AT&T的部分大客户在亚特兰大的ME业务出现故障,部门区域电话/互联网中断长达3小时,造成网络中断的原因,就是思科的核心路由器7600出现了故障。
而思科的设备在中国出现大面积故障的情况则可以追溯到2005年7月12日。当时,承载着200万用户以上的北京网通ADSL和LAN宽带网,突然大面积中断,事故大约影响了20万北京网民。
甚至连安全企业RSA也在去年遭遇黑客攻击。报告称,RSA被一种业内称之为高持续性威胁的复杂网络攻击,会导致一些秘密信息从RSA的SecurID双因素认证产品中被提取出来。RSA客户包括一些大军事机构、政府、各种银行及医疗和医保设备。同样,安全厂商赛门铁克也曾发生过用户数据泄露的事件。
可以看到,即使是安全厂商也不能保证他们的设备便是完全可靠的。
那么在全球使用最为广泛的微软Windows操作系统和Office办公软件安全吗?答案也是否定的。国外媒体报道,一直以来,对于大多数消费者和企业用户来讲,微软Windows操作系统的安全都是一个噩梦。为了确保企业使用Windows操作系统的安全性,包括赛门铁克、迈克菲、趋势科技在内的安全厂商都推出了丰富的解决方案。
而如今,网络安全已经从固网延伸至智能终端上。去年三月初,Android出现一系列的恶意应用软件,这些应用软件可窃取用户数据和未得手机主人确认许可下“拨出”电话或发昂贵的短信。由于该问题在技术上没有找到好的解决办法,谷歌Android官方应用商店不得不宣布将56款包含木马的手机应用下架。
网络战时代来临,信息安全提至国家层面
继陆地、海洋、天空和太空之后,战争已经进入了第五空间:网络空间。美国总统奥巴马已经宣布,美国的数字化基础设施属于“国家战略资产”,并任命微软的前安全总管霍华德·施密特(Howard·Schimidt)作为网络安全总指挥。2010年5月,五角大楼成立了一个新的网络司令部(Cybercom),担任领导的是国家安全局局长基思·亚历山大(Keith·Alexander)将军,他的任务是开展“全方位”行动——以保卫美国的军事网络和攻击他国的系统。
网络战会是什么样?负责反恐和网络安全的白宫前幕僚理查德·克拉克(Richard Clarke)在他的书中设想了十五分钟之内造成的灾难性破坏。计算机病毒让军方的Email系统瘫痪;造成炼油厂和输油管道爆炸;空中交通管制系统瘫痪;货运和城市铁路列车出轨;金融数据被涂改;美东电网断电;轨道卫星运转失控。随着食物紧缺,资金链断裂,整个社会很快分崩离析。最糟糕的是,攻击者的身份一直成谜。
由网络安全公司McAfee发表的“虚拟犯罪报告”称,这一切已经从科幻小说变成了现实。该报告警告说,网络攻击对国家的基础设施有“破坏性的”影响,电网、供水系统和金融市场都处在危险之中。
因此,近年来,美国对网络安全的研究和实践已经处在全世界非常前沿的位置。“所以,华为中兴事件不是孤立的,而是美国对网络安全、网络战争的持续性思考和实践背景下做出的动作。华为中兴事件不仅仅是一种惯性的主动防御也更具有美国先发制人的意味。”业内专家分析。
美国已经成为最为积极和深度使用网络战的国家。据了解在过去数年伊朗的核工业网络和核心设施持续遭遇到来自网络病毒的攻击和破坏便是美国主导的。2012年6月,美国和以色列官员最终承认和证实,双方对伊朗采用了网络战武器(Stuxnet、Duqu、Flame病毒)。Stuxnet病毒又称为“震网”病毒,一直潜伏在伊朗核设施中所使用的西门子设备,该病毒已经辗转侵入核设施离心机的工业软件,长达一年没有被发现,感染了伊朗至少6万台计算机。
安全专家分析,“震网”病毒不像普通的病毒木马,需要非常专业的专家和资金投入才能研发出来,可以说是美国精心制造的网络武器。专家提醒,美国可能还拥有更多的网络武器,有些可能早已潜伏进美国之外的各种设备中,等待唤醒。[!--empirenews.page--]
而我国一旦遭遇“网络战”,或将造成非常严重的后果。这是因为,我国的网络基础设施大部分依赖思科、微软和英特尔美国企业提供。
据了解,思科占据了中国电信163骨干网络70%以上的份额,把持着163骨干网所有的超级核心节点和绝大部分普通核心节点;更是占据了中国联通169骨干网80%以上的份额,把持着所有超级核心、国际交换节点、国际汇聚节点和互联互通节点。与此同时,我国的计算机系统等设备几乎全部采用英特尔的芯片,而操作系统和办公软件则依赖微软提供。
更严重的是,在密码后门、加密算法及协议设计等方面,思科IOS系统却有着鲜为人知的缺憾和威胁。2010年的黑帽大会上,IBM互联网安全系统公司的研究人员Tom Cross论证说,黑客可轻易的利用思科IOS操作系统中的后门,对路由器进行管理配置,进而将整个网络置身于未知的风险中。
而且在现网思科路由器产品中,使用的乃是上世纪70年代的加密算法DES(数据加密标准)。这种算法是1972年由美国IBM公司研制确定的,并已经被多次证明不再安全,即使一台普通的PC机,也能够在10分钟内完成DES算法的破解。
不仅如此,思科在协议报文的认证中,使用的也是DES算法,而这种极易被破解的算法,很容易造成用户密码的泄露,进而对用户安全造成威胁。
带有如此硬伤的网络设备,正在维系着中国现网的运转,由此不难想象,我国网络安全已然到了紧要时刻。
潘柱廷指出:“中国的骨干网的接入设备大部分采用是的思科的设备,思科是目前世界上网络设备主要厂商之一,掌握着核心技术,而一旦发生安全问题,中国的信息网络会全面瘫痪,后果不可小觑”。
因此,华为中兴“安全门”事件也发出警示:我国政府必须把信息系统安全问题提到关系国家安全和国家主权的战略性高度。
据了解,“9·11”之后,美国政府很快设立了专门的总统网络空间安全顾问,就信息安全问题向总统直接汇报。对照我国,一直以来,而中国的信息安全则是由信息安全部门负责。
中国计算机学会秘书长、CCF YOCSEF创始人杜子德表示:“中国在国家安全上,应该学习美国,重视中国的网络和信息安全问题。”
中国科学院院士倪光南则表示:“信息安全关系到一个国家的信息主权问题,我们必须自己掌握。”
建立对国外设备的安全审查制度
可以看到,网络信息安全已经成为国家安全的核心内容和关键要素,并日益成为整个社会安全的基础。因此,专家呼吁,保障通信安全应建立审查制度,从设备采购为始,对设备进行严格的审查,以长期监管维护为终,进行系统的定期审查,才能保障中国网络信息安全。
目前,华为的网络设备也被大规模运用在欧洲主流运营商中,便是基于华为和政府以及运营商之间的信任。
例如,在英国,政府与华为达成协议,采取了初步措施来解决问题,建立了拥有独立管理权的信息安全评估中心(CSEC)。CSEC独立管理对华为在英国部署的电信基础网络设备和软件的安全评估,并将评估的结果提供给英国的运营商和政府。英国政府的目的是试图减少华为在英国关键的电信基础网络中部署的产品带来的威胁。
微软为了表明系统的安全性,也与多个国家的政府签署源代码授权查看条约。例如,我国早在2003年便成立了中国信息安全产品测评认证中心源代码查看实验室,通过协议规定的方式查看微软公司Windows操作系统的源代码,进行信息安全方面的研究。
潘柱廷建议,可由中国信息安全测评中心出面,参照调查微软的方式,查看思科设备的源代码并存档。
此外他建议:“参照英国等国家的做法,要求思科遵循国际通用准则,由第三方机构做出评测,并提交安全报告。”
据了解,这个国际通用准则被称为“信息技术安全评价通用准则”(The Common Criteria for Information Technology security Evaluation,CC)。CC已经成为国际主流的安全评价标准,被多个国家应用。
潘柱廷表示:“我们并不主张中国政府效仿美国国会的做法,而是希望能够积极引入第三方测评工作,保证我国信息系统的安全。”