今年6月,英国《卫报》和美国《华盛顿邮报》先后披露了前中情局职员爱德华?斯诺登提供的关于美国国家安全局一项代号为“棱镜”的秘密项目的相关资料,揭露美国政府利用大型跨国网络企业对人们的互联网信息和行为进行秘密监视。对世界各国的政府来说,“棱镜门”事件无疑重重地敲响了信息安全问题的警钟。
“棱镜”项目的设计与实施紧跟当前社会化媒体、云计算等互联网发展与应用的最新趋势,监视范围涉及全球多个国家各类机构,我国也是该项目关注的重点区域之一。随着“棱镜”项目资料的陆续发布,我国信息化发展过程中所存在的信息安全隐患也随之显现。
首先,互联网基础结构和工作机理的设计使得美国在网络世界处于主导地位,也在信息通讯领域拥有绝对优势。今天的全球互联网的13台根服务器中,1台为主根服务器,设置在美国弗吉尼亚州的杜勒斯,由美国VeriSign公司负责运营维护;其余12台全部为辅根服务器,9台在美国,另外3台分别设置在英国、瑞典和日本。通过管理和维护主、辅根服务器,美国掌握了世界各国域名信息的第一层级管理权。同时,美国的“互联网名称与数字地址分配机构”是全球互联网的最高管理机构,它决定着互联网技术的取舍、网络通信协议的制定、域名和IP地址的分配、域名登记与出售以及相关政策的制定。可见,尽管我国网民数量已超过5.91亿,但美国始终居于网络结构的中心位置,是国际互联网的实际控制者。
其次,云计算的发展使得通过互联网获取个人信息更加容易、可获取的内容也更多。在云计算环境下,提供信息托管服务的“云服务”提供商天然具有对存储于其设备上的用户数据的优先访问权,数据在从终端到云端的传输过程中也不可避免地存在受到黑客或恶意相邻租户的截获或篡改的威胁。正如英国广播公司所指出的,“美国国家安全局通过互联网获得个人信息,首先得归功于云计算时代。如今大量用户数据不再存放于个人电脑中,而是在云服务提供商手中”。
第三,数据挖掘技术的提高使得目标信息能够被还原得更加准确。近年来,以Twitter、Facebook、微信为代表的社交媒体受到热捧。人们热衷于在这些社交媒体上发布自己的照片、心情、行踪等各类信息;与此同时,服务器还会记录下用户的登录时间、信息消费习惯、地理位置等大量后台数据。以这些信息为基础进行数据挖掘,便能够准确地掌握需要的个人隐私信息。在“棱镜”项目中,美国国家安全局正是通过数据挖掘技术,对从大型互联网公司获取的信息进行分析获取情报。这一方式不仅能够大幅降低监视成本,还能保证信息分析结果的准确性。
第四,对国外公司提供的设备和系统的高度依赖使得国内网络信息安全更加难以保证。目前,我国在操作系统、芯片以及互联网多个领域的电子产品和信息产品方面国产比例很低,对国外企业的依赖度极高。这意味着,我们的信息网络向这些国外企业敞开了大门。美国国家安全局和联邦调查局只需通过微软、因特尔、思科、IBM、谷歌、苹果等公司的服务器,就能够实现对我国用户信息的搜集。据中国国家互联网应急中心的报告显示,仅2012年就有7.3万个境外IP地址参与了控制中国境内1400余万台主机的网络攻击事件;有3.2万个境外IP地址通过植入后门,对中国境内3.8万个网站进行了远程控制。
“棱镜门”事件让我们看到,技术的发展为权力的转移提供了机会,并使信息时代的权力和优势越来越向某一个或几个国家集中。因此,要维护信息时代的安全与主权,我们就必须深刻认识信息化建设过程中所积累的潜在风险与危机,及时建构起能够对技术权力形成制约的机制和体制。
提高信息基础设施的“国产化”程度。从我国信息化建设的现状来看,核心技术和关键装备主要依赖进口,这使得国外企业几乎能够完全掌握我国信息基础设施的构造与运行方式,我们从而丧失了基础设施层面的信息安全防御能力。因此,提高基础设施的国产化程度,加快形成基础信息网络、重要信息系统以自主可控技术为主的新格局的需求迫在眉睫。实现这一目标,需要加强产品和技术的研发,提高国产品牌的竞争力;也需要引导相关行业机构和人员调整思维,改变习惯。值得注意的是,基础设施和系统的国产化也并不意味着绝对安全,还需要从整体网络的层面建立起强大而有效的信息安全保障体系。
将“国家信息安全保障体系”纳入国家安全体系进行建构。随着信息化对经济社会发展的影响不断加深,“信息安全”亦上升为关系国家安全乃至国家生存发展的战略性问题。因此,“国家信息安全保障体系”有必要纳入国家安全体系进行规划、设计、建设和完善,有必要站在国家战略的角度建设安全等级保护制度、信息安全监控体系、应急处理体系等,重点保护基础信息网络和关系国家安全、经济命脉、社会稳定的信息系统。
当前,我国正逐步进入三网融合的全面推广阶段,融合后的互联网、电信网和广播电视网将构成我国未来信息社会发展和运行的基础结构。在这一过程中,电信、广电和互联网都在进行着从结构、技术、系统到终端、应用和服务方面的转换、调适与创新,使得原先封闭的电信网、广电网不断开放,由此为病毒、恶意软件等从互联网向电信网和广电网转移提供了机会。这就要求我国的“国家信息安全保障”不能沿用传统的思维模式和管理方式,需要建构起符合和适应三网融合后网络建设和运行规律的新的保障体系。这一体系既要从宏观上对国家安全、信息安全、文化安全进行关照,还应对公民的隐私和自由给予充分保护。
以动态的“信息安全”观念持续完善信息安全保障体系。随着信息技术与互联网、移动互联网的快速发展,所呈现出的安全问题也日益增加。例如,网上银行业务引发的资金安全问题、社交媒体引发的隐私安全问题、云服务引发的信息传输和存储安全问题等。新的安全问题总是与新技术、新应用相伴而来、层出不穷,又需要快速处理,及时应对。这就要求我们秉持着动态的“信息安全”概念,随着信息技术的发展不断更新和扩大其内涵与外延,并以此为基础完善信息安全相关制度,扩大信息安全监控范围,并及时建立相应领域的信息安全机制。