今年6月,英國《衛(wèi)報》和美國《華盛頓郵報》先后披露了前中情局職員愛德華?斯諾登提供的關于美國國家安全局一項代號為“棱鏡”的秘密項目的相關資料,揭露美國政府利用大型跨國網絡企業(yè)對人們的互聯網信息和行為進行秘密監(jiān)視。對世界各國的政府來說,“棱鏡門”事件無疑重重地敲響了信息安全問題的警鐘。
“棱鏡”項目的設計與實施緊跟當前社會化媒體、云計算等互聯網發(fā)展與應用的最新趨勢,監(jiān)視范圍涉及全球多個國家各類機構,我國也是該項目關注的重點區(qū)域之一。隨著“棱鏡”項目資料的陸續(xù)發(fā)布,我國信息化發(fā)展過程中所存在的信息安全隱患也隨之顯現。
首先,互聯網基礎結構和工作機理的設計使得美國在網絡世界處于主導地位,也在信息通訊領域擁有絕對優(yōu)勢。今天的全球互聯網的13臺根服務器中,1臺為主根服務器,設置在美國弗吉尼亞州的杜勒斯,由美國VeriSign公司負責運營維護;其余12臺全部為輔根服務器,9臺在美國,另外3臺分別設置在英國、瑞典和日本。通過管理和維護主、輔根服務器,美國掌握了世界各國域名信息的第一層級管理權。同時,美國的“互聯網名稱與數字地址分配機構”是全球互聯網的最高管理機構,它決定著互聯網技術的取舍、網絡通信協議的制定、域名和IP地址的分配、域名登記與出售以及相關政策的制定。可見,盡管我國網民數量已超過5.91億,但美國始終居于網絡結構的中心位置,是國際互聯網的實際控制者。
其次,云計算的發(fā)展使得通過互聯網獲取個人信息更加容易、可獲取的內容也更多。在云計算環(huán)境下,提供信息托管服務的“云服務”提供商天然具有對存儲于其設備上的用戶數據的優(yōu)先訪問權,數據在從終端到云端的傳輸過程中也不可避免地存在受到黑客或惡意相鄰租戶的截獲或篡改的威脅。正如英國廣播公司所指出的,“美國國家安全局通過互聯網獲得個人信息,首先得歸功于云計算時代。如今大量用戶數據不再存放于個人電腦中,而是在云服務提供商手中”。
第三,數據挖掘技術的提高使得目標信息能夠被還原得更加準確。近年來,以Twitter、Facebook、微信為代表的社交媒體受到熱捧。人們熱衷于在這些社交媒體上發(fā)布自己的照片、心情、行蹤等各類信息;與此同時,服務器還會記錄下用戶的登錄時間、信息消費習慣、地理位置等大量后臺數據。以這些信息為基礎進行數據挖掘,便能夠準確地掌握需要的個人隱私信息。在“棱鏡”項目中,美國國家安全局正是通過數據挖掘技術,對從大型互聯網公司獲取的信息進行分析獲取情報。這一方式不僅能夠大幅降低監(jiān)視成本,還能保證信息分析結果的準確性。
第四,對國外公司提供的設備和系統的高度依賴使得國內網絡信息安全更加難以保證。目前,我國在操作系統、芯片以及互聯網多個領域的電子產品和信息產品方面國產比例很低,對國外企業(yè)的依賴度極高。這意味著,我們的信息網絡向這些國外企業(yè)敞開了大門。美國國家安全局和聯邦調查局只需通過微軟、因特爾、思科、IBM、谷歌、蘋果等公司的服務器,就能夠實現對我國用戶信息的搜集。據中國國家互聯網應急中心的報告顯示,僅2012年就有7.3萬個境外IP地址參與了控制中國境內1400余萬臺主機的網絡攻擊事件;有3.2萬個境外IP地址通過植入后門,對中國境內3.8萬個網站進行了遠程控制。
“棱鏡門”事件讓我們看到,技術的發(fā)展為權力的轉移提供了機會,并使信息時代的權力和優(yōu)勢越來越向某一個或幾個國家集中。因此,要維護信息時代的安全與主權,我們就必須深刻認識信息化建設過程中所積累的潛在風險與危機,及時建構起能夠對技術權力形成制約的機制和體制。
提高信息基礎設施的“國產化”程度。從我國信息化建設的現狀來看,核心技術和關鍵裝備主要依賴進口,這使得國外企業(yè)幾乎能夠完全掌握我國信息基礎設施的構造與運行方式,我們從而喪失了基礎設施層面的信息安全防御能力。因此,提高基礎設施的國產化程度,加快形成基礎信息網絡、重要信息系統以自主可控技術為主的新格局的需求迫在眉睫。實現這一目標,需要加強產品和技術的研發(fā),提高國產品牌的競爭力;也需要引導相關行業(yè)機構和人員調整思維,改變習慣。值得注意的是,基礎設施和系統的國產化也并不意味著絕對安全,還需要從整體網絡的層面建立起強大而有效的信息安全保障體系。
將“國家信息安全保障體系”納入國家安全體系進行建構。隨著信息化對經濟社會發(fā)展的影響不斷加深,“信息安全”亦上升為關系國家安全乃至國家生存發(fā)展的戰(zhàn)略性問題。因此,“國家信息安全保障體系”有必要納入國家安全體系進行規(guī)劃、設計、建設和完善,有必要站在國家戰(zhàn)略的角度建設安全等級保護制度、信息安全監(jiān)控體系、應急處理體系等,重點保護基礎信息網絡和關系國家安全、經濟命脈、社會穩(wěn)定的信息系統。
當前,我國正逐步進入三網融合的全面推廣階段,融合后的互聯網、電信網和廣播電視網將構成我國未來信息社會發(fā)展和運行的基礎結構。在這一過程中,電信、廣電和互聯網都在進行著從結構、技術、系統到終端、應用和服務方面的轉換、調適與創(chuàng)新,使得原先封閉的電信網、廣電網不斷開放,由此為病毒、惡意軟件等從互聯網向電信網和廣電網轉移提供了機會。這就要求我國的“國家信息安全保障”不能沿用傳統的思維模式和管理方式,需要建構起符合和適應三網融合后網絡建設和運行規(guī)律的新的保障體系。這一體系既要從宏觀上對國家安全、信息安全、文化安全進行關照,還應對公民的隱私和自由給予充分保護。
以動態(tài)的“信息安全”觀念持續(xù)完善信息安全保障體系。隨著信息技術與互聯網、移動互聯網的快速發(fā)展,所呈現出的安全問題也日益增加。例如,網上銀行業(yè)務引發(fā)的資金安全問題、社交媒體引發(fā)的隱私安全問題、云服務引發(fā)的信息傳輸和存儲安全問題等。新的安全問題總是與新技術、新應用相伴而來、層出不窮,又需要快速處理,及時應對。這就要求我們秉持著動態(tài)的“信息安全”概念,隨著信息技術的發(fā)展不斷更新和擴大其內涵與外延,并以此為基礎完善信息安全相關制度,擴大信息安全監(jiān)控范圍,并及時建立相應領域的信息安全機制。