“棱镜”计划只是美国完备情报系统的冰山一角,该系统与“棱镜”曝光的“八大金刚”企业合作并非一日之功。当我们在享受信息系统带来的种种便利时,已经不知不觉地对相关软硬件产品、服务乃至模式产生越来越严重的依赖:从信息系统的生产者,到信息系统的运行维护者,再到服务的提供者,在整个长长的链条上,谁都有机会接触到我们提交的数据(包括机密数据),任何一个环节都可能存在安全隐患。信息泄露等安全事件随时都可能在不知不觉中悄然发生。在信息产业的高速公路上,如果我们继续甘心于依赖别国,我们可能就会成为温水中被煮的青蛙,在毫无知觉中渐渐耗尽自己防御的能力。而从更宽泛的视角看,“棱镜”本身折射出的中国信息安全问题还远不止此。
被忽视的供应链安全
从“棱镜”深挖下去,你会发现,美国自一战以来已经建立了一套完备的情报监控体系。美国今天的强大,除了历史原因和地缘优势外,还有一些因素不容忽视,那就是其一以贯之的战略顶层设计和不被轻易阻断的执行。而这种战略顶层设计在信息产业的高速公路上也得到充分体现,其先发位置和企业能力在信息领域已形成足够的战略威慑力。
“棱镜”计划离不开与“八大金刚”企业(包括Skype、Facebook、Google等)接口所获得的重要信息,虽然通过与企业合作获得情报在美国并不少见,但与过去其他企业合作不同,美国情报系统与IT企业达成的堪称“天衣无缝”的合作并非一蹴而就,其基础早已打下。信息安全专家肖新光(江海客)认为,美国强大IT能力的形成经历了两个阶段:第一阶段是以技术和产品优势为主导的时代,这个时代,它具备了先进的核心计算能力、框架、软件体系、个人机和网络,英特尔、微软、Oracle、苹果等巨头企业的崛起是这个阶段的象征;第二阶段是以模式和资源为主导的时代,典型企业包括Google、Amazon、Facebook、Twitter,还有转型后的微软和苹果。在此阶段,经过积累,它已获得软件环境、知识产权和硬件资源优势。
反观中国,在信息产业高速公路上,我们对外依赖度却变得越来越高,今天,从信息系统的生产者,到信息系统的运行维护者,再到服务的提供者,谁都可能接触到我们的机密数据。而谈到信息安全,我们可能谈得更多的是产品安全、技术水平等,聚焦供应链安全的却很少。启明星辰首席战略官潘柱廷认为,实际上,从“棱镜门”可以看出,整个主流供应链安全比其他的安全问题更具有根本性和彻底性,目前我国对此重视不够,甚至损失供应链安全去换取一些其他东西,这非常危险。
信息安全缺乏战略顶层设计
中国信息安全自主可控能力不足的背后,是中国信息安全顶层战略设计的缺失。在IDF互联网威慑防御实验室联合创始人万涛看来,中国信息安全产业经历的20年,最需要反思的是国家层面的安全,但事实上,从业者在实践中却常常急功近利,怎么赚钱怎么来。“棱镜门”警醒我们,如果只有投机而没有战略,就谈不上博弈。
《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号文)发布已有近十年,从那时至今,我国再无国家级信息安全战略发布。今年会不会发布国家信息安全战略?这已成为安全界热议的焦点,但一些安全专家坦言,这个期望能不能在今年实现还很难说。顶层战略设计的缺失,让政府对企业整体战略协作、支持、互动和响应能力严重不足。当去年华为、中兴被美国调查时,我们却鲜见有相关的反制措施推出。
与此形成极大反差的是,美国几乎年年都有相关战略出台,每两年必有一个重大战略出台。奥巴马当选总统不到半年,在2009年5月即发布《网络空间政策评估报告》,其中谈到10条近期计划,14条中期计划,规划非常详尽,在抢占网络空间制高点方面又迈进了一步。2011年,美国发布了《网络空间国际战略》,其网络空间战略的关注点已经从国家战略上升到国际战略层面。
差距还体现在网络战演习中。据有关专家介绍,美国大概从2006年开始,每两年就举办一次网络风暴演习,该演习由美国诸多联邦政府共同组织,也吸纳私营公司参加,而且,参与演习的私营公司一次比一次多。在2010年,大概有60家私营企业参加了演习(其中不乏大牌IT企业),演习场景基本上是电力系统攻防。而在我国,攻防演习这一话题常常是被回避的,甚至安全公司的攻防实验室都会被改称作积极防御实验室。安全界普遍认为,从威慑的角度来说,国家层面应有的威慑力是应该建立的,不必讳言。
