通过掌上DOIT移动客户端可以订阅科技专栏,第一时间获得知名专家和业界领袖的深度剖析与趋势分析。本文作者:王志海先生系北京明朝万达科技有限公司董事长,专注于密码学应用及数据安全领域,致力拓展密码学技术在计算机、移动信息化、云计算和各种业务系统中的数据安全应用。
DOIT专栏:斯诺登曝光美国NSA“棱镜”计划后,将一些潜规则以铁的证据公之于众,打破了很多人对美国NSA监控全球信息化网络持“阴谋论”态度的幻想,同时也让国内众多领导、专家和信息化主管人员产生恐慌,积极寻求应对“棱镜”的对策。
一、“棱镜”问题的根源及基础
纵观美国“棱镜”计划的背景和目的,总结起来有三个方面是美国实施“棱镜”计划的基础,包括信息化基础、网络及数据。
首先,美国是国际上信息化的鼻祖及领头羊,中国包括国际上绝大部分基础及重要的信息化软硬件系统产品及服务都由美国企业提供,这是其能够实施“棱镜”计划的重要基础,这使得其触角可以深入到国防军事及国计民生的方方面面,也是“棱镜”计划之所以让世界各国政府寝食难安的根本原因。
其次,网络特别是互联网的普及则使得美国“棱镜”具备了“运筹帷幄、决胜千里”的能力,使得其可以即时将遍布全世界各个角落的“信息间谍”数据快速集中和分析,形成了几乎无所不能的超级监控甚至打击能力。
最后,“棱镜”计划之所以可以静悄悄地运行多年无人发现,就是因为其主要目标是窃取“数据”,而不是传统安全主要防患的破坏性攻击,具有高度的隐蔽性和长远危害性。
虽然国内外对美国“棱镜”的这三个基础都认识清晰,但让大家如鲠在喉的是,在相当长一段时间内,“棱镜”得以存在的这三个基础都无法改变,也就意味着美国“棱镜”计划不会因斯诺登曝光而停止执行,该计划将持续下去并不断增强其能力。
二、国内应对“棱镜”的几种思路
“棱镜”事件曝光后,国家安全和信息化主管部门采取了积极的应对行动,进行了广泛的意见征求和措施探讨,总结起来主要有以下几种声音:
第一种思路信息化软硬件系统国产化。应该说这种声音是直击“棱镜”的根基,“棱镜”计划之所以得以全面执行,就在于美国对中国和全球信息化系统的根本性控制,然而实际存在的情况是,中国存在信息化起步晚、建设照搬美国模式和信息化研发生产能力落后的现实问题,由其国内信息化企业在过去的“金融地产经济”时代丧失了宝贵的十年时间,短时间内要想较大规模实现信息系统国产化难以达成,需要数以十年的时间才有可能完成。
第二种思路是可信计算。该思路基于可信计算理论,构建对于中国来说完全可信任的计算平台,但该思路最终将与第一种思路殊途同归的是,需要从芯片、主板、操作系统和软件应用系统完全自主可控和国产化,其全面实现的过程依然比较漫长。
第三种思路是将重要系统加强网络隔离。该思路在某些特殊应用场景能够得以执行,但是在信息化大背景下大部分场景是无法实现的,比如战场信息化通信不可能进行隔离,又如需要与国际结算相关的金融领域也无法执行,这种思路违反信息化的发展趋势,只能让国内信息安全保障体系建设陷入更加被动落后的局面。
第四种思路以数据安全为核心的国产密码技术应用推广。该思路主要有国内信息安全产业界及密码专家所倡导。该思路的出发点是基于目前信息化系统主要采用国外产品短期内难以获得改变的现状,提出通过自主可控的国产加密技术将“棱镜”所希望获取的“数据”保护起来,从而增加“棱镜”计划获取数据的难度,降低“棱镜”计划的危害。该计划虽然没能从根本上将“棱镜”拒之门外,但却具有高度可实施性和立竿见影的效果,也能给软硬件系统全面国产化争取时间。
总结这四种思路,第一种和第二种需要长期的努力才能见到成效,也是必须坚持的方向和最终目标;第三种是违反信息化促进信息流通和交换的原生目标的,不值得推崇;第四种则是可以在短期内快速产生效果的方案,是目前应该给予大力鼓励和支持的。
三、国产密码应用能够快速筑起“数据安全堡垒”
国产密码技术经过几十年的发展,无论在理论体系、应用体系、标准体系还是产业体系上都已经形成了规模,特别是最近十多年来,商用密码产业蓬勃发展,已经培养了几百家企业,已经具备了大规模推广应用的各方面基础。然而一直以来,加密技术最广泛的应用领域却集中在通信和身份认证上,鲜有构建基于密码完整链条的信息安全体系,在这方面做的最好的应该说是银行的核心交易系统。要应对“棱镜”,构建“数据安全堡垒”,必须将国产密码技术应用推广到数据全生命周期的安全管理体系中,包括数据的产生、使用、交换(传输)、存储和销毁等所有环节,构建密码安全的闭环,才能让“棱镜”无孔可入,让NSA只能拿到看不懂的加密数据。目前,众多国内专业数据安全厂商已经完全具备了建立应用系统全生命周期数据安全体系的能力,以政府和国企为代表的用户信息管理部门中也具备了一批密码技术应用的专家,中国完全有能力通过国产密码技术应用推广快速筑起“数据安全堡垒”,降低“棱镜”的威胁。
四、总结
应对“棱镜”是个长远而艰巨的任务,从根本上解决需要中国信息化产业实现完全自主可控的充分发展,这可能需要几代人的时间来完成。短期内,已经做好充分准备的国产密码技术在国内信息化系统的推广应用,给“棱镜”最终窃取的目标数据加上保护层,是中国短期内可以快速做到的首选措施之一。国家相关管理部门应该在密码技术特别是影响广泛的商用密码应用政策上进一步细化落实,甚至对重要行业制定更加具备针对性的规范,以推动国产密码技术的广泛应用,快速筑起应对“棱镜”的新长城。