侯峰:借鉴美国经验,高度重视和积极推进信息安全的社会化、商业化和体制化建设

侯峰 2019-10-16 浏览:
十年前笔者参加美国信息安全会议,其中一个议题就是美国电网智能控制工程,权威人士特别强调,电网这种关系到国家安危的项目绝不容许任何外国技术参与,即使盟国也不例外,给笔者留下极为深刻的印象。道理很简单,一旦电网被别人通过后门或漏洞所控制或瘫痪,整个国家就瘫痪了。一台中毒电脑导致台积电网络全系统瘫痪三日。那么无论政府网、铁路干线网、电网被敌对势力通过后门所渗透,一旦爆发战争,顷刻之间,就可以瘫痪全中国,这绝非危言耸听。这就是为什么美国誓死不让中兴、华为网络设备进入美国的重要原因。

二、战略安全意识的缺失、信息安全体制建设落伍是中国信息安全最大的短板

美国所有主流软硬件信息技术产品都给美国政府留着后门已经是众所周知的常识。然而,2018年9月13日《科技日报》刊文称,Windows 10神州网信政府版简称“政府版”,虽然名为“政府版”,但win10仍未通过安全审查。尽管没有通过市场准入,调查却发现,目前已有广东汕头、中科院自然科学研究所、中国农业技术开发中心等政府、机构采购了这一操作系统。

谁能保证微软在中国市场推出的 “政府版”不给美国政府留着后门。中国政府网即使有一台计算机使用微软“政府版”给美国政府留着后门,对于政府网意味着什么?其实任何专业人士都明白。

微软Win 10政府版团队已选择中国海关、上海市经济与信息化委员会和卫士通三家机构作为典型用户对Windows 10中国政府版进行了试用。联想将成为首个预装Win10政府版的厂商。2017年11月,中国政府采购网刊发通知,称win10定制版操作系统已列入中央预算单位协议供货范围,中央预算单位可以按需采购。另外,财政部制定政府采购信息发布媒体——中国政府采购新闻网在《2017年中国政府采购大事记》中,也特别提到正版软件采购网已上架win10政府版操作系统。https://m.guancha.cn/economy/2018_09_13_471955.shtml?s=zwyxgtjbt

联想并购IBM PC,美国政府立即着手替换所有IBM相关产品。而中国却主动向微软敞开大门,足见中国社会,包括政府部门及科研单位对于信息安全的意识与美国有着巨大差距。

三、信息安全关乎国家命运、民族兴衰

2018年8月7日《第一财经》报道“三天亏10多亿!台积电中毒“想哭”,连累苹果发新品”!此次事件源自台积电一台中毒电脑未经检测就连入系统,导致台积电网络全系统感染。所幸,此事件非针对性后台遥控黑客攻袭,没有对现有数据加密,勒索软件却没有勒索,没有人为直接破坏,否则,台积电损失恐怕难以估计。

2017年5月爆发的“想哭”勒索病毒,就是利用了微软Windows系统一个底层服务的漏洞MS17-010(或者说给美国政府专门预留的后门),该漏洞可以影响445端口,黑客就是通过在网络上扫描开放的445端口,然后把蠕虫病毒植入被攻击电脑。

此事件导致微软操作系统成为众矢之的,微软(Microsoft)出乎意外地向美国政府发出了抨击,指责美国政府“囤积”网络武器、为“想哭”(WannaCry)这类勒索软件发起的攻击提供了方便。微软法律总顾问布拉德-史密斯(Brad Smith)在一篇措辞激烈的博客文章中写道:“全球各国政府应该把这次攻击视为一记警钟”。微软在其声明中首次公开证实了安全分析师和情报官员只会私下吐露的说法:黑客用来散播病毒的技术,是最初由美国国家安全局(NSA)开发的,后来又被人从该局窃走。史密斯写道:“这次攻击是又一个例子,证明了为何政府囤积软件漏洞是如此重大的问题。”这句话指向了维基解密(WikiLeaks)披露的、美国中央情报局(CIA)对明显的漏洞加以利用的行为。

此事件再次表明,美国政府本身就是网络战的始作俑者,美国特别明白信息安全的战略意义、技术特征、漏洞及后门的作用,因而美国拥有世界最先进网络攻击和防备的技术和手段。故也极为重视全社会、特别是关系国计民生重点产业信息安全的政府监管、社会化推动,商业化普及,已经建立一套完善的信息安全网络。

十年前笔者参加美国信息安全会议,其中一个议题就是美国电网智能控制工程,权威人士特别强调,电网这种关系到国家安危的项目绝不容许任何外国技术参与,即使盟国也不例外,给笔者留下极为深刻的印象。道理很简单,一旦电网被别人通过后门或漏洞所控制或瘫痪,整个国家就瘫痪了。

一台中毒电脑导致台积电网络全系统瘫痪三日。那么无论政府网、铁路干线网、电网被敌对势力通过后门所渗透,一旦爆发战争,顷刻之间,就可以瘫痪全中国,这绝非危言耸听。这就是为什么美国誓死不让中兴、华为网络设备进入美国的重要原因。

以美国为师,建设疏而不漏,严谨有序、充满活力的信息安全体系

美国把信息安全当作国家安全的头等战略大事,从上至下建立了完备的信息安全网络。美国国家安全局、国防部、国土安全部、能源部、联邦调查局等政府机构从不同领域建立严密的信息安全构架,不断完善各种如PDRR模型、P2DR模型、IATF框架和黄金标准框架等信息安全机制建设,把各种网络安全防范单元进行有机集成、整合,通过社会化、商业化,快速推动信息安全意识的培养、人才储备、以及信息安全技术和监控的普及,危机反应机制的健全,形成网络信息安全防范系统。

查看全文
察网 CWZG.CN

感谢支持!我们会更加努力地创作来回馈您!
注:手机浏览器不支持微信支付。如需使用微信支付,请先将文章分享到微信,再打开文章进行打赏。

长按图片识别二维码进行支付

侯峰
侯峰
信息安全从业者