在传统战争中,一发子弹可以消灭一个敌人;在核战争中,一个按钮可以抹掉一个城市;在网络战争里面,一个按键可以颠覆一个世界。——中国信息安全测评中心总工程师王军语
2013年,美国人斯诺登曝光了NSA(美国国家安全局)主导的绝密监听计划——“棱镜”。无论愿意不愿意,一场“看不见的战争”已经降临在我们头上,只是这场战争争夺的不是人口、土地、能源,而是无影无形的数据。
从最开始的利用谷歌、微软、苹果等8家美国公司监控世界各国政府和用户,到对盟国领导人的无差别监控,再到最新曝光的NSA和RSA(美国网络安全巨头)联手制造后门等一系列消息的公布,“棱镜计划”无孔不入的监控让各国政府对信息安全的形势越来越忧心忡忡。
中国信息安全之痛
对于“棱镜门”事件引发的波及全球的信息安全风波,浪潮集团信息安全事业部总经理张东用“这是最好的时代,也是最坏的时代”来形容。他认为,好的一方面在于,包括政府和行业用户在内的社会各界都意识到了信息安全的重要性,“信息安全必须建立在自主可控的基础之上”已经成为业界的共识。坏的一面在于,由于我国基础技术比较薄弱,产业支撑能力也比较差,我国的信息安全还面临着很多的问题。
我国在信息技术方面起步较晚,核心技术方面一直受制于西方国家,重要信息系统和基础信息网络大量使用国外基础软件以及核心关键设备,这种局面使得我国信息安全遭受到各种未知的后门、漏洞的威胁,严重影响到国家安全。外媒曾用“玻璃龙”来形容我国的信息安全体系,其脆弱性可见一斑。
赛迪顾问副总裁孙会峰则从投入的角度对我国信息安全的薄弱基础进行了解读。他介绍说,2012年,我国信息产业的整体规模达到了12万亿,但其中统计在安全产业范畴里面的只占0.8%,而从全球的范围来看这一比例则是2.57%。单纯从占比来看,我国比世界平均水平要低15倍,“我们在整个安全方面的投入,无论是技术方面的投入,资金方面的投入,其实它占比是非常小的。”
实际上,两位专家的不同视角恰恰反映出此前我国在信息安全上存在的两大问题,一是自主信息化核心装备缺失,不得不在信息系统的关键节点、关键应用中大量使用国外产品。二是安全防护意识薄弱,缺乏投入热情。
自主可控+安全可靠,掌握信息安全“核按钮”
站在国家的视角上审视整个信息安全,不论是各种智能终端还是中间网络环境,都只是手段而非目的,入侵的终极目标是存放有大量数据的主机系统。因此,主机系统是整个信息安全领域的最后一道防线。像CCDN泄密、韩国银行系统整个瘫痪等事件,都印证了在当今信息社会中,主机系统一旦被攻占,将影响到每一个人。
长期以来,我国的关键信息化基础设施长期依赖国外主机。据统计,仅IBM一家,占据的市场份额就将近70%。有专家曾就国产主机的缺失感慨道:“不用IBM的,还能用谁的呢?”。可以看出,即使众多的有识之士已经意识到主机安全在信息安全体系中的重要性,但由于主机核心技术的缺失和国外厂商的长期垄断,使得主机安全问题根本无从谈起。
中国信息安全测评中心总工程师王军认为,关键信息基础设施的安全保护是关乎国家信息安全战略非常重要的一个方面,“我们需要一种可控的能力和状态,实现这一目标最好是采用自主的核心装备。”
2013年初,在十一五国家863计划“高端容错计算机研制与应用推广”重大专项的推动之下,中国首台32路自主主机天梭K1研制成功并上市,中国第一次真正意义上实现了主机核心装备的自主可控。而在2013年底,浪潮率先发布了集国产主机系统天梭K1、K-UNIX操作系统和SS安全解决方案于一体的主机安全解决方案,从而形成了关键技术、产品和服务“三位一体”的国产系统组合,让中国的关键系统安全真正的掌握在自己手里。
孙会峰认为,从市场或者需求趋势的角度来看,安全产品的集中化力度在增强,单一的安全产品越来越向一体化、整体化的解决方案或者服务来转型。浪潮首个国产主机安全解决方案的发布,恰恰体现了安全产品一体化的趋势,中国信息安全产业将会完成“从点到面”的转型。
在张东看来,主机系统作为整个信息安全领域的最后一道防线,必须要实现自主可控和安全可靠,具体来说就是既要实现核心信息化装备自主研发生产,也要提高安全意识,做好主机系统的安全防护。自主可控是指主机系统的国产化,从硬件逻辑、操作软件源代码及系统运维层面实现自主可控,消除国外主机系统的安全威胁。在此基础上,要提高安全防护意识,通过一系列安全技术措施和安全管理手段,保证主机系统在数据处理和业务运行中的保密性、完整性和可用性。
在“一个按键可以摧毁一个世界”的信息化时代,无论是自愿还是被迫,中国都不得不重视信息安全的问题。如何将信息世界的“核按钮”掌控在自己手中,是政府、企业和每一个人都需要付诸行动的一件事情。