“棱鏡”計劃只是美國完備情報系統的冰山一角，該系統與“棱鏡”曝光的“八大金剛”企業合作并非一日之功。當我們在享受信息系統帶來的種種便利時，已經不知不覺地對相關軟硬件產品、服務乃至模式產生越來越嚴重的依賴：從信息系統的生產者，到信息系統的運行維護者，再到服務的提供者，在整個長長的鏈條上，誰都有機會接觸到我們提交的數據(包括機密數據)，任何一個環節都可能存在安全隱患。信息泄露等安全事件隨時都可能在不知不覺中悄然發生。在信息產業的高速公路上，如果我們繼續甘心于依賴別國，我們可能就會成為溫水中被煮的青蛙，在毫無知覺中漸漸耗盡自己防御的能力。而從更寬泛的視角看，“棱鏡”本身折射出的中國信息安全問題還遠不止此。

被忽視的供應鏈安全

從“棱鏡”深挖下去，你會發現，美國自一戰以來已經建立了一套完備的情報監控體系。美國今天的強大，除了歷史原因和地緣優勢外，還有一些因素不容忽視，那就是其一以貫之的戰略頂層設計和不被輕易阻斷的執行。而這種戰略頂層設計在信息產業的高速公路上也得到充分體現，其先發位置和企業能力在信息領域已形成足夠的戰略威懾力。

“棱鏡”計劃離不開與“八大金剛”企業(包括Skype、Facebook、Google等)接口所獲得的重要信息，雖然通過與企業合作獲得情報在美國并不少見，但與過去其他企業合作不同，美國情報系統與IT企業達成的堪稱“天衣無縫”的合作并非一蹴而就，其基礎早已打下。信息安全專家肖新光(江海客)認為，美國強大IT能力的形成經歷了兩個階段：第一階段是以技術和產品優勢為主導的時代，這個時代，它具備了先進的核心計算能力、框架、軟件體系、個人機和網絡，英特爾、微軟、Oracle、蘋果等巨頭企業的崛起是這個階段的象征;第二階段是以模式和資源為主導的時代，典型企業包括Google、Amazon、Facebook、Twitter，還有轉型后的微軟和蘋果。在此階段，經過積累，它已獲得軟件環境、知識產權和硬件資源優勢。

反觀中國，在信息產業高速公路上，我們對外依賴度卻變得越來越高，今天，從信息系統的生產者，到信息系統的運行維護者，再到服務的提供者，誰都可能接觸到我們的機密數據。而談到信息安全，我們可能談得更多的是產品安全、技術水平等，聚焦供應鏈安全的卻很少。啟明星辰首席戰略官潘柱廷認為，實際上，從“棱鏡門”可以看出，整個主流供應鏈安全比其他的安全問題更具有根本性和徹底性，目前我國對此重視不夠，甚至損失供應鏈安全去換取一些其他東西，這非常危險。#p#

信息安全缺乏戰略頂層設計

中國信息安全自主可控能力不足的背后，是中國信息安全頂層戰略設計的缺失。在IDF互聯網威懾防御實驗室聯合創始人萬濤看來，中國信息安全產業經歷的20年，最需要反思的是國家層面的安全，但事實上，從業者在實踐中卻常常急功近利，怎么賺錢怎么來。“棱鏡門”警醒我們，如果只有投機而沒有戰略，就談不上博弈。

《國家信息化領導小組關于加強信息安全保障工作的意見》(中辦發[2003]27號文)發布已有近十年，從那時至今，我國再無國家級信息安全戰略發布。今年會不會發布國家信息安全戰略?這已成為安全界熱議的焦點，但一些安全專家坦言，這個期望能不能在今年實現還很難說。頂層戰略設計的缺失，讓政府對企業整體戰略協作、支持、互動和響應能力嚴重不足。當去年華為、中興被美國調查時，我們卻鮮見有相關的反制措施推出。

與此形成極大反差的是，美國幾乎年年都有相關戰略出臺，每兩年必有一個重大戰略出臺。奧巴馬當選總統不到半年，在2009年5月即發布《網絡空間政策評估報告》，其中談到10條近期計劃，14條中期計劃，規劃非常詳盡，在搶占網絡空間制高點方面又邁進了一步。2011年，美國發布了《網絡空間國際戰略》，其網絡空間戰略的關注點已經從國家戰略上升到國際戰略層面。

差距還體現在網絡戰演習中。據有關專家介紹，美國大概從2006年開始，每兩年就舉辦一次網絡風暴演習，該演習由美國諸多聯邦政府共同組織，也吸納私營公司參加，而且，參與演習的私營公司一次比一次多。在2010年，大概有60家私營企業參加了演習(其中不乏大牌IT企業)，演習場景基本上是電力系統攻防。而在我國，攻防演習這一話題常常是被回避的，甚至安全公司的攻防實驗室都會被改稱作積極防御實驗室。安全界普遍認為，從威懾的角度來說，國家層面應有的威懾力是應該建立的，不必諱言。#p#

信息安全能力全面不足

“棱鏡”計劃的曝出，讓中國信息安全界陷入深刻反思。國家網絡信息安全技術研究所所長、中國國家互聯網應急中心(CNCERT/CC)副總工程師杜躍進指出，目前，我國在網絡安全能力上全面不足，包括：漏洞研究與漏洞處理、事件發現與早期預警、事件處置與應急響應、應急預案與應急演練、安全測試與滲透測試、軟件安全與安全編程、攻防研究與演練驗證，都存在能力缺陷。(詳見《杜躍進：“棱鏡”凸顯中國信息安全能力亟待增強》)

漏洞處理方面，面對國家間的攻擊，原有的漏洞發現與共享機制出現了重大問題：攻方如果是國家，一些漏洞會被當作戰略資源儲備，防守方無法再從原來的渠道通過共享獲得漏洞信息。風險評估方面，在保護重點目標方面還不夠，今天的網絡中不同的應用、系統、設備等的相互關聯關系異常復雜，但我們的風險評估還只是單點的，很難看出復雜網絡的整體風險。安全測評方面，國內對于設備、軟件、大型系統的安全性測試能力還比較弱，在安全測試所需要的方法研究、經驗和數據積累、專用設備與平臺等方面十分欠缺。攻防技術方面，缺乏系統化，分析能力不足。

事件處置方面，我們在一些核心軟硬件產品、重要系統運行上都依賴國外，在宏觀數據方面也處于戰略被動地位，這會導致在事件處置(包括打擊犯罪)時很被動。在應急響應方面，面對新的威脅我們可以說是完敗。我們發現Flame的時候，它都傳播好幾年了，發現之后也分析不了，更談不上應急。而對于國家間的網絡攻擊，如果我們前期什么都不知道，想應對最后的致命攻擊完全不可能。應急演練方面，除了規則的演練，還要有單項技能演練、綜合情況下攻擊的防范和演練，以及真實環境下的實際演練。但是我們現在還沒有這樣系統化的演練，配套的演練手段和環境支持也十分缺乏。

“棱鏡”事件凸顯了“自主可控”的緊迫性。然而，一位互聯網用戶企業坦言，不是不想支持本土企業，而是國內安全企業的產品總是差強人意。比如，當測試到IPS時發現識別比例都只有50%時，當測試到上網行為管理產品無法滿足企業需求時，企業根本不敢再用國產產品。這位用戶表示，這種情況在網絡設備選型中也同樣會出現。

在自主可控方面，還有一種偽自主可控現象需要關注：一些本土安全企業OEM國外產品再貼上自己的品牌，就自稱“自主創新”，這種情況不能稱之為“自主可控”。#p#

信息安全專業教育與實踐鴻溝較大

關于“棱鏡門”的爆料者斯諾登，還有個八卦，傳聞稱，斯諾登高中都沒有畢業，只是在社區大學念過書，基本上屬于自學成才，最后依然獲得重用。實際上，在中國，很多安全從業者很多也并非科班出身，很多人都是出于興趣走上這條道路，他們在大學里所學的專業五花八門，有學生物的，有學歷史的，甚至有學醫的，等等。

中國高校的信息安全專業教育與實際人才需求存在較大的鴻溝，缺乏適合實踐的體系化培訓。國內高校信息安全相關專業教學中，很多信息安全專業的主要學習內容是密碼學，這對信息安全實踐工作遠遠不夠。

國內某一線安全公司高層就明確表示，該公司在選擇技術人才時，幾乎不會聘用信息安全專業畢業的學生，反而會錄用學網絡或者學開發專業的。目前的信息安全專業課程中，有關密碼等方面的內容過多，但這個學習內容范圍太窄，在實踐中的作用十分有限。

諷刺的是，正在大學里學習信息安全專業的學生中，對本專業有興趣的其實很少。萬濤曾經在國內某知名大學信息安全專業學生中做過一個小調查，問有多少人是因為對信息安全感興趣而報的這個專業，整個教室中只有兩名學生給出了肯定回答。

曾經在英國某大學攻讀信息安全專業的岑義濤對國內外信息安全專業教育的差異深有感觸。他告訴記者，與國內信息安全教育不同，國外信息安全專業的學習比較注重理論和實踐的結合，注重學生實踐能力的培養。在學習過程中，通常會通過很多的實際案例，結合相關學科進行分析，并且對這類學習內容在期末考核中會占較大的比例。而信息安全授課老師的水平在國內外高校也有較大差距。

“棱鏡”在國內信息安全界引起巨大震動，“棱鏡”也折射出中國信息安全存在的諸多問題。我們無法期望短期內能改變嚴峻的現狀，但“棱鏡”無疑是一個契機，希望它能激醒產業界一些麻木的神經，面對現實并努力改變現實，因為在今天，我們已經到了不得不改變的時候。