斯諾登因曝光“棱鏡”計劃而邁上一條四處逃亡的路。在我們懷著追美劇般的好奇心去關注其命運時，我們恐怕需要更多地聚焦“棱鏡”計劃本身，反思自我。“棱鏡”計劃只是美國情報監控系統冰山一角，該系統設立的初衷是保證美國國家安全，它針對的不是美國公民，而是它認為需要監控的一切美國之外的信息，而被監控的對象當然也包括中國。

[[77237]]

在這個互聯網高度發達的時代，美國擁有最先進的技術和產品，具備軟件環境和硬件資源等多重優勢，整體形成了發展模式上的主導地位。如今，在享受其所提供的便利時，我們不得不對它產生越來越多的依賴，但與此同時，我們也已在不知不覺中讓自身信息更多地暴露出去。正因如此，當“棱鏡”計劃曝光出來，我們有些不知所措。如果再不增強自身信息安全自主可控能力，繼續無節制地依賴他國，我們可能就會像溫水中的青蛙一樣慢慢被煮掉。

“棱鏡”下的美國情報冰山

今年6月，美國中情局(CIA)前職員愛德華·斯諾登將兩份絕密資料交給英國《衛報》和美國《華盛頓郵報》，使美國國家安全局代號為“棱鏡”的秘密項目公之于眾，在“棱鏡”項目下，過去6年，美國國家安全局和聯邦調查局通過進入谷歌、蘋果、雅虎等九大網絡巨頭的服務器，可實時跟蹤用戶電郵、聊天記錄、視頻、音頻、文件、照片等上網信息，全面監控特定目標及其聯系人的一舉一動。

“棱鏡”起源于2001年美國副總統切尼所倡導的星風計劃(StellarWind)，2004年，由于該項目未能通過美國司法部的審查，美國前總統小布什將其一拆為四，即 “主干道”(MainWay)、“碼頭”(Marina)、“核子”(Nucleon)和“棱鏡”(PRISM)，其中，“棱鏡”的主要作用是通過美國互聯網廠商所開放的數據接口進行數據信息收集。

實際上，與美國完備的監控系統和網絡空間戰略相比，“棱鏡”只是冰山一角。

2010年，美國互聯網監控成本接近300億元人民幣，其中包括間諜設備、間諜設備保養、數據存儲、互聯網流量、數量分析等各方面費用。今天這一數字變得更大。美國在監聽中所采用的光纖彎曲法(電纜彎曲形成散射以便對信號進行偵聽)、竊聽散射法(利用激光技術竊聽)等先進技術已超出普通人想象。

在美國，政府聯合大公司進行監控的行為由來已久。早在1916年至1918年間，美國的戰爭部(國防部前身)、海軍部、國務院等機構，就是主要依靠私營企業協助，來完成密碼編制、破譯等各項工作的。從20世紀初期到21世紀的今天，美國政府與公司之間圍繞國家安全展開的密切合作，已經拓展為一個產業，2008年的統計數據顯示，美國政府每年有70%的情報預算都外包給了私人公司。#p#

美國網絡空間威力令人咂舌

在全球網絡空間中，美國有著絕對的控制力，互聯網起源于美國，美國各大互聯網公司完全有能力幫助政府影響別國的信息安全。5年前，微軟“黑屏事件”已經向我們展示出這種威力。所有連接網絡的計算機需要服務時，必須通過域名系統才能找到正確的服務器。而目前，全球共有13臺域名根服務器，其中，1臺為主根服務器，設在美國，其他12臺副根服務器有9臺設在美國，另外3臺分別在英國、瑞典和日本。從理論上說，美國通過根服務器，可輕易地進行全球范圍的情報竊取、網絡監控和攻擊。反觀中國，并沒有自己的根域名服務器，我國對網上服務器的訪問只能依賴于國外服務器的指示。

美國在網絡空間戰的準備中不遺余力。美軍黑客部隊雛形最早可追溯到1988年，當時，美國國防部建立了三軍計算機應急反應中隊，各軍種分別設一分隊，而那個時候，世界多數國家對計算機網絡還知之甚少。此后20多年，美國一直在系統地發展網絡戰能力，并逐步將執行網絡空間任務作為美軍建設的重點領域。2009年，美國創建了網絡戰司令部，成為全球首個公開將戰爭機構引入互聯網的國家。2010年美軍網絡戰司令部運行之初，其活動預算是1.5億美元，2013年已增長到1.82億美元。

從信息安全方面看，美國政府在信息安全研發上的投入也一直在增加。2014年，美國政府各部門在信息安全技術研究方面的經費將占整個信息技術研發投入的1/4，這一比例僅次于對高性能計算機的經費投入。

值得深思的是，縱然美國已經控制了網絡基礎技術，在技術和產品方面也早已實現完全“自主可控”，美國的信息安全之弦依然繃得比誰都緊。2012年，美國政府強調，網絡襲擊等同于武裝襲擊，應該受到戰爭法則的約束，這意味著，對付網絡攻擊，美國將不排除采用常規戰爭手段。美國元首出訪別國，所用的防竊聽手段也令人驚嘆。他們會盡量選擇“自己人”開的酒店，實在沒有“安全”的地方，就在行李中帶上移動“保密帳篷”(學名為“敏感信息隔離設施”)，這種“保密帳篷”有獨立的空氣供給，能保證其中的筆記本電腦、收音機、電話等設備的電磁輻射不會泄漏，它還有“入侵檢測系統”以防范各種形式的闖入。#p#

國內信息安全現實堪憂

中國是被監視的重災區。中國國家互聯網應急中心的報告顯示，僅去年就有7.3萬個境外IP地址參與了控制中國境內1400余萬臺主機的網絡攻擊事件;有3.2萬個境外IP地址通過植入后門，對中國境內近3.8萬個網站進行了遠程控制。

然而，我們的信息安全意識卻與美國差距甚大?；ヂ摼W時代，我們已越來越習慣于享受信息系統帶來的種種便利，在不知不覺中對相關軟硬件產品、服務乃至模式產生無法擺脫的依賴，同時對信息安全隱患卻表現出不應有的麻木。在信息和網絡的漫長鏈條上，誰都有機會接觸到我們提交的數據(不乏機密數據)，任何一個環節都可能出現安全問題。

談到信息安全，我們可能談得更多的是產品安全、技術水平等，聚焦供應鏈安全的卻很少。但實際上，由于我們對外依賴度高，從信息系統的生產者，到信息系統的運行維護者，再到服務的提供者，誰都可能接觸到我們的機密數據。正如啟明星辰首席戰略官潘柱廷所說，“棱鏡”的曝光應該讓我們認識到，主流供應鏈安全比其他安全問題更具有根本性和徹底性，目前我們對此重視不夠，甚至損失供應鏈安全去換取一些其他東西，這非常危險。

而在中國信息安全自主可控能力不足的背后，是中國信息安全頂層戰略設計的缺失。在IDF互聯網威懾防御實驗室聯合創始人萬濤看來，中國信息安全產業經歷的20年，最需要反思的是國家層面的安全，但事實上，從業者在實踐中卻常常急功近利，怎么賺錢怎么來。“棱鏡門”警醒我們，如果只有投機而沒有戰略，就根本談不上與別國展開博弈。

在安全技術層面，國家網絡信息安全技術研究所所長、中國國家互聯網應急中心(CNCERT/CC)副總工程師杜躍進指出，目前，我國在網絡安全能力上全面不足，包括：漏洞研究與漏洞處理、事件發現與早期預警、事件處置與應急響應、應急預案與應急演練、安全測試與滲透測試、軟件安全與安全編程、攻防研究與演練驗證，都存在能力缺陷。

信息安全人才的缺乏讓安全產業發展后勁不足。與英美發達國家相比，中國高校的信息安全專業教育與實際人才需求存在較大的鴻溝，缺乏適合實踐的體系化培訓。國內高校信息安全相關專業教學中，很多信息安全專業的主要學習內容是密碼學，這對信息安全實踐工作來說遠遠不夠。#p#

中國信息安全走向何方

斯諾登爆出的“棱鏡”計劃背后是美國完備的情報體系，而中美在網絡空間中的巨大差距更是令人汗顏。說“棱鏡”的曝光將改寫中國信息安全產業格局確實有點夸張，因為改變并非一蹴而就。不過，正如萬濤所言，“棱鏡”事件無疑會成為一個觸發變化的節點，我們已經到了一個十字路口，一個不能不改變的時刻，我們需要奮起直追。而這個過程中，政府、企業、學界，乃至個人，都不能再坐以待斃，行動，就在眼前。

面對別國監控和攻擊行動，我們必須建立起自己的網絡威脅應對機制，提高防范能力。安全專家建議，我們需要開展“網絡戰”演習，以此提高我們應對網絡攻擊的實戰能力，并在此基礎上建立應對機制，對網絡威脅做到事前預防，及時處理。

今后，我們不僅需要做一些扎扎實實的技術研究，更需要從國家戰略層面出臺相關政策，從外交、立法等層面做一些工作。美國互聯網巨頭、網絡設備巨頭的入侵，越來越明顯地威脅到中國互聯網安全。“中國僅單純地譴責，不足以給美國政府構成威懾。”北京郵電大學教授曾劍秋建議，中國盡快研究和出臺一些反制政策。如針對美國企業建立嚴格的審查機制，加大對中國互聯網設備的采購力度。從去年華為、中興在美國受阻，到今年曝光的“棱鏡門”，面對種種問題，毫無反制之力的我們卻顯得不知所措。

未來，我們需要打破發達國家對網絡基礎設施和網絡服務的壟斷，增強自主可控性。在網絡戰中，一些國外IT企業在所屬國的授意下，不僅可讓敵方遭到入侵，更可以拒絕對其提供網絡基礎設施運行等服務，使敵方網絡陷入癱瘓。因此，增強自主可控是我國網絡安全防御的重要任務之一。我們需要積極開發具有自主知識產權的網絡軟硬件系統，還需要實施核心網絡與互聯網隔離：軍事、金融、電力等國家要害系統獨立建網，以保證安全。

在互聯網世界中對外依賴度頗高的情況下，在各個環節均不可靠的體系中，要構建一個基本安全可控的整體框架談何容易。短期內要完全實現信息安全自主可控并不現實。在目前情況下，我們能做什么? 杜躍進表示，目前，我們在技術產品、系統運行、數據這三個大的領域還不能實現自主可控。在實現自主可控之前，短期內可以考慮的思路是：通過第三方安全測試和安全產品互相制約來緩解可能出現的問題。比如，如果你的大型服務器只能用A國的產品，那與此相連的其他環節就盡量不用B國的產品，如審計監測系統。此外，還需要加強自身的第三方安全測試、安全監測、協議和數據分析等方面的研究和能力建設。

“棱鏡”計劃被爆出，還讓我們看到，美國政府部門和私營企業在關鍵戰略產業上的完美協作，既維護了國家安全，又在國家安全產業上贏得了商業利益，這對我們而言是一個巨大的挑戰，但又何嘗不是一個很好的示范。在安天實驗室首席技術架構師肖新光看來，未來，中國的民企將一定會在國家安全戰略中起到重要作用，民企的自強有著非常重大的意義。