使用國產密碼技術是應對“棱鏡”首選
一、“棱鏡”問題的根源及基礎
縱觀美國“棱鏡”計劃的背景和目的,總結起來有三個方面是美國實施“棱鏡”計劃的基礎,包括信息化基礎、網絡及數據。
首先,美國是國際上信息化的鼻祖及領頭羊,中國包括國際上絕大部分基礎及重要的信息化軟硬件系統產品及服務都由美國企業提供,這是其能夠實施“棱鏡”計劃的重要基礎,這使得其觸角可以深入到國防軍事及國計民生的方方面面,也是“棱鏡”計劃之所以讓世界各國政府寢食難安的根本原因。
其次,網絡特別是互聯網的普及則使得美國“棱鏡”具備了“運籌帷幄、決勝千里”的能力,使得其可以即時將遍布全世界各個角落的“信息間諜”數據快速集中和分析,形成了幾乎無所不能的超級監控甚至打擊能力。
最后,“棱鏡”計劃之所以可以靜悄悄地運行多年無人發現,就是因為其主要目標是竊取“數據”,而不是傳統安全主要防患的破壞性攻擊,具有高度的隱蔽性和長遠危害性。
雖然國內外對美國“棱鏡”的這三個基礎都認識清晰,但讓大家如鯁在喉的是,在相當長一段時間內,“棱鏡”得以存在的這三個基礎都無法改變,也就意味著美國“棱鏡”計劃不會因斯諾登曝光而停止執行,該計劃將持續下去并不斷增強其能力。
二、國內應對“棱鏡”的幾種思路
“棱鏡”事件曝光后,國家安全和信息化主管部門采取了積極的應對行動,進行了廣泛的意見征求和措施探討,總結起來主要有以下幾種聲音:
第一種思路信息化軟硬件系統國產化。應該說這種聲音是直擊“棱鏡”的根基,“棱鏡”計劃之所以得以全面執行,就在于美國對中國和全球信息化系統的根本性控制,然而實際存在的情況是,中國存在信息化起步晚、建設照搬美國模式和信息化研發生產能力落后的現實問題,由其國內信息化企業在過去的“金融地產經濟”時代喪失了寶貴的十年時間,短時間內要想較大規模實現信息系統國產化難以達成,需要數以十年的時間才有可能完成。
第二種思路是可信計算。該思路基于可信計算理論,構建對于中國來說完全可信任的計算平臺,但該思路最終將與第一種思路殊途同歸的是,需要從芯片、主板、操作系統和軟件應用系統完全自主可控和國產化,其全面實現的過程依然比較漫長。
第三種思路是將重要系統加強網絡隔離。該思路在某些特殊應用場景能夠得以執行,但是在信息化大背景下大部分場景是無法實現的,比如戰場信息化通信不可能進行隔離,又如需要與國際結算相關的金融領域也無法執行,這種思路違反信息化的發展趨勢,只能讓國內信息安全保障體系建設陷入更加被動落后的局面。
第四種思路以數據安全為核心的國產密碼技術應用推廣。該思路主要有國內信息安全產業界及密碼專家所倡導。該思路的出發點是基于目前信息化系統主要采用國外產品短期內難以獲得改變的現狀,提出通過自主可控的國產加密技術將“棱鏡”所希望獲取的“數據”保護起來,從而增加“棱鏡”計劃獲取數據的難度,降低“棱鏡”計劃的危害。該計劃雖然沒能從根本上將“棱鏡”拒之門外,但卻具有高度可實施性和立竿見影的效果,也能給軟硬件系統全面國產化爭取時間。
總結這四種思路,第一種和第二種需要長期的努力才能見到成效,也是必須堅持的方向和最終目標;第三種是違反信息化促進信息流通和交換的原生目標的,不值得推崇;第四種則是可以在短期內快速產生效果的方案,是目前應該給予大力鼓勵和支持的。
三、國產密碼應用能夠快速筑起“數據安全堡壘”
國產密碼技術經過幾十年的發展,無論在理論體系、應用體系、標準體系還是產業體系上都已經形成了規模,特別是最近十多年來,商用密碼產業蓬勃發展,已經培養了幾百家企業,已經具備了大規模推廣應用的各方面基礎。然而一直以來,加密技術最廣泛的應用領域卻集中在通信和身份認證上,鮮有構建基于密碼完整鏈條的信息安全體系,在這方面做的最好的應該說是銀行的核心交易系統。要應對“棱鏡”,構建“數據安全堡壘”,必須將國產密碼技術應用推廣到數據全生命周期的安全管理體系中,包括數據的產生、使用、交換(傳輸)、存儲和銷毀等所有環節,構建密碼安全的閉環,才能讓“棱鏡”無孔可入,讓NSA只能拿到看不懂的加密數據。目前,以北京明朝萬達為代表的眾多國內專業數據安全廠商已經完全具備了建立應用系統全生命周期數據安全體系的能力,以政府和國企為代表的用戶信息管理部門中也具備了一批密碼技術應用的專家,中國完全有能力通過國產密碼技術應用推廣快速筑起“數據安全堡壘”,降低“棱鏡”的威脅。
四、總結
應對“棱鏡”是個長遠而艱巨的任務,從根本上解決需要中國信息化產業實現完全自主可控的充分發展,這可能需要幾代人的時間來完成。短期內,已經做好充分準備的國產密碼技術在國內信息化系統的推廣應用,給“棱鏡”最終竊取的目標數據加上保護層,是中國短期內可以快速做到的首選措施之一。國家相關管理部門應該在密碼技術特別是影響廣泛的商用密碼應用政策上進一步細化落實,甚至對重要行業制定更加具備針對性的規范,以推動國產密碼技術的廣泛應用,快速筑起應對“棱鏡”的新長城。
