“棱鏡”計(jì)劃只是美國完備情報(bào)系統(tǒng)的冰山一角，該系統(tǒng)與“棱鏡”曝光的“八大金剛”企業(yè)合作并非一日之功。當(dāng)我們在享受信息系統(tǒng)帶來的種種便利時(shí)，已經(jīng)不知不覺地對相關(guān)軟硬件產(chǎn)品、服務(wù)乃至模式產(chǎn)生越來越嚴(yán)重的依賴：從信息系統(tǒng)的生產(chǎn)者，到信息系統(tǒng)的運(yùn)行維護(hù)者，再到服務(wù)的提供者，在整個(gè)長長的鏈條上，誰都有機(jī)會(huì)接觸到我們提交的數(shù)據(jù)(包括機(jī)密數(shù)據(jù))，任何一個(gè)環(huán)節(jié)都可能存在安全隱患。信息泄露等安全事件隨時(shí)都可能在不知不覺中悄然發(fā)生。在信息產(chǎn)業(yè)的高速公路上，如果我們繼續(xù)甘心于依賴別國，我們可能就會(huì)成為溫水中被煮的青蛙，在毫無知覺中漸漸耗盡自己防御的能力。而從更寬泛的視角看，“棱鏡”本身折射出的中國信息安全問題還遠(yuǎn)不止此。

被忽視的供應(yīng)鏈安全

從“棱鏡”深挖下去，你會(huì)發(fā)現(xiàn)，美國自一戰(zhàn)以來已經(jīng)建立了一套完備的情報(bào)監(jiān)控體系。美國今天的強(qiáng)大，除了歷史原因和地緣優(yōu)勢外，還有一些因素不容忽視，那就是其一以貫之的戰(zhàn)略頂層設(shè)計(jì)和不被輕易阻斷的執(zhí)行。而這種戰(zhàn)略頂層設(shè)計(jì)在信息產(chǎn)業(yè)的高速公路上也得到充分體現(xiàn)，其先發(fā)位置和企業(yè)能力在信息領(lǐng)域已形成足夠的戰(zhàn)略威懾力。

“棱鏡”計(jì)劃離不開與“八大金剛”企業(yè)(包括Skype、Facebook、Google等)接口所獲得的重要信息，雖然通過與企業(yè)合作獲得情報(bào)在美國并不少見，但與過去其他企業(yè)合作不同，美國情報(bào)系統(tǒng)與IT企業(yè)達(dá)成的堪稱“天衣無縫”的合作并非一蹴而就，其基礎(chǔ)早已打下。信息安全專家肖新光(江?？?認(rèn)為，美國強(qiáng)大IT能力的形成經(jīng)歷了兩個(gè)階段：第一階段是以技術(shù)和產(chǎn)品優(yōu)勢為主導(dǎo)的時(shí)代，這個(gè)時(shí)代，它具備了先進(jìn)的核心計(jì)算能力、框架、軟件體系、個(gè)人機(jī)和網(wǎng)絡(luò)，英特爾、微軟、Oracle、蘋果等巨頭企業(yè)的崛起是這個(gè)階段的象征;第二階段是以模式和資源為主導(dǎo)的時(shí)代，典型企業(yè)包括Google、Amazon、Facebook、Twitter，還有轉(zhuǎn)型后的微軟和蘋果。在此階段，經(jīng)過積累，它已獲得軟件環(huán)境、知識(shí)產(chǎn)權(quán)和硬件資源優(yōu)勢。

反觀中國，在信息產(chǎn)業(yè)高速公路上，我們對外依賴度卻變得越來越高，今天，從信息系統(tǒng)的生產(chǎn)者，到信息系統(tǒng)的運(yùn)行維護(hù)者，再到服務(wù)的提供者，誰都可能接觸到我們的機(jī)密數(shù)據(jù)。而談到信息安全，我們可能談得更多的是產(chǎn)品安全、技術(shù)水平等，聚焦供應(yīng)鏈安全的卻很少。啟明星辰首席戰(zhàn)略官潘柱廷認(rèn)為，實(shí)際上，從“棱鏡門”可以看出，整個(gè)主流供應(yīng)鏈安全比其他的安全問題更具有根本性和徹底性，目前我國對此重視不夠，甚至損失供應(yīng)鏈安全去換取一些其他東西，這非常危險(xiǎn)。#p#

信息安全缺乏戰(zhàn)略頂層設(shè)計(jì)

中國信息安全自主可控能力不足的背后，是中國信息安全頂層戰(zhàn)略設(shè)計(jì)的缺失。在IDF互聯(lián)網(wǎng)威懾防御實(shí)驗(yàn)室聯(lián)合創(chuàng)始人萬濤看來，中國信息安全產(chǎn)業(yè)經(jīng)歷的20年，最需要反思的是國家層面的安全，但事實(shí)上，從業(yè)者在實(shí)踐中卻常常急功近利，怎么賺錢怎么來。“棱鏡門”警醒我們，如果只有投機(jī)而沒有戰(zhàn)略，就談不上博弈。

《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》(中辦發(fā)[2003]27號(hào)文)發(fā)布已有近十年，從那時(shí)至今，我國再無國家級(jí)信息安全戰(zhàn)略發(fā)布。今年會(huì)不會(huì)發(fā)布國家信息安全戰(zhàn)略?這已成為安全界熱議的焦點(diǎn)，但一些安全專家坦言，這個(gè)期望能不能在今年實(shí)現(xiàn)還很難說。頂層戰(zhàn)略設(shè)計(jì)的缺失，讓政府對企業(yè)整體戰(zhàn)略協(xié)作、支持、互動(dòng)和響應(yīng)能力嚴(yán)重不足。當(dāng)去年華為、中興被美國調(diào)查時(shí)，我們卻鮮見有相關(guān)的反制措施推出。

與此形成極大反差的是，美國幾乎年年都有相關(guān)戰(zhàn)略出臺(tái)，每兩年必有一個(gè)重大戰(zhàn)略出臺(tái)。奧巴馬當(dāng)選總統(tǒng)不到半年，在2009年5月即發(fā)布《網(wǎng)絡(luò)空間政策評(píng)估報(bào)告》，其中談到10條近期計(jì)劃，14條中期計(jì)劃，規(guī)劃非常詳盡，在搶占網(wǎng)絡(luò)空間制高點(diǎn)方面又邁進(jìn)了一步。2011年，美國發(fā)布了《網(wǎng)絡(luò)空間國際戰(zhàn)略》，其網(wǎng)絡(luò)空間戰(zhàn)略的關(guān)注點(diǎn)已經(jīng)從國家戰(zhàn)略上升到國際戰(zhàn)略層面。

差距還體現(xiàn)在網(wǎng)絡(luò)戰(zhàn)演習(xí)中。據(jù)有關(guān)專家介紹，美國大概從2006年開始，每兩年就舉辦一次網(wǎng)絡(luò)風(fēng)暴演習(xí)，該演習(xí)由美國諸多聯(lián)邦政府共同組織，也吸納私營公司參加，而且，參與演習(xí)的私營公司一次比一次多。在2010年，大概有60家私營企業(yè)參加了演習(xí)(其中不乏大牌IT企業(yè))，演習(xí)場景基本上是電力系統(tǒng)攻防。而在我國，攻防演習(xí)這一話題常常是被回避的，甚至安全公司的攻防實(shí)驗(yàn)室都會(huì)被改稱作積極防御實(shí)驗(yàn)室。安全界普遍認(rèn)為，從威懾的角度來說，國家層面應(yīng)有的威懾力是應(yīng)該建立的，不必諱言。#p#

信息安全能力全面不足

“棱鏡”計(jì)劃的曝出，讓中國信息安全界陷入深刻反思。國家網(wǎng)絡(luò)信息安全技術(shù)研究所所長、中國國家互聯(lián)網(wǎng)應(yīng)急中心(CNCERT/CC)副總工程師杜躍進(jìn)指出，目前，我國在網(wǎng)絡(luò)安全能力上全面不足，包括：漏洞研究與漏洞處理、事件發(fā)現(xiàn)與早期預(yù)警、事件處置與應(yīng)急響應(yīng)、應(yīng)急預(yù)案與應(yīng)急演練、安全測試與滲透測試、軟件安全與安全編程、攻防研究與演練驗(yàn)證，都存在能力缺陷。(詳見《杜躍進(jìn)：“棱鏡”凸顯中國信息安全能力亟待增強(qiáng)》)

漏洞處理方面，面對國家間的攻擊，原有的漏洞發(fā)現(xiàn)與共享機(jī)制出現(xiàn)了重大問題：攻方如果是國家，一些漏洞會(huì)被當(dāng)作戰(zhàn)略資源儲(chǔ)備，防守方無法再從原來的渠道通過共享獲得漏洞信息。風(fēng)險(xiǎn)評(píng)估方面，在保護(hù)重點(diǎn)目標(biāo)方面還不夠，今天的網(wǎng)絡(luò)中不同的應(yīng)用、系統(tǒng)、設(shè)備等的相互關(guān)聯(lián)關(guān)系異常復(fù)雜，但我們的風(fēng)險(xiǎn)評(píng)估還只是單點(diǎn)的，很難看出復(fù)雜網(wǎng)絡(luò)的整體風(fēng)險(xiǎn)。安全測評(píng)方面，國內(nèi)對于設(shè)備、軟件、大型系統(tǒng)的安全性測試能力還比較弱，在安全測試所需要的方法研究、經(jīng)驗(yàn)和數(shù)據(jù)積累、專用設(shè)備與平臺(tái)等方面十分欠缺。攻防技術(shù)方面，缺乏系統(tǒng)化，分析能力不足。

事件處置方面，我們在一些核心軟硬件產(chǎn)品、重要系統(tǒng)運(yùn)行上都依賴國外，在宏觀數(shù)據(jù)方面也處于戰(zhàn)略被動(dòng)地位，這會(huì)導(dǎo)致在事件處置(包括打擊犯罪)時(shí)很被動(dòng)。在應(yīng)急響應(yīng)方面，面對新的威脅我們可以說是完敗。我們發(fā)現(xiàn)Flame的時(shí)候，它都傳播好幾年了，發(fā)現(xiàn)之后也分析不了，更談不上應(yīng)急。而對于國家間的網(wǎng)絡(luò)攻擊，如果我們前期什么都不知道，想應(yīng)對最后的致命攻擊完全不可能。應(yīng)急演練方面，除了規(guī)則的演練，還要有單項(xiàng)技能演練、綜合情況下攻擊的防范和演練，以及真實(shí)環(huán)境下的實(shí)際演練。但是我們現(xiàn)在還沒有這樣系統(tǒng)化的演練，配套的演練手段和環(huán)境支持也十分缺乏。

“棱鏡”事件凸顯了“自主可控”的緊迫性。然而，一位互聯(lián)網(wǎng)用戶企業(yè)坦言，不是不想支持本土企業(yè)，而是國內(nèi)安全企業(yè)的產(chǎn)品總是差強(qiáng)人意。比如，當(dāng)測試到IPS時(shí)發(fā)現(xiàn)識(shí)別比例都只有50%時(shí)，當(dāng)測試到上網(wǎng)行為管理產(chǎn)品無法滿足企業(yè)需求時(shí)，企業(yè)根本不敢再用國產(chǎn)產(chǎn)品。這位用戶表示，這種情況在網(wǎng)絡(luò)設(shè)備選型中也同樣會(huì)出現(xiàn)。

在自主可控方面，還有一種偽自主可控現(xiàn)象需要關(guān)注：一些本土安全企業(yè)OEM國外產(chǎn)品再貼上自己的品牌，就自稱“自主創(chuàng)新”，這種情況不能稱之為“自主可控”。#p#

信息安全專業(yè)教育與實(shí)踐鴻溝較大

關(guān)于“棱鏡門”的爆料者斯諾登，還有個(gè)八卦，傳聞稱，斯諾登高中都沒有畢業(yè)，只是在社區(qū)大學(xué)念過書，基本上屬于自學(xué)成才，最后依然獲得重用。實(shí)際上，在中國，很多安全從業(yè)者很多也并非科班出身，很多人都是出于興趣走上這條道路，他們在大學(xué)里所學(xué)的專業(yè)五花八門，有學(xué)生物的，有學(xué)歷史的，甚至有學(xué)醫(yī)的，等等。

中國高校的信息安全專業(yè)教育與實(shí)際人才需求存在較大的鴻溝，缺乏適合實(shí)踐的體系化培訓(xùn)。國內(nèi)高校信息安全相關(guān)專業(yè)教學(xué)中，很多信息安全專業(yè)的主要學(xué)習(xí)內(nèi)容是密碼學(xué)，這對信息安全實(shí)踐工作遠(yuǎn)遠(yuǎn)不夠。

國內(nèi)某一線安全公司高層就明確表示，該公司在選擇技術(shù)人才時(shí)，幾乎不會(huì)聘用信息安全專業(yè)畢業(yè)的學(xué)生，反而會(huì)錄用學(xué)網(wǎng)絡(luò)或者學(xué)開發(fā)專業(yè)的。目前的信息安全專業(yè)課程中，有關(guān)密碼等方面的內(nèi)容過多，但這個(gè)學(xué)習(xí)內(nèi)容范圍太窄，在實(shí)踐中的作用十分有限。

諷刺的是，正在大學(xué)里學(xué)習(xí)信息安全專業(yè)的學(xué)生中，對本專業(yè)有興趣的其實(shí)很少。萬濤曾經(jīng)在國內(nèi)某知名大學(xué)信息安全專業(yè)學(xué)生中做過一個(gè)小調(diào)查，問有多少人是因?yàn)閷π畔踩信d趣而報(bào)的這個(gè)專業(yè)，整個(gè)教室中只有兩名學(xué)生給出了肯定回答。

曾經(jīng)在英國某大學(xué)攻讀信息安全專業(yè)的岑義濤對國內(nèi)外信息安全專業(yè)教育的差異深有感觸。他告訴記者，與國內(nèi)信息安全教育不同，國外信息安全專業(yè)的學(xué)習(xí)比較注重理論和實(shí)踐的結(jié)合，注重學(xué)生實(shí)踐能力的培養(yǎng)。在學(xué)習(xí)過程中，通常會(huì)通過很多的實(shí)際案例，結(jié)合相關(guān)學(xué)科進(jìn)行分析，并且對這類學(xué)習(xí)內(nèi)容在期末考核中會(huì)占較大的比例。而信息安全授課老師的水平在國內(nèi)外高校也有較大差距。

“棱鏡”在國內(nèi)信息安全界引起巨大震動(dòng)，“棱鏡”也折射出中國信息安全存在的諸多問題。我們無法期望短期內(nèi)能改變嚴(yán)峻的現(xiàn)狀，但“棱鏡”無疑是一個(gè)契機(jī)，希望它能激醒產(chǎn)業(yè)界一些麻木的神經(jīng)，面對現(xiàn)實(shí)并努力改變現(xiàn)實(shí)，因?yàn)樵诮裉?，我們已?jīng)到了不得不改變的時(shí)候。