“上网不涉密、涉密不上网”是我国确保敏感信息安全的底线,但最近曝出的美国“量子”项目显示,离线计算机也不再安全。据《纽约时报》2014年初报道,美国国家安全局(nsa)借助“量子”项目在it供应链管理系统环节向重点目标植入恶意软硬件,并据此与互联网或邻近接收装置建立连接,窃取和收集目标中的重要、敏感信息。据悉,nsa已入侵近10万台电脑,包括俄罗斯军方、欧盟贸易机构以及中国军队等。“量子”项目以美国强大的it产业为基础,将网络攻击前置于芯片设计、产品生产、商品流通等供应链管理系统环节,具有更强的隐蔽性。 2014年以来,斯诺登事件呈现出愈演愈烈之势,在新近曝光的诸多机密信息中,美国国家安全局(nsa)的绝密“量子”项目(quantum)引起广泛关注。据2014年1月14日《纽约时报》报道,nsa早在2008年就开始启动该项目,通过植入间谍软硬件,其能够监控目标计算机的一举一动,并能够借助事先安装在电脑中的微电路板、usb连接线等装置发送的秘密无线电波传递情报,从而达到监控离线计算机的目的。除通过传统间谍手段安装外,这些装置更多的是在生产或流通阶段被恶意植入,具有极强的隐秘性。据披露,中国军方是“量子”项目的主要目标之一,美国已经在中国境内设立了两处数据中心,专门用于给电脑植入恶意软硬件。“量子”项目改变了网络攻击的根本模式,其攻击行为早在芯片设计、产品生产、商品流通等供应链管理系统环节就已经展开。 “量子”项目的内容 监控在线和离线目标。在“量子”项目中,nsa能够通过互联网给电脑安装间谍软件,也能够在电脑生产和流通环节植入电路板和usb等硬件,而后使用一种名为“高科技广播频率技术”,通过秘密无线电信号对在线和离线目标实现监控。nsa用来接收信息的中继设备代号为“床头柜”,其可以被放在大号行李箱中以移动的方式接收13公里内的无线信号,在nsa和监控目标间承担“桥梁”角色。这样,无论监控目标联网与否,nsa都能够对其进行监控。据披露,在对伊朗核电站实施网络入侵时,nsa正是使用了上述设备成功在近千台离心机中安装了广为人知的“震网”病毒。 发动网络攻击。“量子”项目开发了包括dns(域名系统)和http注入式攻击等在内的一系列网络攻击工具,这些工具能够借助“量子”项目操控基于irc和http的犯罪僵尸网络,其中关联数据库管理系统mysql插件工具能够让nsa篡改第三方数据库内容。据披露,nsa已经实施了高达10万次“全球范围的植入”,已经正如《纽约时报》所说,借助“床头柜”等中继设备,nsa构建了一条“发动网络攻击的数字高速公路”,能够随时对在线或离线目标发动网络攻击。 设置网络陷阱。“量子”项目覆盖范围非常广,其中名为quantumdefense的子项目通过设置网络陷阱对国防部门遭遇的网络攻击进行分析、溯源和反制,以加强对美国重要系统和网络的防护能力。在该项目中,nsa对访问美国国防部ni-prnet网络地址的dns请求进行监控,通过给数据包注入虚假的dns请求,将攻击者引向nsa所控制的网站,并采用技术手段定位攻击来源。目的是留存其遭到网络攻击相关证据,以证明自己是网络攻击受害方,为美国政府外交争取主动权。 “量子”项目反映了美国在it供应链管理系统的垄断地位 美国借助it产业优势布控全球。从整体来看,美国毫无疑问是当今信息技术(it)产业第一强国,其在芯片、计算设备、网络设备等领域的核心竞争优势突出。美国出口的电子产品往往预埋漏洞、后门,其情报机关能够通过这些产品上的后门进行网络入侵和情报窃取。“量子”项目也不例外,其采用的间谍硬件往往在制造阶段就已经植入到电脑中,用户难以发现。此外,美国建立了完善的硬件漏洞共享机制,情报部门会首先最大化地利用被发现的漏洞,之后才会对外公开。 it企业成为美国监控全球的“先锋”。思科、英特尔、微软等超级it企业与美国政府的合作关系非常紧密,这些企业已经成为美国监控全球的“急先锋”。“棱镜门”事件显示,nsa等美国政府和情报部门可直接接入微软、谷歌、facebook、苹果等9家美国it企业中心服务器,挖掘数据、搜集情报、全面监控民众的网络行为。斯诺登披露的“量子”项目资料显示,美国已通过个别企业在中国设立了两个数据中心,以方便情报机构将恶意软件植入中国的目标电脑。 产品流通环节成为美国情报部门关注重点。早在1997年,nsa就设立了名为“定制入口行动办公室”(tao)的黑客部门。德国《明镜》周刊在2013年12月29日的爆料显示,tao在掌握目标人物的网购信息后,拦截运送途中的电脑、硬盘、路由器等电子产品,并对这些产品的硬件做手脚,然后通过这些硬件后门对目标人物进行实时监控。被安装后门的电子产品包括思科、三星、戴尔、西部数据等知名品牌。秘密文件显示,在过去10年里,tao成功地进入到了89个国家的258个目标,仅在2010年就实施了279次网络入侵行动,几乎触及世界上的每个地方。 “量子”项目折射出我国严峻的it供应链管理系统安全形势 国际it供应链管理系统安全风险突出。电子产品的构成日益复杂,一件产品的配件可能来自不同的国家和厂商,一套复杂软件系统可能由不同地方的人员共同设计完成,因此信息安全已经成为全供应链管理系统安全问题,任何一个环节都可能引入后门或漏洞,极大地增加了信息安全的防护难度。以芯片设计为例,芯片在设计过程中就可能存在有意的“漏洞”,随着芯片复杂程度的提高和设计团队的全球化,在其中插入后门的风险也在逐渐增加。正如2013年11月布鲁金斯学会johnvillasenor教授所说,“恶意芯片等硬件产品已经成为信息系统、设备、产品预埋后门和漏洞的主要途径”。 国内it供应链管理系统基础薄弱。我国it产业起步较晚,包括技术、产品、企业等在内的it供应链管理系统各环节与发达国家存在较大差距。一是it技术相对落后,一直在“跟随”国外先进技术发展;二是it产品缺乏竞争优势,芯片、微型处理器等基础硬件产业与国外存在代差,高端电子产品竞争力弱;三是it企业还未形成规模,我国it企业国际化步伐缓慢,市场主要集中在亚非拉地区,难以撼动美国等发达国家的it市场垄断地位。 it产业链路径依赖积重难返。我国政府、金融、电力等关键领域的信息系统严重依赖国外技术产品。在基础网络领域,思科占据了我国骨干通信网络设备70%~80%的市场份额,把持了几乎所有超级核心节点和国际交换节点;在金融领域,70%以上的路由器等网络产品来自思科、80%以上的服务器来自ibm。一直沿用国外的信息系统架构,导致我国各领域信息系统对国外硬件产品存在路径依赖。在这种情况下,即便某些国产it产品性能足够优异,但仍无法很好地应用于现有it体系中,这严重阻碍着我国it产业国产化替代进程。 加强我国it供应链管理系统安全的对策建议 加强硬件安全技术研发。与传统病毒、木马不同,恶意硬件更加隐蔽,一些硬件后门以逻辑漏洞的形式直接存在于被封装好的芯片中,其恶意功能只在特定条件下才会触发,难以通过常规检测手段检测出。为此,一是应开展针对性的硬件安全检测,重点检查“量子”项目中涉及的电路板和usb接口等软硬件模块;二是应尽快汇集恶意硬件信息并建立漏洞库,对已知恶意硬件进行梳理和分析,找出其结构特征、触发条件等关键信息,提出预防、封堵硬件漏洞的普适性方法;三是应加快开发恶意硬件监控工具,以便在恶意硬件触发后能够及时发现。 加速打造自主可控的产业生态体系。全球化趋势下it供应链管理系统安全已经成为软硬件安全的首要风险,只有使用可控的硬件才有可能做到可靠,自主可控的产业体系是确保it供应链管理系统安全乃至国家网络和信息安全的基础和前提。 加大资金支持力度,优化支出模式。改变资金支持方式,由给资金、先补助改为促应用、后补助的方式,同时通过科学评估,集中优势资源对重点企业进行集中支持;合理引导,引入社会基金等资金的投入,最大限度地整合政、产、学、研、用各界资源,发挥集中力量办大事的制度优势,实现国产芯片、微处理器、操作系统在易用性、可靠性和安全性上的突破。 全力推动国产软硬件产品的应用。加大政策扶持力度,鼓励和扶助国内电子产品厂商优先采用国产硬件,要求新建的重要网络和信息系统采用国产产品;加大对网络和信息系统整体架构研究力度,采取断然措施,设定时间表,建立中国自己的架构体系,打破制度、技术、产品和人员等方面的路径依赖。 尽快建立进口it产品审查和检测制度。近年来,进口it产品不断被曝存在后门,尽管厂家一再宣称这些只是设计漏洞,但对于大量使用进口it产品的我国而言,这些所谓的“设计漏洞”已经成为对我国进行窥探的后门。应尽快建立进口it产品信息安全审查和检测制度。对我国航空航天、石油石化等重点领域正在使用的进口it产品进行信息安全检测,发现和封堵漏洞;建立进口it产品国家安全审查制度,对涉及国计民生的重要设备,在进口时应充分评估其信息安全风险,审查通过后方能采购。 强化国外企业在华业务的监管。为避免“棱镜门”事件再次上演,应加强对思科、英特尔、微软等国外it企业在华业务的管理。一方面,尽快制定it企业收集、处理、保护数据和信息的有关法律,建立相关的标准制度,对数据和信息的跨境流动做出限制性规定;另一方面,明确国外it企业在国内提供产品、技术和服务时的责任和义务,防范国外企业对我国互联网的窥探。
信息发布:广州名易软件有限公司 http://www.myidp.net
|