棱鏡下的大數據安全恐慌

隨著大數據、云計算等技術的進一步發展，越來越多的大數據將出現云端，并在各行各業中發揮作用，但是互聯網的無國界性也使得全球化的網絡犯罪更容易實施。如何保護和適度利用這些大數據，是國家、社會和產業界需要共同面對一個問題。而在國家層面，中國不僅要打造具有自主知識產權的軟硬件產業鏈，還要積極參與跨國性網絡保密技術標準與法律規定的制定，參與網絡信息安全國際合作。“數據安全”也將會成為國家新的建設方向。

“棱鏡門”主角斯諾登結束了長達一個月的“蝸居”生活，離開莫斯科機場中轉區進入莫斯科市中心，并得到了一年的難民身份。盡管圍繞著斯諾登所展開的報道仍層出不窮：比如有莫斯科未婚姑娘表示愿意提供住房并嫁給他，網民們甚至勸斯諾登和美女間諜查普曼結婚，以獲得俄羅斯永久身份；還有德國科學家協會和國際反對核武器律師協會發起的“揭秘獎”被斯諾登“摘取”，并獎勵斯諾登3000歐元。

而美國的失望情緒，也清楚地顯示出其很擔心斯諾登泄露更多美國政府機密的可能性。而在這場國家博弈的背后，一場關于大數據時代國家安全話題的集體討論因為“棱鏡門”在國家層面上所投射的影響正在迅速展開，而這也為發展中的大數據產業蒙上了一層陰影。

大數據時代信息安全問題

科學技術常常都是一把雙刃劍，而對目前現代工業和現代社會以計算機為核心的計算模式來說，數據安全是極其敏感的話題，因為在目前的社會發展條件下，信息已經成為重要戰略資源。而在大數據時代，大數據呈現出巨大、快速變化和關聯復雜等特性，這使得原來數據邊界的定義更加模糊，比如個人信息和企業信息的獲取、使用和控制往往更加容易。

在斯諾登的爆料里，谷歌、雅虎、微軟、蘋果、Facebook、美國在線、PalTalk、Skype、YouTube等九大公司遭到參與間諜行為的指控。這些公司都是IT企業中的巨頭，掌握著巨大的信息源，而這些公司向美國國家安全局開放其服務器，也就使政府能輕松地監控全球上百萬網民的郵件、即時通話及存取的數據。無疑，他國的國家安全和社會穩定也就非常容易遭受攻擊。

如果對大數據進行分析加工，個人的隱私也不復存在。比如個人的上網痕跡往往透露出他的生活特征。而如果對電子郵件、搜索記錄、視頻和語音交談、視頻、照片、通話、文件傳輸、社交網站信息等海量數據進行分析，再通過比對現實世界中信用卡或者電話錄音等，幾乎可以真實地還原每一個人的生活狀況。雖然美國可以用“反恐”來作為幌子遮蓋美國對大數據技術利用的野心，但斯諾登事件所帶來的潛在危害已經讓很多國家不寒而栗。

而從更為廣闊的視角來分析這個問題，斯諾登事件所折射的則是美國希望借大數據繼續維護其網絡霸權地位的思維。國防科技大學劉楊鉞指出，“棱鏡門”顯示出強權政治依然是主導網絡政治的根本邏輯。美國秘密開展“棱鏡”等網絡監控計劃，其核心目的在于維持和增強對網絡空間信息和行為的控制權，以維系其網絡霸權地位。“棱鏡門”反映出國家行為體依然是影響網絡政治的中心力量。透過“棱鏡門”，人們再次發現，一些所謂秉持獨立價值并服務于社會利益的跨國企業和非政府組織，事實上不過是西方國家推行網絡戰略的隱形工具。

軍事專家孟祥青認為，美國這種行為明顯地暴露了它所謂的“網絡自由”的虛偽性。在互聯網領域，美國明顯采取的是雙重標準。斯諾登所透露的“棱鏡”項目，從一個側面反映出，美國是當今世界最大的網絡監控者，也是最大的網絡攻擊者。另外，美國利用這個“棱鏡”項目恐怕還另有企圖。比如，美國有可能要在新興的互聯網第五維戰場排兵布陣，搶占信息的制高點，為未來爭奪網絡霸權奠定基礎。所以奧巴馬辯的辯解“你不能在擁有100%安全的情況下，同時擁有100%隱私和100%便利”就可以理解為美國安全政策的解說詞了。

而國務院發展研究中心副研究員李廣乾博士則指出，大數據技術不僅是保護關鍵基礎設施的有效手段，更是確保美國掌控賽博空間制空權的利器，是放大美國現有的經濟、軍事、科技優勢的杠桿。與傳統的軍事部署、軍事手段相比，依托關鍵基礎設施而展開的大數據技術能夠兵不血刃地達到以往難以實現的目標。這對任何國家的政府特別是軍方來說，都具有莫大的誘惑，畢竟“不戰而屈人之兵”才是戰爭的最高境界。從這個意義上講，出現一個、兩個還是N個類似的“棱鏡”項目，都不足為奇。

中國信息安全建設滯后

網絡是數據賴以儲存、處理和傳輸的系統，網絡已經成為信息傳導的主要載體。最近兩年來，大數據產業在中國從概念中迸發，并將中國信息產業發展推向一個新的階段。不過，業內人士指出，目前大部分企業都愿意花大把的錢購買服務器、交換機，卻很少有企業去關注大數據的信息安全策略。作為新的信息富礦，大數據正在成為黑客重點攻擊的對象之一。

國家信息中心信息安全研究與服務中心聯合瑞星公司發布的《2013年上半年中國信息安全綜合報告》，對上半年的病毒、惡意網址、個人隱私、移動互聯網及企業信息安全等五大方面進行了詳細分析。報告顯示，伴隨著虛擬化、云應用新技術和新設備的廣泛應用，互聯網泄密等信息安全風險日益增加。其中多款無線路由器被曝存在重大安全漏洞，黑客可以利用無線路由器的漏洞對網絡中的電子設備進行全面監控，包括電子設備中內置的麥克和攝像頭，硬盤中存儲的文件以及用戶對電子設備進行的操作。由于大部分用戶只會在安裝路由器時進行簡單設置，并不會定期檢查路由器并刷新固件程序，所以路由器一旦被黑客入侵，用戶可能會被終身監視。

根據“棱鏡門”揭秘者斯諾登的爆料，美國國家安全局正是通過路由器監控了中國網絡和電腦。由于中國幾乎所有大型網絡項目的建設，包括政府、海關、郵政、金融、鐵路、民航、醫療、軍警等要害部門的網絡建設，以及主要電信運營商的網絡基礎建設，使用的基本都是美國思科的路由器和相關設備，而這正是中國信息安全“后門”問題最可能的原因之一。

網絡硬件的安全漏洞，實際上只是大數據時代信息安全問題的原因之一。另外一個則是中國在大數據立法、管理體制、技術開發、產業扶持等方面的滯后。大數據時代網絡信息將更加開放，大數據也與社會系統緊密耦合的復雜巨系統，因此，大數據信息安全需要法律、管理和技術的有機結合形成合力，大數據信息安全的管理也更需要宏觀的、整體的進行戰略規劃設計。縱觀發達國家在數據安全方面的措施，都說明西方國家很早就開始調整科研發展規劃，將數據安全技術列為戰略性技術予以重點投入。比如2000年1月，美國專門提出了《信息系統保護國家計劃》；2000年9月，俄羅斯批準了《俄羅斯信息安全學說》；斯托克豪姆歐洲理事會在2001年3月23日～24日提出了理事會和委員會將制定一個有關電子網絡及其應用安全的全面戰略，并及時提交蓋特伯格歐洲理事會。隨后日本提出了《日本信息安全技術對策指針》，法國提出了《法國信息網絡安全管理體系》，韓國提出了《信息通信架構保護法》。

在技術研發領域，發達國家一方面通過立法阻止外國的IT設備大規模進入本國市場。比如去年10月，美國國會報告稱，由于華為和中興“可能對美國國家安全構成威脅”，應當禁止其在美國的收購及交易活動。美國眾議院情報委員會為了阻止華為和中興的擴張步伐，居然用這樣的言辭來說明“中國有辦法、有機會也有動機來利用電信公司實現惡意目的。”“鑒于對美國國家安全利益的威脅”，美國相關機構“必須阻止涉及華為和中興的收購和并購活動。”報告稱，華為和中興可能被用于“植入來自中國的惡意硬件或軟件”，并可能成為“入侵美國國家安全系統和接入美國公司非公開網絡的潛在間諜工具”。

實際上，根據美國的邏輯思考，外國公司已經開始使用“惡意硬件或軟件”來作為潛在間諜工具收集數據和情報。以目前美國廠商當前占據優勢的路由器、交換機（思科）、服務器（IBM/HP/DELL）、存儲設備（EMC）等領域為例，這些公司早已經與美國政府結成了秘密的合作伙伴關系。

另一方面，發達國家正在加大網絡安全技術和產品的研究與開發，有重點地進行技術攻堅。比如美國重點研究了密碼、數字簽名、身份認證、防火墻、監控系統等；英國研究出了高靈敏度的RFC網絡電子分級裝置，對網上信息進行分級、認定和分類；法國則把研究重點放在高性能過濾系統、有害信息的過濾技術、追蹤非法侵入的信息源等；日本在90年代初就開發了自主操作系統內核和通用網絡時代的加密算法。而中國則在IT關鍵技術、核心設備、主要標準、體系架構等多方面受制于發達國家。一個典型的例子是聯想PC的核心技術，包括CPU和操作系統等都是美國的，在這樣的對比之下，中國要發展大數據產業，的確需要事先引起中國網絡信息安全部門的警覺。

國家信息安全戰略的提出

“棱鏡門”事件給很多國家以警示，對于中國這樣一個正在發展中的大國，國家信息安全是社會和經濟穩定發展的保障。而“棱鏡門”也確定了其自身的里程碑事件的意義，即對國家大數據信息安全的有效促進。中國工程院院士、中科院計算所研究員倪光南表示，參照發達國家，一個國家的網絡空間戰略應是一個體系，它包括國際、國內戰略和用以支撐的一系列法規、相應的組織機構等。中國在這方面起步遲，顯然需要有一個逐步完備的過程。但重要的是，在十八大提出的關注網絡空間安全的號召指引下，中國網絡空間安全將進入一個新階段，在這個領域中國一定會迅速地追趕發達國家。”中國工程院院士李國杰認為，大數據對信息安全來講增加了一個新的維度，其更加重視數據本身的安全，因為數據一旦被破壞以后，就不能恢復。因此大數據如何通過立法，通過各種手段真正保護個人的隱私，這是國家需要高度重視的一個新的安全問題。所以只有保證數據分析者獲得數據合法性以及數據的安全性，才能確保大數據是對我們發展有利的。

實際上，中國確實已經開始著手相關的工作。比如去年12月，工信部信息安全協調司發表消息稱，推進國家信息安全戰略出臺，已經成為該司2013年的首要工作。安全協調司將在2013年研究建立信息安全審查和重要信息技術產品信息安全檢測制度，并組織開展云計算、物聯網、移動互聯等安全技術研究和標準制定。

2013年1月，十一屆全國人大常委會第三十次會議審議了加強網絡信息保護的決定的草案；同期在全國工業和信息化工作會議上，工信部部長苗圩也明確將“大力推進信息化發展，切實保障網絡信息安全”作為2013年的重要任務，并從打造產業價值鏈、強化頂層設計和統籌規劃、加強法律及標準研究制定、加強基礎設施與技術手段體系化建設等六個方面進行了闡述。

另外，國家的《政府采購法》也對國內廠商的支持做出了明示。前幾年洋品牌長驅直入中國的IT市場，然而美國卻多次發難在美國開展業務的中國企業引起了中國政府的警覺。目前，國家正在加大資金投入和政策支持力度，快速推進具有自主產權的高質量網絡信息安全設備、系統或服務等產品的研發，未來將形成中國獨立自主的信息產業。未來中國很有可能對相關行業立法，以保證在重要行業部門使用的IT設備上盡快實現完全國產化，確保在未來的信息安全博弈中獲得勝利。

而隨著大數據、云計算等技術的進一步發展，越來越多的大數據將出現云端，并在各行各業中發揮作用，但是互聯網的無國界性也使得全球化的網絡犯罪更容易實施。如何保護和適度利用這些大數據，是國家、社會和產業界需要共同面對一個問題。而在國家層面，中國不僅要打造具有自主知識產權的軟硬件產業鏈，還要積極參與跨國性網絡保密技術標準與法律規定的制定，參與網絡信息安全國際合作。“數據安全”也將會成為國家新的建設方向。