尽管在技术上,通过路由器来危害网络安全是可能的,但在实际中,“留后门”的做法是得不偿失的。走纯商业化道路的华为,没有理由在这方面做手脚。中国在电信设施的建设方面,展现了足够宽松和开放的姿态,但另一方面也显得缺乏清晰的安全意识与防范措施
网络安全:贸易战的技术解读
本刊记者/钱炜
当地时间10月8日,美国众议院情报委员会公布了针对中国电信企业华为和中兴“可能对美国带来安全威胁”的调查报告。
10月17日,美国政府发布的最新调查报告则显示,并没有可靠的证据证明华为在为中国政府从事间谍活动。但该报告仍认为,华为存在“危害美国国家安全”的可能,并建议美国公司不使用华为生产的重要电信设备。
贸易壁垒下的“后门阴谋”
作为一家电信设备供应商,华为最主要的产品就是路由器。路由器如何能“危害国家安全”呢?对此,网络安全专家、中国工程院院士方滨兴在接受《中国新闻周刊》专访时指出,“美国这样做所依照的逻辑,实际上是以己推人,他们认为华为的产品会留有‘后门’。”
1997年,美国乔治·华盛顿大学网域空间政策研究所的学者Reto E. Haeni在《信息战导论》一书中写道:由于美国在软件上的绝对优势(如windows、UNIX操作系统),美国政府,或者你可以想象到的其它部门,能够决定所有软件如不设有特洛伊木马程序则禁止出口。当计算机内出现具有“与美国开战”字样的文件或有其它外界的触发时,这些隐藏的程序就会被激活,其结果可以是格式化计算机硬盘或将用户电脑里的文件发给美国中央情报局。
Haeni的这段话,实际上就是美国对网络安全问题保持异常敏感的逻辑依据。方滨兴解释说,一般来说,与电脑软件类似,只要是连在网络上的设备,包括计算机、服务器、路由器等网络上的运行设备,如果留有“后门”,那就会有风险。通过“后门”,可以将网络设备中的信息自动获取,并发送给后台。
实际上,在网络世界“后门”无处不在。而且,“后门”在美国的通信软件等产品中最为常见。比如微软操作系统的“自动更新”功能,正是通过“后门”程序来实现的。几年前,微软在中国对盗版软件实行“黑屏”,就是这方面的极端例子,它所更新的正是黑屏程序,而不是漏洞补丁。
还有智能电网中的远程维护,即在后方控制中心对所有电厂的发电设备运行状况进行实时监控,这也是由“后门”程序来操作的。“只不过,这些‘后门’都是公开的,或告知用户的,或是被用户默许的。这就相当于生产防盗门的厂家在生产的时候给自己多制作了一把钥匙,当生产者有意隐藏、隐瞒他们的这一把钥匙时,钥匙就成了‘后门’。”
尽管在技术上,通过路由器来危害网络安全是可行的,但在实际中,“留后门”这种做法总会暴露,并得不偿失。方滨兴说,上世纪末,有个“奔3CPU序列号事件”,就是英特尔公司在奔腾3芯片中附加了标识CPU个体的序列号,结果被发现了。当时,此事令英特尔名誉受损,其他公司的CPU则趁机挤占了市场。国外还有一家名叫“Rixler”的公司,专门出售微软各款office软件的密码破解程序。而分析他们破解密码的方式可以发现,office是有后门的。再比如,若干年前,美国一家知名公司有一款网络打印机,能将打印过的文件都悄悄复制下来通过网络发送出去。后来,这个打印机的“后门”也被发现了。
可想而知,华为不大可能故意在产品上留有“后门”。因为这样做很难不被发现。“再者,华为路由器的技术体制与美国思科公司的接近,为此思科还与华为打过知识产权的官司。作为技术上仍领先世界的全球最大通信设备生产商,思科应该有足够的能力解剖华为的路由器,就是说,如果华为的路由器有后门,思科公司一定能够分析出来,而不会任其发挥作用。但美国方面(包括思科公司在内)迄今没有给出任何证据,这就说明,华为的路由器没有后门。”方滨兴说。
而美国官员坚持认为华为仍然构成威胁,是因为它可以通过软件更新来窃取通信数据,或者在发生冲突时远程关闭设备。对此,方滨兴说,这也是需要用分析来说话的。如果没有确凿的检测结果,那只能说是一切都是臆测的。
在方滨兴看来,这几年,华为作为民营公司一直坚持走纯商业化道路,谋求在美国上市。因此,在路由器上做手脚,为中国政府从事间谍活动,与它的这一目标不符。
“因此,这更多还是一个贸易战,为竞选而推出的政治战,与技术本身关系不大”。方滨兴说。
思科占据要津:中国亟待安全审查机构
贸易壁垒拿安全说事,也从另一侧面说明了中国产品具有强大的竞争力。即使在美国,思科也难以靠品牌与商业行为将华为排除在市场之外,而只能靠政治手段来排挤竞争对手。
“这对高调倡导自由贸易的美国来说应该是一个讽刺。” 方滨兴说。相比之下,中国的网络安全情况反而堪忧。
实际上,思科在中国一直占有较大的市场份额,拥有庞大的用户群。统计显示,在金融行业,中国四大银行及各城市商业银行的数据中心全部采用思科设备,思科占有中国金融行业70%以上的份额;在海关,公安、工商、教育等政府机构,思科的份额则超过了50%;在铁路,思科的份额达到了60%;在民航,空中管制骨干网络全部为思科设备……
数据和事实表明,迄今为止,中国在电信设施的建设方面,展现了足够宽松和开放的姿态,但另一方面也显得缺乏清晰的安全意识与防范措施。
方滨兴认为,此次美国打击华为,也是为了保护思科公司的利益。虽然思科表示不惜牺牲其在华利益,也要抵制华为,这实际上只是一个口号。“因为它有这个自信,中国的用户不可能因此而放弃使用思科的路由器,而中国目前也没有这样的机构与机制,对进口网络设备与软件进行安全审查并制定贸易管制措施。”
实际上,在中国,国外软件可以用在哪儿、什么地方必须使用国产软件、什么机构除了做好网络安全还需要物理隔离,对于这些问题的管理策略,国内目前还没有机构对此类问题做出统一规定。中国网络安全方面的专家普遍认为,美国政府在维护国家网络安全方面的做法,实际上是值得中国借鉴的。
方滨兴建议说,“中国应尽快成立国家信息安全审查委员会。”