本帖最后由 guohanchen21 于 2012-12-4 22:01 编辑
数据显示中国网络信息安全受思科等美企威胁 2012-11-27 11:29:16.0 来源:中国经济和信息化 p> 这引发了行业大范围反思。在某门户网站的网络调查中,超过七成网民认为,我国电信部门在关键设备上如果过度使用国外产品将带来安全问题。 事故发生后,思科对外表态称此事件“不说明思科产品存在安全隐患”,更矢口否认思科控制了骨干网络,仅认为这是一起孤立事件。 但事实证明这起曾引发业界警醒的事件并非偶然。自2011年至今的两年时间内,全国各地因为思科“设备故障”引发的通信事故密集上演。2011年初,厦门电信城域网使用的思科设备经常出现下挂IPTV业务异常问题,平均每两周出现一次,故障很难定位。 与此前一样,思科一再辩称设备不存在问题。但经专家多次研究分析,确认思科设备出现错误,思科才被迫承认该设备存在“技术漏洞”,并直至2011年6月27日才提供了新的软件版本解决。 此外,上海联通、沈阳联通城域网及辽宁联通等都因为思科的某些设备出了问题而影响正常运行。 究竟是纯粹的技术漏洞,还是另有玄机?坊间莫衷一是。值得注意的是,即便是纯粹的技术问题,思科在国外的处理态度也与国内截然不同:2004年一个外国互联网聊天室中展示了思科公司主要网络设备操作系统的部分源代码。随后思科公开证实该源代码档案确实是属于思科所有,但至于是否因为网络遭外人入侵导致专属源代码外流,思科旋即对外界发表声明,称公司已全力调查源代码外泄一事。 本刊记者调查得知,在业界主流的通信设备操作系统中,思科的操作系统上存在着不安全的明文密码系统、低级的加密算法、协议设计方面的安全漏洞。以思科在我国应用非常广泛的成熟产品CISCO7600业务路由器为例,某电信运营商由于业务发展需要进行扩容,在对设备进行版本升级时,工作人员发现,思科工程师在思科设备上配置了一个账号的密码后,用键盘就可以调出已配置的密码,而且该密码采用明文显示,根本没有安全性可言。 在明文密码外,密码后门更加受到运营商关注。因为这意味着整个系统和网络都可能处于他人的控制之下,其带来的后果不堪设想。 2010年,在信息安全领域颇具知名度的“黑帽安全技术大会”上,IBM互联网安全系统公司的研究人员发现,黑客可轻易地利用思科操作系统中的后门,在忘记密码的情况下,通过恢复系统的出厂配置进入操作系统,对路由器进行管理配置。在特殊模式下加载一个新的路由器软件大包,就可以改变路由器之前的功能。 如果这个新加载的软件大包被恶意篡改过,植入了新的软件程序或者逻辑炸弹,一旦系统重新启动,单台设备、整个网络、全网应用都将存在不可预知的安全风险。 断网、后门、明文密码,未来一旦战争爆发,使用了思科设备的中国几大核心领域的信息安全,将如纸糊一般脆弱。 思科大中华区总裁兼首席执行官 陈仕伟 思科把持中国信息系统中枢? 由于美国在软件上的绝对优势,美国政府能够决定所有软件如不设有木马程序则禁止出口。当计算机内出现具有“与美国开战”字样的文件或有其它外界的触发时,这些隐藏的程序就会被激活,其结果可以是格式化计算机硬盘或将用户电脑里的文件发给美国中央情报局。 ——1997年,美国乔治·华盛顿大学网域空间政策研究所学者RetoE.Haeni《信息战导论》 与众多中国企业在美国遭到封杀形成鲜明对比的是,以思科为代表的美国“八大金刚”在华长驱直入,中国几乎丝毫不设防。在关系到国计民生的信息技术关键基础设施,也大多应用美国的技术和产品。这不得不引发对我国信息安全现状的反思和忧虑——在西亚北非的政局动荡中,谷歌等网络公司正在扮演非常重要的角色。 而在中国,此类企业的典型代表非思科莫属。 思科进入中国后发展顺风顺水,国内各级政府对思科几乎没有设置任何门槛,并且在很多方面可以享受超国民待遇。这让本就实力强大的思科如鱼得水。 目前思科在中国拥有员工超过4000人,分别从事销售、客户支持和服务、研发、业务流程运营和IT服务外包、思科融资及制造等工作。思科在中国设立了12个业务分支机构,并在上海建立了一个大型研发中心。 思科的旗帜已经插遍了国内几大领域的核心企业,其客户名单中包括中国国家金融数据通信骨干网、中国电信、中国联通、中石化、中国人民银行、北京市政府等众多央企及政府部门。 《中国经济和信息化》记者调查发现,中国骨干网络几乎被思科产品全面占据。中国电信163和中联通169承担了中国互联网80%以上的流量,思科占据了中国电信163骨干网络约73%的份额,把持了163骨干网所有的超级核心节点和绝大部分普通核心节点。从169网来看,思科占据了中国联通169骨干网约81%的份额。Internet骨干网络是公众因特网的核心,所有的数据都要经过骨干网进行转发,Internet骨干网络的安全性是电信行业的重中之重。 除电信行业外,思科在其他领域也处于垄断地位。据互联网实验室出具的数据显示,在金融行业,中国四大银行及各城市商业银行的数据中心全部采用思科设备,思科占有了金融行业70%以上的份额;在海关、公安、武警、工商、教育等政府机构,思科的份额超过了50%;在铁路系统,思科的份额约占60%;在民航,空中管制骨干网络全部为思科设备;在机场、码头和港口,思科占有超过60%以上的份额;在石油、制造、轻工和烟草等行业,思科的份额超过60%,甚至很多企业和机构只采用思科设备;在互联网行业,腾讯、阿里巴巴、百度、新浪等排名前20的互联网企业,思科设备占据了约60%份额,而在电视台及传媒行业,思科的份额更是达到了80%以上。 而在这长长的名单背后,思科的扩张仍在继续。互联网实验室创始人方兴东说:“思科把持着中国经济的神经中枢。有冲突出现时,中国没有丝毫的抵抗能力。” 思科之所以能如此快速扩张,得益于中国地方政府的“不设防”甚至是欢迎的态度。思科CEO钱伯斯在2007年11月宣布的对华160亿美元的投资正在发酵:它被拆解为与相关部门的若干备忘录、新的供应链体系、50家被投资公司和一支针对创业公司与小型公司的风险投资基金、250家新开设的思科网络学院,以及和成都的“智能城市框架协议”。 但多位安全专家也对《中国经济和信息化》表示,思科潜在的网络安全隐患,正在对中国政府公共事业、金融、石油化工和军工等敏感领域的安全造成威胁。这些潜在的安全隐患,一旦变成事实,将给中国国家安全带来不可想象的损害。 即便是有如此严重的安全隐患,思科仍能在中国众多关键领域获取如此多得市场份额,除了思科近20年来在中国的企业经营之外,另外一个原因则是中国相关法律法规还不够健全。 中欧陆家嘴国际金融研究院副院长刘胜军认为,由于GDP至上的发展思路,地方政府日益“公司化”,热衷于招商引资,大搞基础设施建设,甚至涉足投资等领域。显而易见跨国公司因为先天的优势能为地方政府提供其所需要的拉动GDP的必然动力,所以在招商引资时其难免会向跨国公司倾斜,甚至不计后果地给予更多的照顾。 中国工程院院士倪光南表示,在政府采购、公共采购上,现阶段可以参考的法律是2001年的《政府采购法》和《招标投标法》,但是两部法律对政府采购国产化产品的界定比较模糊。 倪光南认为,在过去的时间里,国内对网络安全问题重视的高度不够,这也造成了在基础设备采购上,思科在国家的系统,央企的系统中占了太多的份额。要约束思科,就要在公共采购时增强信息主权的意识,有效地保障信息主权。 |