“漏洞”和“后門(mén)”對(duì)于軟件來(lái)說(shuō)與生俱來(lái)。所謂軟件“漏洞”是設(shè)計(jì)者由于考慮不周而無(wú)意產(chǎn)生的一點(diǎn)錯(cuò)誤。要做到軟件無(wú)漏洞幾乎是不可能的。而軟件“后門(mén)”則是設(shè)計(jì)者有意植入的，設(shè)計(jì)者為了達(dá)到某種目的刻意隱蔽在軟件里。但一旦被利用，二者起到的作用是一樣的。
美國(guó)的愛(ài)國(guó)者法，以法律的名義要求所有的大企業(yè)必須和政府合作，全方位的為政府提供情報(bào)。就是說(shuō)這種行為是合法的，并且是義務(wù)。美國(guó)有上千家公司，都是以伙伴的關(guān)系為政府提供消息。這其中八大金剛（微軟、思科、IBM、英特爾、Oracle、高通、Google、蘋(píng)果）名列榜首，并且這些公司的主要負(fù)責(zé)人就是美國(guó)政府的安全顧問(wèn)和總統(tǒng)智囊人物，深刻地影響著美國(guó)國(guó)家戰(zhàn)略。
在信息領(lǐng)域，我國(guó)是一個(gè)后進(jìn)國(guó)家，外國(guó)大型的先進(jìn)的軟硬件產(chǎn)品還無(wú)可替代。而在世界經(jīng)濟(jì)一體化，專業(yè)分工國(guó)際化的時(shí)代背景下，彎道超車(chē)只是一種愿望。我們還不能做到設(shè)計(jì)鏈、生產(chǎn)鏈、服務(wù)保障鏈等等所有的環(huán)節(jié)全都在自己手里。而從安全的角度來(lái)說(shuō)，只有完全掌握這些環(huán)節(jié)，你才擁有完整的安全鏈。以設(shè)計(jì)鏈為例，軟件開(kāi)發(fā)用的是什么設(shè)計(jì)工具、誰(shuí)的系統(tǒng)、誰(shuí)的編譯器、調(diào)試工具、誰(shuí)的上傳、誰(shuí)的發(fā)布？這么多環(huán)節(jié)不可能都是自主可控的。美國(guó)政府就公開(kāi)承認(rèn)，沒(méi)有能力完全掌握安全鏈，更別說(shuō)其他國(guó)家。
所以，隨著信息化的不斷深入，國(guó)外軟硬件產(chǎn)品的被大量使用，不可避免的落入先進(jìn)國(guó)家的陷阱里，這是發(fā)展的必經(jīng)之路。并且隨著云計(jì)算、大數(shù)據(jù)等等信息技術(shù)的應(yīng)用，整個(gè)社會(huì)信息化的提高，這個(gè)陷阱會(huì)越來(lái)越深。只是我們過(guò)去是“鴕鳥(niǎo)”，不愿意承認(rèn)這個(gè)問(wèn)題。
更為嚴(yán)重的是，如果說(shuō)過(guò)去還是軟件攻擊時(shí)代，那么現(xiàn)在已到了硬件攻擊時(shí)代。美國(guó)的“震網(wǎng)”和“火焰”警鐘震耳發(fā)聵，安全問(wèn)題不寒而栗。要阻止軟件攻擊已經(jīng)很難，而要阻止硬件攻擊更是難如登天。
僅以半導(dǎo)體為例，芯片制造已到了18納米階段。這意味著，一個(gè)小小的芯片上可以布置30多億只晶體管。而且現(xiàn)在的生產(chǎn)門(mén)檻越來(lái)越高，一條生產(chǎn)線就幾百億美元，芯片生產(chǎn)的跨國(guó)公司越來(lái)越少。專家表示，芯片從設(shè)計(jì)出來(lái)到生產(chǎn)出來(lái)至少有9大環(huán)節(jié)，這其中還有無(wú)數(shù)軟件環(huán)節(jié)，而這9大環(huán)節(jié)都掌握在美國(guó)三大公司的手中。
所以，即使我們?cè)O(shè)計(jì)出來(lái)了，但是設(shè)計(jì)工具是外國(guó)的，生產(chǎn)制造也要用國(guó)外的。以往我們用6萬(wàn)8千的晶體管設(shè)計(jì)的“六千八”就已經(jīng)很先進(jìn)了，但與幾十億級(jí)別相比是不言而喻的�？上攵�知，幾十億只晶體管的芯片里，誰(shuí)也不敢保證隱藏了什么“利器”。要做一個(gè)幾十萬(wàn)只晶體管組成的“東東”儲(chǔ)放在里面，誰(shuí)能查的出來(lái)？這就產(chǎn)生了一個(gè)信息安全的嚴(yán)重問(wèn)題，以往還只是停留在“0101”的數(shù)據(jù)信息領(lǐng)域，而現(xiàn)在已經(jīng)進(jìn)入了硬件領(lǐng)域，要在PN節(jié)上找問(wèn)題難如登天。美國(guó)的信息安全是單項(xiàng)透明的，只要控制住這幾家公司，只要需要就可以讓利器鉆進(jìn)“心臟”里。
毫無(wú)疑問(wèn)，用物理隔離的辦法保證信息安全已經(jīng)是形同虛設(shè)。此前，美國(guó)對(duì)伊朗的“震網(wǎng)”事件已經(jīng)清楚地說(shuō)明了硬件攻擊的巨大威力。
有信息顯示,某國(guó)官員在我國(guó)訪問(wèn)時(shí)曾經(jīng)“發(fā)飆”稱，十分鐘之內(nèi)可以讓武漢這樣的城市“癱瘓”！試想現(xiàn)在世界上除了“核彈”可以在10分鐘內(nèi)癱瘓一個(gè)千萬(wàn)級(jí)人口的大城市之外，還有什么武器能做到這一點(diǎn)？這從另一個(gè)方面說(shuō)明對(duì)中國(guó)有絕對(duì)的信息優(yōu)勢(shì)，這并不是吹牛說(shuō)大話。
在美國(guó)只要是被認(rèn)定為高技術(shù)企業(yè)，那么該公司的技術(shù)出口必須得到國(guó)防部和商務(wù)部的批文。不僅如此，除了法律體系的保障之外，美國(guó)還成立了網(wǎng)絡(luò)戰(zhàn)司令部，締造大批網(wǎng)絡(luò)部隊(duì)保護(hù)網(wǎng)絡(luò)國(guó)家主權(quán)。很顯然，信息安全已經(jīng)成為美國(guó)的頭等國(guó)家戰(zhàn)略大事。
而這些與我國(guó)的實(shí)際狀況形成了鮮明的對(duì)比。至今我國(guó)還沒(méi)有出臺(tái)“通訊法”，也沒(méi)有建立相應(yīng)的明確審查制度，沒(méi)有在國(guó)家級(jí)層面上建立的權(quán)威國(guó)家組織機(jī)構(gòu)來(lái)協(xié)調(diào)部委之間、政府和軍方之間以及國(guó)際間的重大戰(zhàn)略問(wèn)題。我國(guó)軍隊(duì)有海陸空部隊(duì)，還沒(méi)有建立網(wǎng)絡(luò)部隊(duì)，更沒(méi)有類似“網(wǎng)絡(luò)司令部”的組織機(jī)構(gòu)。
放眼望去，如果沒(méi)有一支強(qiáng)有力的網(wǎng)絡(luò)部隊(duì)來(lái)保證國(guó)家安全，那么，“核彈”的威脅到底有多大，是不是一個(gè)大問(wèn)號(hào)值得探討。事實(shí)上，正是這種組織結(jié)構(gòu)上的缺失，導(dǎo)致了我國(guó)信息領(lǐng)域的被動(dòng)局面一直沒(méi)有被打破。
更嚴(yán)重的是,在我國(guó)的信息化過(guò)程種中，關(guān)鍵技術(shù)應(yīng)用被美國(guó)“IT八大金剛”牽制著，關(guān)鍵行業(yè)如通訊、金融、電力等核心信息系統(tǒng)有90%以上在使用國(guó)外產(chǎn)品。美國(guó)八大金剛不僅控制了中國(guó)信息安全的軀體、心臟和大腦，而且還控制了中國(guó)信息安全的中樞神經(jīng)，用“赤身裸體”來(lái)形容并不過(guò)分。
安全就是安全，不能和GDP掛鉤。到底應(yīng)該如何保障國(guó)家基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng)的安全？在新的技術(shù)路徑和體系建立上，我國(guó)亟待建立強(qiáng)而有力的“國(guó)家隊(duì)”來(lái)主導(dǎo)信息安全。來(lái)源科技日?qǐng)?bào))