美國“量子”項(xiàng)目敲響it供應(yīng)鏈管理系統(tǒng)警鐘

申請免費(fèi)試用、咨詢電話：400-8352-114

　　“上網(wǎng)不涉密、涉密不上網(wǎng)”是我國確保敏感信息安全的底線，但最近曝出的美國“量子”項(xiàng)目顯示，離線計(jì)算機(jī)也不再安全。據(jù)《紐約時(shí)報(bào)》2014年初報(bào)道，美國國家安全局（nsa）借助“量子”項(xiàng)目在it供應(yīng)鏈管理系統(tǒng)環(huán)節(jié)向重點(diǎn)目標(biāo)植入惡意軟硬件，并據(jù)此與互聯(lián)網(wǎng)或鄰近接收裝置建立連接，竊取和收集目標(biāo)中的重要、敏感信息。據(jù)悉，nsa已入侵近10萬臺電腦，包括俄羅斯軍方、歐盟貿(mào)易機(jī)構(gòu)以及中國軍隊(duì)等。“量子”項(xiàng)目以美國強(qiáng)大的it產(chǎn)業(yè)為基礎(chǔ)，將網(wǎng)絡(luò)攻擊前置于芯片設(shè)計(jì)、產(chǎn)品生產(chǎn)、商品流通等供應(yīng)鏈管理系統(tǒng)環(huán)節(jié)，具有更強(qiáng)的隱蔽性。

　　2014年以來，斯諾登事件呈現(xiàn)出愈演愈烈之勢，在新近曝光的諸多機(jī)密信息中，美國國家安全局（nsa）的絕密“量子”項(xiàng)目（quantum）引起廣泛關(guān)注。據(jù)2014年1月14日《紐約時(shí)報(bào)》報(bào)道，nsa早在2008年就開始啟動該項(xiàng)目，通過植入間諜軟硬件，其能夠監(jiān)控目標(biāo)計(jì)算機(jī)的一舉一動，并能夠借助事先安裝在電腦中的微電路板、usb連接線等裝置發(fā)送的秘密無線電波傳遞情報(bào)，從而達(dá)到監(jiān)控離線計(jì)算機(jī)的目的。除通過傳統(tǒng)間諜手段安裝外，這些裝置更多的是在生產(chǎn)或流通階段被惡意植入，具有極強(qiáng)的隱秘性。據(jù)披露，中國軍方是“量子”項(xiàng)目的主要目標(biāo)之一，美國已經(jīng)在中國境內(nèi)設(shè)立了兩處數(shù)據(jù)中心，專門用于給電腦植入惡意軟硬件?！傲孔印表?xiàng)目改變了網(wǎng)絡(luò)攻擊的根本模式，其攻擊行為早在芯片設(shè)計(jì)、產(chǎn)品生產(chǎn)、商品流通等供應(yīng)鏈管理系統(tǒng)環(huán)節(jié)就已經(jīng)展開。

　　“量子”項(xiàng)目的內(nèi)容

　　監(jiān)控在線和離線目標(biāo)。在“量子”項(xiàng)目中，nsa能夠通過互聯(lián)網(wǎng)給電腦安裝間諜軟件，也能夠在電腦生產(chǎn)和流通環(huán)節(jié)植入電路板和usb等硬件，而后使用一種名為“高科技廣播頻率技術(shù)”，通過秘密無線電信號對在線和離線目標(biāo)實(shí)現(xiàn)監(jiān)控。nsa用來接收信息的中繼設(shè)備代號為“床頭柜”，其可以被放在大號行李箱中以移動的方式接收13公里內(nèi)的無線信號，在nsa和監(jiān)控目標(biāo)間承擔(dān)“橋梁”角色。這樣，無論監(jiān)控目標(biāo)聯(lián)網(wǎng)與否，nsa都能夠?qū)ζ溥M(jìn)行監(jiān)控。據(jù)披露，在對伊朗核電站實(shí)施網(wǎng)絡(luò)入侵時(shí)，nsa正是使用了上述設(shè)備成功在近千臺離心機(jī)中安裝了廣為人知的“震網(wǎng)”病毒。

　　發(fā)動網(wǎng)絡(luò)攻擊?！傲孔印表?xiàng)目開發(fā)了包括dns（域名系統(tǒng)）和http注入式攻擊等在內(nèi)的一系列網(wǎng)絡(luò)攻擊工具，這些工具能夠借助“量子”項(xiàng)目操控基于irc和http的犯罪僵尸網(wǎng)絡(luò)，其中關(guān)聯(lián)數(shù)據(jù)庫管理系統(tǒng)mysql插件工具能夠讓nsa篡改第三方數(shù)據(jù)庫內(nèi)容。據(jù)披露，nsa已經(jīng)實(shí)施了高達(dá)10萬次“全球范圍的植入”，已經(jīng)正如《紐約時(shí)報(bào)》所說，借助“床頭柜”等中繼設(shè)備，nsa構(gòu)建了一條“發(fā)動網(wǎng)絡(luò)攻擊的數(shù)字高速公路”，能夠隨時(shí)對在線或離線目標(biāo)發(fā)動網(wǎng)絡(luò)攻擊。

　　設(shè)置網(wǎng)絡(luò)陷阱。“量子”項(xiàng)目覆蓋范圍非常廣，其中名為quantumdefense的子項(xiàng)目通過設(shè)置網(wǎng)絡(luò)陷阱對國防部門遭遇的網(wǎng)絡(luò)攻擊進(jìn)行分析、溯源和反制，以加強(qiáng)對美國重要系統(tǒng)和網(wǎng)絡(luò)的防護(hù)能力。在該項(xiàng)目中，nsa對訪問美國國防部ni-prnet網(wǎng)絡(luò)地址的dns請求進(jìn)行監(jiān)控，通過給數(shù)據(jù)包注入虛假的dns請求，將攻擊者引向nsa所控制的網(wǎng)站，并采用技術(shù)手段定位攻擊來源。目的是留存其遭到網(wǎng)絡(luò)攻擊相關(guān)證據(jù)，以證明自己是網(wǎng)絡(luò)攻擊受害方，為美國政府外交爭取主動權(quán)。

　　“量子”項(xiàng)目反映了美國在it供應(yīng)鏈管理系統(tǒng)的壟斷地位

　　美國借助it產(chǎn)業(yè)優(yōu)勢布控全球。從整體來看，美國毫無疑問是當(dāng)今信息技術(shù)（it）產(chǎn)業(yè)第一強(qiáng)國，其在芯片、計(jì)算設(shè)備、網(wǎng)絡(luò)設(shè)備等領(lǐng)域的核心競爭優(yōu)勢突出。美國出口的電子產(chǎn)品往往預(yù)埋漏洞、后門，其情報(bào)機(jī)關(guān)能夠通過這些產(chǎn)品上的后門進(jìn)行網(wǎng)絡(luò)入侵和情報(bào)竊取?！傲孔印表?xiàng)目也不例外，其采用的間諜硬件往往在制造階段就已經(jīng)植入到電腦中，用戶難以發(fā)現(xiàn)。此外，美國建立了完善的硬件漏洞共享機(jī)制，情報(bào)部門會首先最大化地利用被發(fā)現(xiàn)的漏洞，之后才會對外公開。

　　it企業(yè)成為美國監(jiān)控全球的“先鋒”。思科、英特爾、微軟等超級it企業(yè)與美國政府的合作關(guān)系非常緊密，這些企業(yè)已經(jīng)成為美國監(jiān)控全球的“急先鋒”?！袄忡R門”事件顯示，nsa等美國政府和情報(bào)部門可直接接入微軟、谷歌、facebook、蘋果等9家美國it企業(yè)中心服務(wù)器，挖掘數(shù)據(jù)、搜集情報(bào)、全面監(jiān)控民眾的網(wǎng)絡(luò)行為。斯諾登披露的“量子”項(xiàng)目資料顯示，美國已通過個(gè)別企業(yè)在中國設(shè)立了兩個(gè)數(shù)據(jù)中心，以方便情報(bào)機(jī)構(gòu)將惡意軟件植入中國的目標(biāo)電腦。

　　產(chǎn)品流通環(huán)節(jié)成為美國情報(bào)部門關(guān)注重點(diǎn)。早在1997年，nsa就設(shè)立了名為“定制入口行動辦公室”（tao）的黑客部門。德國《明鏡》周刊在2013年12月29日的爆料顯示，tao在掌握目標(biāo)人物的網(wǎng)購信息后，攔截運(yùn)送途中的電腦、硬盤、路由器等電子產(chǎn)品，并對這些產(chǎn)品的硬件做手腳，然后通過這些硬件后門對目標(biāo)人物進(jìn)行實(shí)時(shí)監(jiān)控。被安裝后門的電子產(chǎn)品包括思科、三星、戴爾、西部數(shù)據(jù)等知名品牌。秘密文件顯示，在過去10年里，tao成功地進(jìn)入到了89個(gè)國家的258個(gè)目標(biāo)，僅在2010年就實(shí)施了279次網(wǎng)絡(luò)入侵行動，幾乎觸及世界上的每個(gè)地方。

　　“量子”項(xiàng)目折射出我國嚴(yán)峻的it供應(yīng)鏈管理系統(tǒng)安全形勢

　　國際it供應(yīng)鏈管理系統(tǒng)安全風(fēng)險(xiǎn)突出。電子產(chǎn)品的構(gòu)成日益復(fù)雜，一件產(chǎn)品的配件可能來自不同的國家和廠商，一套復(fù)雜軟件系統(tǒng)可能由不同地方的人員共同設(shè)計(jì)完成，因此信息安全已經(jīng)成為全供應(yīng)鏈管理系統(tǒng)安全問題，任何一個(gè)環(huán)節(jié)都可能引入后門或漏洞，極大地增加了信息安全的防護(hù)難度。以芯片設(shè)計(jì)為例，芯片在設(shè)計(jì)過程中就可能存在有意的“漏洞”，隨著芯片復(fù)雜程度的提高和設(shè)計(jì)團(tuán)隊(duì)的全球化，在其中插入后門的風(fēng)險(xiǎn)也在逐漸增加。正如2013年11月布魯金斯學(xué)會johnvillasenor教授所說，“惡意芯片等硬件產(chǎn)品已經(jīng)成為信息系統(tǒng)、設(shè)備、產(chǎn)品預(yù)埋后門和漏洞的主要途徑”。

　　國內(nèi)it供應(yīng)鏈管理系統(tǒng)基礎(chǔ)薄弱。我國it產(chǎn)業(yè)起步較晚，包括技術(shù)、產(chǎn)品、企業(yè)等在內(nèi)的it供應(yīng)鏈管理系統(tǒng)各環(huán)節(jié)與發(fā)達(dá)國家存在較大差距。一是it技術(shù)相對落后，一直在“跟隨”國外先進(jìn)技術(shù)發(fā)展；二是it產(chǎn)品缺乏競爭優(yōu)勢，芯片、微型處理器等基礎(chǔ)硬件產(chǎn)業(yè)與國外存在代差，高端電子產(chǎn)品競爭力弱；三是it企業(yè)還未形成規(guī)模，我國it企業(yè)國際化步伐緩慢，市場主要集中在亞非拉地區(qū)，難以撼動美國等發(fā)達(dá)國家的it市場壟斷地位。

　　it產(chǎn)業(yè)鏈路徑依賴積重難返。我國政府、金融、電力等關(guān)鍵領(lǐng)域的信息系統(tǒng)嚴(yán)重依賴國外技術(shù)產(chǎn)品。在基礎(chǔ)網(wǎng)絡(luò)領(lǐng)域，思科占據(jù)了我國骨干通信網(wǎng)絡(luò)設(shè)備70%~80%的市場份額，把持了幾乎所有超級核心節(jié)點(diǎn)和國際交換節(jié)點(diǎn)；在金融領(lǐng)域，70%以上的路由器等網(wǎng)絡(luò)產(chǎn)品來自思科、80%以上的服務(wù)器來自ibm。一直沿用國外的信息系統(tǒng)架構(gòu)，導(dǎo)致我國各領(lǐng)域信息系統(tǒng)對國外硬件產(chǎn)品存在路徑依賴。在這種情況下，即便某些國產(chǎn)it產(chǎn)品性能足夠優(yōu)異，但仍無法很好地應(yīng)用于現(xiàn)有it體系中，這嚴(yán)重阻礙著我國it產(chǎn)業(yè)國產(chǎn)化替代進(jìn)程。

　　加強(qiáng)我國it供應(yīng)鏈管理系統(tǒng)安全的對策建議

　　加強(qiáng)硬件安全技術(shù)研發(fā)。與傳統(tǒng)病毒、木馬不同，惡意硬件更加隱蔽，一些硬件后門以邏輯漏洞的形式直接存在于被封裝好的芯片中，其惡意功能只在特定條件下才會觸發(fā)，難以通過常規(guī)檢測手段檢測出。為此，一是應(yīng)開展針對性的硬件安全檢測，重點(diǎn)檢查“量子”項(xiàng)目中涉及的電路板和usb接口等軟硬件模塊；二是應(yīng)盡快匯集惡意硬件信息并建立漏洞庫，對已知惡意硬件進(jìn)行梳理和分析，找出其結(jié)構(gòu)特征、觸發(fā)條件等關(guān)鍵信息，提出預(yù)防、封堵硬件漏洞的普適性方法；三是應(yīng)加快開發(fā)惡意硬件監(jiān)控工具，以便在惡意硬件觸發(fā)后能夠及時(shí)發(fā)現(xiàn)。

　　加速打造自主可控的產(chǎn)業(yè)生態(tài)體系。全球化趨勢下it供應(yīng)鏈管理系統(tǒng)安全已經(jīng)成為軟硬件安全的首要風(fēng)險(xiǎn)，只有使用可控的硬件才有可能做到可靠，自主可控的產(chǎn)業(yè)體系是確保it供應(yīng)鏈管理系統(tǒng)安全乃至國家網(wǎng)絡(luò)和信息安全的基礎(chǔ)和前提。

　　加大資金支持力度，優(yōu)化支出模式。改變資金支持方式，由給資金、先補(bǔ)助改為促應(yīng)用、后補(bǔ)助的方式，同時(shí)通過科學(xué)評估，集中優(yōu)勢資源對重點(diǎn)企業(yè)進(jìn)行集中支持；合理引導(dǎo)，引入社會基金等資金的投入，最大限度地整合政、產(chǎn)、學(xué)、研、用各界資源，發(fā)揮集中力量辦大事的制度優(yōu)勢，實(shí)現(xiàn)國產(chǎn)芯片、微處理器、操作系統(tǒng)在易用性、可靠性和安全性上的突破。

　　全力推動國產(chǎn)軟硬件產(chǎn)品的應(yīng)用。加大政策扶持力度，鼓勵(lì)和扶助國內(nèi)電子產(chǎn)品廠商優(yōu)先采用國產(chǎn)硬件，要求新建的重要網(wǎng)絡(luò)和信息系統(tǒng)采用國產(chǎn)產(chǎn)品；加大對網(wǎng)絡(luò)和信息系統(tǒng)整體架構(gòu)研究力度，采取斷然措施，設(shè)定時(shí)間表，建立中國自己的架構(gòu)體系，打破制度、技術(shù)、產(chǎn)品和人員等方面的路徑依賴。

　　盡快建立進(jìn)口it產(chǎn)品審查和檢測制度。近年來，進(jìn)口it產(chǎn)品不斷被曝存在后門，盡管廠家一再宣稱這些只是設(shè)計(jì)漏洞，但對于大量使用進(jìn)口it產(chǎn)品的我國而言，這些所謂的“設(shè)計(jì)漏洞”已經(jīng)成為對我國進(jìn)行窺探的后門。應(yīng)盡快建立進(jìn)口it產(chǎn)品信息安全審查和檢測制度。對我國航空航天、石油石化等重點(diǎn)領(lǐng)域正在使用的進(jìn)口it產(chǎn)品進(jìn)行信息安全檢測，發(fā)現(xiàn)和封堵漏洞；建立進(jìn)口it產(chǎn)品國家安全審查制度，對涉及國計(jì)民生的重要設(shè)備，在進(jìn)口時(shí)應(yīng)充分評估其信息安全風(fēng)險(xiǎn)，審查通過后方能采購。

　　強(qiáng)化國外企業(yè)在華業(yè)務(wù)的監(jiān)管。為避免“棱鏡門”事件再次上演，應(yīng)加強(qiáng)對思科、英特爾、微軟等國外it企業(yè)在華業(yè)務(wù)的管理。一方面，盡快制定it企業(yè)收集、處理、保護(hù)數(shù)據(jù)和信息的有關(guān)法律，建立相關(guān)的標(biāo)準(zhǔn)制度，對數(shù)據(jù)和信息的跨境流動做出限制性規(guī)定；另一方面，明確國外it企業(yè)在國內(nèi)提供產(chǎn)品、技術(shù)和服務(wù)時(shí)的責(zé)任和義務(wù)，防范國外企業(yè)對我國互聯(lián)網(wǎng)的窺探。