就构成网络安全的基本技术层面而言,我国目前使用的网络基础安全技术都是美国政府和企业主导开发的,比如保证网络安全连接和数据安全传输的网络安全协议技术;银行网银使用的认证技术和签名技术。大量这类未经严格技术审查的基础安全技术,广泛应用在我国的基础网络和重要信息系统中。有些技术在近些年陆续被验证有重大安全漏洞,如近期曝光的“SSL心脏出血漏洞”等,对我国政府、企事业单位和广大网民造成极大的网络威胁和安全隐患;斯诺登披露的文件也显示出,美国国家安全局等情报机构正是利用IPSec、SSL等技术漏洞设置后门和实施网络监控的。
这些网络基础安全技术在技术方案本身及其工程实现的软件代码层面,均存在严重的“漏洞”。这些“漏洞”很大程度上是蓄意为之。这些漏洞不同于普通应用软件和网络设备中的“后门”,其影响范围之广、危害程度之深超出想象。技术方案层面的漏洞能够通过产业链逐级传递,好比种子有毒,从麦子到面粉到馒头,全产业链都受到污染。因此,解决网络安全核心技术问题,需从网络安全协议等网络基础安全技术这一国家战略资源抓起。
这一问题的重要性在中美之间围绕WAPI标准长达十余年的博弈中可见一斑:中国推出自主可控的网络安全协议技术标准WAPI之后,美国3位内阁部长联名致信我国政府,并连续在中美贸易谈判中施压,要求中国放弃WAPI标准,背后深层的原因是美国认识到在产业链源头掌握基础安全技术控制力的重要性及战略意义。
从技术源头保证网络安全的自主可控,才能从根本上加强我国网络安全的纵深防御能力。因此,网络安全审查制度的贯彻落实须从产业链源头抓起,除了要对计算机、服务器、路由器等计算机网络设备及其操作系统和应用软件行审查之外,还要加强对网络安全协议等基础安全技术的审查规制。(作者:曹军 无线网络安全技术国家工程实验室主任、中国计算机行业协会副会长)
