11/28/2012,華為在美國遭遇壁壘，思科卻在中國長驅直入——思科產(chǎn)品已經(jīng)密布在中國各大行業(yè)信息系統(tǒng)的奇經(jīng)八脈的關鍵節(jié)點。中國如何應對潛在的信息安全威脅？中國信息安全審查制度應如何建立？

被西方國家及媒體頻頻指責是安全威脅源的中國，目前正處于一個無形的網(wǎng)絡安全陰影之下。

中國國家互聯(lián)網(wǎng)應急中心抽樣監(jiān)測顯示，2011年有近5萬個境外IP地址作為木馬或僵尸網(wǎng)絡控制服務器，參與控制了我國境內近890萬臺主機，其中有超過99.4%的被控主機，源頭在美國。而仿冒我國境內銀行網(wǎng)站站點的IP也有將近四分之三來自美國。

這組觸目驚心的數(shù)據(jù)，顯示出中國網(wǎng)絡安全的脆弱現(xiàn)狀。中國的信息安全在以思科為代表的美國“八大金剛”（思科、IBM、Google、高通、英特爾、蘋果、Oracle、微軟）面前形同虛設。在絕大多數(shù)核心領域，這八家企業(yè)都占據(jù)了龐大的市場份額。一位在信息安全領域沉浸了20多年的專家稱：“作為全球第二大經(jīng)濟體，中國幾乎是赤身裸體地站在已經(jīng)武裝到牙齒的美國‘八大金剛’面前。”

多位信息安全專家向《中國經(jīng)濟和信息化》表示，在全球范圍內，除美國在信息安全方面采用進攻型策略以外，其他國家都只能防守。而如何防范可能被插進體內的獠牙，國內相關部門應當拿出更多辦法。

而本刊獲得的數(shù)據(jù)顯示，全球有超過九成的網(wǎng)絡戰(zhàn)發(fā)端于美國。而網(wǎng)絡設備正是網(wǎng)絡戰(zhàn)必備的武器。

在此威脅下，已有中國大型央企覺醒。思科在中國的第二大客戶中國聯(lián)通，正在更換已經(jīng)使用的思科網(wǎng)絡設備。中國聯(lián)通及江蘇聯(lián)通向本刊確認稱，截至10月底，中國兩大骨干網(wǎng)之一的China169骨干網(wǎng)江蘇無錫節(jié)點核心集群路由器已搬遷完成，而被“掃地出門”的路由器正是思科的產(chǎn)品。江蘇聯(lián)通綜合部部長向記者證實，此次搬遷是來自中國聯(lián)通總部的統(tǒng)一安排，并不是江蘇聯(lián)通的決定。

中國聯(lián)通還稱，不排除有其他省級公司繼續(xù)棄用思科產(chǎn)品。

這或許是這艘來自美國的通信領域航空母艦在中國第一次遭受挫折。在18年前，它駛入一片荒蕪的中國通信海域大展拳腳，憑借強悍的技術實力與公關能力橫行無阻。

也有專家呼吁，因為承擔著振興國家經(jīng)濟命脈的重任，以央企為代表的大型企業(yè)，應當率先警惕使用思科等產(chǎn)品帶來的潛在安全威脅。

技術漏洞還是另有玄機？

美國與以色列曾經(jīng)借助電腦蠕蟲病毒令伊朗的核設施癱瘓——之所以該病毒具備如此威力，是因為幾乎伊朗每臺電腦都安裝了微軟的 Windows 系統(tǒng)。

在傳統(tǒng)的四大戰(zhàn)爭空間之外，越來越多的國家將目光投向網(wǎng)絡空間。美國總統(tǒng)奧巴馬已經(jīng)任命微軟的前安全總管霍華德·施密特作為網(wǎng)絡安全總指揮。五角大樓甚至成立了一個新的網(wǎng)絡司令部，擔任領導的是國家安全局局長基思·亞歷山大將軍，他的任務是保衛(wèi)美國的軍事網(wǎng)絡和攻擊他國的系統(tǒng)。

值得注意的是，美國大打信息戰(zhàn)之后，在美國本土以質量牢靠著稱的思科在中國開始問題頻發(fā)。

資料顯示，2005年7月12日，承載著超過200萬用戶的北京網(wǎng)通ADSL和LAN寬帶網(wǎng)，突然同時大面積中斷。根據(jù)事后統(tǒng)計，此次事故影響了至少20萬北京網(wǎng)民。最初有消息將矛頭指向網(wǎng)通員工操作失誤，隨后北京網(wǎng)通負責人公開澄清稱此次事故主要原因是互聯(lián)網(wǎng)路由器出現(xiàn)問題。而肇事的服務器，正是思科提供的設備。

這引發(fā)了行業(yè)大范圍反思。在某門戶網(wǎng)站的網(wǎng)絡調查中，超過七成網(wǎng)民認為，我國電信部門在關鍵設備上如果過度使用國外產(chǎn)品將帶來安全問題。

事故發(fā)生后，思科對外表態(tài)稱此事件“不說明思科產(chǎn)品存在安全隱患”，更矢口否認思科控制了骨干網(wǎng)絡，僅認為這是一起孤立事件。

但事實證明這起曾引發(fā)業(yè)界警醒的事件并非偶然。自2011年至今的兩年時間內，全國各地因為思科“設備故障”引發(fā)的通信事故密集上演。2011年初，廈門電信城域網(wǎng)使用的思科設備經(jīng)常出現(xiàn)下掛IPTV業(yè)務異常問題，平均每兩周出現(xiàn)一次，故障很難定位。

與此前一樣，思科一再辯稱設備不存在問題。但經(jīng)專家多次研究分析，確認思科設備出現(xiàn)錯誤，思科才被迫承認該設備存在“技術漏洞”，并直至2011年6月27日才提供了新的軟件版本解決。

此外，上海聯(lián)通、沈陽聯(lián)通城域網(wǎng)及遼寧聯(lián)通等都因為思科的某些設備出了問題而影響正常運行。

究竟是純粹的技術漏洞，還是另有玄機？坊間莫衷一是。值得注意的是，即便是純粹的技術問題，思科在國外的處理態(tài)度也與國內截然不同：2004年一個外國互聯(lián)網(wǎng)聊天室中展示了思科公司主要網(wǎng)絡設備操作系統(tǒng)的部分源代碼。隨后思科公開證實該源代碼檔案確實是屬于思科所有，但至于是否因為網(wǎng)絡遭外人入侵導致專屬源代碼外流，思科旋即對外界發(fā)表聲明，稱公司已全力調查源代碼外泄一事。

本刊記者調查得知，在業(yè)界主流的通信設備操作系統(tǒng)中，思科的操作系統(tǒng)上存在著不安全的明文密碼系統(tǒng)、低級的加密算法、協(xié)議設計方面的安全漏洞。以思科在我國應用非常廣泛的成熟產(chǎn)品CISCO 7600業(yè)務路由器為例，某電信運營商由于業(yè)務發(fā)展需要進行擴容，在對設備進行版本升級時，工作人員發(fā)現(xiàn)，思科工程師在思科設備上配置了一個賬號的密碼后，用鍵盤就可以調出已配置的密碼，而且該密碼采用明文顯示，根本沒有安全性可言。

在明文密碼外，密碼后門更加受到運營商關注。因為這意味著整個系統(tǒng)和網(wǎng)絡都可能處于他人的控制之下，其帶來的后果不堪設想。

2010年，在信息安全領域頗具知名度的“黑帽安全技術大會”上，IBM互聯(lián)網(wǎng)安全系統(tǒng)公司的研究人員發(fā)現(xiàn)，黑客可輕易地利用思科操作系統(tǒng)中的后門，在忘記密碼的情況下，通過恢復系統(tǒng)的出廠配置進入操作系統(tǒng)，對路由器進行管理配置。在特殊模式下加載一個新的路由器軟件大包，就可以改變路由器之前的功能。

如果這個新加載的軟件大包被惡意篡改過，植入了新的軟件程序或者邏輯炸彈，一旦系統(tǒng)重新啟動，單臺設備、整個網(wǎng)絡、全網(wǎng)應用都將存在不可預知的安全風險。

斷網(wǎng)、后門、明文密碼，未來一旦戰(zhàn)爭爆發(fā)，使用了思科設備的中國幾大核心領域的信息安全，將如紙糊一般脆弱。

思科把持中國信息系統(tǒng)中樞？

由于美國在軟件上的絕對優(yōu)勢，美國政府能夠決定所有軟件如不設有木馬程序則禁止出口。當計算機內出現(xiàn)具有“與美國開戰(zhàn)”字樣的文件或有其它外界的觸發(fā)時，這些隱藏的程序就會被激活，其結果可以是格式化計算機硬盤或將用戶電腦里的文件發(fā)給美國中央情報局。

——1997年，美國喬治·華盛頓大學網(wǎng)域空間政策研究所學者Reto E. Haeni《信息戰(zhàn)導論》

與眾多中國企業(yè)在美國遭到封殺形成鮮明對比的是，以思科為代表的美國“八大金剛”在華長驅直入，中國幾乎絲毫不設防。在關系到國計民生的信息技術關鍵基礎設施，也大多應用美國的技術和產(chǎn)品。這不得不引發(fā)對我國信息安全現(xiàn)狀的反思和憂慮——在西亞北非的政局動蕩中，谷歌等網(wǎng)絡公司正在扮演非常重要的角色。

而在中國，此類企業(yè)的典型代表非思科莫屬。

思科進入中國后發(fā)展順風順水，國內各級政府對思科幾乎沒有設置任何門檻，并且在很多方面可以享受超國民待遇。這讓本就實力強大的思科如魚得水。

目前思科在中國擁有員工超過4000人，分別從事銷售、客戶支持和服務、研發(fā)、業(yè)務流程運營和IT服務外包、思科融資及制造等工作。思科在中國設立了12個業(yè)務分支機構，并在上海建立了一個大型研發(fā)中心。

思科的旗幟已經(jīng)插遍了國內幾大領域的核心企業(yè)，其客戶名單中包括中國國家金融數(shù)據(jù)通信骨干網(wǎng)、中國電信、中國聯(lián)通、中石化、中國人民銀行、北京市政府等眾多央企及政府部門。

《中國經(jīng)濟和信息化》記者調查發(fā)現(xiàn)，中國骨干網(wǎng)絡幾乎被思科產(chǎn)品全面占據(jù)。中國電信163和中聯(lián)通169承擔了中國互聯(lián)網(wǎng)80%以上的流量，思科占據(jù)了中國電信163骨干網(wǎng)絡約73%的份額，把持了163骨干網(wǎng)所有的超級核心節(jié)點和絕大部分普通核心節(jié)點。從169網(wǎng)來看，思科占據(jù)了中國聯(lián)通169骨干網(wǎng)約81%的份額。Internet骨干網(wǎng)絡是公眾因特網(wǎng)的核心，所有的數(shù)據(jù)都要經(jīng)過骨干網(wǎng)進行轉發(fā)，Internet骨干網(wǎng)絡的安全性是電信行業(yè)的重中之重。

除電信行業(yè)外，思科在其他領域也處于壟斷地位。據(jù)互聯(lián)網(wǎng)實驗室出具的數(shù)據(jù)顯示，在金融行業(yè)，中國四大銀行及各城市商業(yè)銀行的數(shù)據(jù)中心全部采用思科設備，思科占有了金融行業(yè)70%以上的份額；在海關、公安、武警、工商、教育等政府機構，思科的份額超過了50%；在鐵路系統(tǒng)，思科的份額約占60%；在民航，空中管制骨干網(wǎng)絡全部為思科設備；在機場、碼頭和港口，思科占有超過60%以上的份額；在石油、制造、輕工和煙草等行業(yè)，思科的份額超過60%，甚至很多企業(yè)和機構只采用思科設備；在互聯(lián)網(wǎng)行業(yè)，騰訊、阿里巴巴、百度、新浪等排名前20的互聯(lián)網(wǎng)企業(yè)，思科設備占據(jù)了約60%份額，而在電視臺及傳媒行業(yè)，思科的份額更是達到了80%以上。

而在這長長的名單背后，思科的擴張仍在繼續(xù)?；ヂ?lián)網(wǎng)實驗室創(chuàng)始人方興東說：“思科把持著中國經(jīng)濟的神經(jīng)中樞。有沖突出現(xiàn)時，中國沒有絲毫的抵抗能力?！?br>
思科之所以能如此快速擴張，得益于中國地方政府的“不設防”甚至是歡迎的態(tài)度。思科CEO錢伯斯在2007年11月宣布的對華160億美元的投資正在發(fā)酵：它被拆解為與相關部門的若干備忘錄、新的供應鏈體系、50家被投資公司和一支針對創(chuàng)業(yè)公司與小型公司的風險投資基金、250家新開設的思科網(wǎng)絡學院，以及和成都的“智能城市框架協(xié)議”。

但多位安全專家也對《中國經(jīng)濟和信息化》表示，思科潛在的網(wǎng)絡安全隱患，正在對中國政府公共事業(yè)、金融、石油化工和軍工等敏感領域的安全造成威脅。這些潛在的安全隱患，一旦變成事實，將給中國國家安全帶來不可想象的損害。

即便是有如此嚴重的安全隱患，思科仍能在中國眾多關鍵領域獲取如此多得市場份額，除了思科近20年來在中國的企業(yè)經(jīng)營之外，另外一個原因則是中國相關法律法規(guī)還不夠健全。

中歐陸家嘴國際金融研究院副院長劉勝軍認為，由于GDP至上的發(fā)展思路，地方政府日益“公司化”，熱衷于招商引資，大搞基礎設施建設，甚至涉足投資等領域。顯而易見跨國公司因為先天的優(yōu)勢能為地方政府提供其所需要的拉動GDP的必然動力，所以在招商引資時其難免會向跨國公司傾斜，甚至不計后果地給予更多的照顧。

中國工程院院士倪光南表示，在政府采購、公共采購上，現(xiàn)階段可以參考的法律是2001年的《政府采購法》和《招標投標法》，但是兩部法律對政府采購國產(chǎn)化產(chǎn)品的界定比較模糊。

倪光南認為，在過去的時間里，國內對網(wǎng)絡安全問題重視的高度不夠，這也造成了在基礎設備采購上，思科在國家的系統(tǒng)，央企的系統(tǒng)中占了太多的份額。要約束思科，就要在公共采購時增強信息主權的意識，有效地保障信息主權。

一位不愿具名的行業(yè)人士分析，目前國內相關領域技術人才缺乏，一些工作人員并不是十分精通思科的設備以及軟件，即使思科對中國的信息安全造成了損害，相關工作人員也只能像一個未帶測速儀的交警一樣，對這種超速行為渾然不覺。

該人士還從技術角度剖析了思科產(chǎn)品的危險系數(shù)。在思科網(wǎng)絡產(chǎn)品中，其鏡像功能（僅僅需要管理員就可以操作，沒有任何政府管控）、合法監(jiān)聽（僅僅是用SNMP v3協(xié)議進行管理，而這個協(xié)議本身并不安全，政府機構無法了解這些功能是否被濫用）、DPI內容安全審計（無法區(qū)分流量統(tǒng)計分析和內容審計功能，SCE產(chǎn)品可以對包括電子郵件、語音RTP流、網(wǎng)頁、文件等數(shù)據(jù)進行還原操作，在機要部門網(wǎng)絡中一旦部署，能夠非常方便地實現(xiàn)對機密信息的“竊取”）等功能，都是在沒有政府授權的情況下就能夠開啟、配置、生效，因此，在關系到國計民生的關鍵部門，一旦選擇思科的產(chǎn)品，幾乎就等于選擇了安全隱患。

方興東則認為政府必須要出臺真正有效的措施。他說：“必須要搞清楚思科的安全問題到底出在哪兒。”

在方興東看來，對于安全性存在問題的設備，可采取的對策有兩個，第一，應該限制使用；第二，逐步采取安全性高的產(chǎn)品進行代替。“中國經(jīng)過十多年大力自主創(chuàng)新，國內廠商生產(chǎn)的設備，無論是技術、質量還是價格，基本可以替代思科。從產(chǎn)品替代性來看，國內很多廠商的產(chǎn)品可以替代思科產(chǎn)品。”

項立剛認為應該對思科進行一些合理的反制，他認為中國應盡快建立及完善信息安全審查制度?！白詈唵蔚霓k法就是政府多出臺一些指導性的意見，比如不允許在骨干網(wǎng)以及涉及國家安全的重要領域采用國外產(chǎn)品等?！?nbsp;他說，美國會將中國高技術值、高附加值的產(chǎn)品擋在國門之外，比較常見的辦法為專利控制、反傾銷和國家安全三種辦法。

在制度上，方興東則建議可以采用源代碼托管和首席安全官制度?！笆紫瓤梢圆捎玫霓k法是源代碼托管，很多國家在采用這種辦法對信息安全方面進行監(jiān)管。但在中國更方便借鑒的是首席安全官制度，在歐美很多國家的大企業(yè)都有這樣一個職位，首席安全官既是公司的員工，也受國家安全部門直接管理，在涉及到安全領域的大量采購時他擁有一票否決權。國內的一些央企或者大型企業(yè)也有必要設立這樣一個職位。”

后果幾何？

國安局同電信公司和計算機公司有著極其親密的關系，這種關系只有彼此高層中的少數(shù)人才知曉。

——《紐約時報》記者詹姆斯·里森在2006年出版的《國家戰(zhàn)爭》

思科正是一家和美國國安局有著極其親密關系的電信公司。據(jù)公開資料顯示，美國國會議員中有71位在思科公司中擁有比例不同的股份，他們中間的一些人不排除已經(jīng)或將會影響思科公司的決策。

此外，思科公司還在去年成立了全球政策和政府事務部門，專門負責影響技術領域的政策和監(jiān)管措施。思科公開的資料顯示，該部門由前政府高官、立法者、議員、監(jiān)管機構官員等組成，與政府部門關系密切，以通過影響政策制定來促進思科的商業(yè)利益。

在倪光南看來，思科絕不是唯一一個和政府密切合作的美國企業(yè)：“美國大量企業(yè)高管都是由美國西點軍校培養(yǎng)出來的，有數(shù)據(jù)顯示，僅僅是二戰(zhàn)以后的美國金融界，西點軍校就大概培養(yǎng)了1000個董事長，5000多個企業(yè)高管?！敝袊茖W院研究生企業(yè)創(chuàng)新研究中心副主任呂本富則表示：“在美國的民用企業(yè)中，有很多高管來自美國空軍，比如說麥克·納馬拉就是先從專業(yè)軍人成為了福特公司的CEO，后來又成為了美國的國防部長?！?br>
呂本富稱，思科和美國政府走到一起，不僅有利于拓展自己的盈利空間，更能為政府獲取網(wǎng)絡用戶信息提供諸多便利。由此展開，思科在美國能夠為政府獲取用戶信息提供便利，那么思科在中國所涉及的政府公共事業(yè)、金融、石油化工乃至軍工等敏感領域，其作用和角色不得不令人產(chǎn)生聯(lián)想。

美國幾乎是全世界最重視網(wǎng)絡空間安全的國家。十多年來，美國先后制定了《美國愛國者法案》、《網(wǎng)絡空間國際戰(zhàn)略》、《網(wǎng)絡空間可信身份標識國家戰(zhàn)略》、《網(wǎng)絡空間安全國家戰(zhàn)略》、《網(wǎng)絡情報共享與保護法》，并組建了網(wǎng)絡戰(zhàn)司令部等機構，作為獨霸網(wǎng)絡空間的保障。

需要警惕的是，早在2001年10月26日，美國就頒布了《美國愛國者法案》。根據(jù)法案的內容，警察機關有權搜索電話、電子郵件通訊、醫(yī)療、財務和其他種類的記錄；減少對于美國本土情報單位的限制。

在此法案下，“八大金剛”或主動或被動地開始向美當局交付信息。谷歌就曾公開承認，已根據(jù)《美國愛國者法案》的規(guī)定，把歐洲資料中心的信息交給了美國情報機構。微軟也坦承該法案可獲取歐盟云端資料。

方興東認為，這兩家美國公司的表白，證明歐洲的資料已不安全?！翱梢赃M一步推想，在美國政府的某種理由之下，任何一家美國公司，不論是谷歌、微軟還是思科，都可能無法保護有關的資料不受到檢查。”

這或許跟美國在互聯(lián)網(wǎng)領域一向的戰(zhàn)略有關。方興東對記者表示：“目前世界上絕大部分國家在互聯(lián)網(wǎng)領域都是采用防御型的戰(zhàn)略模式，只有美國一家是進攻型的。中國在互聯(lián)網(wǎng)方面的實力應該參照德國、英國等國家，因為我們正處于有實力和有必要進行互聯(lián)網(wǎng)防御的階段?！?br>
美國陸續(xù)發(fā)布的一系列戰(zhàn)略和規(guī)劃，大大加強了政府對網(wǎng)絡公司和通信設備公司的管制。更令人擔憂的是，美國共和黨控制的眾議院于2012年4月通過了《網(wǎng)絡情報共享與保護法》。這項法案表面是防止網(wǎng)絡攻擊、保護網(wǎng)絡安全，實際上繞開了隱私保護的相關條文，使政府能夠在很大程度上觸及全球電信與互聯(lián)網(wǎng)用戶（包括個人、商業(yè)機構與政府部門）的隱私，還可以掌握到商業(yè)秘密、國家機密。

思科是全球最大的路由器、交換機骨干網(wǎng)絡設備制造商。方興東說：“思科和谷歌、微軟、高通等不同，思科主要的領地在網(wǎng)絡基礎設施領域，這是整個網(wǎng)絡的命脈所在?！?br>
    而事實上，近幾年美國“網(wǎng)絡戰(zhàn)”興起，思科在其中就扮演了重要角色。2006年2月610日，美國進行了一場歷史上規(guī)模最大的“網(wǎng)絡風暴”網(wǎng)絡戰(zhàn)演習。演習由美國國土安全部指揮，美國國家安全委員會、國務院、國防部、司法部、財政部、國家安全局、聯(lián)邦調查局、中央情報局等115 家政府部門參與，思科是演習的重要設計者之一。

    從軍事角度來看，在未來的信息化戰(zhàn)場上，網(wǎng)絡攻防成為一種重要的作戰(zhàn)樣式。在戰(zhàn)爭狀態(tài)中，美國政府極有可能利用思科在全球部署的產(chǎn)品，利用思科對于網(wǎng)絡設備、通信設備等的掌控與監(jiān)控能力，對敵國實施致命打擊。

    信息安全研究者崔光耀認為，美國極有發(fā)動信息戰(zhàn)的可能。他說：“全球最大黑客組織是匿名者黑客組織，實際上它的總部就設在美國，有5000多個成員。匿名者黑客組織就是在五月份發(fā)起對中國政府攻擊的組織。我們是有確鑿證據(jù)的?！?br>
    聯(lián)想到思科發(fā)言人約翰·恩哈特曾經(jīng)公開表示的將采用“更具競爭力的措施”來反擊惠普、華為以及Juniper等競爭對手，再結合2010年、2011年思科的游說費用的走勢，思科和美國政府的關系不言而喻。這種“關系”和思科在中國業(yè)務領域的寬泛，或許將成為中國網(wǎng)絡安全的最大威脅。
來源：中國經(jīng)濟和信息化