美國(guó)“量子”項(xiàng)目敲響it供應(yīng)鏈管理系統(tǒng)警鐘

申請(qǐng)免費(fèi)試用、咨詢(xún)電話：400-8352-114

　　“上網(wǎng)不涉密、涉密不上網(wǎng)”是我國(guó)確保敏感信息安全的底線，但最近曝出的美國(guó)“量子”項(xiàng)目顯示，離線計(jì)算機(jī)也不再安全。據(jù)《紐約時(shí)報(bào)》2014年初報(bào)道，美國(guó)國(guó)家安全局（nsa）借助“量子”項(xiàng)目在it供應(yīng)鏈管理系統(tǒng)環(huán)節(jié)向重點(diǎn)目標(biāo)植入惡意軟硬件，并據(jù)此與互聯(lián)網(wǎng)或鄰近接收裝置建立連接，竊取和收集目標(biāo)中的重要、敏感信息。據(jù)悉，nsa已入侵近10萬(wàn)臺(tái)電腦，包括俄羅斯軍方、歐盟貿(mào)易機(jī)構(gòu)以及中國(guó)軍隊(duì)等?！傲孔印表?xiàng)目以美國(guó)強(qiáng)大的it產(chǎn)業(yè)為基礎(chǔ)，將網(wǎng)絡(luò)攻擊前置于芯片設(shè)計(jì)、產(chǎn)品生產(chǎn)、商品流通等供應(yīng)鏈管理系統(tǒng)環(huán)節(jié)，具有更強(qiáng)的隱蔽性。

　　2014年以來(lái)，斯諾登事件呈現(xiàn)出愈演愈烈之勢(shì)，在新近曝光的諸多機(jī)密信息中，美國(guó)國(guó)家安全局（nsa）的絕密“量子”項(xiàng)目（quantum）引起廣泛關(guān)注。據(jù)2014年1月14日《紐約時(shí)報(bào)》報(bào)道，nsa早在2008年就開(kāi)始啟動(dòng)該項(xiàng)目，通過(guò)植入間諜軟硬件，其能夠監(jiān)控目標(biāo)計(jì)算機(jī)的一舉一動(dòng)，并能夠借助事先安裝在電腦中的微電路板、usb連接線等裝置發(fā)送的秘密無(wú)線電波傳遞情報(bào)，從而達(dá)到監(jiān)控離線計(jì)算機(jī)的目的。除通過(guò)傳統(tǒng)間諜手段安裝外，這些裝置更多的是在生產(chǎn)或流通階段被惡意植入，具有極強(qiáng)的隱秘性。據(jù)披露，中國(guó)軍方是“量子”項(xiàng)目的主要目標(biāo)之一，美國(guó)已經(jīng)在中國(guó)境內(nèi)設(shè)立了兩處數(shù)據(jù)中心，專(zhuān)門(mén)用于給電腦植入惡意軟硬件?！傲孔印表?xiàng)目改變了網(wǎng)絡(luò)攻擊的根本模式，其攻擊行為早在芯片設(shè)計(jì)、產(chǎn)品生產(chǎn)、商品流通等供應(yīng)鏈管理系統(tǒng)環(huán)節(jié)就已經(jīng)展開(kāi)。

　　“量子”項(xiàng)目的內(nèi)容

　　監(jiān)控在線和離線目標(biāo)。在“量子”項(xiàng)目中，nsa能夠通過(guò)互聯(lián)網(wǎng)給電腦安裝間諜軟件，也能夠在電腦生產(chǎn)和流通環(huán)節(jié)植入電路板和usb等硬件，而后使用一種名為“高科技廣播頻率技術(shù)”，通過(guò)秘密無(wú)線電信號(hào)對(duì)在線和離線目標(biāo)實(shí)現(xiàn)監(jiān)控。nsa用來(lái)接收信息的中繼設(shè)備代號(hào)為“床頭柜”，其可以被放在大號(hào)行李箱中以移動(dòng)的方式接收13公里內(nèi)的無(wú)線信號(hào)，在nsa和監(jiān)控目標(biāo)間承擔(dān)“橋梁”角色。這樣，無(wú)論監(jiān)控目標(biāo)聯(lián)網(wǎng)與否，nsa都能夠?qū)ζ溥M(jìn)行監(jiān)控。據(jù)披露，在對(duì)伊朗核電站實(shí)施網(wǎng)絡(luò)入侵時(shí)，nsa正是使用了上述設(shè)備成功在近千臺(tái)離心機(jī)中安裝了廣為人知的“震網(wǎng)”病毒。

　　發(fā)動(dòng)網(wǎng)絡(luò)攻擊?！傲孔印表?xiàng)目開(kāi)發(fā)了包括dns（域名系統(tǒng)）和http注入式攻擊等在內(nèi)的一系列網(wǎng)絡(luò)攻擊工具，這些工具能夠借助“量子”項(xiàng)目操控基于irc和http的犯罪僵尸網(wǎng)絡(luò)，其中關(guān)聯(lián)數(shù)據(jù)庫(kù)管理系統(tǒng)mysql插件工具能夠讓nsa篡改第三方數(shù)據(jù)庫(kù)內(nèi)容。據(jù)披露，nsa已經(jīng)實(shí)施了高達(dá)10萬(wàn)次“全球范圍的植入”，已經(jīng)正如《紐約時(shí)報(bào)》所說(shuō)，借助“床頭柜”等中繼設(shè)備，nsa構(gòu)建了一條“發(fā)動(dòng)網(wǎng)絡(luò)攻擊的數(shù)字高速公路”，能夠隨時(shí)對(duì)在線或離線目標(biāo)發(fā)動(dòng)網(wǎng)絡(luò)攻擊。

　　設(shè)置網(wǎng)絡(luò)陷阱?！傲孔印表?xiàng)目覆蓋范圍非常廣，其中名為quantumdefense的子項(xiàng)目通過(guò)設(shè)置網(wǎng)絡(luò)陷阱對(duì)國(guó)防部門(mén)遭遇的網(wǎng)絡(luò)攻擊進(jìn)行分析、溯源和反制，以加強(qiáng)對(duì)美國(guó)重要系統(tǒng)和網(wǎng)絡(luò)的防護(hù)能力。在該項(xiàng)目中，nsa對(duì)訪問(wèn)美國(guó)國(guó)防部ni-prnet網(wǎng)絡(luò)地址的dns請(qǐng)求進(jìn)行監(jiān)控，通過(guò)給數(shù)據(jù)包注入虛假的dns請(qǐng)求，將攻擊者引向nsa所控制的網(wǎng)站，并采用技術(shù)手段定位攻擊來(lái)源。目的是留存其遭到網(wǎng)絡(luò)攻擊相關(guān)證據(jù)，以證明自己是網(wǎng)絡(luò)攻擊受害方，為美國(guó)政府外交爭(zhēng)取主動(dòng)權(quán)。

　　“量子”項(xiàng)目反映了美國(guó)在it供應(yīng)鏈管理系統(tǒng)的壟斷地位

　　美國(guó)借助it產(chǎn)業(yè)優(yōu)勢(shì)布控全球。從整體來(lái)看，美國(guó)毫無(wú)疑問(wèn)是當(dāng)今信息技術(shù)（it）產(chǎn)業(yè)第一強(qiáng)國(guó)，其在芯片、計(jì)算設(shè)備、網(wǎng)絡(luò)設(shè)備等領(lǐng)域的核心競(jìng)爭(zhēng)優(yōu)勢(shì)突出。美國(guó)出口的電子產(chǎn)品往往預(yù)埋漏洞、后門(mén)，其情報(bào)機(jī)關(guān)能夠通過(guò)這些產(chǎn)品上的后門(mén)進(jìn)行網(wǎng)絡(luò)入侵和情報(bào)竊取?！傲孔印表?xiàng)目也不例外，其采用的間諜硬件往往在制造階段就已經(jīng)植入到電腦中，用戶(hù)難以發(fā)現(xiàn)。此外，美國(guó)建立了完善的硬件漏洞共享機(jī)制，情報(bào)部門(mén)會(huì)首先最大化地利用被發(fā)現(xiàn)的漏洞，之后才會(huì)對(duì)外公開(kāi)。

　　it企業(yè)成為美國(guó)監(jiān)控全球的“先鋒”。思科、英特爾、微軟等超級(jí)it企業(yè)與美國(guó)政府的合作關(guān)系非常緊密，這些企業(yè)已經(jīng)成為美國(guó)監(jiān)控全球的“急先鋒”?！袄忡R門(mén)”事件顯示，nsa等美國(guó)政府和情報(bào)部門(mén)可直接接入微軟、谷歌、facebook、蘋(píng)果等9家美國(guó)it企業(yè)中心服務(wù)器，挖掘數(shù)據(jù)、搜集情報(bào)、全面監(jiān)控民眾的網(wǎng)絡(luò)行為。斯諾登披露的“量子”項(xiàng)目資料顯示，美國(guó)已通過(guò)個(gè)別企業(yè)在中國(guó)設(shè)立了兩個(gè)數(shù)據(jù)中心，以方便情報(bào)機(jī)構(gòu)將惡意軟件植入中國(guó)的目標(biāo)電腦。

　　產(chǎn)品流通環(huán)節(jié)成為美國(guó)情報(bào)部門(mén)關(guān)注重點(diǎn)。早在1997年，nsa就設(shè)立了名為“定制入口行動(dòng)辦公室”（tao）的黑客部門(mén)。德國(guó)《明鏡》周刊在2013年12月29日的爆料顯示，tao在掌握目標(biāo)人物的網(wǎng)購(gòu)信息后，攔截運(yùn)送途中的電腦、硬盤(pán)、路由器等電子產(chǎn)品，并對(duì)這些產(chǎn)品的硬件做手腳，然后通過(guò)這些硬件后門(mén)對(duì)目標(biāo)人物進(jìn)行實(shí)時(shí)監(jiān)控。被安裝后門(mén)的電子產(chǎn)品包括思科、三星、戴爾、西部數(shù)據(jù)等知名品牌。秘密文件顯示，在過(guò)去10年里，tao成功地進(jìn)入到了89個(gè)國(guó)家的258個(gè)目標(biāo)，僅在2010年就實(shí)施了279次網(wǎng)絡(luò)入侵行動(dòng)，幾乎觸及世界上的每個(gè)地方。

　　“量子”項(xiàng)目折射出我國(guó)嚴(yán)峻的it供應(yīng)鏈管理系統(tǒng)安全形勢(shì)

　　國(guó)際it供應(yīng)鏈管理系統(tǒng)安全風(fēng)險(xiǎn)突出。電子產(chǎn)品的構(gòu)成日益復(fù)雜，一件產(chǎn)品的配件可能來(lái)自不同的國(guó)家和廠商，一套復(fù)雜軟件系統(tǒng)可能由不同地方的人員共同設(shè)計(jì)完成，因此信息安全已經(jīng)成為全供應(yīng)鏈管理系統(tǒng)安全問(wèn)題，任何一個(gè)環(huán)節(jié)都可能引入后門(mén)或漏洞，極大地增加了信息安全的防護(hù)難度。以芯片設(shè)計(jì)為例，芯片在設(shè)計(jì)過(guò)程中就可能存在有意的“漏洞”，隨著芯片復(fù)雜程度的提高和設(shè)計(jì)團(tuán)隊(duì)的全球化，在其中插入后門(mén)的風(fēng)險(xiǎn)也在逐漸增加。正如2013年11月布魯金斯學(xué)會(huì)johnvillasenor教授所說(shuō)，“惡意芯片等硬件產(chǎn)品已經(jīng)成為信息系統(tǒng)、設(shè)備、產(chǎn)品預(yù)埋后門(mén)和漏洞的主要途徑”。

　　國(guó)內(nèi)it供應(yīng)鏈管理系統(tǒng)基礎(chǔ)薄弱。我國(guó)it產(chǎn)業(yè)起步較晚，包括技術(shù)、產(chǎn)品、企業(yè)等在內(nèi)的it供應(yīng)鏈管理系統(tǒng)各環(huán)節(jié)與發(fā)達(dá)國(guó)家存在較大差距。一是it技術(shù)相對(duì)落后，一直在“跟隨”國(guó)外先進(jìn)技術(shù)發(fā)展；二是it產(chǎn)品缺乏競(jìng)爭(zhēng)優(yōu)勢(shì)，芯片、微型處理器等基礎(chǔ)硬件產(chǎn)業(yè)與國(guó)外存在代差，高端電子產(chǎn)品競(jìng)爭(zhēng)力弱；三是it企業(yè)還未形成規(guī)模，我國(guó)it企業(yè)國(guó)際化步伐緩慢，市場(chǎng)主要集中在亞非拉地區(qū)，難以撼動(dòng)美國(guó)等發(fā)達(dá)國(guó)家的it市場(chǎng)壟斷地位。

　　it產(chǎn)業(yè)鏈路徑依賴(lài)積重難返。我國(guó)政府、金融、電力等關(guān)鍵領(lǐng)域的信息系統(tǒng)嚴(yán)重依賴(lài)國(guó)外技術(shù)產(chǎn)品。在基礎(chǔ)網(wǎng)絡(luò)領(lǐng)域，思科占據(jù)了我國(guó)骨干通信網(wǎng)絡(luò)設(shè)備70%~80%的市場(chǎng)份額，把持了幾乎所有超級(jí)核心節(jié)點(diǎn)和國(guó)際交換節(jié)點(diǎn)；在金融領(lǐng)域，70%以上的路由器等網(wǎng)絡(luò)產(chǎn)品來(lái)自思科、80%以上的服務(wù)器來(lái)自ibm。一直沿用國(guó)外的信息系統(tǒng)架構(gòu)，導(dǎo)致我國(guó)各領(lǐng)域信息系統(tǒng)對(duì)國(guó)外硬件產(chǎn)品存在路徑依賴(lài)。在這種情況下，即便某些國(guó)產(chǎn)it產(chǎn)品性能足夠優(yōu)異，但仍無(wú)法很好地應(yīng)用于現(xiàn)有it體系中，這嚴(yán)重阻礙著我國(guó)it產(chǎn)業(yè)國(guó)產(chǎn)化替代進(jìn)程。

　　加強(qiáng)我國(guó)it供應(yīng)鏈管理系統(tǒng)安全的對(duì)策建議

　　加強(qiáng)硬件安全技術(shù)研發(fā)。與傳統(tǒng)病毒、木馬不同，惡意硬件更加隱蔽，一些硬件后門(mén)以邏輯漏洞的形式直接存在于被封裝好的芯片中，其惡意功能只在特定條件下才會(huì)觸發(fā)，難以通過(guò)常規(guī)檢測(cè)手段檢測(cè)出。為此，一是應(yīng)開(kāi)展針對(duì)性的硬件安全檢測(cè)，重點(diǎn)檢查“量子”項(xiàng)目中涉及的電路板和usb接口等軟硬件模塊；二是應(yīng)盡快匯集惡意硬件信息并建立漏洞庫(kù)，對(duì)已知惡意硬件進(jìn)行梳理和分析，找出其結(jié)構(gòu)特征、觸發(fā)條件等關(guān)鍵信息，提出預(yù)防、封堵硬件漏洞的普適性方法；三是應(yīng)加快開(kāi)發(fā)惡意硬件監(jiān)控工具，以便在惡意硬件觸發(fā)后能夠及時(shí)發(fā)現(xiàn)。

　　加速打造自主可控的產(chǎn)業(yè)生態(tài)體系。全球化趨勢(shì)下it供應(yīng)鏈管理系統(tǒng)安全已經(jīng)成為軟硬件安全的首要風(fēng)險(xiǎn)，只有使用可控的硬件才有可能做到可靠，自主可控的產(chǎn)業(yè)體系是確保it供應(yīng)鏈管理系統(tǒng)安全乃至國(guó)家網(wǎng)絡(luò)和信息安全的基礎(chǔ)和前提。

　　加大資金支持力度，優(yōu)化支出模式。改變資金支持方式，由給資金、先補(bǔ)助改為促應(yīng)用、后補(bǔ)助的方式，同時(shí)通過(guò)科學(xué)評(píng)估，集中優(yōu)勢(shì)資源對(duì)重點(diǎn)企業(yè)進(jìn)行集中支持；合理引導(dǎo)，引入社會(huì)基金等資金的投入，最大限度地整合政、產(chǎn)、學(xué)、研、用各界資源，發(fā)揮集中力量辦大事的制度優(yōu)勢(shì)，實(shí)現(xiàn)國(guó)產(chǎn)芯片、微處理器、操作系統(tǒng)在易用性、可靠性和安全性上的突破。

　　全力推動(dòng)國(guó)產(chǎn)軟硬件產(chǎn)品的應(yīng)用。加大政策扶持力度，鼓勵(lì)和扶助國(guó)內(nèi)電子產(chǎn)品廠商優(yōu)先采用國(guó)產(chǎn)硬件，要求新建的重要網(wǎng)絡(luò)和信息系統(tǒng)采用國(guó)產(chǎn)產(chǎn)品；加大對(duì)網(wǎng)絡(luò)和信息系統(tǒng)整體架構(gòu)研究力度，采取斷然措施，設(shè)定時(shí)間表，建立中國(guó)自己的架構(gòu)體系，打破制度、技術(shù)、產(chǎn)品和人員等方面的路徑依賴(lài)。

　　盡快建立進(jìn)口it產(chǎn)品審查和檢測(cè)制度。近年來(lái)，進(jìn)口it產(chǎn)品不斷被曝存在后門(mén)，盡管廠家一再宣稱(chēng)這些只是設(shè)計(jì)漏洞，但對(duì)于大量使用進(jìn)口it產(chǎn)品的我國(guó)而言，這些所謂的“設(shè)計(jì)漏洞”已經(jīng)成為對(duì)我國(guó)進(jìn)行窺探的后門(mén)。應(yīng)盡快建立進(jìn)口it產(chǎn)品信息安全審查和檢測(cè)制度。對(duì)我國(guó)航空航天、石油石化等重點(diǎn)領(lǐng)域正在使用的進(jìn)口it產(chǎn)品進(jìn)行信息安全檢測(cè)，發(fā)現(xiàn)和封堵漏洞；建立進(jìn)口it產(chǎn)品國(guó)家安全審查制度，對(duì)涉及國(guó)計(jì)民生的重要設(shè)備，在進(jìn)口時(shí)應(yīng)充分評(píng)估其信息安全風(fēng)險(xiǎn)，審查通過(guò)后方能采購(gòu)。

　　強(qiáng)化國(guó)外企業(yè)在華業(yè)務(wù)的監(jiān)管。為避免“棱鏡門(mén)”事件再次上演，應(yīng)加強(qiáng)對(duì)思科、英特爾、微軟等國(guó)外it企業(yè)在華業(yè)務(wù)的管理。一方面，盡快制定it企業(yè)收集、處理、保護(hù)數(shù)據(jù)和信息的有關(guān)法律，建立相關(guān)的標(biāo)準(zhǔn)制度，對(duì)數(shù)據(jù)和信息的跨境流動(dòng)做出限制性規(guī)定；另一方面，明確國(guó)外it企業(yè)在國(guó)內(nèi)提供產(chǎn)品、技術(shù)和服務(wù)時(shí)的責(zé)任和義務(wù)，防范國(guó)外企業(yè)對(duì)我國(guó)互聯(lián)網(wǎng)的窺探。