贸易战背后的信息安全黑洞

安全 (24) 2021-08-10 15:06:29

最近一段时间,关于华为被列入美国限制的实体名单和中美贸易战的事情持续发酵。一个个国际组织撕去了学术无国界的面纱,一个个国际企业成为政治工具,这让人们对中国企业乃至整个中国的信息安全担心起来。

即使像华为这样,在中国有核心研发能力的企业,也会被美国轻易的卡脖子,那么中国的信息安全会不会一触即溃呢?

对于中国人来说,海湾战争,伊拉克防空系统崩溃的例子是比较熟悉的,美国通过对伊拉克进口的打印机做手脚,在伊拉克的防空系统中安装后门,让伊拉克重金建立的防控网一夜崩溃。中国会不会重蹈覆辙呢?我们来看一下。

一、 中国的信息安全

现在中国的互联网公司很多,BAT已经可以算世界级别的互联网公司了。但是这些公司的基础硬件和软件都是美国或者美国控制的。

即使是一些开源的东西,也在美国法律的控制之下。一些所谓的国际组织,因为其总部在美国,也被美国法律严格控制。

就是说,中国IT产业,互联网产业的大厦是在美国信息科技基础之上的。

而中国的各个商业公司,机关单位的信息化,也同样建立在美国的信息基础之上。

中国到70年代,还有自己的软硬件体系,能够时不时逆向美国的超级计算机。而到了90年代,各行各业真正开始信息化,购买电脑,建立网络,开发应用软件。则基本完全是美国公司的体系。

或者是英特尔,或者是AMD,或者是IBM,或者是微软。从政府机构,到金融证券,从工业制造到物流交通,中国的整个信息化基础是建立在美国公司身上的。这让中国的信息安全非常脆弱。

二、 防不胜防的后门漏洞

对于进口的处理器和操作系统,中国是有一定警惕的,中国要求微软开放了大部分源代码,防止后门。在重要机关采用物理隔离(包括无线物理隔离),防止泄密。中国甚至利用开源的操作系统自己开发了操作系统,也购买了美国公司的软核硬核,或者利用公版的核心,自己开发了处理器。

为了信息安全,中国做了非常多的努力。

但是,从技术角度看,这些依然远远不够。

国外的操作系统不安全,我们要求获取源代码,或者在开源的基础上开发自己的操作系统。

但是,操作系统的权限并不是最高的,硬件级别的后门可以绕开操作系统的安全机制。

于是,我们又开发自己的处理器,我用自己的CPU总安全了吧。

然后,残酷的现实是,自己的CPU也未必安全。一个信息设备是有很多芯片构成了,某一块很小的芯片就可以隐藏后门漏洞,让整个信息系统崩溃,一块CPU并不能保证绝对安全。

难道我们要投资设计制造所有的芯片,这就能保证安全了吗?

很遗憾,自己设计制造所有的芯片也不能保证安全,因为制造芯片最先进的工艺不在国内。

前不久,有人发布过论文,提出了一个理论,可以用在制造时做很小的手脚,制造硬件级的后门,而你根本无法测试发现。

这样,只要你在国外制造,依然很容易被植入后门。

好吧,在狠心一点,我自己设计自己制造,这总行了吧。

很遗憾,还是不行,因为你的设计软件工具,是美国企业制造的,在工具上做点手脚,你设计出来的东西自带后门。

伊朗核设施,就是中了工具中自带的病毒,导致严重损失。

所以,除非你重新“造轮子”,否则在别人的体系内,信息安全基本是不可能的。

三、 强大起来才有信息安全

目前,整个信息产业,都是在美国信息化基础上发展出来的,所有的标准是美国的,产业链各个环节都是美国的公司,中国只有少数模块,少数公司占据了不太重要的位置。

虽然,中国信息企业规模很大,但是比门类齐全,比核心技术,中国信息企业差的远。

你的体系都是美国的,信息安全也是美国掌控,真要限制起来确实是一触即溃的。

其实,除了军事应用以外,其他行业未必有那么多秘密值得美国政府层面去窃取。

中国不需要另外搞一套,而是要把信息产业门类做的更齐全一些,公司做大起来,如果各个门类,都有替代品。我们的产品同样在世界占据重要地位。那么再搞黑手,就是相互的。

美国公司的后门防不胜防,中国公司要做后门,同样防不胜防,互相不能保密,也就平衡了。

至于军事领域,因为不需要挣钱,不需要标准化,还是可以自己搞一套标准,产业链完全独立的。但是军事领域这套独立的东西水平高低,也要看民用市场的信息产业是不是足够强大。低水平的独立体系同样一触即溃。强大起来才是信息安全的根本。

THE END

发表评论