转载:美国曾为侦测中国重要项目,向中国铁路系统植入木马
发布日期:2017-04-05媒体披露,美国微软公司(Microsoft)与中国电子科技集团(CETC)协力开发中国“政府定制版Windows 10”操作系统软件,已经在三家大型企业中进行了测试,并准备大规模部署。媒体指出,系统中包括专属定制的安全功能和特性,微软长久以来的愿望终于达成。
消息引起我国网络界、科技界、产业界等各方面的震动。许多专家、学者和专业人士质问:中国政府哪个部门、什么人提出的“定制”?“定制”是什么意思、是否涉嫌泄密?微软向中国政府提交“专属定制”软件的全部源代码了吗?中国什么权威机构进行了什么样的测试检验、结果是什么?法律界人士指出,依照我国《国家安全法》、《网络安全法》等相关法律法规,每个公民、每家企业都有维护国家主权和安全的责任和义务,事关国家网络空间主权和安全的重大事件,国家有关部门应当及时公布真相、深入征求意见、审慎决策、不能违法。
2013年12月20日,习近平总书记在沈昌祥、倪光南等院士的报告上批示:“计算机操作系统等信息化核心技术和信息基础设施的重要性显而易见,我们在一些关键技术和设备上受制于人的问题必须及早解决。”重温批示,我们对显而易见的“计算机操作系统等信息化核心技术和信息基础设施的重要性”心明眼亮,对必须及早解决的“关键技术和设备上受制于人的问题”豁然开朗。
一、提交全部源代码是关键前提
十余年前,微软在中国市场大举推进“正版化”,不遗余力地打压和重创中国新兴国产软件产业,曾引起中国政府和各省、直辖市、自治区地方政府的高度警惕。中国领导人指示,出于国家安全的考虑,微软必须提交操作系统等软件的全部源代码,接受中国政府相关部门的监管、监督。然而,微软始终不能提交全部源代码,也不能保证所提供软件的安全。其理由主要是:
1、美国法律规定,所有软件必须将部分源代码提交给美国政府指定的机构,其中包括白宫、五角大楼、CIA、FBI、NSA等,这部分源代码不能提交给中国;
2、微软不能对无法提交的源代码是否被植入木马等导致的不安全问题承担责任。
也就是说,微软在不断施加压力和笼络手段要求中国政府购买“正版软件”的同时,不得不承认其所有软件都按照美国政府的要求给美国国防部、中央情报局、联邦调查局和国家安全局等留有“后门”,掌握美国软件后门的这些部门因此可以任意监控用户,可以任意设置侵害用户利益的木马等病毒。这些用户包括使用微软软件的中国政府和民间所有用户。
美国乔治•华盛顿大学网络空间研究所学者Reto E. Haeni在1997年出版的《信息战导论》一书中就已经揭示,利用美国技术上的绝对优势(如Windows、UNIX操作系统),美国政府决定所有软件不设特洛伊木马程序禁止出口。另据有关资料披露,美国情报机构凭借对微软Windows操作系统各种版本的深入了解以及对工业控制系统的专业知识,创造了蠕虫病毒震网(Stuxnet),并利用这种病毒破坏了伊朗的核研究项目。
美国机构为了侦测坐落于甘肃省的我国国家重要项目情况,曾费尽心思将木马病毒植入兰州铁路局调度系统的软件中,远程激活操纵,秘密研究分析当地铁路运输情况,被我国家安全部门精心部署、缜密跟踪,一举抓获木马活动现行。美方高层面对中方提交的确凿证据无以辩驳。
显而易见,美方能否提供全部源代码和杜绝植入木马的后门,事关我国的国家主权和信息安全不受制于人,商业合作利益再大也没有国家利益大。CETC或者微软谁能保证“政府定制版Windows 10”的全部源代码都交给中国,不会发生被美国情报机关或其他别有用心机构植入木马、蠕虫病毒侵害我国网络空间主权和信息安全的问题?
二、“定制”是软件安全与否的要害
为什么要定制,定制什么,如何解决定制?是关系软件安全与否的要害问题。
“定制”起源于被誉为“西装裁缝业黄金道”的伦敦购物街,本意是量身裁剪。当这一词汇被广泛沿用于商业市场时,常常被融入自己动手设计制作的含义,卖方为迎合买方欢心(有时不是需要而是某种虚荣的奢求)不惜挖空心思令其满足。尤其在网络信息领域,“个性化定制”被认为是最具影响力的商业模式,排在美国预测改变未来十大科技中的首位。
俗话说,买的不如卖的精。微软在不可能提供全部源代码,不负责保证美国政府控制的软件后门安全的情况下,如何能切实满足CETC的“专属定制”软件安全要求?这个所谓合作开发的“政府定制版Windows 10”,有多少是CETC自主设计、自己动手制作的?
既然是定制软件,想必“定制”的是安全软件,提出的是重要的安全“定制”要求。即要求微软加强、强化、改进我国政府担心的操作系统安全问题。这不等于明白告知微软我们在安全方面担心什么、软肋在哪里、要堵什么漏洞吗?岂有此理!这算不算是此地无银三百两?算不算是泄露国家秘密?在软件设计制作方面,微软数以千计的技术人员,每年数十亿美元的投入,可以针对每一个“定制”节点准备上百上千个解决方案,随便挑几个让我们选择认可,同时也就储备了上百上千个攻破我们“定制”的捷径良策。这样“定制”的软件究竟是安全还是不安全?在全国党政机关、国有企业各个单位、各个层次、各个环节大规模安装使用这样的软件,将会产生怎样的后果?头戴紧箍咒,身缚捆仙绳,死活动弹不得,岂不更加受制于人?
CETC,能不能公布全部定制清单?能不能公布微软针对定制的全部解决方案?美国微软都能知己知彼的问题,还怕中国的专家和学者、公民和网民了然于胸吗?
三、“大规模部署”“专属定制”软件是否符合总书记指示
如此“专属定制”的Windows 10操作系统软件,竟要“大规模部署”,这个提法近来好生熟悉。近年来,那几位美国因特网的中国院士级“钢铁粉丝”,到处宣扬全面部署IPV6,早已令我们耳熟能详。《“十三五”国家信息化规划》采纳了他们的意见,要求到2018年,IPV6大规模部署和商用;2020年,完成商用部署并全面演进升级至IPV6。看来CETC与微软的“政府定制版”合作,正是顺应了这个部署。也就是说,这实际上是配合升级到IPV6的“政府定制版”Windows 10操作系统软件。
总书记在2013年12月20日的批示中明明白白地指示:“要着眼国家安全和长远发展,抓紧谋划制定核心技术设备发展战略并明确时间表,大力发扬‘两弹一星’和载人航天精神,加大自主创新力度,经过科学评估后选准突破点,在政策、资源等各方面予以大力扶持,集中优势力量协同攻关实现突破,从而以点带面,整体推进,为确保信息安全和国家安全提供有力保障。”
这个批示到今天已经三年多了。我国有关单位、央企国企(例如CETC)、科研机构,是不是应该认真对照批示检查反省自身,有没有谋划制定发展战略并明确时间表?经过怎样的科学评估选准了什么突破点?是如何在政策、资源等各方面予以大力支持的?如何集中优势力量协同攻关、以点带面、整体推进、提供有力保障的?难道全面引进、升级、部署美国因特网安全漏洞千疮百孔的IPV6技术,与微软合作“政府定制版”Windows 10,就是对总书记高瞻远瞩、荡气回肠批示的回应吗?
倪光南院士落地有声:我国网信领域已经用几十年的发展实践证明,真正的核心技术是买不来的,是市场换不到的。“中国发展到了现在这个阶段,连比较重要的技术人家都不会给你,更不要说核心技术了。”倪光南说,“因为这类技术关系到一个国家的核心竞争力,被所拥有的国家奉作‘定海神针’、‘国之重器’,不能随意开放、随意买卖,所以最关键最核心的技术必须靠自己研发、自己发展。”
沈昌祥院士言之凿凿:目前中国的可信计算仿照人类免疫系统进行设计,有基因、抗体,有密码设备、安全设备,有自主控制和主动识别,构成了体系创新,颠覆了传统的计算体系。在网络空间领域合资合作,必须遵守我国的相关法律法规,必须依靠我们有成熟的产品、成熟的系统,真正用我们自己的核心技术来打造网络空间安全的国家主权。
四、怀念世界级网络通信科技大师许浚先生
美国朗讯、AT&T和贝尔实验室历史上职务最高的华裔,贝尔实验室先进技术学院的缔造者,全球第一位荣获国际工程管理协会(PMI)年度奖的许浚博士,2006年曾致信中国国家领导人提出,创新是国家(政府)的职责,国家(政府)是最大的受益者、受惠者。现代国家的竞争力已经与这个国家软件的技术能力紧密连接在一起。中国迫切需要尽早解决好诸如中国电子产品“无芯无魂”(无芯片、无软件)的重大问题。
许浚创建的亚太地区和中国贝尔实验室,曾创新开发数以百计的网络通信和电子产品重要成果,因而多年荣获贝尔实验室总裁奖。许浚决心为祖国效力,毛遂自荐创建“中国自己的贝尔实验室”,深情地表示:“我一直期待着为祖国的创新服务。我和我的友人都深知,我的擅长,正是祖国所需要的。我愿意为祖国(不是私人投资者)发展创新事业、创新产业竭尽绵薄之力。”而时任科技部领导却听信某顽固追随美国的中国院士对许浚的否定和抵制,无端湮没了许浚的爱国抱负,实在莫名其妙、令人痛心。
2006年,与我结为忘年交的许浚先生就告诉我,微软的操作系统不好用、不安全、设计并不合理,他和夫人张德昭(曾任贝尔实验室高管)就使用自己开发的操作系统。他说,中国人完全能够创新开发出属于自己的、比微软更好的操作系统和办公软件,不要迷信微软。我深信,如果许浚先生看见习近平总书记三年前的批示,一定会欣慰地对我说:中国的创新大有希望了!
CETC与微软的上述合作,那些追随美国因特网的“粉丝”们,对照许浚先生的拳拳爱国之心,羞愧否?知耻否?知耻而后勇否?
建议各位认真读一读许浚先生著《感悟创新》一书(中国商业出版社2001年出版),一定会有所收获。
(2017年3月30日)
【牟承晋,察网专栏学者,中国移动通信联合会国际战略研究中心主任】
原文地址:http://www.cwzg.cn/politics/201703/35152.html