再看看目前中国的网络安全状况如何?
目前,我国的网络安全安全体系建设是在美国CA公司研发的数字认证证书的基础上建立起来的,后来的PKI技术体系、IBC技术体系、CPK技术体系都是基于挑战/应答技术的基础实现的。任何一项安全技术的应用都有其局限性,在不同的场景、不同的使用条件下某项技术使用是相对安全的,但是一个国家的安全保密技术体系建立在一项技术的基础上首先是不科学的,特别是身份鉴别技术作为网络安全的技术基础和信息安全的基石技术,一旦网络身份被“冒用”或者“盗用”,其网络的其他措施如防火墙、入侵检测、安全网关、堡垒机、杀毒软件等都形同虚设。
举例说明:我国目前网上银行采用的认证技术和签名技术都是美国公司专利技术,包括网上银行用的U盾和动态口令令牌,U盾采用的是美国CA公司的PKI技术(U盘预装数字认证证书,采用挑战应答技术),动态口令采用的是美国RSA公司的SECURID技术(令牌一分钟显示一个密码),属于单向认证技术。
国内没有一个厂家在认证领域拥有技术独占的发明专利技术,都是模仿和抄袭。现有动态口令技术无法克服“盗号木马”“钓鱼网站”“网页挂马”“重放攻击”“中间人攻击”“网页劫持”“更改时间戳”等攻击方式,而我国广泛运用于金融、电信、电商、航空、政府、乃至军工等高安全强度的单位的基石技术都来自美国。
还有我国在数据库方面采用的是ORACLE、SYSBASE、INFORMION、IBM[微博]的DB2、微软[微博]的MYSQL等等,即使我们其他方面的安全措施很多,只要能进入数据库获取数据,信息也会泄露。
这些数据库采用的压缩软件也是美国人开发的如:ZIP、ARA、PDF、图像压缩技术MPEG1、2、4等等,这些厂商通过代理商或者系统集成商以正版服务等理由要求把系统配置的超级管理员权限和密码除一份交业主备份外,另外一份厂商要备案,这些厂商都与美国FBI有合作。
这种情况,我们的网络能安全吗?当然,更不要说CPU等核心关键技术,通信数据传输方面的加密和解密系统领域技术,云安全技术领域和物联网技术领域技术等等。试问:我国目前的网络安全是否由美国人在站岗?
“网络自主可控”、“网络主权”、“网络安全”成为现代国家网络空间的核心防护能力,建造和巩固自主型网络安全技术,其意义深远。中国如何在国际互联网(也是美国互联网)上构建自主可控网络安全?如何界定我们的网络主权?这是我们这一代人应该思考的问题。
