2009年7月23日星期四

从力拓间谍案看中国信息安全

力拓间谍案近日被炒得沸沸扬扬。因为事关中澳两国在战略基础原材料领域的巨额投资和贸易,所以其事态发展一直广受两国企业界和政界的关注。对此间谍案的来龙去脉和具体细节,我不想多谈,因为这既不是我熟悉的领域,也不是我关心的话题。

我想谈的是:这个案件所反映的中国信息安全现状。

这里所指的“信息安全”,不是指狭义的仅与计算机相关的信息技术问题,而是指广义的涉及国家安全和商业秘密的意识问题,也就是大家对信息安全的敏感性问题,属于信息安全中“机密性(Confidentiality)”方面的管理问题。

据中国官方表示,“有关部门”已经“掌握了确凿的证据”,证明被捕的四名力拓员工“为境外刺探、窃取中国国家秘密,给中国的经济利益和经济安全造成了严重损害”。另据报道,这些证据包括在涉案的电脑中“发现了宝钢、首钢、莱钢、新钢、萍钢等中国数十家公司的详细资料,部分资料更详细到了原料库存、生产安排、销售情况等企业机密”。

姑且先不论这些数据属于“国家秘密”还是“商业秘密”,单就我对国内企事业单位的了解,相信这些所谓的秘密资料是完全可以通过许多途径获得的,直接的、间接的都可以。当然,这不是合法的,但却实际上是可行的。我曾在中国的此类工厂里工作过,原料库存、生产安排和销售情况等数据在基层各部门根本不算什么敏感的秘密。这些资料都是平时摊在办公桌上的东西,相关人员可以随意带着这些资料回家,也可以随意存放在个人的笔记本电脑或优盘上。

我不清楚这些钢厂是否对相关岗位的工作人员进行过保密教育,也不清楚他们在实际工作中对经手的信息有无高度保密的意识。但是,从我个人的经历来看,我对此相当怀疑。国内大多数企业的信息安全保密工作都做得相当不足,这类事例不胜枚举。我可以坦率地举个人的几个例子,包括商业银行、大型企业、政府机关,甚至还有军事科研机构。

先说小例子,看看国内银行是如何对待客户资料的。我用的是中国银行的国际信用卡。某日,我到其市分行换领新的信用卡。领卡前,银行职员指着柜台上的一个本子让我登记以示收到新卡。我看了一下,上面赫然记录着其他用户的姓名、完整卡号、地址和电话。如果有人暗自记下几个,这些资料足够用来发一笔横财。我当然拒绝填写此类资料,并向这名职员说明了这种做法的危害性。虽然她随后把此登记簿从柜台转移到抽屉中,但谁能保证此后这类信息不会被意外泄露呢?

再说说国内大型企业的商业秘密。我曾经在不同渠道接触过联想、新浪、华为、东软、浪潮、中创等国内知名IT企业的内部资料,涉及人事、市场、产品开发、质量管理等多个方面,内容之丰富和翔实超出我的想象。而且,这些渠道几乎都是来自他们的竞争对手。这些资料不光被用作竞争分析,还几经转手成了许多小公司起步的学习资料。另外,我也有机会受邀审核过部分企业,看到过他们提供的“官方”数据。实话实说,那些“官方”数据远没有我看到的“地下”版本来得真实。这些涉及企业核心秘密的的资料是如何传出来的?我不得而知,但相信是“内鬼”。

政府的例子就不再多举了,可以参考我2006年写的《关于国办密函》一文。需要说明的是,此文仅举例说明了政府部门因缺乏安全意识而“自曝”的秘密,并不包括那些涉嫌贪污腐败和国家安全的案例;而且,有些示例中的网址直到今天依然可以访问。

再举一个科研机构的例子。某科研单位参与了我海军某常规动力潜艇的技术装备升级项目。在2004年的一次学术研讨会上,具体参与该项目的一位技术专家向我们介绍了在潜艇上应用的新技术并展示了图片。我作为发言人之一事先拿到了所有的PowerPoint文件,包括这位专家的潜艇项目讲稿。我注意到这个讲稿不仅文字内容涉密,所附的装备图片也都是原尺寸的,足可以放大看清芯片型号和线路设计。会后,所有的讲稿被组织会议者好心地上传到某大学的网站上,并邮件告知所有与会者,任何人都可以通过互联网下载。我获悉后,立即致电他们要求删除此讲稿。尽管这艘潜艇已于2003年因机械故障失事,尽管会议组织者在第一时间内应要求删掉了涉密讲稿,这都暴露了我们在日常工作中相当缺乏国家安全和保密意识。

所以,我想这类泄密问题在中国不只是孤例,只不过大多数是因为还没有被意识到、被发现或造成损失而成为泄密事件。我相信,力拓间谍案也是因为力拓突然中止了与中铝已达成的战略合作交易协议,造成中方巨大损失后才被中国安全部门正式确认调查的。中国安全部门能在较短时间内采取行动也说明他们此前应已有所察觉和准备。

我们再来谈一下前面搁置的“国家秘密”和“商业秘密”问题。这两个概念可以有一定重叠,对于部分涉及国家经济安全的商业秘密应被视为国家秘密,这是可以理解的。但是,对于具体数据或信息的划分,应该是在“东窗事发”前,而不是事后。因为这不仅决定了事后追究谁的责任,更决定了事前就对机密信息已经有特别的保护(专人、专项)。否则,不仅保密信息不能事先得到有效的保护,事后也无法追究责任人。“国家秘密”有“国家秘密”的保护手段,“商业秘密”也有“商业秘密”的保护方法,两者不是一个级别,不可同日而语。

问题来了,那么此案中的那些钢厂的“原料库存、生产安排、销售情况”等信息算不算“国家秘密”呢?如果算,按规定那可是要定级的:“绝密”、“机密”或者“秘密”;而且,这要明确在相关文件上明确标识出密级,并且通常不应该是电子版。有报道称某保密专家认为力拓事件中的证据的密级“需要由保密局做出鉴定”,这简直是儿戏。如前所述,密级是事先定的,定了密级才能有相应的配套保密措施。哪那有事后鉴定一说。我很怀疑这个所谓专家的来历。

这些证据是否“国家秘密”决定了这个案件的性质,也决定了这些企业的相关责任人应该具备怎样高度的安全意识,应该如何保护这些信息,还决定了他们要为此承担的责任。

总之,对于信息安全而言,技术手段是非常重要的,是解决如何做好的问题;而安全意识是非常必要的,是第一位的,这是解决做还是不做的问题。技术手段可以靠资金投入来解决;意识问题可不是单纯用钱就能解决的,需要切实的培训、指导、执行和监督。

然而,国内的现状却是:技术有了,意识不足,而且是意识严重不足。

没有评论: