中国工程院院士沈昌祥认为,目前中国对国外产品的安全隐患和风险尚不清楚。而出口中国的关键设备都被美国备案,美国掌握着中国重要信息系统使用产品和设备的清单,对产品和设备的漏洞、后门等十分清楚。
"掩耳盗铃"的内网安全
除了关键基础设施核心技术缺失,在受访专家看来,中国网络安全更容易被忽视的隐患,来自被过度信赖的内部网络物理隔离系统。这个隐患,在军队、党政机关、关键领域重点企业等领域更为严重。
内部网络系统的物理隔离一直被认为是保障网络和信息安全的重要手段,也是网络系统最底层的保障措施。在传统观念中,只要不和外界网络发生接触,内网隔离就能从根本上杜绝网络威胁。
但《财经国家周刊》记者发现,事实并非如此,中国不少重点行业和党政部门的网络信息安全防御被所谓的内网隔离扎成了虚假安全的"竹篱笆"。
奇虎360公司曾对中国教育系统、航空公司、司法机构等100多家重点行业关键企业和机关部门的内部网络进行测试,结果网络全被攻破,最长的耗时三天,最短的30分钟。
沈昌祥牵头进行一项课题研究发现,中国半数以上重要信息系统难以抵御一般性网络攻击,利用一般性攻击工具即可获取大多数中央部委门户网站控制权。
造成这种问题的首要原因是网络安全意识淡薄。知名网络安全专家杜跃进介绍,中国重点企业及政府部门中,不少单位的机房管理员就是本单位的网络安全负责人。
在安全意识淡薄之下,党政部门和重点行业的网络信息安全过度依赖物理隔离手段。启明星辰首席战略官潘柱廷指出,由于隔离网系统升级不及时,整体保护意识低,致使内部网络物理隔离事实上漏洞百出,一些单位隔离的内部网络木马病毒横行。
奇虎360公司的另一项检测发现,中国100多万个网站中,65%左右有漏洞,近30%是高危漏洞,"基本上你只要下功夫,这个站就能被拿下"。
根据斯诺登公布的材料,美国掌握了100多种方法可攻破物理隔离的内部网络系统。
如在"震网"事件中,伊朗的核设施虽然进行了物理隔离,但美国仍利用高级漏洞,通过U盘摆渡等手段,入侵了内网,最终破坏了铀浓缩机。
除了网络安全意识淡薄,一些地方网络安全防护重设备购置、轻后期服务的做法,也加剧了中国网络安全体系的脆弱性。
奇虎360公司首席技术官谭晓生介绍说,在网络安全防护方面,国家虽然推行了安全等级和分级保护的众多规定,但部门和重点企业单位更多用设备购置来满足安全分级要求,安全后期服务没有常态化。这导致安全防御设备使用成效低下,无法及时监测内部安全态势,完成系统升级等服务。