编者按
近期,美方对于网络安全的审查有收紧的态势,尤其是对其具有威慑性的国家。中国大疆无人机和俄罗斯卡巴斯基杀毒软件,接连成为“牺牲品”。
美陆军下令停用中国大疆无人机,
称其存在“网络安全漏洞”
英国路透社 8 月 5 日称,美国陆军已下令停用所有中国企业大疆创新(DJI)生产的无人机,并指责这些产品存在“网络安全漏洞”。按照大疆无人机搭载的DJIGO4应用的默认设置,包括遥测数据、视频和音频在内的飞行记录的细节将上传至位于美国、中国大陆和香港地区的服务器。
该消息已得到美陆军一份备忘录的确认。此次停用的设备包括大疆生产的所有采用其系统和部件的无人机和设备,它要求“陆军各部门接下来要移除所有(大疆)电池、存储设备和安全设备”。
备忘录截图
大疆作为全球消费级多轴无人机的领导品牌毋庸置疑。据2016年高盛数据显示,大疆在全球商业和消费级无人机市场占约70%的市场份额,包括军方在内的市场未来5年的市值将超过1000亿美元。在该备忘录下达前,一共有 300 多件大疆产品在美国陆军军中服役。
对此,大疆发布了一个声明,称美国陆军在做出这项决定时并未与大疆进行接洽。如果其他公司或组织对大疆无人机有疑问,很愿意与其直接对话,解释那些有关网络安全的问题。大疆还将和美国陆军方面联系,确认所谓“网络安全漏洞”到底是什么。
美陆军发言人大卫·施瓦兹说,陆军方面正考虑就该政策发表声明。报道指出,美国陆军此举似乎受美陆军研究实验室和海军近期一项研究的影响;其内部研究认为大疆产品存在风险和漏洞。
事实上,美方对于网络安全的审查有收紧的态势,尤其是对其具有威慑性的国家。在过去多年中,美国和俄国针对俄罗斯黑客入侵美国系统、甚至干扰美国总统大选等问题发生纠纷。在这场纠纷中,俄国知名杀毒软件卡巴斯基成为“牺牲品”。
美国政府宣布将俄罗斯杀毒软件
卡巴斯基移除供应商名单
据7月13日媒体报道,美国政府宣布将俄罗斯杀毒软件卡巴斯基移除供应商名单,其中最大原因在于美国担心俄罗斯会利用卡巴斯基入侵美国政府的安全计算机系统。
据美国科技新闻网站Engadget报道,最近美国特朗普政府在两大类别的政府批准采购名录中,删除了卡巴斯基公司。这两个名录分别涉及到政府采购的IT服务和数字光学设备。美国政府相关部门的一位发言人表示,对于封杀卡巴斯基公司,美国之前进行了认真的审核。
卡巴斯基由俄国卡巴斯基实验室公司推出,是全球知名的杀毒软件,在中国市场也有大量的用户。美国是卡巴斯基安全软件的大市场之一。卡巴斯基表示,自己是地缘政治事件的受害者,国家之间的斗争令卡巴斯基变成炮灰。
就在不久前,该公司创始人卡巴斯基在接受美联社采访时表示,卡巴斯基软件及公司和俄国情报部门并无关系,也没有参加黑客攻击活动,也不会帮助世界上任何政府进行网络间谍活动,他甚至表示,如果美国政府需要,卡巴斯基可以提交自己的杀毒软件源代码,证明自己的清白。他也表示,愿意在美国开展一部分安全软件的研发工作。
不过,美国政府并未接受卡巴斯基方面的观点。根据美国媒体的报道,美国政府还在考虑下一步的行动,可能会在更大范围内阻止使用卡巴斯基软件。
众所周知的是,在过去一两年时间里,美国的零售行业、金融业等遭遇了一系列大规模黑客攻击,大批用户账号被盗,而美国认为一些攻击的实施者是俄罗斯黑客。美国还怀疑俄罗斯黑客通过黑客攻击、盗取信息,恶意散布,干扰了2016年美国总统选举。
两年前,美国中情局前任外包人员斯诺登曾经爆料称,美国国家安全局曾经和英国情报机构合作,试图从卡巴斯基实验室公司窃取安全技术和数据。美国的确获得了一些重要情报,比如有哪些软件被卡巴斯基标注为恶意软件等。
美国是全球软件和安全技术大国,拥有一大批知名的安全软件公司,比如赛门铁克、微软、McAfee等,因此封杀卡巴斯基软件将不会对美国政府、机构产生太大的影响。实际上,卡巴斯基之前还曾经批评微软,称其最新版本的Windows10操作系统捆绑了安全软件,损害了安全行业厂商的利益。
赛门铁克
美国是如何进行网络安全审查的?
早在2000年,美国率先在国家安全系统中对采购的产品进行安全审查。随后,陆续针对联邦政府云计算服务、国防供应链等出台了安全审查政策,实现了对国家安全系统、国防系统、联邦政府系统的全面覆盖。审查对象不仅涉及产品和服务,还针对产品和服务提供商。
随后,美国等西方国家为保障国家安全、防范供应链安全风险,逐步建立了多种形式的网络安全审查制度,将全方位、综合性的供应链安全审查对策上升至国家战略高度。
美国网络安全审查标准和过程是不公开的。美国对供应链安全审查的过程、标准、机制完全封闭,不披露原因和理由,不接受供应方申诉。主要考虑对国家安全、司法和公共利益的潜在影响,且其审查没有明确的时间限制。
美国安全审查的要害之一,是安全审查结果具有强制性。美国国家安全系统委员会2000年1月发布的《国家信息安全保障采购政策》规定,自2002年7月起进入国家安全系统的信息技术产品必须通过审查。
2011年12月,美国政府发布《联邦风险及授权管理计划》,要求为联邦政府提供云计算服务的服务商,必须通过安全审查,获得授权;联邦政府各部门不得采用未经审查的云计算服务。美国在政府采购招标文件中还进一步规定,向联邦机构提供云计算服务的基础设施必须位于美国境内。
美国网络安全审查的内容不局限于技术。美国联邦政府要求,不仅要审查产品安全性能指标,还要审查产品的研发过程、程序、步骤、方法、产品的交付方法等,要求企业自己证明产品已经达到了规定的安全强度。
美国要求被审查企业签署网络安全协议,协议通常包括:通信基础设施必须位于美国境内;通信数据、交易数据、用户信息等仅存储在美国境内;若外国政府要求访问通信数据必须获得美国司法部、国防部、国土安全部的批准;配合美国政府对员工实施背景调查等。
