审查思科

本篇文章6670字，读完约17分钟

华为在美国遇到了障碍，但思科在中国一直走在前面——思科产品在中国主要行业的信息系统关键节点密集分布。中国如何应对潜在的信息安全威胁？中国的信息安全审查制度应该如何建立？

中国经常被西方国家和媒体指责为安全威胁的来源，现在却处于网络安全的无形阴影之下。

中国互联网应急中心的抽样监测显示，2011年，近5万个海外ip地址被用作木马或僵尸网络控制服务器，参与控制了中国近890万台主机，其中99.4%以上的受控主机来自美国。中国近四分之三的知识产权伪造银行网站来自美国。

这组令人震惊的数据显示了中国网络安全的脆弱状态。中国的信息安全在以思科为代表的“八大金刚”(思科、ibm、谷歌、高通、英特尔、苹果、甲骨文、微软)面前是徒劳的。在绝大多数核心领域，这八家企业占据了巨大的市场份额。一位已在信息安全领域潜心研究了20多年的专家表示:“作为全球第二大经济体，中国在美国‘八大金刚’面前几乎是赤裸裸的武装到牙齿。”

一些信息安全专家告诉《中国经济与信息化》，在全球范围内，除了美国在信息安全方面采取进攻性战略外，其他国家只能进行防御。而如何防止毒牙可能插入体内，国内相关部门应该拿出更多的措施。

根据该杂志获得的数据，世界上90%以上的网络战起源于美国。网络设备是网络战的必备武器。

在这种威胁下，中国的大型中央企业已经觉醒。思科在中国的第二大客户中国联通(600050)正在更换已经使用的思科网络设备。中国联通和江苏联通向本报证实，截至10月底，中国两大骨干网之一的江苏无锡节点核心集群路由器已经搬迁，被“扫地出门”的路由器是思科的产品。江苏联通综合部负责人向记者证实，搬迁是中国联通总部的统一安排，不是江苏联通的决定。

中国联通还表示，不排除其他省级公司继续放弃思科产品。

这可能是这家来自美国的航母首次在空的通讯领域遭遇中国的挫折。十八年前，它驶进了一片荒芜的中国通信海域，并取得了长足的进步。凭借其强大的技术实力和公关能力，它非常猖獗。

一些专家还呼吁以中央企业为代表的大型企业率先防范使用思科等产品带来的潜在安全威胁。

技术漏洞还是另一个谜？

美国和以色列利用电脑蠕虫瘫痪了伊朗的核设施。病毒如此强大的原因是伊朗几乎每台电脑都安装了微软视窗系统。

除了传统的空四大战争，越来越多的国家将注意力转向网络空.美国总统奥巴马任命微软前安全主管霍华德·施密特为网络安全首席指挥官。五角大楼甚至成立了一个新的网络司令部，由国家安全局局长基思·亚历山大将军领导，其任务是保卫美国军事网络并攻击其他国家的系统。

值得注意的是，在美国以质量可靠著称的思科，在美国信息战争之后，开始在中国频频出现问题。

数据显示，2005年7月12日，承载200多万用户的北京网通adsl和局域网宽带网络同时大面积突然中断。据事后统计，事故影响了北京至少20万网民。起初，新闻把矛头指向网通员工的错误，然后北京网通负责人公开澄清事故的主要原因是互联网路由器的问题。导致事故的服务器是思科提供的设备。

这引发了广泛的行业反思。在一个门户网站的网络调查中，超过70%的网民认为，在中国电信行业的关键设备上过度使用外国产品会带来安全问题。

事故发生后，思科称该事件“并未表明思科产品存在安全隐患”，甚至否认思科控制了主干网，只是将其视为一个孤立事件。

然而，这一事件引起了业界的警惕，并不是偶然的。自2011年以来的两年里，思科“设备故障”引发的通信事故在全国范围内愈演愈烈。2011年初，厦门电信城域网使用的思科设备经常出现iptv业务中断的异常问题，平均每两周发生一次，故障定位困难。

和以前一样，思科反复强调设备没有问题。但是，经过专家多次研究分析，确认思科设备存在错误，思科被迫承认设备存在“技术漏洞”，直到2011年6月27日才提供新的软件版本解决。

此外，上海联通、沈阳联通城域网和辽宁联通都存在一些思科设备问题，影响了它们的正常运营。

这是纯粹的技术漏洞还是另一个谜？没有共识。值得注意的是，即使纯粹是技术问题，思科在国外的处理态度也与在中国有很大不同:2004年，一家外国互联网聊天室展示了思科主要网络设备操作系统的一些源代码。随后，思科公开确认该源代码文件确实属于思科，但至于独家源代码是否因外界入侵网络而流出，思科立即向外界发表声明，称公司已对源代码泄漏进行了全面调查。

据记者调查，在业界主流的通信设备操作系统中，思科的操作系统存在不安全的明文密码系统、低级加密算法和协议设计的安全漏洞。以思科在中国广泛使用的成熟产品思科7600服务路由器为例，电信运营商因业务发展需要扩大容量。在升级设备版本时，工作人员发现，思科工程师在思科设备上配置了账户密码后，可以用键盘调出配置的密码，密码以明文显示，完全没有安全性。

除了明文密码，密码后门更受运营商关注。因为这意味着整个系统和网络可能处于他人的控制之下，后果不堪设想。

2010年，在信息安全领域著名的“黑帽安全技术会议”上，来自ibm互联网安全系统公司的研究人员发现，黑客可以轻易地使用思科操作系统的后门，通过恢复系统的出厂配置进入操作系统，并管理和配置路由器。在特殊模式下加载新的路由器软件包会改变路由器以前的功能。

如果这个新加载的软件包被恶意篡改并植入了新的软件程序或逻辑炸弹，一旦系统重启，单个设备、整个网络和整个网络应用将面临不可预测的安全风险。

断网、后门、明文密码，一旦未来战争爆发，中国几个核心领域使用思科设备的信息安全将会像纸一样脆弱。

思科控股中国信息系统中心？

由于美国在软件方面的绝对优势，如果没有木马程序，美国政府可以决定禁止所有软件出口。当在计算机或其他外部触发器中有一个带有“向美国开战”字样的文件时，这些隐藏的程序将被激活，其结果可以是格式化计算机硬盘或将用户计算机中的文件发送给中央情报局。

——1997年，美国乔治·华盛顿大学政策研究所学者雷托·e·海尼《信息战导论》

与许多中国企业在美国被禁形成鲜明对比的是，以思科为代表的美国“八大金刚”已经直捣中国，而中国几乎毫无防备。美国的技术和产品大多用于关系国计民生的关键信息技术基础设施。这不得不引起人们对中国信息安全现状的反思和焦虑——在西亚和北非的政治动荡中，谷歌等互联网公司发挥了非常重要的作用。

在中国，思科是这类企业的典型代表。

思科进入中国后，发展顺利。国内各级政府几乎没有为思科设定任何门槛，并在许多方面享受超国民待遇。这让已经强大的思科如鱼得水。

目前，思科在中国拥有4000多名员工，从事销售、客户支持和服务、R&D、业务流程运营和it服务外包、思科融资和制造等业务。思科在中国建立了12个分支机构，并在上海建立了一个大型R&D中心。

思科的旗帜已经延伸到中国几个主要领域的核心企业，其客户名单包括许多中央企业和政府部门，如中国金融数据通信骨干网、中国电信、中国联通、中国石化、中国人民银行、北京市政府等。

据《中国经济与信息化》记者调查，思科产品几乎完全占据了中国的主干网。中国电信163和中国联通169承载了中国80%以上的互联网流量，思科占据了中国电信163骨干网的73%左右，并拥有163骨干网的所有超级核心节点和最常见的核心节点。从169网络来看，思科占据了中国联通169骨干网的81%左右。互联网骨干网是公共互联网的核心，所有数据都必须通过骨干网转发。互联网主干网的安全是电信行业的重中之重。

除了电信行业，思科在其他领域也处于垄断地位。根据互联网实验室发布的数据，在金融行业，中国四大银行和各城市商业银行的数据中心都使用思科设备，思科占金融行业的70%以上；在海关、公安、武警、工商、教育等政府部门，思科的份额超过50%；在铁路系统中，思科占有大约60%的份额；在民用航空领域，空的所有主干网络都是思科设备；在机场、码头和港口，思科的份额超过60%；在石油、制造业、轻工业和烟草行业，思科的份额超过60%，甚至许多企业和机构只使用思科设备；在互联网行业，思科设备约占腾讯、阿里巴巴、百度和新浪等20大互联网公司的60%，而在电视台和媒体行业，思科的份额已达到80%以上。

在这一长串名单的背后，思科的扩张仍在继续。互联网实验室创始人方兴东说:“思科是中国经济的神经中枢。当发生冲突时，中国没有任何抵抗。”

思科的快速扩张是由于中国地方政府“不设防”甚至欢迎的态度。思科首席执行官钱伯斯2007年11月宣布的160亿美元在中国的投资正在酝酿之中:它被分解为与相关部门的几份备忘录、一个新的供应链系统、50家投资公司和一个面向初创企业和小公司的风险投资基金、250所新开设的思科网络学院，以及与成都签署的“智慧城市框架协议”。

然而，许多安全专家也告诉中国经济与信息化部，思科潜在的网络安全风险正在威胁着中国政府在公用事业、金融、石化和军事等敏感领域的安全。一旦这些潜在的安全风险成为现实，将会给中国的国家安全带来难以想象的损害。

即使存在如此严重的安全风险，思科仍能在中国许多关键领域获得如此大的市场份额。除了思科近20年来在中国的业务运营之外，另一个原因是中国的相关法律法规不够健全。

中欧陆家嘴(600663)国际金融研究所副所长刘胜军认为，地方政府越来越“公司化”，热衷于吸引投资、从事基础设施建设，甚至涉足投资等领域。显而易见，跨国公司可以为地方政府提供拉动gdp的必要驱动力，这是因为它们具有先天优势，因此它们在吸引投资时不可避免地会倾向于跨国公司，甚至会不顾后果地给予更多关注。

中国工程院院士倪光南表示，在政府采购和公共采购中，现阶段可以参照的法律有《政府采购法》和2001年《招标投标法》，但国内产品政府采购的定义比较模糊。

倪光南认为，过去中国对网络安全问题重视不够，这也导致思科在国家系统和中央企业系统的基础设备采购中占据了过多的份额。要遏制思科，必须在公共采购中增强信息主权意识，有效保护信息主权。

一位不愿透露姓名的业内人士分析称，目前中国相关领域缺乏技术人才，部分员工对思科设备和软件不太精通。即使思科对中国的信息安全造成了损害，相关工作人员也只能像没有车速表的交警一样对这种超速行为视而不见。

此人还从技术角度分析了思科产品的风险因素。在思科网络产品中，其镜像功能(仅需要管理员操作，不受任何政府控制)、法律监控(仅由snmp v3协议管理，其本身并不安全，政府机构无法知道这些功能是否被滥用)、dpi内容安全审计(无法区分流量统计和内容审计功能，Sce产品可以恢复包括电子邮件、语音rtp流、网页、文件等在内的数据。一旦部署到保密部门的网络中，它们就可以很容易地实现窃取保密信息的功能，并且所有这些功能都可以在没有政府授权的情况下打开、配置和实施。因此，在关系国计民生的关键部门，一旦选择了思科产品，几乎等于选择了安全隐患。

方兴东认为，政府必须出台切实有效的措施。他说:“有必要找出思科的安全问题所在。”

方兴东认为，对于存在安全问题的设备，有两种对策。首先，它应该受到限制；第二，逐步采用安全性高的产品来替代。“经过中国十多年的自主创新，国内厂商生产的设备在技术、质量和价格上基本上可以取代思科。从产品替代的角度来看，许多国内制造商的产品可以替代思科产品。”

向立刚认为思科应该受到合理反击，他认为中国应该尽快建立和完善信息安全审查制度。“最简单的办法是政府发布更多指导性意见，比如不允许外国产品用于主干网和涉及国家安全的重要领域。”他说，美国将把中国的高科技和高附加值产品拒之门外，更常见的方法是专利管制、反倾销和国家安全。

在制度方面，方兴东建议可以采用源代码保管和首席安全官制度。“可以采用的第一种方法是源代码托管，许多国家都使用它来监督信息安全。然而，在中国学习首席安全官制度更为方便。欧美许多国家的大企业都有这样的地位。首席安全官不仅是公司的雇员，而且直接由国家安全部管理。当涉及大量安全领域的采购时，他拥有否决权。中国的一些中央企业或大型企业也需要设立这样一个职位。”

后果几何？

国家安全局与电信公司和计算机公司有着极其密切的关系，而这种关系只为彼此高层管理中的少数人所知。

——《纽约时报》记者詹姆斯·里森2006年发表的《民族战争》

思科是一家与国家安全局关系非常密切的电信公司。根据公开信息，71名美国国会议员在思科拥有不同的股份，其中一些人不排除他们已经或将会影响思科的决策。

此外，思科去年成立了全球政策和政府事务部，负责影响技术领域的政策和监管措施。根据思科的公共信息，该部门由前高级政府官员、立法者、议员、监管机构官员等组成。它与政府部门密切相关，通过影响政策制定来促进思科的商业利益。

在倪光南看来，思科绝不是唯一一家与政府密切合作的美国公司:“许多美国企业高管都是在美国西点军校接受培训的。”据统计，二战后只有美国金融界的西点军校大概培养了1000名董事长和5000多名企业高管。”中国科学院研究生企业创新研究中心副主任吕本富说:“在美国的民用企业中，有许多来自美国空陆军的高管。例如，迈克·纳马拉(Mike Namara)先是从一名职业军人成为福特公司的首席执行官，后来又成为美国国防部长。”

吕本富表示，当思科和美国政府走到一起时，这不仅有助于扩大自己的空利润空间，也为政府获取网络用户信息提供了许多便利。因此，思科可以为美国政府获取用户信息提供便利，因此思科在中国政府公用事业、金融、石化甚至军工等敏感领域的角色和作用必须联系起来。

美国几乎是世界上最重视网络安全的国家。十多年来，美国先后制定了《美国爱国者法案》、《空网络国际战略》、《空网络国家战略》和《可信身份识别国家战略》。

应该指出，早在2001年10月26日，美国就颁布了《美国爱国者法案》。根据法案的内容，警方有权搜查电话、电子邮件通讯、医疗、财务和其他各种记录；减少对美国情报机构的限制。

根据这一法案，“八头金刚”开始主动或被动地向美国当局传递信息。谷歌已公开承认，它已根据美国爱国者法案的规定，将欧洲数据中心的信息移交给美国情报机构。微软也承认该法案可以获得欧盟云数据。

方兴东认为，这两家美国公司的招供证明，欧洲的数据不再安全。“可以进一步推断，在美国政府的某种原因下，任何美国公司，无论是谷歌、微软还是思科，都可能无法保护相关信息免受检查。”

这可能与美国在互联网领域的战略有关。方兴东告诉记者:“目前，世界上大多数国家在互联网领域都采取防御性的战略模式，只有美国是进攻性的。中国在互联网上的实力应该参照德国、英国等国家，因为我们正处于互联网防御的实力和必要性阶段。”

美国公布的一系列战略和计划大大加强了政府对网络公司和通信设备公司的控制。更令人担忧的是，美国共和党控制的众议院于2012年4月通过了《网络情报共享和保护法》。从表面上看，这项法案是为了防止网络攻击和保护网络安全。事实上，它绕开了隐私保护的相关规定，使政府可以在很大程度上触及全球电信和互联网用户(包括个人、商业组织和政府部门)的隐私，也可以掌握商业秘密和国家秘密。

思科是全球最大的路由器和交换机主干网络设备制造商。方兴东说:“思科不同于谷歌、微软、高通等。”思科的主要领域是网络基础设施领域，这是整个网络的命脉。”

事实上，思科在美国近年来兴起的“网络战”中扮演了重要角色。2006年2月610日，美国进行了有史以来最大规模的“网络风暴”网络战演习。演习由美国国土安全部进行，有115个政府部门参加，包括国家安全委员会、国务院、国防部、司法部、财政部、国家安全局、联邦调查局和中央情报局。思科是这次演习的重要设计者之一。

从军事角度来看，在未来的信息战场上，网络攻防将成为一种重要的作战方式。在战争状态下，美国政府很有可能利用思科在世界各地部署的产品以及思科控制和监控网络设备和通信设备的能力，对敌人进行致命打击。

信息安全研究员崔光耀认为，美国极有可能发动信息战。他说:“世界上最大的黑客组织是匿名黑客组织。事实上，它的总部设在美国，拥有5000多名成员。匿名黑客组织是一个在5月份对中国政府发起攻击的组织。我们有确凿的证据。”

思科与美国政府的关系是不言而喻的，考虑到思科发言人约翰·恩哈特(John Enghardt)曾公开表示，他将采取“更具竞争力的措施”来对抗惠普、华为和瞻博等竞争对手，并结合思科2010年和2011年的游说支出趋势。这种“关系”和思科在中国广阔的业务领域可能成为中国网络安全的最大威胁。

截至发稿时，思科没有对《中国经济与信息化》的采访申请做出有效回应。