论棱镜门事件_棱镜门事件中

论棱镜门事件由刀豆文库小编整理，希望给你工作、学习、生活带来方便，猜你可能喜欢“棱镜门事件中”。

透过“棱镜”看战略析美国信息网络安全新思维

“棱镜”项目曝光后，让美国政府陷入了巨大的外交困境。但目前，世人关注的只是“棱镜”项目的具体监控内容以及围绕该事件而展开的大国博弈，而这并不足以体现“棱镜”项目的真正价值和影响。实际上，拨开网络监控的重重迷雾，“棱镜”项目让我们一窥美国信息网络安全战略的概貌。按照国务院发展研究中心专家李广乾的观点，包括以商用技术外貌出现的大数据，都是美国全球信息网络安全战略的一部分……

作为信息网络技术的发源国，美国具有绝对的技术优势。但是，在互联网尚未成为人类沟通的必需手段之前，美国政府采取的是大力宣传、强势推广的态度；待信息化已经成为各国经济社会发展的基础条件之后，美国开始采取利用、控制的态度，“9〃11”事件则进一步加剧了这种转变。

最近10年来，美国政府充分利用自身所垄断的全球信息技术优势，加紧构建信息网络安全战略，以进一步巩固其在赛博空间的统治地位。在这个过程当中，美国政府发展了信息网络安全战略的一系列新的概念和思维，并在此基础上开发了众多技术实施项目。从影响来看，这些概念和思维主要包括以下几个方面：

一、关键基础设施 美国政府对于关键基础设施的认识存在一个演进的过程。克林顿政府认为，所谓关键基础设施是指“那些对国家十分重要的物理性的以及基于计算机的系统和资产，它们一旦受损或遭破坏，将会对国家安全、国家经济安全和国家公众健康及保健产生破坏性的冲击”。小布什政府重新界定了关键基础设施的内涵和外延，改变了克林顿政府没有说明、区分关键基础设施和主要资产的做法，把通信、信息技术、国防工业基础等18个基础设施部门列为关键基础设施，并把核电厂、政府设施等５项列为重要资产。奥巴马政府虽然没有对关键基础设施进行新的定义和区分，但是却尤其强调信息网络的极端重要性。2009年5月，在公布《网络空间政策评估》时，奥巴马宣布“从现在起，我们的数字基础设施将被视为国家战略资产，保护这一基础设施将成为国家安全的优先事项”。因此，随着全球信息化的不断发展，信息网络基础设施在上述三位美国总统的政府有关关键基础设施保护的政策中占据越来越重要的地位，成为当前关键基础设施的核心内容，成为“基础的基础、关键的关键”。

然而，虽然这些关键基础设施日益智能化、网络化，但是其应对网络袭击的防范能力却越来越脆弱，为保护作为“基础的基础、关键的关键”的信息网络设施的安全，近年来美国政府在认识和观念上又发展了两个密切相关的思维：一是将信息网络安全由非传统安全纳入传统安全范畴，网络空间已经不存在民用和军用的差别，对于美国国内的任何网络攻击都应被视为对国土的入侵，必须对其进行严密监控并发起先发制人的打击；二是确保对网络空间的控制（制网权），制网权与制海权、制空权、制天权一样，对保护国家安全都至关重要，为此必须成立相应的网络部队。

二、网络靶场

为了确保本国关键基础设施的安全，防止其遭受敌对电子攻击，有必要发展各类信息网络攻防技术，这就需要一个强大的技术试验平台，因此美国政府在2008年年初发布的“国家网络安全综合计划”（CNCI）中要求建立“国家网络靶场”，其目标是为模拟真实的网络攻防作战提供虚拟环境，并针对敌对电子攻击和网络攻击等电子作战手段进行试验。该计划被认为是可与“曼哈顿工程”相媲美的国家安全项目，是对上世纪90年代以来美国海军所提出的“网络中心战理论”的深化和发展。

三、“爱因斯坦X”安全计划

作为关键基础设施的核心，联邦政府网络系统必须获得重点保护，为此，美国政府从2003年、2007年、2010年，先后实施了代号为“爱因斯坦1”、“爱因斯坦2”、“爱因斯坦3”的网络安全计划，其目的主要有两点：一是不断减少联邦网络系统的出入端口数量，尽量将所有联邦政府的网络系统都臵于统一的安全监测系统；二是识别并标记联邦网络系统的恶意网络传输，以增强网络空间的安全分析、态势感知和安全响应能力。

四、全球供应链体系 全球供应链是跨国公司为维持跨国经营而将在全球配臵的各类资源都实现最优化管理的一套产业价值链体系，对保持美国经济繁荣具有重要意义，因此近年来美国政府也将其作为关键基础设施的一部分，被认为是国家的重要资产。相关内容最初零散地出现在2008年的CNCI中，2012年1月，美国国土安全部发布专门的《全球供应链安全国家战略》，全面规划信息网络环境下的美国的全球供应链安全战略，以打造一个富有弹性的供应链，促进美国商品、服务的高效与安全的运输。

而为维持全球供应链的正常运转，确保信息网络安全具有特别的价值：一方面，国际贸易和全球供应链的各个方面已经日益建立在全球信息网络基础之上；另一方面，IT供应链本身具有内在的安全属性，必须从技术创新、产品开发与采购以及日常监控、风险评估等方面加强管理，通过产品认证、政府采购、风险管理等措施确保软件系统、网络硬件设施的绝对可靠。

五、大数据

“大数据”这个词现在听起来似乎与“云计算”、“物联网”等词汇一样让我们耳熟能详，但其实这个词的兴起时间还非常短暂，2012年3月美国奥巴马政府发布《大数据研究与发展计划》后，这个词才很快受到人们的高度关注。目前，人们更多的是将大数据与电商网站的产品市场分析与精准营销联系在一起。

目前，人们对于大数据的形成过程尚缺乏一个一致的说法，只是从技术上将其与谷歌的MapReduce和开源Hadoop平台联系在一起。然而，从大数据的4V特性（volume，海量；variety，非结构化；velocity，实时性；value，低密度价值）来看，关键基础设施安全保护与风险防范、网络中心战、制网权、网络靶场等才是大数据技术练兵的最佳场所。因此，从逻辑上讲，美国军方的这些真实需求才应该是大数据技术的发源地，就像互联网就来自美国军方项目一样。

从《大数据研究与发展计划》来看，美国国防部、国土安全部、国家安全局的相关研究项目占据其中的主要内容，服务于关键基础设施安全保护与风险防范、网络中心战、制网权、网络靶场等信息网络安全、情报分析、网络军事化等目标，基础科学研究以及医疗卫生方面的大数据研发项目只是其中的点缀而已。

实际上，大数据技术不仅是保护关键基础设施的有效手段，更是确保美国掌控赛博空间制空权的利器，是放大美国现有的经济、军事、科技优势的杠杆。与传统的军事部署、军事手段相比，依托关键基础设施而展开的大数据技术能够兵不血刃地达到以往难以实现的目标，这对任何国家的政府特别是军方来说，都具有莫大的诱惑，毕竟“不战而屈人之兵”才是战争的最高境界。从这个意义上讲，出现一个、两个还是N个类似的“棱镜”项目，都不足为奇。

六、互联网自由

互联网的普及为信息传播提供了最为廉价、有效的手段，这也为传播美国的价值观、影响一些国家的政治形势提供了难得的工具。为此，就在过去的几年时间里，美国前国务卿希拉里就非常卖力地在世界各地推广其“互联网自由”的政治理念，希望借助美国自己能够完全掌控的赛博空间而向中东等与其不友好的国家推广美国政府所坚持的那套价值观和政治主张，为中东的“颜色革命”推波助澜。

最近10年来，美国政府以及军方出台了一系列有关信息网络安全的文件和评估报告。在这些政策文件中，出现了不少有关网络安全战略战术的重大论述，提出了一些新概念，发展了有关信息网络安全的新思维。这些新思维主要包括这样几方面的内容：信息网络安全是确保国家关键基础设施安全的核心环节；统一的国际互联网既给美国国家安全带来挑战，更为遂行美国国家战略、实现其国家利益提供了历史机遇；研发大数据技术、发掘网络海量信息资源的价值是维护网络安全的有效手段；网络空间模糊了民用与军事化应用的界限，网络战成为未来军事变革的重要方向等。

应该看到，上述战略其实是一把双刃剑，本身存在着诸多矛盾。一方面，这会对于个人隐私、信息自由提出严峻挑战，直接威胁其“互联网自由”的合法性；另一方面，美国的上述战略纯粹是以维持美国的网络霸权为主要目标，直接威胁世界其他多数国家的安全和利益，加剧国际紧张局势，这反过来又会加剧美国国家利益的安全威胁。这也是美国政府对斯诺登曝光“棱镜”项目火冒三丈、务必将其捉拿归案的根本原因。日前，美国国家安全局前雇员爱德华〃斯诺登曝光了包括“棱镜”在内的美政府多个秘密监视项目。尽管美国及其盟友铺设的全球监控网一直是个公开的秘密，但此次曝光揭露的监视范围之广、程度之深以及数据量之大，仍引起全世界震惊。“棱镜”等系列项目的曝光再次揭示了中国与发达国家在网络领域的实力差距。我们应该借此机会深刻反思，抓住新一轮信息技术革命的机遇，全面筹划构筑牢固的网络防线。

反思之一：网络与信息安全应上升为国家战略

美国的霸权地位一直由三个因素来支撑，即军事力量、美元体系和科技创新。金融危机致使美元体系摇摇欲坠，而且受伊、阿战争拖累，美国难有足够精力连续发动战争来转移国内危机。与此同时，以金砖国家为代表的新兴经济体发展迅猛，美国衰弱论一时间甚嚣尘上。美国只有也必须发动一场新的技术革命才能化解危机，保住已有的霸权和优势。毋庸臵疑，信息通讯技术就是这场新革命的主战场。

2009年奥巴马刚履新，就宣布经济刺激资金将会投入到宽带网络等新兴技术中去——毫无疑问，这就是美国在21世纪保持和夺回竞争优势的方式。但这一切能否实现，有一个前提条件——“美国21世纪的经济繁荣将取决于网络空间的安全”。

在两个任期内，奥巴马政府相继推出《网络政策评估报告》《网络空间国际战略》《确保未来网络安全的蓝图——美国国土安全相关实体网络安全战略报告》《网络空间可信身份战略》等多个文件，一再重申网络安全已上升为美国家安全的核心问题，大刀阔斧地改革网络安全体制，将网络安全主管部门的行政级别一举提升至最高级，在白官和国务院设立“协调官”，统揽网络安全内外事务。系列举动表明，美国站在全方位、立体和多维的视角来认识网络空间，把网络安全作为事关国家未来的战略问题加以谋划。

继美之后，英、澳、日、法、德、新西兰、荷、韩以及欧盟等均出台了各自的网络安全战略，既提升网络安全的重要地位，以塑造坚固的网络防御为要务，又着重加强国家层面的统筹和规划，纲举目张。

网络空间的较量关系到全球信息化格局和信息社会的发展，关系到国家的综合实力和战略优势。正如《第三次浪潮》的作者阿尔文〃托夫勒所断言：“谁掌握了信息，控制了网络，谁就将拥有整个世界。”正是受这种理念驱动，美国坚定不移地把信息优势看做决定综合国力的关键因素。“棱镜”折射出来的，正是美国实际上已经拥有了全球互联网的控制权，具体又体现在重要资源的分配权、网络空间行为规则的话语权、核心技术的垄断权以及全球数据的掌握权之上。

经过“棱镜”事件，中国上下必须重新认识网络安全问题的战略意义，真正看到网络经济创新力和信息安全保障力。因为网络空间的影响力及互联网管理能力将关系到未来在可能爆发战争中的生死存亡，关系到信息时代的荣辱兴衰。

反思之二：网络与信息安全的攻防是高科技较量

“棱镜”及其后来曝光的“巧言”和Tempora计划，均展示了美英两国在网络监控、海量数据的挖掘、收集和分析技术等领域的领先地位。事实上，互联网的诞生、信息通讯技术的更新换代、信息革命的风起云涌，后面都有美国的身影。我们不得不承认美国在信息和通信技术领域始终拥有着绝对优势，全球计算机及网络信息系统使用的操作系统和芯片、数据库、路由器等核心技术，以及互联网领域的各种核心服务运营等，都牢牢掌握在美国手中。

最近几年，美国更是频频推出云计算、物联网、工业互联网、大数据等技术理念和商业模式，并在人工智能、现实增强等高端技术领域充当领军，引领着信息化和网络化的发展方向。舍恩伯格在《大数据》一书中指出，过去信息技术变革的重点往往在“T”(技术)而不是“I”(信息)，现在是时候把聚光灯打向“I”了。

如何抓住在全球各个网络节点穿越的信息流和数据流，更成为美国技术研发的重点。美军情部门是诸多尖端技术的先驱，国家安全局(NSA)、国防高级研究局(DARPA)、国防信息系统局(DISA)等在网络安全态势感知、网络防御和攻击手段研发等方面让其他国家难以望其项背。除此次参与网络监控的所谓“8大金刚”或“9大巨头”外，传统的国防承包商洛克希德〃马丁、波音、雷神、SAIC等也是美网络攻防技术研发的主力。它们每年都能接到来自政府的大单合同，全面参与了“国家网络靶场”、网络武器开发的各种项目。例如，被称为“网络空间曼哈顿计划”的“国家网络安全全面倡议”计划(CNCI)，开始于布什政府后期，涉及反情报、供应链安全、预防入侵、技术研发及威慑战略等多层面，目的是在美政府内建立起第一道能抵挡所有类型威胁的网络防线。

在奥巴马政府2014财年预算中，用于IT的经费达到820亿美元，秘密IT项目和网络武器的开发还未包括在内。其中，五角大楼所占比重最大，占到全部IT支出的48%。与此同时，美国又以“国家安全”为借口，企图挡住来自中国等国家的IT产品和服务，其实就是担心中国“以其人之道还治其人之身”。

“棱镜”再次充分暴露了中国网络空间的软肋。一方面，我国虽然正在经历信息化的跨越式发展，后发优势突出且进展快速，但信息技术和互联网产业水平仍落后于美国，自身不硬则难免受人所困。另一方面，我们所使用的信息技术、设备、系统和服务大多是由参与“棱镜”这类计划的公司提供的。常规的安全措施虽然能起到某种防护作用，但信息处理和传输要依靠它们的软硬件，信息存储要依赖它们的服务器，根本的安全难以保障。因此，如何规划我国信息化建设，找准未来发展方向和重点领域，值得思考。

反思之三：网络与信息安全必须举国家之力

网络与信息安全的战略意义和高层次的科技含量，决定了政府必须从最高层面加以统筹谋划，整合和优化国家力量。参考美国的经验，政府在维护网络与信息安全中应发挥好以下三方面作用。

首先是立法先行。“棱镜”被曝光后，美国政府、军方纷纷表态，表明这些计划的实施有法可依且受到严格的法律监督。事实上，美国的确建立了完备的信息安全法律体系，政府信息安全、打击计算机犯罪、隐私保护、关键基础设施保护及技术采购和出口管制等各种法律一应俱全。近三年来，美国国会还在不断提出各种新法案，为政府保障网络与信息安全提供充足的“保护伞”。可见，只有掌握了有力的法理依据，国家才能更好地行使在网络空间的管辖权。

其次是善用规则。美国一方面以所谓“中国通信公司给美国带来国家安全威胁”为由，把华为、中兴等挡在其国门之外，联想的多次收购之路也充满坎坷；另一方面，又依据WTO规则，反过来指责中国以国家安全为由设臵了贸易壁垒，对其出口中国的IT产品和服务进行审查并要求交出源代码。而实际情况是，我国的信息安全审核机制仍较薄弱，对进入中国的国外产品几乎不设防，从而留下较大的安全隐患。核心技术的自主可控是我国扭转这一被动局面的主要举措，但自主研发是一个长期的过程，国产化亦非等同于安全，现阶段应以可控为主，通过灵活利用国际规则和国际惯例，完善信息安全产品审查和政府采购的立法、政策、机制和手段，提高国外产品入境尤其是进入核心部门的门槛。最后是营造环境。科学处理技术研发与市场推广的关系，通过行政手段和市场激励在社会全面推广安全意识教育。政府要在社会上形成一种导向，推动国产基础软件的市场化和普及化，增加应用试点示范，逐步拓展国产软硬件的市场占有率，同时也要提高技术研发的针对性，更好地满足使用者的需求。

这个问题的答案，得看回应者在文首三个因素之间如何权衡、怎样取舍。在“棱镜门”事件上，奥巴马虽饱受压力，但他在回应泄密问题时，就声称美国 政府“欢迎”国民围绕私隐、安全和便利，进行一次开诚布公的辩论。然而，以国家安全为名展开的活动，向来讳莫如深，即使电讯集团的最高决策者，由于“未经政府许可”，对公司内协助政府进行情报工作的技术人员的一切相关活动，皆无权过问。

电讯集团老总尚且给蒙在鼓里，寻常百姓对国安局一类“黑箱作业”的政府机关在干什么、公民自由受到多大程度的侵犯，所知自然更少。若非斯诺登选 择走上爆料的不归路，国民对政府监控的规模手法仍将一无所知，试问如何像奥巴马所说那样，在私隐、安全与便利之间作出“最佳取舍”？

基于此，正面评价斯诺登的抉择，即对“叛国者”还是“真英雄”作了间接回答的人，数不在少。假设有人夜以继日在You-Tube观看发生于巴基斯坦的“斩首”影像，然后发电邮向其胞弟“吐露心声”，大谈伊斯兰教义之余，还加上一句：万 事俱备，只欠一个物美价廉的“高压锅”。Google掌握了这个用户对“斩首”影像的癖好，并从电邮内容中得悉此人正在四处张罗一个“高压锅”，于是马上 充当“媒人”，联络大小厨具销售商，向这个疑似恐怖袭击的策划者传送高压锅广告。

大家认为，Google根据对用户所知联络广告客户的行为，是否可以接受？答案若是肯定的话，掌握大量个人资讯并以之谋取商业利益的企业，面对 政府以防范恐怖袭击为理由，要求交出相关记录，企业应否有求必应？答案若是否定的话，那便等于说，公众不介意企业利用其个人资料寻求商业利益，却无法容忍 政府为了安全理由而向商业机构索取一模一样的资讯。然则，监控公众私隐的“老大哥”是Google、Facebook 等网络世界的“守门员”，还是美国政府？

反过来看，倘若公众对企业或政府肆意套取个人资料一样无法接受，那么立足于掌控、分享用户行为模式和电邮内容的产业/企业，整个商业模式难免要重新估量，对经济的冲击非同小可！

斯诺登是叛国者还是真英雄，得由美国人来回答，但生活于网络世界的现代人，生活要多方便有多方便，娱乐要多精彩有多精彩，因确保私隐不受侵犯而甘愿走回头路之辈，只怕再多也有限。

首先，安全威胁主体日渐泛化。

国家维护国内稳定与安全建立在两个基础之上。一是信息的单向透明，军队、情报系统能掌握大众所不了解的信息，而可以让民众知道的往往是被挑选过的；二是对暴力工具的垄断，在冷兵器时代，国家无法完全控制刀剑，但可通过掌控冶炼业和制作方法有效控制武器流向民间的规模；到热兵器时代，制造高性能枪炮、坦克、飞机等现代化武器的门槛很高，个人根本难以企及，国家管控遭遇的压力较小。

然而，进入网络时代后，两大基础明显被削弱，国家除应对外部的安全压力和威胁之外，还得花越来越多的精力应付国内层出不穷的“个人威胁”和“少数人威胁”。在互联网信息技术的催化下，信息传播速度及范围成指数倍增，大众媒体尤其是网络新媒体的高速扩展对传统情报机关的冲击巨大，国家掌握的“稀缺”信息的比例日渐降低，针对公众的保密工作愈来愈难；至于暴力工具，在网络时代简直是信手拈来，对于某些高级黑客而言，凭借一台普通电脑和个人之力即可“打遍”天下，他们通常通过个人电脑控制一些重要电脑或服务器，所谓“肉鸡”，再利用这些“肉鸡”黑进大型公司、政府、学校甚至军事部门的内部网络，窃取情报或进行致瘫攻击。

而对于斯诺登这样有“异心”的体制内员工，获密以及泄密都比此前的时代便捷很多，事实证明，表面上强大无比的美国国家安全局（NSA）实际上漏洞百出，连斯诺登这样的“临时工”或外包员工都能轻松复制大量机密，如果是高阶雇员，后果将更不堪设想。靠高科技手段吃饭的世界顶级情报机构NSA尚有如此多的漏洞，世界其他情报机关估计更好不到哪儿去。事实上，网络及大数据时代，各类漏洞根本就无法避免，除非你完全不依赖网络。

其次，个人自由与国家安全间的对立日趋严重，国际安全的内容和边界正遭遇根本性变革。

但伴随着冷战的结束，经济全球化的加速发展，跨国公司、非政府组织等非国家行为体的崛起，国际安全的内容出现了越来越多的环境保护、经济发展、恐怖主义等非传统议题，其范围也早已超越了国家，渐渐涵盖公司、国际组织甚至个人等非国家行为体。

美国掌控着互联网根服务器等关键设施和各类网络协议等关键规则，在国际谈判中，拒不接受将互联网交由联合国托管的方案，还长期指责其他国家的网络行为，渲染各类网络威胁。

此次美国情报机关的内部人直接出面指证，美国正通过棱镜、TAO等网络监控及侦察计划对他国进行渗透，直接颠覆了美国政府一直试图塑造的网络“正人君子”形象。更糟糕的是，当今世界，似乎已再没有国家敢夸海口说，自己从来没有干过如此“肮脏龌龊”之事。

考虑到网络渗透攻击的简单易行，隐蔽难以追踪溯源以及低成本高回报的特点，包括美国的各大国均无法进行垄断控制，网络渗透、攻击等手段也不可能仅是大国的专利。世界各国纷纷筹备建设网络战部队，力图抢夺新疆域，正逐渐陷入“所有国家攻击所有国家”、“人人自危”的网络丛林。各国要想真正维护国家安全，制定网络规则，进行网络裁军已是大势所趋。“棱镜”主要用于互联网信息截取，“核子”用于截获电话通话内容和关键信息。“主干道”和“码头”规模相对更大，“主干道”以电话监听为主，“码头”以互联网监视为主。上千家科技、金融和制造业公司正与美国国家安全部门紧密合作，经过在中国多年发展，美国的思科、IBM、谷歌、高通、英特尔、苹果、甲骨文、微软等“八大金刚”跨国公司已占据我国信息产业的全部链条，覆盖我国政府机关、海关、邮政、金融、铁路、民航、医疗、能源、军警等关键领域，这些公司与美国政府、军队保持着紧密联系，美国情报部门通过它们的设备、软件、网络获取信息，几乎零门槛。

二、我国信息安全形势分析随着信息技术高速发展，信息安全保障工作面临的内外环境、技术条件都发生了巨大变化，我国信息安全形势非常严峻。

关于加强我国信息安全的对策建议

（一）规划国家信息疆域，制定信息安全国家战略。将信息安全上升到国家安全高度，将信息疆域作为与传统国土疆域等同的国家核心利益予以保护。一要明确国家信息疆域边界，识别存在的安全隐患和面临的主要威胁，加快制定和颁布信息安全国家战略。二要构建积极防御、攻防兼备的信息安全保障架构。构建大规模网络安全态势分析及预测指标体系，打造三位一体的网络防御体系。三要加快建设信息安全应急体系。建立能在安全事件发生时快速响应的安全应急体系，面对信息安全事件做到“积极预防、及时发现、快速反应、确保恢复”。

（二）加强信息安全立法、执法与普法。加快制定信息安全相关法律，使信息控制、网络监管、信息资源利用、信息犯罪的打击既有技术支撑，又有法可依。同时要加强执法，有法必依，对黑客攻击、网络犯罪、秘密泄露等违法犯罪行为要加大打击力度。积极普及信息安全法律知识，提高人民群众的安全防范意识和责任意识，营造注重信息保护的浓厚社会氛围。

（三）加快信息技术核心装备的自主化进程。积极引导并大力扶持具有较强创新能力的企业和科研单位加强信息安全技术原始创新，研制开发基础性产品，创新信息安全理论与方法。从宏观安全体系，到具体安全架构、产品和技术等方面全方位加强建设，在网络与信息安全装备链条上实现完全自主。国家应引导、支持民族IT企业产业联盟形成，通过联盟这一平台促进IT产业的协同融合发展，逐渐形成自主可控的信息技术支撑体系。

（四）完善信息安全教育体系，建立人才梯队。建立多层次的信息安全人才教育体系，要注重培养具有较强创新能力的科研创新人才，注重锻炼形成具有较强实践能力的技术队伍。要形成一支能多层次支撑国家信息安全保障需求的专业队伍，扩大信息安全专业人才队伍储备，以应对现实和潜在安全威胁。

（五）积极参与信息安全国际对话。倡导和参与构建应对网络空间恶意行为的国际法律框架，以及打击跨国网络犯罪的协调机制与技术协助体系，提高我国在未来网络空间新格局中的话语权与分量。以积极负责的态度对待网络空间的国际治理，主张在联合国框架下建立一个各国广泛参与、公正、合理的网络国际治理机构，构建一个安全、开放、有序的和谐网络空间。

可以说，携程“隐私泄露门”再次引发了人们对于互联网信息安全的思考。如今，用户的身份信息、银行卡等财产数据与第三方支付服务绑定的越来越紧密，相应的，隐私被泄露的风险也在逐步增大。携程为了实现一场“说走就走”的旅行，加快了产品研发过程，简化了用户操作体验，却忽视了隐私安全性。

根据乌云的说法，导致该漏洞出现的原因是携程用于用户支付的安全支付服务器接口存在调试功能，可以将用户支付的记录用文本保存下来。不过，由于保存支付日志的服务器未做校严格的基线安全配臵，存在目录遍历（沿着某条搜索路线，依次对树中每个结点均做一次且仅做一次访问）漏洞，导致所有支付过程中的调试信息可被任意骇客读取。

“可被任意骇客读取”，几个字就能说明事件的严重性。更重要的是，除了持卡人的姓名、身份证、银行卡号、6位卡Bin之外，银行卡的CVV码也很有可能被外泄。什么是CVV码？就是信用卡背面签名条后7位斜体数字的末三位，是用来验证支付方是否是用户本人的验证码。换句话说，一般使用卡号和CVV码就可以直接付款了。业内人士指出，“交易网站存CVV相当于小时工偷偷配了你家的钥匙，同时，他还知道关于你家所有的信息。而存储了用户信用卡的CVV，还泄漏了，前一个是企业的基本道德问题，后一个是安全问题。”

作为国际上支付卡行业最高级别的安全标准认证，PCI SSC由Visa、万事卡、美国运通公司等企业共同创立。该联盟明确禁止成员保存CVV码，否则将予以重罚。携程此前一直在申请、却未通过PCI认证，而我们也无法准确获悉携程内部是否在严格执行PCI的规定。

一般来说，网站的用户密码应该是经过了不可逆的加密保存，而非明文，也就是说数据库后台工程师所看到的密码无法进行任何操作。假设原来用户的密码是“123123”，相应后台的密码就可能是“SDF23KLFAS2323KK4”之类经过复杂算法后得出的暗码。而携程却明文记录了用户的CVV，且线上长时间打开调试功能，导致系统日志中的数据信息也是明文，直接把用户隐私“告诉”了黑客。当然，如果携程提前知道这些信息会被泄露，相信也不可能会用明文记录。

。安全对于整个互联网来说，一开始并非主流的应用。时光如果倒退10年，互联网行业言必称门户，倒退5年言必称搜索。安全行业持续升温恐怕是最近2-3年的事情，原因可能在于互联网的各项应用持续深入，已经与普通人的日常生活息息相关。

另一方面，没有网络安全就没有国家安全已经成为共识。中央网络安全和信息化领导小组3月成立，无论是庙堂之高抑或江湖之远都已经感受到了某种氛围。一向以嗅觉灵敏、反应迅速的互联网行业更是迎来了进军安全领域的小阳春。