“上网不涉密、涉密不上网”是我国确保敏感信息安全的底线，但最近曝出的美国“量子”项目显示，离线计算机也不再安全。据《纽约时报》2014年初报道，美国国家安全局（nsa）借助“量子”项目在IT供应链环节向重点目标植入恶意软硬件，并据此与互联网或邻近接收装置建立连接，窃取和收集目标中的重要、敏感信息。据悉，nsa已入侵近10万台电脑，包括俄罗斯军方、欧盟贸易机构以及中国军队等。“量子”项目以美国强大的IT产业为基础，将网络攻击前置于芯片设计、产品生产、商品流通等供应链环节，具有更强的隐蔽性。

  2014年以来，斯诺登事件呈现出愈演愈烈之势，在新近曝光的诸多机密信息中，美国国家安全局（nsa）的绝密“量子”项目（quantum）引起广泛关注。据2014年1月14日《纽约时报》报道，nsa早在2008年就开始启动该项目，通过植入间谍软硬件，其能够监控目标计算机的一举一动，并能够借助事先安装在电脑中的微电路板、usb连接线等装置发送的秘密无线电波传递情报，从而达到监控离线计算机的目的。除通过传统间谍手段安装外，这些装置更多的是在生产或流通阶段被恶意植入，具有极强的隐秘性。据披露，中国军方是“量子”项目的主要目标之一，美国已经在中国境内设立了两处数据中心，专门用于给电脑植入恶意软硬件。“量子”项目改变了网络攻击的根本模式，其攻击行为早在芯片设计、产品生产、商品流通等供应链环节就已经展开。

  “量子”项目的内容

  监控在线和离线目标。在“量子”项目中，nsa能够通过互联网给电脑安装间谍软件，也能够在电脑生产和流通环节植入电路板和usb等硬件，而后使用一种名为“高科技广播频率技术”，通过秘密无线电信号对在线和离线目标实现监控。nsa用来接收信息的中继设备代号为“床头柜”，其可以被放在大号行李箱中以移动的方式接收13公里内的无线信号，在nsa和监控目标间承担“桥梁”角色。这样，无论监控目标联网与否，nsa都能够对其进行监控。据披露，在对伊朗核电站实施网络入侵时，nsa正是使用了上述设备成功在近千台离心机中安装了广为人知的“震网”病毒。

  发动网络攻击。“量子”项目开发了包括dns（域名系统）和http注入式攻击等在内的一系列网络攻击工具，这些工具能够借助“量子”项目操控基于irc和http的犯罪僵尸网络，其中关联数据库管理系统mysql插件工具能够让nsa篡改第三方数据库内容。据披露，nsa已经实施了高达10万次“全球范围的植入”，已经正如《纽约时报》所说，借助“床头柜”等中继设备，nsa构建了一条“发动网络攻击的数字高速公路”，能够随时对在线或离线目标发动网络攻击。

  设置网络陷阱。“量子”项目覆盖范围非常广，其中名为quantumdefense的子项目通过设置网络陷阱对国防部门遭遇的网络攻击进行分析、溯源和反制，以加强对美国重要系统和网络的防护能力。在该项目中，nsa对访问美国国防部ni-prnet网络地址的dns请求进行监控，通过给数据包注入虚假的dns请求，将攻击者引向nsa所控制的网站，并采用技术手段定位攻击来源。目的是留存其遭到网络攻击相关证据，以证明自己是网络攻击受害方，为美国政府外交争取主动权。

  “量子”项目反映了美国在IT供应链的垄断地位

  美国借助IT产业优势布控全球。从整体来看，美国毫无疑问是当今信息技术（IT）产业第一强国，其在芯片、计算设备、网络设备等领域的核心竞争优势突出。美国出口的电子产品往往预埋漏洞、后门，其情报机关能够通过这些产品上的后门进行网络入侵和情报窃取。“量子”项目也不例外，其采用的间谍硬件往往在制造阶段就已经植入到电脑中，用户难以发现。此外，美国建立了完善的硬件漏洞共享机制，情报部门会首先最大化地利用被发现的漏洞，之后才会对外公开。

  IT企业成为美国监控全球的“先锋”。思科、英特尔、微软等超级IT企业与美国政府的合作关系非常紧密，这些企业已经成为美国监控全球的“急先锋”。“棱镜门”事件显示，nsa等美国政府和情报部门可直接接入微软、谷歌、facebook、苹果等9家美国IT企业中心服务器，挖掘数据、搜集情报、全面监控民众的网络行为。斯诺登披露的“量子”项目资料显示，美国已通过个别企业在中国设立了两个数据中心，以方便情报机构将恶意软件植入中国的目标电脑。

  产品流通环节成为美国情报部门关注重点。早在1997年，nsa就设立了名为“定制入口行动办公室”（tao）的黑客部门。德国《明镜》周刊在2013年12月29日的爆料显示，tao在掌握目标人物的网购信息后，拦截运送途中的电脑、硬盘、路由器等电子产品，并对这些产品的硬件做手脚，然后通过这些硬件后门对目标人物进行实时监控。被安装后门的电子产品包括思科、三星、戴尔、西部数据等知名品牌。秘密文件显示，在过去10年里，tao成功地进入到了89个国家的258个目标，仅在2010年就实施了279次网络入侵行动，几乎触及世界上的每个地方。

  “量子”项目折射出我国严峻的IT供应链安全形势

  国际IT供应链安全风险突出。电子产品的构成日益复杂，一件产品的配件可能来自不同的国家和厂商，一套复杂软件系统可能由不同地方的人员共同设计完成，因此信息安全已经成为全供应链安全问题，任何一个环节都可能引入后门或漏洞，极大地增加了信息安全的防护难度。以芯片设计为例，芯片在设计过程中就可能存在有意的“漏洞”，随着芯片复杂程度的提高和设计团队的全球化，在其中插入后门的风险也在逐渐增加。正如2013年11月布鲁金斯学会johnvillasenor教授所说，“恶意芯片等硬件产品已经成为信息系统、设备、产品预埋后门和漏洞的主要途径”。

  国内IT供应链基础薄弱。我国IT产业起步较晚，包括技术、产品、企业等在内的IT供应链各环节与发达国家存在较大差距。一是IT技术相对落后，一直在“跟随”国外先进技术发展；二是IT产品缺乏竞争优势，芯片、微型处理器等基础硬件产业与国外存在代差，高端电子产品竞争力弱；三是IT企业还未形成规模，我国IT企业国际化步伐缓慢，市场主要集中在亚非拉地区，难以撼动美国等发达国家的IT市场垄断地位。

  IT产业链路径依赖积重难返。我国政府、金融、电力等关键领域的信息系统严重依赖国外技术产品。在基础网络领域，思科占据了我国骨干通信网络设备70%~80%的市场份额，把持了几乎所有超级核心节点和国际交换节点；在金融领域，70%以上的路由器等网络产品来自思科、80%以上的服务器来自ibm。一直沿用国外的信息系统架构，导致我国各领域信息系统对国外硬件产品存在路径依赖。在这种情况下，即便某些国产IT产品性能足够优异，但仍无法很好地应用于现有IT体系中，这严重阻碍着我国IT产业国产化替代进程。

  加强我国IT供应链安全的对策建议

  加强硬件安全技术研发。与传统病毒、木马不同，恶意硬件更加隐蔽，一些硬件后门以逻辑漏洞的形式直接存在于被封装好的芯片中，其恶意功能只在特定条件下才会触发，难以通过常规检测手段检测出。为此，一是应开展针对性的硬件安全检测，重点检查“量子”项目中涉及的电路板和usb接口等软硬件模块；二是应尽快汇集恶意硬件信息并建立漏洞库，对已知恶意硬件进行梳理和分析，找出其结构特征、触发条件等关键信息，提出预防、封堵硬件漏洞的普适性方法；三是应加快开发恶意硬件监控工具，以便在恶意硬件触发后能够及时发现。

  加速打造自主可控的产业生态体系。全球化趋势下IT供应链安全已经成为软硬件安全的首要风险，只有使用可控的硬件才有可能做到可靠，自主可控的产业体系是确保IT供应链安全乃至国家网络和信息安全的基础和前提。

  加大资金支持力度，优化支出模式。改变资金支持方式，由给资金、先补助改为促应用、后补助的方式，同时通过科学评估，集中优势资源对重点企业进行集中支持；合理引导，引入社会基金等资金的投入，最大限度地整合政、产、学、研、用各界资源，发挥集中力量办大事的制度优势，实现国产芯片、微处理器、操作系统在易用性、可靠性和安全性上的突破。

  全力推动国产软硬件产品的应用。加大政策扶持力度，鼓励和扶助国内电子产品厂商优先采用国产硬件，要求新建的重要网络和信息系统采用国产产品；加大对网络和信息系统整体架构研究力度，采取断然措施，设定时间表，建立中国自己的架构体系，打破制度、技术、产品和人员等方面的路径依赖。

  尽快建立进口IT产品审查和检测制度。近年来，进口IT产品不断被曝存在后门，尽管厂家一再宣称这些只是设计漏洞，但对于大量使用进口IT产品的我国而言，这些所谓的“设计漏洞”已经成为对我国进行窥探的后门。应尽快建立进口IT产品信息安全审查和检测制度。对我国航空航天、石油石化等重点领域正在使用的进口IT产品进行信息安全检测，发现和封堵漏洞；建立进口IT产品国家安全审查制度，对涉及国计民生的重要设备，在进口时应充分评估其信息安全风险，审查通过后方能采购。

  强化国外企业在华业务的监管。为避免“棱镜门”事件再次上演，应加强对思科、英特尔、微软等国外IT企业在华业务的管理。一方面，尽快制定IT企业收集、处理、保护数据和信息的有关法律，建立相关的标准制度，对数据和信息的跨境流动做出限制性规定；另一方面，明确国外IT企业在国内提供产品、技术和服务时的责任和义务，防范国外企业对我国互联网的窥探。