四
我国金融领域的网络安全、数据安全、经营安全,一直让党、国家和全国人民揪心。
我国公众计算机网络长期依附于、依赖于、依存于美国因特网,构成基于因特网的中国公众计算机网络,严重受制于美国。
1、因特网由明网、深网和暗网三个层面构成。
据十多年前的资料,明网(Surface Web)是普通搜索引擎可以检索的网络,约占总体结构的4%。深网(Deep Web)是不能被普通搜索引擎检索到内容的网络,约占总体结构的96%,内容(信息量)却在明网的500倍以上。
深网中需要通过特定的浏览器、特殊授权或者特殊设置才能链接的网络被称为暗网(Dark Web),暗网充斥毒品、军火、色情、赌博、洗钱、伪造证件、倒卖数据情报等非法交易。
数据时代,陆海空天的点点滴滴都是开源信息,都能在网络空间追寻到蛛丝马迹。或者说,现代80%以上的情报都来自网上的开源信息,尤其是深网和暗网。
例如,2021年1月8日,因特网暗网的突袭论坛(Raid Forums),明码标价出售我国第一家全国性国有股份制商业银行的1,679万笔用户信息,“转储”数据量为16.79MB;售价为8.8个比特币(BCT),按当日汇率约折合35.7947万美元。
被称为“超新鲜”(super fresh)售卖的信息包括:用户个人的姓名、性别、身份证号、手机号码、所在城市、联系地址、工作单位、邮编、工作电话,住宅电话、卡种、卡号、发卡行等等。显然,这是银行用户的信用卡信息。
严重的问题在于,我国各级党政机关、企事业单位采用银行工资卡(借记卡)的为数不少。已发现众多政府部门、金融机构、企事业单位的电子邮箱系统,被托管在境外的同一服务器集群,存在数据信息被泄露的严重风险。
溯源显示,银行分布式关系中文数据库(CBase),源代码和文档疑似泄露。在开源代码网站GitHub上有CBase技术信息(压缩下载数据量为60MB),上传的时间为2019年3月24日,文件目录包括:文档(Doc),(CBase 1.2.x指南等);软件包管理(RPM);脚本(Script);测试(Test);工具(Tool);其它关联文件。
2、相关银行的权威域名服务器存在高危风险。
银行配置的网络权威域名服务器,所应用的服务软件是开源的BIND。BIND发布于2018年8月9日的最初软件版本,早已被淘汰。事实上,在最初版本之后(至2020年12月17日),BIND又先后公开发布了89个版本,并在公共漏洞信息库(CVE)上公开发布了58个安全漏洞和补丁(至2020年2月)。
也就是说,银行的权威域名服务器的应用服务软件,不仅是“不合规”的应用,其安全漏洞还是在因特网上开放(裸露)的,并且不排除已被(远程)指挥和控制。这个业内常识,银行的技术主管和部门不应该不懂,更没有理由“疏忽”。否则不是成了有意为之、故意“放水”?
BIND免费试用所导致的习以为常的问题和现象,具有普遍性。明知有问题不去解决或不重视解决的,不在少数。
3、我国多家银行的数据服务器被托管代管在境外
溯源发现,我国多家银行的关键信息基础设施数据,被托管在境外同一服务器(集群)。逆向溯源,又发现在同一个自治系统中的另一个数据托管服务器(集群)。
某国家银行门户网站的子域名经过4次解析,即经过了三次“旋转门”(转换),且转换过程中的所有服务器,都是美国阿卡迈(Akamai)公司所拥有,最后的节点自治系统AS 20940就在美国。
值得注意的是,美国国家安全局(NSA)、秘密社团光明会(Illuminati)的网站也被托管在阿卡迈,并与我国一些金融机构、政府机关和企事业单位的托管网站在同一个数据库(集群)平台。这表明,美国国家安全局和光明会,可以实时掌握甚至直接“指挥与控制”阿卡迈数据库(集群)中各中国机构、企业、单位被托管服务器的数据信息。
4、阿卡迈在中国大陆的金牌“系统集成商”。
我国银行数据泄露安全事件及溯源事实,都指向在美国的阿卡迈托管数据中心自治系统AS 54994(2013年2月获得授权),其属主是在美国注册的Quantil Networks Inc,是总部设立于上海的网宿科技股份有限公司的全资附属公司。网宿科技在我国深圳交易所上市。
阿卡迈拥有全球最先进的核心技术,并针对中国市场开发了专为中国客户服务的“内容分发网络CDN”,以出租服务器资源为主要业务。
网宿科技被称为是我国内CDN领域最强的企业之一,是美国阿卡迈公司在中国的唯一金牌(Elite)代理商(系统集成商)。阿卡迈目前在中国有8个代理商,包括金牌(1个)、银牌(2个)、认证(5个)。阿卡迈对金牌代理商归类为“系统集成商”(System Integrator),其所感兴趣的“集成”,即所谓中国大陆的优质客户资源和物理资源,几乎都是涉及中国关键信息基础设施单位的数据信息,经能够规避监管的专用数据传输通道直接链接国外。
经查询,网宿科技在境外注册(和收购)了若干子公司,Quantil(网宿科技,2012年7月23日在美国注册)是其与我国内关键信息基础设施数据被托管在美国直接关联的子公司。网宿科技不仅将境内的数据集成后输送、托管在境外,而且在境外给出“抵进中国”(Advanced Near-China)推销方案,即利用香港与大陆的专用连接光缆,在境外境内推送和交换数据,绕过国家的审查和备案,形成了境内境外两头欺瞒欺骗性“通吃”的(垄断)模式。
网宿科技及其在境外注册和经营的分公司、子公司,以及国内外与其关联的企业、单位,有重大的长期自觉或不自觉危害国家安全的违法犯罪嫌疑。
网宿科技长期“集成”中国的敏感重要数据信息,应不止一例,不是一家,也不是“单纯”赚取经济利益那么简单。国家安全机关应不失时机地深度追查其涉嫌违法犯罪、尤其是出卖我国“主权、安全、发展利益”的证据,坚决果断地绳之于法。
5、区块链技术3.0
自日本发表《比特币:一种点对点的电子现金系统》白皮书10多年以来,区块链已经进入3.0时代。
区块链技术可分为比特币为代表的1.0时代,以太坊技术为代表的2.0时代,实现资产在区块链上可被追踪、控制和交易即金融为核心的产业互联为3.0时代。区块链作为金融科技的底层技术架构,在很多方面有利于重塑金融业态,因而被认为在金融领域的应用前景广阔。
一般认为,区块链首先应用于金融领域,包括国际间清算结算的支付、保险理赔、证券期货股票交易、数字资产通兑等等,因为金融的“信用”核心与区块链网络架构的“信用”特性高度融合、本质一致,股权、债券、票据、保单等各类金融资产都可以整合到区块链上进行存储、转移、交易、支付。
必须高度关注的是,不同于正常域名的注册和管理,“区块链域名”不受任何集中式域名注册机构(如ICANN)的约束,规避了对域名滥用的监管以及逃避执法的查封。微软公司在“2021年数字化防御报告”中强调指出,区块链域名和DNS是逃避监管的新兴安全威胁。
虚拟货币不等于法定的数字货币和可信任机构发行的数字货币。虚拟货币缺乏足够的实体资产支撑和信用背书(即“货币锚”),具有很强的投机性,一般是传销、洗钱、地下钱庄等非法牟利的活跃投机工具,对金融安全、主权货币安全、经济安全、国家安全的严重危害和侵害,目前尚难以以预测和防范。
坚定不移地维护我国金融领域、网络信息领域的“主权、安全、发展利益”不是空话、虚话,没有任何借口、托词。当前,有关部门必须强化对金融投机与金融科技的鉴别、梳理和监管,必须首先加强网络信息安全和金融安全的执法监督和清理、整肃,强力保障我国正常良好稳定的金融秩序。
五
我国《数据安全法》2021年9月1日正式生效。我国面临的数据主权和安全态势十分严峻。例如,基于“事件驱动”和“问题导向”以及因果关系,通过持续监测和溯源以及交叉分析发现:
——美国阿卡迈公司在我国政府部门和企事业单位大规模集成“政务安邮系统”(电子邮箱服务器);
——中国铁路主网站的别名所绑定的5个DNS,全部都在美国的自治域(AS 54994),构成典型的基于DNS的内容推送网络(DN-CDN);其客服中心的域名被托管主机的IP地址是210.61.207.156(AS 3462),属地为台湾(台北),属主是台湾当局控制的官方互联网络运营商“中华电信数据业务集团”(Data Communication Business Group)。
上述托管服务器开放和使用了美国因特网号码分配机构(IANA)规范定义的“洋葱路由”(Tor the onion router)81端口。“洋葱路由”是以匿名为目的、自成体系的域名系统和代理机制,多被用于“暗网”和黑客。使用“洋葱路由”端口,凸显被托管主机存在严重明确无误的数据泄露风险。
上述金融、企业、政府机构数据信息泄露事件,关联牵涉到我国自上而下党政机关、国有企事业单位,被泄露、流失、盗用的数据普遍具有较高价值,或进一步被合成、集成为美国因特网的“数据武器系统”。
我国数据信息泄露事件,具有典型的系统(后台)被美国远程控制的特点,疑似国内外企业相互勾结,专业性长期窃取我国敏感重要关键数据信息,对我国金融业及关联行业、政府监管治理都具有普遍的重大安全警示作用。
六
重要安全警示1:
绝不可轻视门户网站或某些子域名的数据被托管,更不可小觑信用卡个人数据或电子邮箱账户信息被泄露,数据的合成和衍生已经成为开源情报(OSINT)的主要来源,也是“精准降维打击”的重要参考依据。
重要安全警示2:
在美国总统大选期间发生的“太阳风”安全事件中,美国财政部、商务部和司法部等联邦政府部门和一些企业被“物理隔离”(Air-Gapped)的专属局域网络仍然沦陷。我国政府、金融等各单位“物理隔离”的专网必须引以为鉴,绝不能再心存侥幸、麻木不仁!
重要安全警示3:
银行作为创新业绩宣传的分布式数据库(CBase),是基于Ocean Base 0.4.2研发的可扩展关系数据库,存在重大隐患,疑似为内外串通泄露数据信息提供了方便之门、“暗度”通道,使得CBase业务和服务平台存在高危风险,在我国金融银行界具有代表性和普遍性。
重要安全警示4:
银行大量“最新鲜”个人信息被交易,不能仅仅当作孤立的安全事件或行业自身的业务问题。国家相关主管部门、安全部门应强力介入,应及时调查和积极必要的补救措施,坚决切断、堵死盗取和出卖我国重要敏感关键数据信息的明栈暗道,重塑国家网络信息领域的战略备份顶层设计。
重要安全警示5:
举一反三,银行数据泄露安全事件再一次揭示(和警示),我国网络信息领域供应链安全的短板与缺失、缺位。自上而下、各行各业、全民重视与强化安全意识,全面提升网络信息安全风险防范、监管和治理,应作为促进数字技术与实体经济深度融合、不断做强做优做大我国数字经济的重中之重。
当前严峻的斗争形式和态势,前所未有,在斗争中学习和学会斗争,别无选择。
坚定不移地维护我国金融领域、网络信息领域的主权、安全和发展利益,任重道远。
(2021年10月19日根据演讲稿整理发表,2024年2月2日再次修订提交重新发表。)
(作者系昆仑策研究院高级研究员,中国移动通信联合会国际战略研究中心主任;来源:昆仑策网【原创】)