18650766706   设为首页 加入收藏
滚动新闻:
QQ:529620593 网站投稿 繁体
您所在的位置: 东南网财经频道> 财经观察 > 正文
媒体称思科阴谋遭曝光 “针对性调查思科”呼之欲出
money.fjnet.cn 2012-11-27 08:36   来源:中国企业报    我来说两句

安全事件频发

令思科意想不到的是,此事不仅没有查到华为、中兴的安全问题,这一非法竞争反而将自身陷入了众叛亲离的地步,思科编织的安全漏洞及其引发的安全事故也被相继挖了出来。

2005年7月12日,承载着超过200万用户的北京网通ADSL和LAN宽带网,突然大面积中断。对此,北京网通负责人称,网络中断的原因是互联网路由器的原因。而自中国互联网骨干网从架网开始,大部分使用的都是思科的路由器设备,包括硬件和软件。

2010年的黑帽大会上,IBM互联网安全系统公司的研究人员Tom Cross论证说,黑客可轻易地利用思科IOS操作系统中的后门,在忘记密码的情况下,通过恢复系统的出厂配置对路由器进行管理配置,这会将整个网络都置身于不可预知的风险中。

更令人想不通的是,在现有思科路由器产品中,仍然在使用上世纪70年代的加密算法DES(data encryption standard,数据加密标准),这种算法已经被多次证明不再安全,能用穷举搜索法对DES算法进行攻击。即使一台普通的PC机,也能够在10分钟内完成DES算法的破解。

更为糟糕的是,思科居然在OSPF协议设计中也使用了这一极其脆弱的DES算法,来实现协议报文的认证。那么,如果一个人希望看到某个人的账号口令的明文,他只需要在OSPF协议口令设置时,把这个人账号口令的密文件作为OSPF协议的密码,通过在网络上抓包,就能够截获出用户的明文口令,进而造成密码泄露。

2012年7月2日,一位匿名用户在科技资讯网站slashdot上发布讯息称,思科Linksys路由器产品E2700、E3500、E4500三种设备远程更新固件,监控用户网络使用情况。

网络安全专家、中国工程院院士方滨兴认为,一般来说,与电脑软件类似,只要是连在网络上的设备,包括计算机、服务器、路由器等网络上的运行设备,如果留有“后门”,那就会有风险。通过“后门”,可以将网络设备中的信息自动获取,并发送给后台。

实际上,在网络世界“后门”无处不在。比如微软操作系统的“自动更新”功能,正是通过“后门”程序来实现的。不同的是,微软的这种“后门”是得到用户认可和公开进行的,而思科的这种“后门”则是在用户根本不知情的状况下暗中进行。

国家信息安全待加强

在思科产品设备存在安全隐患的背后,则是从1994年进入中国至今,在金融行业,中国四大银行及各城市商业银行的数据中心全部采用思科设备,思科占有中国金融行业70%以上的份额;在海关,公安、工商、教育等政府机构,思科的份额则超过了50%;在铁路,思科的份额达到了60%;在民航,空中管制骨干网络全部为思科设备……

尤其重要的是,中国电信[4.31 -1.82%]163和中国联通[3.21 -1.23% 股吧 研报]169是中国最重要的两个骨干网络,两者承担着中国互联网80%以上的流量。思科一家占据了70%以上的份额,把持着所有的超级核心和互联互通节点。

“如此高的市场份额掌握在一家美国公司手中,这意味着国家信息和公众信息安全对思科来说几乎是透明的,这对于整个国家战略信息安全更是致命的。”业内人士评论说。

近年来,随着我国信息化进程不断加快、信息基础设施进一步扩展、信息系统、通信网络应用日益普及,关系国计民生的行业、部门、机构越来越依赖于信息网络系统。这也对中国如何加强国家网络安全建设、提高国家网络安全意识,提出了更高要求和新的挑战,而美国封杀华为事件,无疑为我们敲响了“国家网络安全”的警钟。

“如为网络安全立法、对现有网络设备的更替以及对现有网络的安全审查等,都是可行的方法。比如这次联通公司对江苏无锡节点思科设备的成功搬迁,虽然只是一个节点,但也是一个良好的开始。”互联网专家方兴东这样评价中国联通无锡节点搬迁工程。

近日,中国联通成功完成联通China 169骨干网江苏无锡节点的核心集群路由器搬迁工程,这是业界首次对思科CRS集群路由器的搬迁工程。

美国是世界上最早建立和使用计算机网络的国家,也是信息产业发展最为迅速的国家,信息安全一直居于美国国家安全战略的高度。早在十年前美国便公布了《网络安全国家战略》以及《确保信息安全的国家战略》,确定了3个战略目标和5项优先行动,并通过为信息安全立法,来完善保障信息安全法规体系。据悉,近年来美国相继制定了《信息自由法》、《总统档案法》、《联邦信息资源管理法》、《国家信息基础设施保护法案》、《反电子盗窃法》、《计算机犯罪强制法》等一系列法律法规,以确保国家安全。

在中国,国外软件可以用在哪儿、什么地方必须使用国产软件、什么机构除了做好网络安全还需要物理隔离,对于这些问题的管理策略,国内目前还没有机构对此类问题做出统一规定。因此,保障通信安全应建立审查制度,从设备采购为始,对设备进行严格的审查,以长期监管维护为终,进行系统的定期审查,才能保障中国网络信息安全,毕竟高价代表不了绝对的高安全。

中国政法大学副教授吴丹红指出,中国在保护国家利益和本土的经济利益时比较软弱,缺乏应有的重视,在关系国家网络和信息安全问题上,不应再拖延,应立即开展对思科相应的调查工作。

责任编辑:乔佳利
腾讯微博
新浪微博
相关新闻