2009年9月9日星期三

学习:gfw的前世今生(转帖)

标题的GFW之所以加上引号是因为,GFW是局外人起的绰号,它的真实称呼并非如
此,但"GFW"也确实如实涵盖了这一在中国一贯隐晦而模糊的概念。

时间表

- 1998年9月22日,公安部部长办公会议通过研究,决定在全国公安机关开展全国
公安工作信息化工程----"金盾工程"建设。
- 1999年4月20日,公安部向国家计委送交金盾工程立项报告和金盾工程项目建议
书。
- 1999年4月25日,上万名法轮功练习者围攻中南海。
- 1999年6月,国家计算机网络与信息安全管理中心成立,局级事业单位。
- 1999年7月22日,中华人民共和国政府宣布法轮功妨碍国家安全和社会稳定,认
定法轮大法研究会及法轮功为非法组织,决定予以取缔。
- 1999-2000年,在哈尔滨工业大学任教多年的方滨兴调任国家计算机网络与信息
安全管理中心副总工程师。
- 1999年12月23日,国务院发文成立国家信息化工作领导小组,国务院副总理吴邦
国任组长。其第一下属机构计算机网络与信息安全管理工作办公室设在已经成立的
国家计算机网络与信息安全管理中心,取代计算机网络与信息安全管理部际协调小
组,对"公安部、安全部、保密局、商用密码管理办公室以及信息产业部"等部门的
网络安全管理进行组织协调。
- 2000-2002年,方滨兴在国家计算机网络与信息安全管理中心任总工程师、副主
任、教授级高级工程师。
- 2000年4月20日,公安部成立金盾工程领导小组及办公室。
- 2000年5月,005工程开始实施。
- 2000年8月19日,大纪元时报创刊。
- 2000年10月,信息产业部组建计算机网络应急处理协调中心。
- 2000年12月28日,第九届全国人民代表大会常务委员会第十九次会议通过《关于
维护互联网安全的决定》。
- 2001年,方滨兴"计算机病毒及其预防技术"获国防科学技术三等奖,排名第一。
- 2001年,方滨兴获国务院政府特殊津贴、信息产业部"在信息产业部重点工程中
做出突出贡献特等奖先进个人"称号,中组部、中宣部、中央政法委、公安部、民
政部、人事部等联合授予"先进个人"称号。
- 2001年1月19日,国家计算机网络与信息安全管理中心上海分中心成立,位于上
海市黄浦区中山南路508号6楼。国家计算机网络应急技术处理协调中心上海分中心
是工业和信息化部直属的中央财政全额拨款事业单位。
- 2001年4月25日,"金盾工程"经国务院批准立项。
- 2001年7月,计算机网络与信息安全管理工作办公室批准哈尔滨工业大学建立国
家计算机信息内容安全重点实验室,胡铭曾、方滨兴牵头。
- 2001年7月24日,国家计算机网络与信息安全管理中心广州分中心成立,位于广
州市越秀区建中路2、4号。
- 2001年8月8日,国家计算机网络与信息安全管理中心组建国家计算机网络应急处
理协调中心,缩写CNCERT/CC。
- 2001年8月23日,国家信息化领导小组重新组建,中央政治局常委、国务院总理
朱 基任组长。
- 2001年11月28日,国家计算机网络与信息安全管理中心上海互联网交换中心成
立。提供"互联网交换服务,互联网骨干网华东地区数据交换,数据流量监测与统
计,网间通信质量监督,交换中心设备维护与运行,网间互联费用计算,网间互联
争议协调",位于上海市黄浦区中山南路508号。
- 2001年11月28日,国家计算机网络与信息安全管理中心广州互联网交换中心成
立,位于广州市越秀区建中路204号。
- 2001年12月,在北京的国家计算机网络与信息安全管理中心综合楼开始兴建。
- 2001年12月17日,国家计算机网络与信息安全管理中心湖北分中心成立。
- 2002年,方滨兴任中国科学院计算技术研究所客座研究员、博士生导师、信息安
全首席科学家。2002-2006年,方滨兴在国家计算机网络与信息安全管理中心任主
任、总工程师、教授级高级工程师,升迁后任其名誉主任。
- 2002年1月25日,报道称:"国家计算机网络与信息安全管理中心上海互联网交换
中心日前开通并投入试运行,中国电信、中国网通、中国联通、中国吉通等4家国
家级互联单位首批接入。中国移动互联网的接入正在进行之中,近期可望成为第五
家接入单位。"
- 2002年2月1日,国家计算机网络与信息安全管理中心新疆分中心成立。
- 2002年2月25日,国家计算机网络与信息安全管理中心贵州分中心成立。
- 2002年3月20日,多个国家计算机网络与信息安全管理中心省级分中心同时成
立。
- 2002年9月3日,Google.com被封锁,主要手段为DNS劫持。
- 2002年9月12日,Google.com封锁解除,之后网页快照等功能被封锁,手段为
TCP会话阻断。
- 2002年11月,经费6600万的国家信息安全重大项目"大范围宽带网络动态阻断系
统"(大范围宽带网络动态处置系统)项目获国防科学技术二等奖。云晓春排名第
一,方滨兴排名第二。哈尔滨工业大学计算机网络与信息内容安全重点实验室李
斌、清华大学计算机系网络技术研究所、清华大学网格计算研究部杨广文有参与。
- 2003-2007年,方滨兴任信息产业部互联网应急处理协调办公室主任。
- 2003年1月31日,经费4.9亿的国家信息安全重大项目"国家信息安全管理系
统"(005工程)获2002年度国家科技进步一等奖,方滨兴排名第一,胡铭曾排名第
二,清华大学排名第三,哈尔滨工业大学排名第四,云晓春排名第四,北京大学排
名第五,郑纬民排名第七,中国科学院计算技术研究所有参与。
- 2003年2月,在北京的国家计算机网络与信息安全管理中心综合楼工程竣工。
- 2003年7月,国家计算机网络应急处理协调中心更名为国家计算机网络应急技术
处理协调中心。
- 2003年9月2日,全国"金盾工程"会议在北京召开,"金盾工程"全面启动。
- 2004年,国家信息安全重大项目"大规模网络特定信息获取系统",经费
7000万,获国家科技进步二等奖。
- 2005年,方滨兴任国防科学技术大学兼职教授、特聘教授、博士生导师。
- 2005年,方滨兴被遴选为中国工程院院士。
- 2005年,"该系统"已经在北京、上海、广州、长沙建立了互相镜像的4套主系
统,之间用万兆网互联。每套系统由8CPU的多节点集群构成,操作系统是红旗
Linux,数据库用的是OracleRAC。2005年国家计算机网络与信息安全管理中心(北
京)就已经建立了一套384*16节点的集群用于网络内容过滤(005工程)和短信过
滤(016工程)。该系统在广州、上海都有镜像,互相以十万兆网链接,可以协同
工作,也可以独立接管工作。
- 2006年11月16日,"金盾工程"一期在北京正式通过国家验收,其为"为中华人民
共和国公安部设计,处理中国公安管理的业务,涉外饭店管理,出入境管理,治安
管理等的工程"。
- 2007年4月6日,国家计算机网络与信息安全管理中心上海分中心机房楼奠基,位
于康桥镇杨高南路5788号,投资9047万元,"......是国家发改委批准实施的国家级重
大项目,目前全国只有北京和上海建立了分中心,它是全国互联网信息海关,对保
障国家信息安全担负着重要作用。"
- 2007年7月17日,大量使用中国国内邮件服务商的用户与国外通信出现了退信、
丢信等普遍现象。
- 2007年12月,方滨兴任北京邮电大学校长。
- 2008年1月18日,信息产业部决定免去方滨兴的国家计算机网络与信息安全管理
中心名誉主任、信息产业部互联网应急处理协调办公室主任职务,"另有职用"。
- 2008年2月29日,方滨兴当选第十一届全国人民代表大会安徽省代表。
- 2009年8月10日,方滨兴在"第一届中国互联网治理与法律论坛"上大力鼓吹网络
实名制。


机构关系

国家计算机网络与信息安全管理中心(安管中心)是原信产部现工信部的直属部
门。

安管中心与国家信息化工作领导小组计算机网络与信息安全管理工作办公室与国家
计算机网络应急技术处理协调中心(CNCERT/CC,互联网应急中心)是一个机构几
块牌子的关系。比如方滨兴简历中"1999-2000年在国家计算机网络应急技术处理协
调中心任副总工"与"计算机网络应急处理协调中心"的成立时间两种说法就有着微
妙的矛盾。实际上几个机构的人员基本一致。

安管中心下属互联网交换中心与国家互联网络交换中心是不同的机构。

各安管中心省级分中心一般挂靠当地的通信管理局。

安管中心的主要科研力量来自"哈尔滨工业大学一定会兴盛"方滨兴当博导有一批学
生的哈工大以及关系良好的中科院计算所,这两个机构是那三个国家信息 安全重
大项目的主要参与者,之后还在不断吸引人才并为安管中心输送人才和技术。在方
滨兴空降北邮之后,往安管中心输血的成分中哈工大的逐渐减少,北邮的逐 渐增
多。

CNCERT/CC的国内"合作伙伴"有中国互联网协会主办北京光芒在线网络科技有限公
司承办的中国互联网用户反垃圾邮件中心,是个没有实权的空壳;国家反计算机入
侵及防病毒研究中心、国家计算机病毒应急处理中心,是公安部、科技部麾下;违
法和不良信息举报中心是国新办势力范围;国家计算机网络入侵防范中心是中科院
研究生院的机构,同样直接支撑CNCERT/CC。

CNCERT/CC的应急支撑单位中民营企业最初领跑者是绿盟,后来绿盟因其台谍案被
罢黜,启明星辰取而代之。而安管中心具有一些资质认证、准入审 批的行政权
力,这可能是民间安全企业趋之若骛的原因。不过,民营企业并未参与到国家信息
安全的核心项目建设中,安管中心许多外围项目交给民企外企做,比如 像隔离器
之类的访问限制设备外包给启明星辰以作为辅助、备用,或者在与他们在网络安全
监测上有所交流。

GFW与金盾没有关系

敏锐的读者从时间表应该已经看出这样的感觉了。实际上,GFW与金盾就是没有关
系,两者泾渭分明,有很多区别。

公安系统搞网络监控的是公安部十一局

GFW是"国家信息关防工程"的一个子工程,直接上级是国家信息化工作领导小组和
信息产业部 是政治局亲自抓的国防工程

这个工程主要监测发现有害网站和信息,IP地址定位,网上对抗信息的上报,跟踪有害短信息和
及时进行封堵 江泽民,朱�基,胡锦涛,李岚清,吴邦国等多次视察该工程

"国家信息关防工程"包括 "国家信息安全管理系统 工程代号为005。还有国家
信息安全016工程等等

GFW主要是舆情 情报系统的工具,而金盾主要是公安系统的工具。GFW的总支持者是负责
宣传工作的李长春,和张春江 江绵恒 最初的主要需求来自政治局 政法委 安全部 610办 ;

而金盾的 总支持者是公安
系统的高层人士,主要需求来自公安部门。GFW主外,作网络海关用;而金盾主
内,作侦查取证用。GFW建设时间短,花费少,成效好;而金盾 建设时间长,花费
巨大(GFW的十倍以上),成效不显著。


GFW依附于三个国家级国际出入口骨干网交换中心
从CRS GSR流量分光镜像到自己的交换中心搞入侵检测,再扩散到一些放在ISP那里的
路由封IP,位置集中,设备数量少;而金盾则是公安内部信息网络,无处
不在,数量巨大。GFW的科研实力雄厚,国内研 究信息安全的顶尖人才和实验室有
不少在为其服务,比如哈工大信息安全重点实验室、中科院计算所 软件所 高能所 国防科大
总参三部 安全部9局 北邮 西电 、 上海交大 北方交大 北京电子科技学院
解放军信息工程学院 解放军装甲兵工程学院 信产部中电30所 总参56所等等;

另外几乎所有985 211高校都参与此工程

一些公司商业机构也参与某些外围工程项目如 Websense packeteer BlueCoat 华为
北大方正 港湾 启明星辰 神州数码也提供了一些辅助设备

中搜 奇虎 北京大正 雅虎等等参与了搜索引擎安全管理系统

在某些省市级的网络机房里,接入监控的部门就五花八门了,有安全、公安、纪检、部队,等等
部署的设备也是五花八门 正规军 杂牌军 洋外援各自为战

而金
盾的科研实力较弱,公安系统的公安部第三研究所信息网络安全研发中心、国家反
计算机入侵与防病毒研究中心都缺乏科研力量和科研成果,2008年8月成立信息网
络安全公安部重点实验室想 与哈工大的重点实验室抗衡,还特意邀请方滨兴来实
验室学术委员会,不过这个实验室光是电子数据取证的研究方向就没什么前景,而
且也没什么研究成果。GFW 之父方滨兴没有参与金盾工程,而工程院里在支持金盾
工程的是沈昌祥;实际上那个公安部重点实验室的学术委员会名单很是有趣,沈昌
祥自然排第一,方滨兴因为 最近声名太显赫也不好意思不邀请他,方滨兴可能也
有屈尊与公安系统打好关系的用意。

GFW发展和状况

GFW主要使用的硬件来自曙光和华为,没有思科、Juniper,软件大部为自主开发。
原因很简单,对国家信息安全基础设施建设,方滨兴在他最近的 讲话《五个层面
解读国家信息安全保障体系》中也一直强调"信息安全应该以自主知识产权为主"。
何况GFW属于保密的国防工程
而且GFW没有闲钱去养洋老爷,肥水不流外人田。李国杰是 工程院信息工程部主
任、曙光公司董事长、中科院计算所所长,GFW的大量服务器设备订单都给了曙
光。方滨兴还将安管中心所需的大型机大订单给李国杰、国防 科大卢锡城、总参
56所陈左宁三位院士所在单位各一份。所以GFW为什么那么多曙光的设备,GFW为什
么那么多中科院计算所的科研力量,为什么方滨兴成为 中科院计算所和国防科大
都有显赫的兼职,为什么方滨兴从老家哈尔滨出来打拼短短7年时间就入选工程院
卢浮宫?就是因为方滨兴头脑灵活,做事皆大欢喜。

网上有人讽刺GFW夜郎自大,事实上这是盲目乐观,无知者无畏。GFW的技术是世界
顶尖的,GFW集中了哈工大、中科院、北邮货真价实的顶尖人才, 科研力量也是实
打实地雄厚,什么动态SSL Freenet VPN SSH TOR GNUnet JAP I2P Psiphon
什么Feed Over Email 算什么葱。所有的翻墙方法,
只要有人想得到,GFW都有研究并且有反制措施的实验室方案储备

比如说 串接式封堵 采用中间人攻击手段来替换加密通信双方所用的没有经过可信赖CA签名保护的数字证书

网关/代理间的证书协调,
在出口网关上进行解密检测也就是所谓深度内容检测 七层过滤

HTTPS 是需要认证的。客户端访问服务器时,服务器端提供CA证书,但有些实现也可以不提供CA证书
那么对于不提供CA证书的服务器,防火墙处理很简单,一律屏蔽掉

另外检测默认的CA发证机构,如果证书不是这些机构(Verisign、Thawte Geotrust)发的,杀无赦

就是在客户端与服务器端进行https握手的阶段,过滤掉一切无CA证
书或使用不合法CA证书的https请求。这一步是广谱过滤,与服务器的IP地址无关


。GFW主要是入侵防御
系统,检测-攻击两相模型。 所有传输层明文的翻墙方案,检测然后立即进行攻击
是很容易的事情;即使传输层用TLS之类的加密无法实时检测,那种方案面向最终
用户肯定是透明的,谁也不 能阻止GFW也作为最终用户来静态分析其网络层可检测
特征。入侵检测然后TCP会话重置攻击算是干净利落的手段了,最不济也能通过人
工的方式来查出翻墙方 法的网络层特征(仅仅目标IP地址就已经足够)然后进行
定点清除。如果是一两个国家的敌人,GFW也能找到集群来算密钥。GFW是难得能有
中央财政喂奶的 科研项目。那些在哈工大地下室、中科院破楼里的穷研究生即使
没有钱也能搞出东西来,现在中央财政喂奶,更是干劲十足了。GFW什么都行,就
是P2P没办 法,因为匿名性太好了,既不能实时检测出来,也无法通过静态分析找
到固定的、或者变化而可跟踪的网络层特征。就这样也能建两个陷阱节点搞点小破
坏,而且中 科院的242项目"P2P协议分析与测量"一直都没停。什么时候国外开学
术会议还是Defcon谁谁发一篇讲Tor安全性的paper,立即拿回来研究一 番实现一
下,已然紧跟学术技术最前沿了。不过实际上,即使GFW这样一个中国最顶尖的技
术项目也摆脱不了山寨的本性,就是做一个东西出来很容易,但是要把东西做细致
就不行了。

不过可能有人就疑问,为什么GFW什么都能封但又不真的封呢?我的这个翻墙方法
一直还是好好的嘛。其实GFW有它自己的运作方式。GFW从性质上讲 是纯粹的科研
技术部门,对政治势力来说是一个完全没有主观能动性的工具。GFW内部有很严格
权限管理,技术与政治封装隔离得非常彻底。封什么还是解封什 么,都是完全由
上峰决定,党指挥枪,授权专门人员操作关键词列表,与技术实现者隔离得很彻
底,互相都不知道在做什么。所以很多时候一些莫名其妙的封禁比如 封
freebsd.orgfreepascal.org(可能都联想到freetibet.org),或者把跟轮子的
GPass八杆子打不着的"package.debian.org/zh-cn/lenny/gpass" 列为关键词,都
是那些摆弄着IE6的官僚们的颐指气使,技术人员要是知道了都得气死。方滨兴在
他最近的讲话《五个层面解读国家信息安全保障体系》中讲一个 立足国情的原
则,说:"主要是强调综合平衡安全成本与风险,如果风险不大就没有必要花太大
的安全成本来做。在这里面需要强调一点就是确保重点的,如等级保 护就是根据
信息系统的重要性来定级,从而施加适当强度的保护。"所以对于小众的翻墙方
式,GFW按照它的职能发现了也就只能过一下目心里有个底,上峰根本 都不知道有
这么一种方式所以也根本不会去封、GFW自己也没权限封,或者知道了也懒得再花
钱花精力去布置。枪打出头鸟,什么时候都是这样。

目前的状况是对于敏感数据能通过封锁基本上就是安全的,
否则就被过滤掉了,对于庞大的网络数据用人来分析是不可能的,敏感数据只能基于
过滤技术根据数据流里面的一些特征来发现,目前的解密技术对于庞大数据流量和加
密技术想使用解密的方法是不可能实现的,只要加密数据流没有可识别的特征,过滤
技术就不会有任何记录和反映,因此过滤技术是无法真正实现网络封锁的,因此必需
加入新的参数,它们选择了量,即保存你的一段时间的数据。现在的破网方法用的比
较多得是动态网,无界,花园,等等,由于接点相对来说是有限的和可知的,因此保
存一段时间的数据就有了意义,由于使用破网软件的人很多,不可能人人都抓,可以
根据量来区分出重点,和经常使用破网软件的人,当然你可已通过代理来连接这些可
知接点来解决这个问题,破网软件也提供了这样的方法,但是通过代理联接可知的
接点的请求还是可能被截获的


方滨兴一个人把GFW崛起过程中的政治势能全部转化为他的动能之后就把GFW扔掉
了。现在GFW是平稳期,完全是清水衙门,既没有什么后台,也无法 再有什么政
治、资金上的利益可以攫取,也无法再搞什么新的大型项目,连IPv6对GFW来说都
成了一件麻烦事情。方滨兴在他最近的讲话《五个层面解读国家 信息安全保障体
系》中也感慨道:"比如说Web 2.0概念出现后,甚至包括病毒等等这些问题就比较
容易扩散,再比如说IPv6出来之后,入侵检测就没有意义了,因为协议都看不懂还
检测什么......"GFW 一直就没有地位,一直就是一个没人管的萝莉,国新办、网监、
广电、版权、通管局之类的怪蜀黍都压在上面要做这做那。所以方滨兴在他最近的
讲话《五个层面解 读国家信息安全保障体系》中也首先强调一个机制,"需要宏观
层面,包括主管部门予以支持。"所以,想解封网站,不要去找GFW本体,那没
用,要去找GFW 的上峰,随便哪个都行。而ISP就根本跟GFW没关系了,都不知道
GFW具体搞些什么,起诉ISP完全属于没找到脉门。

不过GFW现在还是运行得很好,工作能力还有很大潜力可挖,唯一害怕的就是
DDoS死撞墙。GFW的规模在前面的时间表里也有数字可以估计,而且 GFW现在的网
站封禁列表也有几十万条之多。网络监控和对MSN YMSG ICQ等IM 短信监控也都尽善尽美。

GFW在数据挖掘和协议分析上做的还比较成功
多媒体数据如音频 视频 图形图像的智能识别分析 自然语言语义判断识别
模式匹配 p2p VoIP IM 流媒体 加密内容识别过滤 串接式封堵 等等是将来的重点

不过GFW也没
有像机器学习之类的自组织反馈机制来自动生成关键词,因为它 本身没有修改关
键词的权限,所以这种技术也没必要,况且国内这种技术也是概念吹得多论文发得
多实践不成熟。现在GFW和金盾最想要的就是能够从万草从中揪 出一小撮毒草的数
据挖掘之类的人工智能技术。方滨兴在他最近的讲话《五个层面解读国家信息安全
保障体系》中提到"舆情驾驭核心能力","首先要能够发现和 获取,然后要有分析
和引导的能力"。怎么发现?就靠中科院在研的973课题"文本识别及信息过滤"和
863重点项目"大规模网络安全事件监控"这种项目。 金盾工程花大钱搞出来,好评
反而不如GFW,十一局的干警们脸上无光无法跟老一辈交代啊。公安系统的技术力
量跟GFW没法比,不过公安系统有的是钱,先游 山玩水吃喝一通,然后把剩下的税
金像冲厕所一样随便买个几十万个摄像头几万台刀片几十PB硬盘接到省市级网络中
心,把什么东西都记录下来。问题是记下来不 能用,只能靠公安干警一页一页地
翻Excel。所以说,虽然看起来GFW千疮百孔,金盾深不可测,只是因为公安部门比
起GFW来比较有攻击性,看到毒草不 是给你一个RST而是给你一张拘留证。反而是
GFW大多数时候都把毒草给挡住了,而大多数毒草金盾都是没发现的。

国家信息安全话语范式

在轮子闹事被取缔之后,轮子组织仍然在从四面八方进行各种手段的宣传,而且逐
渐依靠上了各种境外背景。境内的宣传活动很快就被公安和国安清理掉了, 然而
从境外网上而来的大量网络宣传让从未有过网络化经验的中央无所适从、毫无办
法、十分着急。这些东西对中央来说都是难以忍受的安全威胁,为这些威胁又发
生在网上,自然国家网络安全就被提上了首要议程。适逢信息化大潮,电子政务概
念兴起,中央下决心好好应对信息化的问题,于是就成立了国家信息化工作领导
小 组。我们可以看到,首批组成名单中,安全部门和宣传部门占了大多数席
位,而且其第一下属机构就是处理安全问题,第二下属才是处理信息化改革,安全
需求之强 烈,可见一斑。

正是这个时候,一贯对信息安全充满独到见解的方滨兴被信产部的张春江调入了安
管中心练级。方滨兴对信息安全的见解与高层对网络安全的需求不谋而合。 一个
方滨兴见解的集大成概括,方滨兴在他最近的讲话《五个层面解读国家信息安全保
障体系》中说:"一定要有一个信息安全法,有了这个核心法你才能做一系列 的工
作。"国家信息安全体系的首要核心就是以信息安全为纲的法律保障体系,通过国
家意志----法律来定义何谓"信息安全"。信息安全本来是纯技术、完全中性 的词
语,通过国家意志的定义,将"煽动...煽动...煽动...煽动...捏造...宣扬...侮辱...损害...其
他..."定义为所谓的网络攻击、网络垃圾、网络有害信息、网络安全威 胁,却在实
现层面完全技术性、中立性地看待安全,丝毫不考虑现实政治问题。这样既在技术
上实现完备的封装,也给了用户以高可扩展性的安全事件定义界面。对 国家安全
与技术安全实现充满隐喻的捆绑,对意识形态与信息科学进行牢不可破的焊接,这
就是方滨兴带给高层的开拓性思维,这就是方滨兴提出的国家信息安全话 语范
式。

这个话语范式是如此自然、封装得如此彻底,以至于几乎所有人都没有意识到中国
的网络化发展出现了怎样严重的问题。几乎所有网民都没有意识到,给他们 带来
巨大麻烦和沮丧的GFW竟然是本来应该为网民打黑除恶的国家互联网应急响应中
心;几乎所有网民都没有意识到,自己在网上某处的一亩三分地修剪花草对于 国
家来说竟然是网络安全攻击事件;几乎所有决策者都没有意识到,那个看似立竿见
影的防火墙实际上具有怎样强大的副作用、会给互联网发展带来怎样大的伤害;
几乎所有决策者都没有意识到,使用GFW这样专业的安全工具来进行网络封锁意味
着什么。意识形态面对网络化这样变幻莫测的景色无法忍受,就只能用眼罩封闭
住眼睛。在讨论网络化的中文理论文本中,摆到首要位置占据最多篇幅的便是网络
安全和网络威胁。国家信息化工作领导小组第一下属机构便是处理安全问题。这
样,在网络本身都没有发展起来的时候,就在理论上对网络进行种种限制和控
制;在网络仍然自发地成长起来以后,便在文化上对网络进行系统性妖魔化,在地
理上 对网络中国进行闭关锁国。更严重的是,在根本不了解技术本质和副作用的
情况下使用国家信息安全工具,就像一个不懂事的小孩把玩枪械。在维护安全的话
语之 下,决策者根本不知道使用GFW进行网络封锁就是在自己的网络国土上使用军
队进行镇压,切断网线就是在自己的网络国土上种蘑菇。

更悲哀的是,GFW的建设者们大多都没有意识到他们在做的究竟是什么事情,在签
订保密协议之后就无意识中投身党国事业滚滚长江东逝水。像云晓春这种 跟着方
滨兴出来打江山的,方滨兴倒是高飞了,云晓春们就只能鞠躬尽瘁干死技术,在安
管中心反而被王秀军、黄澄清之辈后来居上。而当初在哈工大跟着方滨兴的 穷研
究生们,最后也陆陆续续去了百度之类的公司。GFW面临与曼哈顿工程一样的伦理
困局。科学本是中立的,但科学家却被政治摆弄。技术工作者们只关心也只 被允
许关心如何实现安全,并不能关心安全的定义到底如何。他们缺乏学术伦理精
神,不能实践"对自己工作的一切可能后果进行检验和评估;一旦发现弊端或危
险,应改变甚至中断自己的工作;如果不能独自做出抉择,应暂缓或中止相关研
究,及时向社会报警"的准则。结果就算他们辛辛苦苦做研究却也不能造福民
生,反 而被扣上"扼杀中国人权""纳粹帮凶"的帽子,不可谓不是历史的悲哀。

这种话语范式浸透了社会的方方面面。在这种话语之下,中国有了世界上最强大的
防火墙,但中国的网络建设却远远落后于世界先进水平;中国有了世界上最 庞大
的网瘾治疗产业链,但中国的网络产业却只会山寨技;中国有了世界上最多的网
民,但在互联网上却听不见中国的声音。GFW已经实现了人们的自我审查,让 人们
即使重获自由也无法飞翔,完成了其根本目的。现在即使对GFW的DDoS的技术已经
成熟,然而推倒墙却也变得没有意义,只能让公安系统的金盾得势,更 多的网民
被捕,最终新墙竖起。这一切都出自意识形态化现代性与网络化后现代性之间巨大
断裂,以及"国家信息安全话语"这种致命的讳疾忌医。

结语

一部GFW简史同时也是中国网络化简史。网络化既是技术变革,也是文化变革。网
络文化这种"有害成份"无法分而治之,因为网络化的技术变革与文化变 革是一体
的;后现代的网络文化也无法与现代的意识形态文化进行同化,因为两者分属不同
的范式。网络的确是意识形态完全的敌人,因为网络多元化文化要求取消 意识形
态的中心地位;但意识形态不是网络的敌人,事实上网络没有敌人,因为网络只有
解构对象。因此对于执政者来说,意识形态的中心地位与网络化发展趋势两 者只
能选择其一。实际情况是,执政者选择了前者,而把大刀挥向了Web 2.0。于是网
络用它一贯调侃的风格模仿意识形态话语进行了如下讽刺:"我们对你陈旧的政权
概念和意识形态烂腌菜毫不感兴趣。你无法理解在人类网络化的历 史潮流之前宏
大叙事为何而消解,你也无法理解国家和民族概念为何将分崩离析,你无法改变你
对互联网的无知。你的政权无法成为我们真正的敌人。"其实, 《2009匿名网民宣
言》只是过早的预言,cyberpunk式的谜语。

然而,无论中国的互联网受到了怎样的限制和压迫,即便中国网民的眼界已经被成
功禁锢,中国的网络还是以它自己的方式适应种种压力顽强地发展。无论有多么强
大的GFW或者金盾,即使被关在果壳之中,网络仍然在以意识形态完全不能理解的
方式走向后现代蓝海,自成为无限空间之王。


金盾工程大家都了解,简单来说把它定义为公安信息化工程,或者叫公安工作信息化工程。行业的任务来说,打击犯罪、社会治安行政管理。

从这个行业来说,涉及到整个社会管理的多方面


从目标来讲,要做信息化。重点来讲包括几个方面,一个是公安业务运作信息化,包括和大家密切相关的人口管理、户籍管理、驾驶执照管理

,另外从内部来讲有一个信息高度共享问题。打击犯罪,要用社会治安行政管理当中的数据,用自己记录的一些资料对的工作进行帮助


"金盾工程"是以公安信息网络为先导,以各项公安工作信息化为主要内容,建立统一指挥、快速反应、协同作战机制,在全国范围内开展公

安信息化的工程,主要包括建设公安综合业务通信网、公安综合信息系统、全国公安指挥调度系统以及全国公共网络监控中心 警务平台等


"金盾工程"各级公安机关建成了畅通的全国公安信息网络,联网计算机超过64万台,全国每百名民警拥有联网计算机38台,比1999年翻了两

番多。人口信息、违法犯罪信息、机动车驾驶人信息等最基础、最常用的23个一类系统已投入运行。目前,全国利用信息破案已占全部破案总

数的20%左右


金盾工程建设的目标,2005年以前在全国公安机关形成信息化基础设施比较完备、应用种类比较齐全、部分公安工作的流程实现信息化工作流

程,满足当前急需的科学规范,适应我国公安信息化框架体系。现在提出来的目标,2007年基本实现公安信息化。提出来科学规范实用,这也

是现任部长周部长提出来的


金盾工程建设的现状,从部党委做出决定,金盾工程的实施从98年9月份公安部作出在全国实施金盾工程建设的决定。五年时间里面坚持边立项

、边探索、便建设,边应用的方针。成立了工程的组织机构,设立了金盾办,现在金盾办主任由部领导担任,设立了综合、网络、应用等六个

组。从资金投入来讲,99年到2001年,公安部安排了近四亿元资金。从99年到2002年地方各级公安机关投入近50亿。的金盾工程呈多级星型结

构,数据、网络、图象是分开的,一般的数据带宽在4×2MB,二级网带宽大概在2M左右,开通率接近100%,三级网开通率接近80%。现在的难

题主要是基层所队接入网的开通,目前只占30%,东部比较好。北京、上海这些地方基本是百分之百,采用光纤直接联到派出所,条件比较好

。其它地方有的地方采用扩频微波,有的地方租用电信DNN电路。 从应用系统建设来讲取得了长足进步,人口信息系统已经覆盖90%的人

口,280多个地级以上城市实现联网查询。出入境查询系统覆盖全国所有口岸,交通管理信息系统覆盖所有机动车和驾驶员,82%的机动车和95

%的驾驶员信息可以联网查询。 针对打击犯罪的系统建立起来,网上追逃、指纹等等系统。现在装备的计算机大概在30多万台。从立项批

复情况看,去年10月份国家计委正式批复可行性研究报告,今年八月正式批复项目初步设计,核定总投资规模为30多亿元,其中中央投资8亿元

,其余为地方投资。中央投资主要是指公安部和计委,西部地区考虑到经济发展的不平衡,特意在申请中间强调了对西部地区必须要给与一定

的补贴,要不然西部肯定上不来。信息化要求步调基本一致。刚才讲到城市犯罪中间可能有大部分是外地人,而外地人口来自于来自相对比较

贫困的地区或者西部地区。如果西部地区的信息上不来,你的作用发挥非常有限,在这一点来讲,国家计委还是充分肯定的意见,给了一部分

西部投资资金。第一期投资基金30多个亿,当时提交立项以及做可行性研究报告,国内申请立项基建投资的信息化工程不是很多见,在此之前

大规模的信息工程基本不是走计委这条线。这个项目计委投资四百多万,做了第一个信息化投资项目。地方有各种渠道,大家觉得公安信息化

非常重要,金盾工程非常重要。总投资规模会超过30多亿,东部投资会超过这个数字。 金盾工程的原则是起点要高,科学、规范、实用,

公安的特点业务比较多,统筹规划、突出重点、统一领导、统一规划、统一标准、分级管理。最近强调突出重点,以需求为导向,以应用为核

心推动金盾工程。 支撑整个应用体系的包括运行管理体系,还有安全保障体系。在这上面还有信息化的标准规范体系,金盾工程的规模相

对比较大一些,部门业务比较多

应用系统包括建立共享性的信息资源库,过去有一些,但是覆盖面或者集中性都不是太理想。现在提出要建设全国性的库,包括人口、出入境

,在逃人员、被盗抢汽车、警员等信息。电子政务当中规划的四个资源库之一,也是为内容库准备信息资源。这一信息资源库有了适当的办法

,有些信息是可以提供给社会或者提供给其它部门的

一些金盾子项目


人脸识别查询在百万级的几个人脸库中进行高速人脸识别查询
旅客进入边检通报时,插入ic卡,从数据库里调出相应的人脸图案、数据,现场抓拍游客的面像即时与之比对,比对通过,关闸自动打开。人

脸识别作为指纹识别的补充,使识别准确率达到百分之百,而且使用这套系统通关只要五到六秒时间。

车辆出入境"快捷通"系统集成了远程电子预报、指纹/面像双生物特征的识别及比对技术、智能化自动控制机械定位等多种先进技术,做到了

远距离自动识别车辆号牌,即时调取车辆及司机资料,计算机自动比对司机指纹及面像,完成出入境边防检查的各项查验手续

雷管上了"户口"成功地研制出了系列工业雷管机械编码机,解决了生产线上雷管编码信息与计算机接口以及雷管编码信息在流通中方便有效

传递的技术问题。目前,全国74家雷管生产企业已经全部采用了雷管编码技术和信息管理系统

社会危险人员防控平台。平台将全市车站、机场、旅馆、银行等社会生活领域各个信息点采集到的人员信息数据,与在逃人员、涉毒人员、盗

抢车辆等数据资源库进行实时比对、碰撞,及时过滤、捕获社会危险人员和嫌疑车辆,并通过信息中心报警,传递到一线民警终端微机和手机

现场指纹,DNA数据库 指纹信息 在逃人员,在押人员 重大案件,盗抢车辆,失踪人员,未知名尸体信息资源库
--~--~---------~--~----~------------~-------~--~----~
您收到此信息是由于您订阅了 Google 论坛"参考消息(G4G)"论坛。
要在此论坛发帖,请发电子邮件到 go2group@googlegroups.com
要退订此论坛,请发邮件至 go2group+unsubscribe@googlegroups.com
更多选项,请通过 http://groups.google.com/group/go2group?hl=zh-CN 访问该论坛
-~----------~----~----~----~------~----~------~--~---


--
~~~~~~~~~~~~~~~~~~~~~~~~~~~~
http://bczc.blogspot.com
~~~~~~~~~~~~~~~~~~~~~~~~~~~~

没有评论:

发表评论