本条的内容:
- I.中国特色的网络安全:党是领导一切的。
- II.中国的网络安全综合计划
- III.中国的监管体系:多层次保护计划(MLPS 2.0)
- IV.密码学不是一种解决方案。
- V.一个具体实例:金税恶意软件程序
- VI.公司如何被推入不安全的网络系统。
- VII.跨境和国际影响
I.中国特色的网络安全:党是领导一切的。
在中国共产党(CCP)的指导下,中国政府正在努力创建一个具有中国特色的网络安全系统。该系统旨在使所有跨越中国边境的网络信息:a) 对中国政府透明;b) 不允许国内外黑客和不隶属于中国共产党的政府进行未经授权的访问。
主要目标是利用这一系统进行监视和控制。监视意味着获取信息。因此,该系统的透明度意味着所有越过中国边境的信息都应向中共及其代理人公开。党内没有秘密。因此,从个人或企业实体的角度来看,无论是国内还是国外,该系统都是一个网络安全系统。随着该系统的逐步完善和范围的扩大,在党的眼皮底下将无处藏身。
所有在中国境内运营的外国实体都要遵守这一网络安全体系。由于网络系统和通信是每个现代公司工作的核心,因此了解中国系统的运作方式至关重要。这种影响不仅限于在中国设立外商投资企业的外国实体。它还适用于通过任何网络向中国传输个人或技术信息的任何人。它还适用于向任何通过数字丝绸之路项目实施中国数字专制制度的国家传输信息的任何人。它还适用于向已成为中国数据收集行动目标的任何国家或地区(香港/台湾)传输信息的任何人。
要了解这一制度的基础,就必须了解中国现行政体的某些特点。首先,我们必须了解中国共产党的作用。主要有两个特点:
其一,中共被公认为 "领导一切"。在邓小平、江泽民和胡锦涛领导下,目标是使党摆脱主导领导地位,从而释放人民和非党机构的经济和创造力。这一计划非常成功,以至于中国许多人开始质疑党的作用。
习近平政府的首要目标就是扭转这一趋势。在习主席的努力下,中国共产党现在是一切事务的领导者。它在指导中国各个方面的作用是无限的。因此,2018 年,中共党章修改为:
中国共产党领导是中国特色社会主义的首要特征。党政军民学,东西南北中,党是领导一切的。
中国共产党的领导是中国特色社会主义最本质的特征,是中国特色社会主义制度的最大优势。
这一声明是对邓、江、胡政策的否定。这又回到了毛泽东在 1962 年提出的立场。1962年1月30日,中国共产党中央委员会主席毛泽东在扩大的中央工作会议上发表讲话。
虽然中国共产党在所有方面都是领导者,但其首要目标是领导经济发展。正如《中国共产党章程》序言所述
中国共产党领导社会主义事业,必须继续坚持以经济建设为中心,其他各项工作都必须服从和服务于这个中心。党要实施科教兴国战略、人才强国战略、创新驱动发展战略、乡村振兴战略、区域协调发展战略、可持续发展战略、军民融合发展战略。充分发挥科技第一生产力和创新第一驱动力的作用,依靠科技进步,提高劳动者素质,实现经济更高质量、更有效率、更加公平、更可持续的发展。
为了与这一广泛角色保持一致,中国共产党还大大扩展了国家安全的概念。根据习近平提出的 "总体国家安全观",传统的军事、保卫边界的国家安全方法发生了转变。在新安全观下,有两个特点至关重要。首先,首要目标是维护中国共产党作为中国统治者的绝对权力。其次,重点关注对中国共产党权力的威胁:
- 中国未能迅速发展成为高科技国家。
- 党未能控制意识形态和信息。
私人和商业实体对网络安全的关切不在分析之列。必须保护的是党,而不是公众。特别是,任何公众都不可能与党发生冲突。任何此类冲突都是反党的,因此也是反中国的。这个问题没有得到任何解决。习近平关于总体国家安全观论述摘编,2018》这本习近平关于总体国家安全观论述摘编的标准文集详细解释了这一切。马修-D-约翰逊(Matthew D. Johnson)的英文摘要很好、 Safeguarding Socialism:中国总体安全观的起源、演变和扩展,
为了在所有事情上成为领导者,党必须了解所有事情。在网络领域,中国共产党及其机构通过两种方式来满足这种了解需求:
在国内,中共利用数字技术在中国建立了一个监控国家。通过人脸识别、控制互联网、手机、微信以及通过人工智能和大数据监测和控制的相关信息来源,中共建立了一个被称为数字专制主义的监视和控制系统。见美国参议院外交关系委员会,《新老大哥:China and Digital Authoritarianism.
在国际上,党及其代理人--国家安全部(MSS)和公安部(MPS)--已成为技术和商业秘密的主要网络黑客。国家安全部在网络黑客中的作用有据可查。美国和英国最近的刑事起诉以及美国和外国政府的回应可参见此处。
那么,什么是中共?
1.中国共产党是直接与外国实体竞争的中国国有企业和私营企业的首席执行官。
2.中国共产党是负责根据《中国制造 2025》计划和其他高速高科技发展项目开发技术的研究中心的主任。
3.中共是中国军队的总司令,禁止外国人与中国军队打交道。根据军民融合理论,军队可以获取中共获得的所有信息和技术。
4.中国共产党是由公安部和中国人民解放军(PLA)实施的全球网络黑客系统以及由公安部实施的国内网络黑客系统的管理者。
党完全控制着这个系统。党领导着一切:北方、南方、东方、西方和中央。任何试图击败这一系统的企图都注定要失败。中国境内的所有网络和数字数据都将毫无例外地向中国共产党透明化。无处可藏。
那么,它是如何工作的呢?下文将对此进行讨论。
II.中国的网络安全综合计划
几年来,中国政府一直在制定一项全面的互联网安全/监控计划。 该计划以 2016 年通过的《网络安全法》为基础。该计划内容庞大,包括一系列附属法律法规。2018 年 12 月 1 日,中国公安部宣布将最终推出完整计划。
该计划的核心是让中国安全部全面访问通过中国网络传输并存放在中国服务器上的大量原始数据。由于原始数据价值不大,安全部成功的关键在于处理这些数据。鉴于这是一个关键问题,网络安全和信息化部任命王英伟为新一任网络安全局局长。王英伟是一位著名的 "大数据 "专家,他将负责对新系统下收集的原始数据进行分析。
新系统的计划雄心勃勃,内容全面。正如该计划的首席拉拉队长郭启全所解释的那样,新系统的主要目标是实现 "全覆盖"。 "它将覆盖每个地区、每个部委、每个企业和其他机构,基本覆盖全社会。它还将覆盖所有需要[网络安全]保护的目标,包括所有网络、信息系统、云平台、物联网、控制系统、大数据和移动互联网。"
该制度适用于在中国的外资企业,与所有中国人、实体或个人相同。位于中国境内的任何服务器上所包含的任何信息都将不受该全面覆盖计划的限制。从中国发出或向中国发出的任何通信都将受到豁免。没有秘密。没有 VPN。没有私人或加密信息。没有匿名在线账户。没有商业秘密。没有机密数据。所有数据都将向中国政府开放。由于中国政府是所有国有企业的股东,现在还对中国的主要私营企业实施实际控制,因此这些国有企业和中国公司都可以获得所有这些信息。参见《 中国将在包括阿里巴巴在内的 100 家民营企业中派驻政府官员》。 所有这些信息都将提供给中国军方和军事研究机构。中国人非常清楚这是他们的计划。
过去,在中国的外资企业一般可以通过两种方式避免这类系统的影响。它们主要通过在自己的办事处建立 VPN 互联网服务器来实现。这些服务器使用 VPN 技术将数据与中国控制的网络隔离开来,使公司内网能够对存储在中国公司服务器上的电子邮件和数据保密。随着云计算的发展,外资企业通常也使用同样的 VPN 技术将其云服务器与中国控制系统隔离。尽管中国当局经常对这些 VPN 系统提出抱怨,但外资企业通常能够声称其特殊的外商独资企业身份使其免受中国数据管制。
然而,随着新系统的推出,这一切都将改变。首先,《网络安全法》及相关法律法规明确规定,它们适用于中国境内的所有个人和实体,不分所有制或国籍。没有例外。更重要的是,2020 年 1 月 1 日生效的新《外商投资法》取消了与外商独资企业或其他外商投资企业相关的任何特殊地位。外资企业将受到与中资企业完全相同的待遇。请参阅《中国新外商投资法的好处》:就像给猪涂口红。这意味着《网络安全法》适用于外资企业(外商独资企业、合资企业和代表处)的方式与适用于中资企业和个人的方式完全相同。外资企业将无处藏身。
这意味着在中国,包括外国公司在内的任何人都不再允许使用公司内部 VPN 系统。这反过来又意味着,所有公司电子邮件和数据传输都必须使用中国运营的通信系统,并对中国网络安全局完全开放。所有使用中国通信网络的数据服务器也必须向网络安全局的监控系统开放。
必须充分理解这意味着什么。根据《网络安全法》,中国政府有权从中国境内的任何个人或实体获取中国政府认为对中国安全有影响的任何信息。中国政府知道,外国公司和个人不愿意在被要求时简单地向中国政府提供信息。因此,中国网络安全局并不打算礼貌地正式要求提供信息。新网络安全系统的基本前提是,政府将利用其对通信的控制权,在不与用户讨论的情况下直接获取信息。所有数据都将对中国政府开放。
这种持续、无处不在地获取和监控数据的制度给在中国运营的美国公司和许多外国公司带来了根本性的冲突,因为美国法律在许多情况下规定许多信息必须保密。但中国法律现在要求,如果这些机密因任何原因越过中国边境,政府就可以完全获取这些机密。这种冲突使许多美国公司和外国公司陷入无法摆脱的法律困境。我之所以将外国公司包括在内,是因为在美国设有子公司或甚至与美国公司有某种关系的外国公司也将受到美国保密法的约束或至少是影响。
首先,随着美国政府指定的受控信息和技术的范围开始扩大,对不能跨越中国边境传输的信息和技术的限制也随之增加。请参阅这篇文章,了解根据美国法律,哪些内容可能构成受限制的 "新兴技术"。美国公司过去的立场是,他们在中国的信息是在与中国政府隔离的私人服务器上,如果中国政府要求这些信息,"我们将拒绝遵守"。这种说法已经行不通了,因为中国政府不会再索要这些信息,而是会直接拿走。
其次,许多知识产权是作为商业秘密而受到保护的,而不是因为它被注册为专利。事实上,许多美国专利的价值在于其对商业秘密技术的支持。商业秘密是受美国法律保护的一种财产形式。然而,(根据美国、中国和欧盟的法律)能够将某一事物作为商业秘密加以维护的一般规则是,商业秘密的持有人必须采取合理的措施来维护其机密性。一旦商业秘密被持有人故意或不合理地泄露,其作为商业秘密财产的保护就会终止。这就导致了冲突。
在中国的新制度下,实际上,瞒着中国共产党的商业机密将不复存在。这意味着在中国开展业务的美国和欧盟公司现在需要假定,他们在中国的服务器或网络上试图维护的任何 "秘密 "都将自动提供给中国政府,然后提供给他们在中国的所有受中国政府控制的竞争对手,包括中国军方。这包括电话、电子邮件、微信信息和任何其他形式的电子通信。由于任何公司都不能合理地认为其商业秘密一旦通过中国控制的网络传输到中国就会保持秘密,因此他们在中国境外的商业秘密保护也面临着蒸发的巨大风险。
美国或欧盟公司可能与中国的机密信息接收方签订了可强制执行的协议,该协议针对授权接收方保护该信息。但如果中国政府可以轻易获得该秘密,那么就不存在真正的商业秘密保护。
美国或欧盟公司让中国政府及其亲信完全访问其数据,很可能被视为非法向中国出口技术,并可能面临数百万美元的罚款,甚至部分高管和董事可能被判入狱。外国法律规定公司不得向中国转让技术,而中国法律实际上规定公司必须向中国转让技术,这两者之间存在固有的冲突。
III.中国的监管体系:多层次保护计划(MLPS 2.0)
中共控制体系的一个核心理念是必须依法治国。法律是党的意志的体现。这种意志的表达必须是明确而灵活的。根据这一基本政策,未来十年将推出的网络安全体系被详细记录为《网络安全多层次防护方案》("MLPS 2.0"),并于 2019 年 12 月 1 日生效。该方案规定了中国所有企业和个人必须遵守的技术和组织控制措施,以履行中国《网络安全法》规定的与 MLPS 相关的互联网安全义务。所有公司和个人必须遵守以下三个标准:
1.GB/T 22239 - 2019 《信息安全技术 多级保护方案基准
2.GB/T 25070 - 2019 《信息安全技术 多级保护方案安全设计技术要求》。
3.GB/T 28448 - 2019 《信息安全技术 多级保护方案评估要求》。
这些标准的中文版可在此处找到;我不知道这些标准是否有任何英文译本。
我个人关于 MLPS 2.0 系统相关法律法规的文件有 800 多页,都是非常专业的中文。但即使是这么多的文件,也不足以完全理解该系统的功能。要完全理解这一切,还必须考虑中国政府其他重要规划文件的目标,如国家人工智能计划、互联网+计划、个人和企业社会信用体系(参见《中国的新公司追踪系统:遵守、遵守、遵守》),以及中国正在实施的其他各种网络/互联网/数据收集和监控计划。
如果把这些不同的项目放在一起研究,就会发现 MLPS 2.0 系统是一个全面的数据收集、监视和控制项目的 "硬件 "组成部分。中国的计划是建立一个涵盖中国所有网络活动形式的系统:互联网、手机、微信类社交网络、云系统、国内外电子邮件。中国的目标不是创建一个商业系统,让个人参与者参与其中并赚钱。它的目标是中国政府和中国共产党的监视和控制。
为了实现这些目标,中国正在创建一个系统,以实现两个最终相互矛盾的目标:该系统将被封闭,防止 "坏人"(外国人和国内持不同政见者)入侵,但对公安部和中国政府的其他互联网安全机构以及中国共产党完全透明。对公安部透明的意思就是它说什么就是什么:不允许使用任何阻止公安部访问的技术。没有 VPN,没有加密,没有私人服务器。如果要求公安部安装后门或其他信息/数据拦截设备或系统以实现完全访问,那么中国电信和中国的互联网服务提供商就必须遵守。但是,由于向公安部提供开放访问权限与加强安全以防入侵的目标直接冲突,如何在这些冲突的目标之间进行调解,是 MLPS 2.0 标准冗长而复杂的主要原因。
允许中国公安部访问网络和数据的法律依据来自 MLPS 2.0 标准中未包含的一项法规。如上文所述,要充分理解这一点,需要将所有适用的法规整合在一起。这只是其中一个例子。赋予公安部直接 "拿走 "权利的成文法规是《公安机关互联网安全监督检查规定》(以下简称《规定》)。公安机关互联网安全监督检查规定).该规定于 2018 年 9 月 15 日颁布,2018 年 11 月 1 日起施行。我在下文中提到的该规定是中国政府公布的中文版条款。重要的是,对该条例的评论应基于实际通过的内容,而不是包含未通过条款的早期讨论稿。
作为一个初步问题,《公安机关互联网安全监督检查规定》确认的一个关键事项是,公安部有权牵头承担与中国互联网和网络安全有关的一线执法职责。这意味着工信部(中国电信)、中国互联网信息中心(CAC)、中国互联网络信息中心(CNNIC)以及其他寻求在网络安全管理中发挥作用的中国机构都被推到了公安部一边。这意味着执法工作将由警方而非地方官僚负责。这一执法决定对在中国开展业务的外国公司以及在中国生活和工作的外国员工具有实际意义。当一名中国官僚上门询问信息时,你或许可以打发这名官僚走人。但是,当两名或两名以上身着制服的警察出现在你家门口时,你别无选择,只能服从。
公安机关互联网安全监督检查规定》对联网服务器的检查分为两个级别:现场检查和离线远程访问。见第 13 条。进行现场检查时,必须至少有两名当地警察在场。见第 14 条。负责互联网安全的当地政府机构工作人员将陪同警察进行检查。如果当地政府机构人员不足,公安部可雇用独立承包商进行工作。
检查组可以完全进入网络系统。检查范围既包括网络系统的技术方面,也包括服务器上保存的数据/信息。见 第 10 条。
检查员可以完全进入系统并复制他们发现的任何数据。参见第 15 条。检查人员复制贵公司系统数据的唯一限制是必须向贵公司提供收据。虽然第 10 条 "限制 "对涉及国家安全事项的访问,但中国对国家安全的定义非常宽泛,对访问、复制和删除的内容没有真正的限制。
在公安部认定存在互联网安全问题的情况下,公安部有权进行远程访问检查,检查范围见第 10 条。远程访问需要事先通知。与这种通知有关的问题有两个:首先,通知的目的不是保护被检查方的权利。相反,通知的目的是确保服务器已完全开放供公安部访问。其次,对于由云提供商维护的服务器,不清楚通知是否只发给云提供商,还是同时发给云提供商及其客户。因此,尚不清楚云客户是否会收到其服务器和数据被中国公安部查看和复制的通知。时间会证明这一点,但我猜测云客户永远不会知道,除非云提供商告诉他们,但这不太可能。
这种非现场访问规则很难管理。MLPS 2.0 标准的结构表明,公共安全部计划与云提供商和托管服务提供商合作,让他们安装系统,使公共安全部能够随时方便地进行非现场访问,而无需通过逐个事件的事先通知然后访问的程序。然而,《条例》并没有考虑到这种持续访问系统。即使严格遵守《公安机关互联网安全监督检查规定》,中国公安部基本上可以不受限制地访问所有服务器和数据这一事实也是无法回避的。将此称为 "网络安全 "从根本上具有误导性。正如《条例》本身所述,这是中国政府的一项检查和控制制度。它与开放互联网世界通常认为的网络安全毫无关系。
接下来的关键问题是如何处理中国公安部收集的数据--比如你公司的数据。公安部可以复制和删除它在检查的服务器上发现的几乎任何信息或数据。这些信息的保密性如何?公安机关互联网安全监督检查规定》第 5 条对此作了规定:"公安机关及其工作人员在履行互联网安全监督检查职责中知悉的个人信息、个人隐私、商业秘密和国家秘密,应当严格保密,不得泄露、出售或者非法为他人提供"。这条规定必须仔细阅读,因为它规定了 "中国特色的保密"。
关键在于,"其他 "一词不包括中国政府或中国共产党的任何机构。换句话说,它不包括中国政府运营或控制的大学和其他研究中心。它也不包括中国军方或中国武器制造商。它也不包括中国的国有企业(SOE)。其他 "一词虽然不明确,但也可能不包括由中国共产党控制的名义上的私营实体。参见 华为。
那么,这个保密条款又是什么意思呢?在中国,第 5 条的保密规定旨在防止公安部官员做两件事:一是向中国或外国公司出售数据以谋取私利;二是向外国特工(间谍)披露数据。这一规定并非 旨在阻止公安部与上述内部人员共享其收集的数据。事实上,这种共享是整个中国政府和中国共产党数据需求的一部分。公安部不得囤积数据,而必须在中国共产党控制的系统内传播这些数据。
这一结果引出了关键问题。存放在中国境内任何服务器上的机密信息都有可能被中国公安部查看和复制,从而使整个中国政府系统都可以访问这些信息。但中国政府是国有企业(SOE)的股东,而国有企业是中国的关键行业。中国政府基本上还控制着中国的主要私营企业,如华为和中兴,以及最近的阿里巴巴和腾讯等。请看,中国向阿里巴巴和吉利等公司派遣政府官员,中国向包括阿里巴巴在内的 100 家私营公司派驻政府官员。中国政府还拥有或控制着中国的整个军火工业。
简而言之,公安部从外国公司获得的数据将提供给外国企业的主要竞争对手、中国政府控制的私营研发系统以及中国军火工业和军队。
其消极后果显而易见。但关键问题在于,其后果远远超出了商业影响。中国的新系统将成为美国和其他国家政府的国家安全问题。这就给私营公司带来了无法回避的冲突。它们是按照中国法律的要求向中国公安部提供数据,还是按照本国法律的要求对中国公安部(进而对中国军方)保密?换句话说,它们是否干脆停止使用或向在华业务提供数据?
最终的结果是,对中国而言,关键技术领域的 "自由贸易 "将受到严重限制。欢迎来到新常态。
IV.密码学不是一种解决方案。
中国全国人民代表大会颁布了期待已久的《密码法》,并于 2020 年 1 月 1 日生效。该法的正式文本可在此处 查阅,英文摘要可在此处查阅。
密码学是实现全面网络安全计划目标的关键技术。通常,加密技术用于保护网络传输和存储信息的机密性。但它的使用给中国政府带来了一个两难问题:向公众隐藏信息的加密技术也可以用来向政府本身隐藏信息。在这种情况下,中国政府面临的问题是,如何在要求使用加密技术的同时保持对网络系统的开放访问。
该法将加密分为三类:核心、普通和商业。核心和普通用于传输和存储中华人民共和国国家机密的系统。商业加密用于商业和私人用途。外国加密系统可在中国销售,但需通过尚未说明的认证系统进行批准和认证。加密的使用将遵守《网络安全法》和相关的 MLPS 2.0 法规的规定。第 26 条 国家密码管理局国家密码管理局(SCA)是中国共产党的办事机构,有权监督和检查密码系统的实施和使用。 第31条.
这种三级系统忽略了密码学通常的实施方式。最重要的加密系统并非商业系统。大多数系统都基于 Gnu 隐私卫士系统。这是一个完全开放的系统。源代码一般向公众开放。您可以在这里 下载源代码。 提供 PGP 系统的机构不可能与中国政府合作,以获得对其产品的审查和认证,因为这些 PGP 系统的重点是允许公司和个人向政府隐藏其信息。与任何政府合作都将违背这一原则。
这就引出了新法律下的第一个问题。大多数密码系统都是可免费下载的开放源代码系统。中国政府可以自由审查用于实现 PGP 和相关开放源代码系统的源代码。真正的问题是中国政府是否允许在中国运营的公司和个人使用 PGP 和相关系统,因为这些系统将永远提交中国政府审查和批准。如果答案是否定的,那么有关外国加密系统的整套规定就毫无意义。如果答案是肯定的,那么 "商业 "这一称谓就没有任何意义了。
这就引出了最重要的问题。密码学技术并非秘密。最重要的算法是公开的,任何人都可以使用。各国政府对算法的工作原理了如指掌,因为大多数算法都是由政府发明的。网络安全法》对密码学产品的关注不过是障眼法。加密技术的关键不在于保护加密算法;关键在于保护能够解密加密信息或数据的密钥。
密码法》对解密问题只字未提,对保护密码和其他防止解密的密钥也只字未提。它的最终计划是将所有密码和解密密钥交到中华人民共和国政府和中国共产党手中,从而打破所有形式的端到端加密。换句话说,对公众不透明,但对政府透明。
密码法》第 31 条规定了由国家密码管理局及其地方机构实施的政府检查和控制系统。该系统允许国家密码管理局及其地方机构完全访问密码系统和受该系统保护的数据。这些系统还受制于根据《网络安全法》实施的 MPS 监督和控制系统,以及此处和此处所述的 MLPS 2.0 系统。因此,SCA(一个 CCP 办事处)和 MPS(与 MSS 合作)都可以完全访问加密服务器,包括完全访问解密密钥和密码。一旦实现了这种访问权限,端到端加密就会消失。有关其工作原理的说明,请参阅此处。
归根结底,邀请外国加密技术提供商和用户只是一个陷阱。一旦数据通过网络越过中国边境,中国政府和中国共产党就可以百分之百地获取这些数据。加密技术可能会阻止公众访问,但所有这些数据对中国政府来说都是公开的。
这就给依赖中国端到端加密技术作为美国出口管制规则例外的美国和其他国家实体带来了重大问题。在中国的新制度下,端到端加密在中国将不复存在,因此美国出口管制的这一豁免将不再有效。随着美国扩大出口管制技术的范围,外国公司面临的风险将逐渐增大。
许多美国实体将密码学视为逃避中国《网络安全法》的手段,但这是行不通的,因为中国政府不会让它得逞。中国政府非常清楚自己在做什么。中国政府已经建立了一个能够实现完全透明的系统。
V.一个具体实例:金税恶意软件程序
中国系统的最终目标是让中国共产党在计算机系统中安装恶意软件,使中国共产党及其特工能够完全进入系统。这种恶意软件通常是某种形式的远程访问木马(RAT),中国在这种恶意软件技术上处于世界领先地位。金税 "恶意软件程序就是一个具体的例子。
过去十年来,中国政府及其国有控股银行一直在努力实现财务报告和程序的 "数字化"。如今,在中国经营的企业几乎不需要访问中国政府机构办公室或银行。交易和报告都在网上完成。
对于正常的日常业务而言,这意味着以下工作都可以通过互联网完成:
- 日常银行业务
- 每月税务报告
- 每月缴纳税款和社会保险
- 开具增值税税票
- 向政府机构提交定期报告
- 对于进口商/出口商,向海关报告
如果您试图通过访问中国政府机构来开展此类工作,您会被拒之门外。
这一切看似现代、高效,但互联网的广泛使用却隐藏着危险。在所有这些交易中,中国政府机构和银行都要求企业使用机构或银行提供的软件。不允许使用独立的软件。这些软件通常是包括连接软件和防病毒软件的软件包。根据我的经验,这些软件包写得很差、有漏洞、速度慢而且难以使用。当这种软件安装在企业的中央计算机上时,会降低运行速度,甚至无法使用。
但真正的问题更深层次。如上所述,中国政府的目标是使中国的信息网络对外界封闭,但对中国政府完全开放。一旦进入互联网,该系统的目标就是确保所有信息都能被中国政府获取。更直白地说,中国政府已成为中国最活跃的信息黑客。企业必须在系统中安装的软件就是由黑客--中国共产党提供的。风险显而易见。
最近,总部位于美国的网络安全咨询公司 Trustwave 在其报告中揭露了这一风险的现实,该报告涉及中国一家银行要求在缴税软件中植入恶意软件的案例。请参阅《金税部门和金色间谍恶意软件的出现》,副标题为:Trustwave SpiderLabs 发现了一个新的恶意软件家族,被称为金色间谍,嵌入在一家中国银行要求企业安装的纳税软件中,以便在中国开展业务。基本情况在中国很典型。银行要求安装由一家与中国国家税务部门签订合同的中国私营 "大数据 "公司开发的强制软件。换句话说,要求使用这种间谍软件的授权直接来自中国北京的国家政府。
该软件包含一个后门,可采取两种行动。首先,提交给银行的所有数据和主机上的所有其他数据都会被传输到与中国国家税务部门有关联的一家中国私营公司所拥有的服务器上。该服务器位于阿里巴巴云上。其次,该软件允许后门操作员完全访问整个主机系统。Trustwave 提供了处理此类感染的最佳实践的标准建议。然而,他们建议删除该软件是不切实际的,因为公司必须使用该间谍软件才能在中国开展业务。他们的替代方法是将该软件安装在一台专用笔记本电脑上,与公司的主计算机系统隔开。这种方法可以防止公司主网络系统受到感染。但是,这并不能防止传送给当地税务机关的私人数据被传送到恶意软件服务器,用于未公开的目的。此外,还不清楚中国政府将如何对待将其暴露数据隔离到唯一的非联网计算机上的外国公司。
现在我们知道为什么这些中国政府授权的软件运行得如此糟糕了。这些软件充斥着恶意软件、后门和监控协议,以至于正常运行速度减慢,许多系统都无法使用。我们这些在中国工作的人一直都这么认为,现在 Trustwave 的报告提供了一个具体的例子。
更大的问题是,这种强行安装后门恶意软件的行为在中国一直存在。这不仅仅是一家银行的一款软件的问题。正如本案例所示,中国政府与政府控制的银行、地方政府、私营软件/大数据公司以及中国云服务提供商合作,共同实施了一套系统,允许完全访问中国网络上的所有信息。
或许可以像 Trustwave 建议的那样,针对单一恶意软件实施保护。但实际上,要针对中国政府为访问公司私人数据而采取的持续而普遍的措施实施保护是不可能的。访问点太多了。例如,政府强制要求对公司网络进行检查,在检查过程中允许安装类似的后门恶意软件。
问题不仅仅是外国投资者在中国的系统被入侵。一旦中国的系统被入侵,黑客(中国政府)几乎总能进入与被入侵系统相连的整个国际网络。感染会从中国蔓延到世界各地。信息化、大数据和全方位主导是中国政府的首要任务。这对在中国运营的公司具有重要影响,必须认真评估这一现实。
网络安全顾问对税收恶意软件风险的标准回应是,声称西式网络安全措施可成功用于抵御中国政府主导的黑客攻击。这些建议不会奏效,而认为它们会奏效的说法会造成一种虚假的安全感,实际上会增加风险。说白了,在中国,政府本身就是黑客,它不会允许外国或国内技术人员提供服务,以挫败黑客的最终目的。
让我来解释一下为什么普通的网络安全技术无法奏效。
网络安全顾问通常会首先解释,在单独的笔记本电脑上进行银行业务操作,可以将受到攻击的网站与受到安全保护的主网站隔离开来。在中国,使用专用笔记本电脑进行银行业务是标准做法。我在中国帮助管理一家公司时也是这样做的。需要单独笔记本电脑的原因揭示了问题所在。中国的银行软件只能在中文版的 Windows 操作系统上运行。
此外,它只能在过时、未打补丁、不支持的 Windows 版本(通常是过时的 Windows 7)上运行。原因是该软件中隐藏的恶意软件依赖于利用未打补丁的 Windows 操作系统中普遍存在的各种缺陷。因此,使用双语言、已打补丁、受支持版本 Windows 10 的用户根本无法使用银行提供的软件。因此,只能使用单独的笔记本电脑。
在中国普通企业的日常生活中,使用单独的笔记本电脑变得完全不切实际。要知道,在我所描述的新系统下,企业在中国的整个财务和监管生活都是通过互联网完成的。因此,为了提供全面保护,我们需要多台独立的笔记本电脑:每家银行一台、税务部门一台、增值税收据一台、地方政府一台、国家政府一台、货运代理一台、海关一台、(政府控制的)会计一台、簿记员一台、员工福利服务一台。这样的例子不胜枚举。因此,将所有这些软件系统整合到一台笔记本电脑上的压力很大。这台笔记本电脑在整个工作日都要使用。它不会与接收方(例如一家银行)连接,然后立即关闭。它几乎整天都与互联网上的某个人保持连接。
但等等,情况会变得更糟。现在,企业的所有重要数据都存放在一台或多台专用笔记本电脑上,与公司的主系统隔绝开来。但为了开展业务,公司需要将笔记本电脑中的数据传输到主系统。试想一下,如果贵公司的所有银行信息都在一个办公室的一台笔记本电脑上,而不是主系统的一部分。因此,笔记本电脑中的数据必须定期传输到主系统中。
不仅笔记本电脑中的数据必须在某一时刻转移到主系统中,公司才能顺利运作,而且主系统中的数据也必须转移到笔记本电脑中,以便使用笔记本电脑中的各种系统。同样,试想一下,每天如何将某些财务数据从主系统顺利转移到笔记本电脑上。
在实际操作中,不可能将两个系统分开,而在这些必要的数据传输过程中,恶意软件的感染之门就会敞开。最原始的方式是使用优盘进行数据传输时,恶意软件就会被传输。然而,许多企业只是通过不同系统之间的某种形式的以太网或无线链路进行数据传输。在某些情况下,公司会放弃,将所有重要的财务操作转移到专用笔记本电脑,甚至是中文 Windows 台式机上。
这就是在中国实际发生的情况,而且无法避免。在中国的外资企业通常会根据外国网络安全专家的建议安装系统。他们会使用已打补丁、已更新的操作系统、最先进的防病毒保护措施、最好的加密技术和先进的 VPN。这些工作都是徒劳的,因为一旦需要网络连接,中国电信或其他中国政府机构就会安装网络系统。他们会说,你可以为个人目的使用这些系统,但你不能在中国使用这些系统进行任何利用互联网的操作,因为中国的规定要求如下:
- 中国批准的病毒软件。
- 中国批准了加密技术。
- 中国批准的互联网服务提供商。
- 中国认可的云计算提供商。
- 中国批准的连接软件。
- 我们将为您提供经中国批准的中文版 Windows。
- 仅由中国批准(和控制)的网络顾问提供支持服务。
更重要的是,如上所述,中国地方当局有权在任何时候检查您的网络系统,恕不另行通知,而且这种检查是在公司员工不参与的情况下进行的。在检查过程中,您的数据将通过优盘被删除。如果政府检查人员想这样做,他们就可以通过使用同一个优盘来安装恶意软件。在中国,大多数大型网络连接都是通过云系统完成的。中国政府部门同样有权检查云系统。根据规定,云提供商的客户甚至不会知道其系统已被检查。
在中国,网络系统完全通过中国政府和/或中国政府机构和/或政府批准和控制的 IT 顾问提供给企业。中国政府是中国的主要黑客,您的网络安全由黑客自己负责。这不仅仅是简单的网络连接。中国政府提供固定电话系统和手机系统。中国政府提供互联网连接。中国政府提供电子邮件服务器。许多中国政府机构不使用电子邮件,而是要求所有联系都通过微信进行,而微信是一个完全不安全的平台,一直受到中国政府的监控。通过最好的网络安全顾问建议的极端努力,在中国开展业务的外国公司或许可以避免数据受到攻击。但是,当攻击来自四面八方,由中国政府自己组织,并以监禁威胁作为后盾时,任何防御最终都会失败。
VI.公司如何被推入不安全的网络系统。
正如我们所看到的,中共及其代理人的目标是将所有国内外企业推入一个不安全的网络系统,使中共能够监视、控制和完全访问在中国境内网络上存储或传输的所有数据。那么:他们是如何做到这一点的呢?
A.中国政府是黑客
中华人民共和国综合国家安全概念在网络领域的基本目标是,所有网络通信和信息都向中国政府开放和提供,同时禁止国家以外的各方访问。根据这一理念,政府力求确保在中国境内进行的所有网络活动对国家透明。该计划适用于在中华人民共和国(现在包括香港和澳门)境内运营的所有人员(个人或实体)。如果您在中国开展业务,您必须假定您的所有网络数据和通信都会被中国政府捕获。外商投资公司或外国公民不再享有任何特权地位;一旦进入中国境内,其待遇与国内公司和中国公民相同。
那么,中国政府是如何实施这一计划的呢?关键在于,中国政府就是黑客。当黑客直接参与互联网的创建和管理,并成为实施网络安全的关键代理人时,不言而喻,黑客的网络入侵/数据收集活动将不会受到任何保护。黑客决定了系统的运行方式,当然也就无法防止自己的活动。
B.航信公司
前面讨论过的 Golden Spy/Golden Helper 恶意软件程序就说明了这一基本事实。Trustwave 报告称,Golden Spy 软件是由航天信息股份有限公司(Aerospace Information Joint Stock LLC.该公司网站称其为国营公司 CASIC(中国航天科工集团公司)所有。请参阅 "金色间谍 "第 4 章:嵌入官方金税软件的金色助手恶意软件。
中国航天科技集团公司是中国领先的导弹和相关航空航天设备制造商。它向朝鲜出售导弹系统,并与俄罗斯军方密切合作。作为一家武器供应商,它是一家直接受中国政府和中国共产党控制的国有企业。换句话说,它就是政府。最近,作为中国推动本土网络运营和云计算发展计划的一部分,中国航天科工通过航天信息(Aisino)进入了商业网络业务领域。航天信息起草金盾税务软件并实施相关系统就是这一进程的一部分。
C.黄金间谍/黄金助手恶意软件
航天信息起草了 "黄金间谍 "恶意软件,这意味着中国政府起草了这个恶意软件。简单地说,中国政府就是黑客,而这个黑客可以免于承担因其黑客活动而产生的任何责任。这就是为什么航天信息在这款恶意软件中使用了一个简陋且易于识别的木马系统。它没有任何被抓、被处罚或被关闭的风险。
一些人向我们和安全专业人士评论说,如此明显的入侵在某种程度上表明,中国政府不可能是恶意软件程序的幕后黑手。ArsTechnica对此类评论做出了明确回应:
读者的评论"使用木马下载器并不隐蔽"。
来自 ArsTechnica 的回复:至于说它不那么隐蔽......按照你的标准,这样的恶意软件并不隐蔽,所以这种说法很奇怪。另外,你认为中国政府会在意微妙性也有点奇怪,因为我们谈论的是由政府授权在国内分发的软件。比如......中国政府会怎么做?打击他们?
正如 Arstechnica 所明确指出的,当恶意软件或非法收集数据的行为是由政府本身所为时,就没有任何补救和逃避的办法了。当中国政府及其相关黑客组织在中国境内活动时,他们不需要故弄玄虚或隐藏行踪。
将公司推入不安全网络的技术有哪些?
1.强制使用含有恶意软件的政府软件。
中国政府要求使用的缴税软件中包含的金色间谍/金色助手恶意软件就是这种方法的一个例子。Trustwave发布了一系列关于该恶意软件的报告,以及航天信息在处理公众对该软件的揭露时所采取的应对措施。请参阅 "黄金间谍":第二章--卸载程序》、《Golden Spy 第三章:全新改进的卸载程序》和《GoldenSpy 第四章:嵌入官方金税软件的金牌助手恶意软件》。任何计划在中国开展业务的外国公司都应必读这些 Trustwave 报告。
Trustwave 的后续报告揭示了以下三个关键问题;
首先,航天信息利用 Golden Spy 软件中的自动更新系统传播卸载程序,删除恶意软件及其存在的任何文件或其他痕迹。他们的软件使用标准更新程序,可以随时下载恶意软件或其他未经授权的软件。今天还是干净的系统,明天就可能被感染。这意味着该软件是一个持续的风险源。
其次,Trustwave 发现了隐藏在金税软件中的一个相关但独立的恶意软件程序。这个被称为 Golden Helper 的恶意软件在 2018 年和 2019 年非常活跃。由此,Trustwave 有理由得出结论,税务软件恶意软件程序并非近期发生的事件,而是至少已经持续了数年。
第三,Trustwave 证实了我早些时候对中国银行使用的金税软件及其恶意软件有效载荷传输技术的描述:
我们在调查过程中获悉,金税软件可能是作为银行提供的独立系统部署在您的环境中的。有几个人报告说,他们收到了一台实际的 Windows 7 电脑(家庭版),里面预装了金税软件(和金牌助手)并已准备就绪。这种部署机制是木马的一种有趣的物理表现形式。
请参阅 "金色间谍 "第 4 章:嵌入官方金税软件的金色助手恶意软件。
当我之前写到中共的黑客攻击盛行且势不可挡时,我们收到的评论是,这一切都不可能是正确的,因为这意味着被入侵的计算机系统的扩散。对于不在中国工作的人来说,中国政府要求公司使用不安全的计算机系统似乎很奇怪。但如果考虑到政府的目标,这就不奇怪了。一个被破坏的系统很容易被黑客攻击。政府就是黑客,所以他们让自己更容易得手。银行可能并不知道恶意软件和被入侵系统的细节,银行职员只是奉命行事。
2.使用安装了后门的网络硬件。
长期以来,人们一直认为中国制造的网络硬件充满了后门,允许中国政府进行未经授权的入侵,而最近的一份报告证实了这一假设。据 ZDNet 报道,一个研究小组在关键网络光缆连接设备中发现了七种不同的恶意软件/后门。请参阅在中国供应商 C-Data 的 29 个 FTTH 设备中发现的后门账户。
ZDNet 对这些蓄意后门做了如下描述:
两名安全研究人员本周表示,他们在著名厂商 C-Data 的 29 个 FTTH OLT 设备的固件中发现了严重的漏洞和疑似故意设置的后门。FTTH 是光纤到户(Fiber-To-The-Home)的缩写,而 OLT 则是光线路终端(Optical Line Termination)的缩写。FTTH OLT 是指允许互联网服务提供商将光纤电缆尽可能靠近终端用户的网络设备。
正如它们的名字所暗示的,这些设备是光纤网络的终端,将数据从光缆线路转换成传统的以太网电缆连接,然后插入消费者的家中、数据中心或商业中心。这些设备遍布互联网服务提供商的网络,由于其关键作用,它们也是当今最广泛的网络设备类型之一,因为它们需要安装在全球各地数以百万计的网络终端上。
对这款恶意软件的简单评价是,它已经糟透了。
这里提到的 C-Data 公司是中国国内此类硬件的主要供应商。这里的启示是,如果这家公司可以随意在其境外销售的产品中加入这种后门系统,那么它在中国境内无疑也可以不受限制地做同样的事情。这就意味着,任何在中国运营的外国公司都应假定,其整个网络系统中的互联网连接已被此类恶意软件/后门完全破坏。如果其办公系统中没有,那么几乎可以肯定在 ISP 或云提供商层面上就有。
该系统由中国政府拥有或控制的电信运营商安装。同样,是黑客--中国政府--建立了这个系统,也是黑客通过这些后门进入了公司网络系统。
3.使用中华人民共和国规定的杀毒软件。
新的《中华人民共和国网络安全法》制度的核心指令之一是要求网络用户使用中国政府提供的杀毒软件。想一想:中国政府要求公司只使用它提供的 "杀毒 "软件。这种杀毒软件既为中国政府黑客提供了进入用户计算机网络的便利平台,又毫无疑问被设定为不会泄露中国政府的恶意软件。
黑客杀毒软件的风险在网络安全界众所周知。在《前美国间谍称杀毒软件是完美的间谍平台》一文中,Cyberscoop 讨论了杀毒软件如何成为间谍活动的理想工具:
由于大多数杀毒软件供应商设计的产品都是通过直接扫描文件,然后将数据发回服务器进行分析,从而自主搜索用户系统中的计算机病毒,因此这些软件具有很强的侵入性。
除了远程风险,杀毒软件还能扩大主机的攻击面,"美国国家安全局前计算机网络开发分析师布莱克-达尔奇说。"如果攻击者可以访问组织网络中的中央防病毒服务器,那么该中央服务器就可以被用来传播恶意软件。
软件更新可以帮助修补产品中的漏洞或其他问题,这又增加了一个攻击载体,因为它为将代码远程引入世界各地的计算机提供了一个可信的途径。
中国黑客非常熟悉利用杀毒软件达到这一目的。见:研究称 CCLeaner 攻击由与中国有关联的组织实施。
在中国国内,强制使用中国杀毒软件会将中国政府的黑客攻击风险提升到更高的水平。在中国境内,不需要远程黑客。黑客本身(中国政府)会向公司提供一个基本上预先被黑的系统。
这个预先被黑客攻击过的系统无法屏蔽中国政府制作的恶意软件,而且这个系统还可以作为载体,源源不断地插入中国政府及其合作伙伴提供的恶意软件。
试想一下,在美国,国家安全局和联邦调查局是唯一的杀毒软件供应商。这种软件可能会有效地筛查来自犯罪分子和外国行为者的恶意软件。但没有人会指望这种软件能保护用户免受美国国家安全局或联邦调查局的入侵。这太愚蠢了。相信中华人民共和国及其政府强制使用的杀毒软件更是愚蠢至极。
4.从电子邮件转向微信。
中国政府禁止 Gmail 在中国使用后,中国政府机构开始推动外国公司使用中国批准的电子邮件服务进行通信。众所周知,这些服务并不好用,而且不安全。因此,大多数外国公司继续使用美国和欧洲的其他电子邮件提供商。这些服务相对安全,不会被中国截获信息。质子邮件和其他具有端到端加密功能的系统在中国相当安全。
中国政府本可以采取下一步措施,阻止所有外国电子邮件提供商的访问。但中国机构采取了更具创造性的方法。既然中国政府基本上已经完全控制了微信,中国机构就会强迫所有通信都使用微信应用程序。如果你给银行发邮件,银行不会回复。如果你给当地税务局发邮件,税务局不会回复。如果您向当地警察局发送有关您签证状态的电子邮件,它也不会回复。中国的法院也是如此,他们通常只要求我们用微信与他们联系。提交文件时也是如此。中国政府机构几乎总是要求以微信附件而不是电子邮件附件的形式提交文件。
这就意味着从充分安全到完全不安全的转变。大赦国际最近对即时信息应用程序的评级就说明了这一点。大赦国际对 11 款顶级信息应用软件的加密和用户隐私进行了评分,评分标准从 0 到 100。Facebook 获得了 73 分的最高分。微信的评分为零。换句话说,国际特赦组织的结论是,微信根本没有提供任何防止黑客攻击的保护。没有。没有。零。零。没有。请参阅《只供你看?11 家科技公司在加密和人权方面的排名。
这种强制转移到完全不安全的通信平台的做法是典型的 CCP 方式。没有任何法律法规禁止基于国外的电子邮件。没有任何法律法规规定必须使用微信。该 "规则 "是在实践中强加的。如果您发送电子邮件,将不会被退回。如果您打电话或到政府机构投诉,得到的答复是:"使用微信:"使用微信。其他人都这么做。你也应该这么做"。就这样,规则被强加于人,而中国政府却没有义务将规则正式化或公布于众。
5.强制使用不安全版本的 Windows 资源管理器。
中国政府提供的许多服务现在都是在线提供的。例如,中国政府机构只通过在线系统接受许多表格和申请:不接受纸质申请。同样,政府提供的信息也主要在网上发布。问题就在这里。几乎所有的中国政府在线系统都只能在不安全、过时、未打补丁的 Windows Explorer 版本(通常是 Explorer 8)上运行。如果您尝试使用 Chrome、Firefox、Safari 或 Opera 浏览器,系统将无法运行。没有任何解释,它们就是无法运行。访问这些系统并不是可有可无的:在中国开展业务需要访问这些政府网站。因此,在没有评论和正式规定的情况下,用户被迫使用不安全的系统。
VII.跨境和国际影响
中国的网络安全系统超越了中国边境,即使不在中国开展业务也无法避免。请看以下内容:
1.任何向中国传输的数据都有可能被我党及其代理人获取。所有中国公司和组织都要遵守网络安全制度。假设您正在与一家中国实体合作,并假设该实体出于自身利益希望对您提供的信息保密。向中国转让高度机密数据的行业很多:合同制造、联合研发、技术许可。与你合作的中国实体同样面临上述信息披露和获取的风险。因此,任何外国实体都必须假定所有传输到中国的数据都存在风险。
2.根据 "数字丝绸之路 "计划,中国政府正在努力将中国的网络安全计划推广到所有允许中国实体建立网络系统的国家。这样,中国就可以向全世界输出基于互联网的监视和控制系统。请看 中国将通过数字丝绸之路控制全球互联网?和 输出数字专制主义.这种担忧通常被表述为人权问题。然而,从我们的角度来看,我们关注的是中国在全球建立的网络安全模式。通过 "数字丝绸之路 "系统,中国政府正在向外国政府传授如何创建在中国创建的信息透明系统。另一个转折点是,中国公司正在建立该系统,以便中国政府能够完全访问本地系统。这样就形成了一个系统,外国技术数据将在两个层面上被获取:地方政府和中国政府。
3.许多行业部门已被中央控制中心及其代理人预先黑客化。向这些黑客系统传输数据,就是向中共及其代理人传输数据。台湾半导体行业就是一个例子。台湾半导体制造商已被中共彻底入侵。参见 中国黑客掠夺了台湾的半导体产业. 台湾芯片制造商的高级雇员被雇用到中国工作。参见 中国招聘 100 多名台积电工程师,力争芯片领导地位:新兴芯片制造商提供丰厚薪酬抢夺人才.这意味着几乎可以肯定机密的芯片设计和技术被泄露给了中国。
