インターネットアーカイブ 2017 年 4 月 21 日アーカイブ:https://web.archive.org/web/20170421092911/http://blog.renren.com/share/200487056/5148854419
タイムライン
1998 年 9 月 22 日、公安部長官の会議で研究が通過し、全国の公安機関で全国公安業務情報化プロジェクト――「金盾プロジェクト」の建設を行うことが決定された。
1999 年 4 月 20 日、公安部は国家発展改革委員会に金盾プロジェクトの立ち上げ報告書とプロジェクト提案書を提出した。
1999 年 6 月、国家コンピュータネットワークと情報セキュリティ管理センターが設立され、局級の事業単位となった。
1999-2000 年、ハルビン工業大学で長年教鞭を執った方浜興が国家コンピュータネットワークと情報セキュリティ管理センターの副総工事に転任した。
1999 年 12 月 23 日、国務院は国家情報化作業指導小組を設立することを発表し、国務院副総理の呉邦国が団長に就任した。その第一下部機関であるコンピュータネットワークと情報セキュリティ管理作業オフィスは、すでに設立された国家コンピュータネットワークと情報セキュリティ管理センターに設置され、「公安部、安全部、機密局、商用暗号管理オフィス、情報産業部」などの部門のネットワークセキュリティ管理を組織的に調整する役割を果たす。
2000-2002 年、方浜興は国家コンピュータネットワークと情報セキュリティ管理センターで総工事、副主任、教授級の上級エンジニアを務めた。
2000 年 4 月 20 日、公安部は金盾プロジェクトの指導小組とオフィスを設立した。
2000 年 5 月、005 プロジェクトが実施され始めた。
2000 年 10 月、情報産業部はコンピュータネットワーク緊急処理調整センターを設立した。
2000 年 12 月 28 日、第 9 回全国人民代表大会常務委員会第 19 回会議で「インターネットの安全を維持する決定」が可決された。
2001 年、方浜興の「コンピュータウイルスとその予防技術」が国防科学技術三等賞を受賞し、1 位となった。
2001 年、方浜興は国務院政府特別手当、情報産業部の「情報産業部の重点プロジェクトにおいて顕著な貢献をした優秀個人」の称号を受け、中組部、中宣部、中央政法委、公安部、民部、人事部などから「優秀個人」の称号を授与された。
2001 年 1 月 19 日、国家コンピュータネットワークと情報セキュリティ管理センター上海分センターが設立され、上海市黄浦区中山南路 508 号 6 階に位置する。国家コンピュータネットワーク緊急技術処理調整センター上海分センターは工業情報化部直属の中央財政全額支給の事業単位である。
2001 年 4 月 25 日、「金盾プロジェクト」が国務院の承認を得て立ち上げられた。
2001 年 7 月、コンピュータネットワークと情報セキュリティ管理作業オフィスはハルビン工業大学に国家コンピュータ情報内容セキュリティ重点実験室の設立を承認し、胡銘曾と方浜興が主導した。
2001 年 7 月 24 日、国家コンピュータネットワークと情報セキュリティ管理センター広州分センターが設立され、広州市越秀区建中路 2、4 号に位置する。
2001 年 8 月 8 日、国家コンピュータネットワークと情報セキュリティ管理センターは国家コンピュータネットワーク緊急処理調整センターを設立し、略称 CNCERT/CC となった。
2001 年 8 月 23 日、国家情報化指導小組が再編成され、中央政治局常務委員、国務院総理の朱鎔基が団長に就任した。
2001 年 11 月 28 日、国家コンピュータネットワークと情報セキュリティ管理センター上海インターネット交換センターが設立された。「インターネット交換サービス、インターネットバックボーンネットワーク華東地域データ交換、データ流量監視と統計、ネットワーク間通信品質監督、交換センター設備の保守と運用、ネットワーク間相互接続費用計算、ネットワーク間相互接続争議調整」を提供し、上海市黄浦区中山南路 508 号に位置する。
2001 年 11 月 28 日、国家コンピュータネットワークと情報セキュリティ管理センター広州インターネット交換センターが設立され、広州市越秀区建中路 204 号に位置する。
2001 年 12 月、北京の国家コンピュータネットワークと情報セキュリティ管理センターの総合ビルの建設が始まった。
2001 年 12 月 17 日、国家コンピュータネットワークと情報セキュリティ管理センター湖北分センターが設立された。
2002 年、方浜興は中国科学院計算技術研究所の客員研究員、博士生指導教員、情報セキュリティ主任科学者に就任した。2002-2006 年、方浜興は国家コンピュータネットワークと情報セキュリティ管理センターで主任、総工事、教授級の上級エンジニアを務め、昇進後は名誉主任となった。
2002 年 1 月 25 日、報道によると、「国家コンピュータネットワークと情報セキュリティ管理センター上海インターネット交換センターは最近開通し、試運転に入った。中国電信、中国網通、中国聯通、中国吉通など 4 社の国家級相互接続ユニットが最初に接続した。中国モバイルインターネットの接続も進行中で、近日中に第五の接続ユニットになる見込みである。」
2002 年 2 月 1 日、国家コンピュータネットワークと情報セキュリティ管理センター新疆分センターが設立された。
2002 年 2 月 25 日、国家コンピュータネットワークと情報セキュリティ管理センター貴州分センターが設立された。
2002 年 3 月 20 日、複数の国家コンピュータネットワークと情報セキュリティ管理センター省級分センターが同時に設立された。
2002 年 9 月 3 日、Google.com が封鎖され、主要な手段は DNS ハイジャックであった。
2002 年 9 月 12 日、Google.com の封鎖が解除され、その後ウェブページのスナップショットなどの機能が封鎖され、手段は TCP セッションの遮断であった。
2002 年 11 月、6600 万の予算を持つ国家情報セキュリティの重大プロジェクト「大規模ブロードバンドネットワーク動的遮断システム」(大規模ブロードバンドネットワーク動的処理システム)が国防科学技術二等賞を受賞した。云晓春が 1 位、方浜興が 2 位であった。ハルビン工業大学コンピュータネットワークと情報内容セキュリティ重点実験室の李斌、清華大学コンピュータ学科ネットワーク技術研究所、清華大学グリッド計算研究部の楊広文が参加した。
2003-2007 年、方浜興は情報産業部インターネット緊急処理調整オフィスの主任を務めた。
2003 年 1 月 31 日、490 億の予算を持つ国家情報セキュリティの重大プロジェクト「国家情報セキュリティ管理システム」(005 プロジェクト)が 2002 年度国家科学技術進歩一等賞を受賞し、方浜興が 1 位、胡銘曾が 2 位、清華大学が 3 位、ハルビン工業大学が 4 位、云晓春が 4 位、北京大学が 5 位、鄭緯民が 7 位、中国科学院計算技術研究所が参加した。
2003 年 2 月、北京の国家コンピュータネットワークと情報セキュリティ管理センターの総合ビル工事が完了した。
2003 年 7 月、国家コンピュータネットワーク緊急処理調整センターが国家コンピュータネットワーク緊急技術処理調整センターに改名された。
2003 年 9 月 2 日、全国「金盾プロジェクト」会議が北京で開催され、「金盾プロジェクト」が全面的に開始された。
2004 年、国家情報セキュリティの重大プロジェクト「大規模ネットワーク特定情報取得システム」が 7000 万の予算を持ち、国家科学技術進歩二等賞を受賞した。
2005 年、方浜興は国防科学技術大学の非常勤教授、特任教授、博士生指導教員を務めた。
2005 年、方浜興は中国工程院院士に選ばれた。
2005 年、「このシステム」は北京、上海、広州、長沙に互いにミラーリングされた 4 つの主要システムを構築し、間で 10 ギガネットで接続された。各システムは 8CPU のマルチノードクラスターで構成され、オペレーティングシステムは紅旗 Linux、データベースは OracleRAC を使用している。2005 年、国家コンピュータネットワークと情報セキュリティ管理センター(北京)は 384*16 ノードのクラスターを構築し、ネットワークコンテンツフィルタリング(005 プロジェクト)と SMS フィルタリング(016 プロジェクト)に使用した。このシステムは広州、上海にもミラーがあり、互いに 10 万ギガネットでリンクされ、協調して作業することもでき、独立して作業を引き継ぐこともできる。
2006 年 11 月 16 日、「金盾プロジェクト」第 1 期が北京で正式に国家検収を通過し、これは「中華人民共和国公安部のために設計され、中国の公安管理業務、外国人宿泊管理、出入国管理、治安管理などのプロジェクト」である。
2007 年 4 月 6 日、国家コンピュータネットワークと情報セキュリティ管理センター上海分センターの機房ビルが建設され、康橋鎮楊高南路 5788 号に位置し、9047 万元の投資が行われ、「…… は国家発展改革委員会の承認を受けた国家級重大プロジェクトであり、現在全国で北京と上海だけが分センターを設立しており、全国のインターネット情報税関に対して重要な役割を担っている。」
2007 年 7 月 17 日、中国国内のメールサービスプロバイダーを多く使用しているユーザーと外国との通信において、返送や紛失などの一般的な現象が発生した。
2007 年 12 月、方浜興が北京郵電大学の学長に就任した。
2008 年 1 月 18 日、情報産業部は方浜興を国家コンピュータネットワークと情報セキュリティ管理センター名誉主任、情報産業部インターネット緊急処理調整オフィス主任の職務から解任することを決定した。「別の職務がある。」
2008 年 2 月 29 日、方浜興が第 11 回全国人民代表大会安徽省代表に選出された。
2009 年 8 月 10 日、方浜興が「第 1 回中国インターネットガバナンスと法律フォーラム」でネットワーク実名制を強く推進した。
機関関係
国家コンピュータネットワークと情報セキュリティ管理センター(安管センター)は、元信産部の現工信部の直属部門である。
安管センターと国家情報化作業指導小組コンピュータネットワークと情報セキュリティ管理作業オフィス、国家コンピュータネットワーク緊急技術処理調整センター(CNCERT/CC、インターネット緊急センター)は、同一機関の異なる看板の関係である。例えば、方浜興の履歴書にある「1999-2000 年に国家コンピュータネットワーク緊急技術処理調整センターで副総工を務めた」という記述と「コンピュータネットワーク緊急処理調整センター」の設立時期の二つの言い方には微妙な矛盾がある。実際には、いくつかの機関の人員は基本的に一致している。安管センターの下部にあるインターネット交換センターと国家インターネット交換センターは異なる機関である。各安管センターの省級分センターは一般的に地元の通信管理局に付属している。
安管センターの主要な研究力は「ハルビン工業大学の一定の繁栄」に由来し、方浜興が博士指導教員であるハルビン工業大学と良好な関係を持つ中国科学院計算所である。この二つの機関は、あの三つの国家情報セキュリティの重大プロジェクトの主要な参加者であり、その後も人材を引き寄せ、安管センターに人材と技術を供給し続けている。方浜興が北郵に空降した後、安管センターへの人材供給の成分はハルビン工業大学から徐々に減少し、北郵から徐々に増加している。
CNCERT/CC の国内「協力パートナー」には、中国インターネット協会が主催し、北京光芒オンラインネットワーク技術有限公司が運営する中国インターネットユーザー反スパムセンターがあり、実権のない空の殻である。国家反コンピュータ侵入及び防ウイルス研究センター、国家コンピュータウイルス緊急処理センターは公安部、科学技術部の傘下である。違法及び不良情報通報センターは国新庁の勢力範囲である。国家コンピュータネットワーク侵入防止センターは中国科学院大学院の機関であり、同様に CNCERT/CC を直接支える。
CNCERT/CC の緊急支援機関の中で民間企業の最初のリーダーは緑盟であったが、後に緑盟はその台諜事件で解任され、啓明星辰がその後を引き継いだ。安管センターは一部の資格認証、入場審査の行政権限を持っており、これが民間セキュリティ企業が集まる理由かもしれない。しかし、民間企業は国家情報セキュリティの核心プロジェクトの建設には参加しておらず、安管センターの多くの周辺プロジェクトは民間企業や外資系企業に委託されている。例えば、隔離器のようなアクセス制限デバイスは啓明星辰に外注され、補助的、予備的な役割を果たすか、または彼らとネットワークセキュリティ監視に関して交流がある。
GFW と金盾の関係
敏感な読者はタイムラインからこのような感覚をすでに感じ取っているはずだ。実際、GFW と金盾は関係がなく、両者は明確に区別され、多くの違いがある。
公安システムがネットワーク監視を行っているのは公安部第 11 局である。
GFW は「国家情報関防工程」の一部であり、直接の上司は国家情報化作業指導小組と情報産業部であり、政治局が直接管理する国防工程である。この工程は主に有害なウェブサイトや情報を監視し、IP アドレスの位置を特定し、オンライン対抗情報の報告、有害な短メッセージの追跡と迅速な遮断を行う。江沢民、朱鎔基、胡錦涛、李克強、呉邦国などがこの工程を何度も視察した。
「国家情報関防工程」には「国家情報セキュリティ管理システム工程(005)」が含まれている。国家情報セキュリティ 016 工程などもある。
GFW は主に世論情報システムのツールであり、金盾は主に公安システムのツールである。GFW の総支持者は宣伝業務を担当する李長春、張春江、江綿恒であり、最初の主要なニーズは政治局、政法委、公安部、610 オフィスから来ている。一方、金盾の総支持者は公安システムの高層であり、主なニーズは公安部門から来ている。GFW は外部に主にネットワーク税関として機能し、金盾は内部に主に捜査証拠として機能する。GFW の建設時間は短く、費用は少なく、効果は良好であるが、金盾は建設時間が長く、費用が巨大(GFW の 10 倍以上)で、効果は顕著ではない。GFW は 3 つの国家級国際出入口バックボーンネットワーク交換センターに依存し、CRS GSR の流量を自分の交換センターに侵入検知し、ISP に配置されたルーターに拡散し、位置が集中し、デバイスの数が少ない。一方、金盾は公安内部の情報ネットワークであり、至る所に存在し、数が膨大である。GFW の研究力は強大であり、国内の情報セキュリティのトップ人材や実験室が多く、ハルビン工業大学の情報セキュリティ重点実験室、中国科学院計算所、ソフトウェア所、高エネルギー所、国防科学技術大学総参三部、公安部 9 局、北郵、西電、上海交通大学、北方交通大学、北京電子科技学院、解放軍情報工学学院、解放軍装甲兵工程学院、信産部中電 30 所、総参 56 所などが参加している。さらに、ほぼすべての 985 211 大学がこの工程に参加しており、一部の企業商業機関も周辺プロジェクトに参加している。Websense、packeteer、BlueCoat、Huawei、Peking University、Fangzheng、港湾、啓明星辰、神州数碼もいくつかの補助デバイスを提供している。中搜、奇虎、北京大正、Yahoo なども検索エンジンのセキュリティ管理システムに参加している。いくつかの省市レベルのネットワーク機房では、接続監視の部門が多様であり、安全、公安、紀律検査、軍隊などがあり、配置されているデバイスも多様であり、正規軍、雑牌軍、洋外援がそれぞれ戦っている。
しかし、金盾の研究力は弱く、公安システムの公安部第三研究所情報ネットワークセキュリティ研究開発センター、国家反コンピュータ侵入と防ウイルス研究センターは研究力と研究成果が不足しており、2008 年 8 月に情報ネットワークセキュリティ公安部重点実験室を設立し、ハルビン工業大学の重点実験室と対抗しようとしたが、電子データ証拠の研究方向はあまり見通しがなく、研究成果もあまりなかった。GFW の父方浜興は金盾プロジェクトには参加しておらず、工程院で金盾プロジェクトを支持しているのは沈昌祥である。実際、公安部重点実験室の学術委員会の名簿は非常に興味深いものであり、沈昌祥が自然に第一位に排除され、方浜興は最近の名声があまりにも目立つため、招待されることをためらった可能性がある。
GFW の発展と状況
GFW が主に使用するハードウェアは曙光と Huawei から来ており、Cisco や Juniper は使用されていない。ソフトウェアの大部分は自主開発である。理由は簡単で、国家情報セキュリティ基盤の構築において、方浜興は最近の発言「五つのレベルで国家情報セキュリティ保障システムを解読する」においても「情報セキュリティは自主知的財産権を主とすべきである」と強調している。ましてや、GFW は秘密の国防工程であり、GFW は外部の老舗を養う余裕がない。李国杰は工程院情報工学部の主任、曙光会社の会長、中国科学院計算所の所長であり、GFW の大量のサーバー機器の注文は曙光に与えられた。方浜興は安管センターに必要な大型機の大口注文を李国杰、国防科学技術大学の盧錫城、総参 56 所の陳左寧の 3 人の院士の所属機関にそれぞれ与えた。したがって、GFW には曙光の機器が多く、GFW には中国科学院計算所の研究力が多く、方浜興が中科院計算所と国防科学技術大学の両方で著名な兼職を持つ理由は、方浜興が故郷のハルビンから出てきて短い 7 年の間に工程院のルーブルに選ばれたからである。これは方浜興が頭を柔らかくし、すべての人が喜ぶように仕事をするからである。
インターネット上には GFW が夜郎自大であると皮肉る声があるが、実際にはこれは盲目的な楽観主義であり、無知者は恐れを知らない。GFW の技術は世界のトップであり、GFW はハルビン工業大学、中科院、北郵の本物のトップ人材を集めており、研究力も実際に強大である。動的 SSL、Freenet、VPN、SSH、TOR、GNUnet、JAP、I2P、Psiphon、Feed Over Email などは何の意味もない。すべての翻墙方法は、誰かが考えつく限り、GFW は研究し、反制措置の実験室の計画を備えている。
例えば、接続型遮断は中間者攻撃手段を用いて、暗号通信の両者が使用する信頼できる CA 署名保護を受けていないデジタル証明書のゲートウェイ / プロキシ間の証明書を調整し、出口ゲートウェイで解読検査を行う、いわゆる深い内容検査である。七層フィルタリング HTTPS は認証が必要である。クライアントがサーバーにアクセスする際、サーバー側は CA 証明書を提供するが、いくつかの実装では CA 証明書を提供しないこともあるため、CA 証明書を提供しないサーバーに対して、ファイアウォールの処理は非常に簡単であり、すべてを遮断する。デフォルトの CA 発行機関を検出し、証明書がこれらの機関(Verisign、Thawte Geotrust)から発行されていない場合は、殺すことはない。クライアントとサーバー間で https ハンドシェイクの段階で、CA 証明書がないか不正な CA 証明書を使用しているすべての https リクエストをフィルタリングする。このステップは広範囲のフィルタリングであり、サーバーの IP アドレスには関係ない。
GFW は主に侵入防御システムであり、検出 - 攻撃の二相モデルである。#
すべてのトランスポート層の平文の翻墙スキームは、検出され次第すぐに攻撃されるのは非常に簡単なことである。たとえトランスポート層が TLS などの暗号化でリアルタイムに検出できなくても、そのようなスキームは最終ユーザーにとっては透明であり、誰も GFW が最終ユーザーとして静的にそのネットワーク層の検出特性を分析することを阻止できない。
侵入検出後、TCP セッションのリセット攻撃は非常にクリーンである手段であり、最悪の場合でも手動の方法で翻墙方法のネットワーク層特性を見つけ出すことができる(ターゲット IP アドレスだけでも十分である)ので、特定のクリアランスを行うことができる。
もし一つか二つの国の敵であれば、GFW はクラスターを見つけて鍵を計算することもできる。GFW は中央財政からの支援を受けることができる貴重な研究プロジェクトである。ハルビン工業大学の地下室や中国科学院の古い建物にいる貧しい研究者たちは、たとえお金がなくても何かを作り出すことができる。今や中央財政の支援を受けて、さらにやる気が出ている。
GFW は何でもできるが、P2P はどうしようもない。なぜなら匿名性が非常に良好で、リアルタイムで検出することもできず、静的分析を通じて固定または変化するネットワーク層特性を見つけることもできないからである。こうしても二つのトラップノードを構築して小さな破壊を行うことができるが、中科院の 242 プロジェクト「P2P プロトコル分析と測定」はずっと続いている。いつ国外で学術会議が開かれたり、Defcon で誰かが Tor の安全性についての論文を発表したりすると、すぐに研究して実装することができ、学術技術の最前線に追いつくことができる。しかし実際には、GFW のような中国の最先端技術プロジェクトも山寨の本質から逃れることはできない。つまり、何かを作り出すのは簡単だが、それを詳細に作り込むことはできない。
しかし、なぜ GFW は何でも封じ込めることができるのに、実際には封じ込めないのかという疑問があるかもしれない。私のこの翻墙方法は今でも大丈夫だ。実際、GFW には独自の運用方法がある。GFW は本質的には純粋な研究技術部門であり、政治的勢力にとっては完全に主観的な能動的な道具である。GFW 内部には非常に厳格な権限管理があり、技術と政治は完全に隔離されている。何を封じ込めるか、何を解除するかはすべて上層部によって決定され、党が銃を指揮し、特定の人員にキーワードリストを操作する権限を与え、技術実現者とは完全に隔離されており、お互いに何をしているかを知らない。そのため、多くの場合、freebsd.org や freepascal.org を封じ込めるなどの奇妙な封鎖が発生する。おそらく、freebsd.org や freepascal.org は free tibet.org に関連していると考えられる。あるいは、車輪に関連する GPass の「package.debian.org/zh-cn/lenny/gpass」をキーワードとしてリストアップすることは、IE6 を操作している官僚たちの気まぐれであり、技術者がそれを知ったら怒り狂うだろう。
方浜興は最近の発言「五つのレベルで国家情報セキュリティ保障システムを解読する」において、国情に基づく原則を述べている。「主に安全コストとリスクの総合的なバランスを強調する必要がある。リスクが大きくない場合は、過度な安全コストをかける必要はない。この中で強調すべきは、重点を確保することであり、レベル保護は情報システムの重要性に基づいてレベルを決定し、それに応じて適切な強度の保護を施すことである。」
したがって、マイナーな翻墙方法に対して、GFW はその機能に基づいて発見した場合、目を通すことができるが、上層部はそのような方法があることを知らず、封じ込めることもできず、GFW 自身も封じ込める権限がないか、知っていても再度費用や労力をかけて配置するのを面倒に思う。頭を出す鳥を撃つのはいつでもそうである。
現在の状況は、敏感なデータを封じ込めることができれば基本的に安全であり、そうでなければフィルタリングされてしまう。膨大なネットワークデータを人間が分析することは不可能であり、敏感なデータはフィルタリング技術に基づいてデータフロー内のいくつかの特徴に基づいて発見される。現在の復号技術は膨大なデータフローと暗号化技術に対して復号方法を使用することは不可能であり、暗号化データフローに識別可能な特徴がない限り、フィルタリング技術は何の記録や反映も実現できない。したがって、フィルタリング技術は本当にネットワーク封鎖を実現することはできず、新しいパラメータを追加する必要がある。彼らは量を選択し、あなたのデータの一部を保存することにした。
現在の破網方法で比較的多く使用されているのは動的ネットワーク、無界、庭園などであり、接点が相対的に限られており、知られているため、一定の時間データを保存することに意味がある。破網ソフトウェアを使用する人が多いため、誰もが捕まることはできず、量に基づいて重点を区別し、破網ソフトウェアを頻繁に使用する人を特定することができる。もちろん、これらの知られている接点に接続するためにプロキシを介して接続することができるが、プロキシを介して知られている接点に接続するリクエストは依然としてキャッチされる可能性がある。方浜興は GFW の台頭過程での政治的エネルギーをすべて彼の動力に変換した後、GFW を放棄した。
現在、GFW は安定期にあり、完全に清水の役所であり、何のバックグラウンドもなく、政治的、資金的な利益を得ることもできず、新しい大規模プロジェクトを行うこともできず、IPv6 さえも GFW にとっては厄介な問題となっている。方浜興は最近の発言「五つのレベルで国家情報セキュリティ保障システムを解読する」においても感慨を述べている。「例えば、Web 2.0 の概念が出現した後、ウイルスなどの問題が比較的容易に拡散するようになった。さらに、IPv6 が出現した後、侵入検出は意味を持たなくなった。なぜなら、プロトコルが理解できないのに何を検出するのか。」
GFW は常に地位がなく、常に誰にも管理されていないロリであり、国新庁、ネット監視、広電、著作権、通管局などの怪しい人々がその上に圧力をかけて何をするかを強制している。したがって、方浜興は最近の発言「五つのレベルで国家情報セキュリティ保障システムを解読する」においても、まずメカニズムを強調している。「マクロレベルが必要であり、主管部門が支援を提供する必要がある。」したがって、ウェブサイトを解除したい場合は、GFW 本体を探すのではなく、GFW の上層部を探す必要がある。どの上層部でも構わない。ISP は GFW とは全く関係がなく、GFW が具体的に何をしているのかを知らず、ISP を訴えることは完全に脈絡を見つけられない。
しかし、GFW は現在も非常に良好に機能しており、作業能力にはまだ大きな潜在能力がある。唯一恐れているのは DDoS 攻撃である。GFW の規模は前述のタイムラインに数字があり、GFW の現在のウェブサイト封鎖リストも数十万件に達している。ネットワーク監視と MSN YMSG ICQ などの IM メッセージ監視も完璧である。GFW はデータマイニングとプロトコル分析において比較的成功を収めており、マルチメディアデータ(音声、動画、グラフィック画像)のインテリジェント認識分析、自然言語の意味判断認識パターンマッチング、P2P VoIP IM、ストリーミングメディア、暗号化コンテンツ認識フィルタリング、接続型遮断などが将来の重点であるが、GFW は機械学習のような自己組織化フィードバックメカニズムを持っておらず、キーワードを自動生成することはできない。なぜなら、GFW 自体にはキーワードを変更する権限がないからである。したがって、この技術は必要ない。さらに、国内ではこの技術も概念が多く、論文が多く、実践が成熟していない。
現在、GFW と金盾が最も望んでいるのは、万草の中から一握りの毒草を見つけ出すデータマイニングのような人工知能技術である。
方浜興は最近の発言「五つのレベルで国家情報セキュリティ保障システムを解読する」において「世論を制御する核心能力」を提起し、「まず発見と取得ができること、次に分析と誘導の能力が必要である」と述べている。どうやって発見するのか?それは中国科学院が研究している 973 プロジェクト「テキスト認識と情報フィルタリング」と 863 重点プロジェクト「大規模ネットワークセキュリティ事件監視」のようなプロジェクトに依存している。
金盾プロジェクトは多額の資金を投入して作られたが、評価は GFW に劣る。第 11 局の警察たちは顔に光を失い、先輩たちに説明できない。公安システムの技術力は GFW には及ばないが、公安システムには金がある。数十万台のカメラや数万台の刃物、数 PB のハードディスクを省市レベルのネットワークセンターに接続して、何でも記録することができる。問題は、記録したものは使えず、公安の警察が Excel を一ページずつめくるしかない。だから、GFW は見た目は千疮百孔で、金盾は深不可測だが、公安部門は GFW に比べて攻撃的であり、毒草を見つけると、RST を与えるのではなく、拘留証を与える。逆に、GFW は大多数の毒草を防ぎ、金盾は大多数の毒草を見つけられない。
国家情報セキュリティの言説パラダイム
国外からの大量のネットワーク宣伝が、ネットワーク化の経験がない中央を無力化し、手も足も出ず、非常に焦っている。これらのものは中央にとって耐え難い安全脅威であり、これらの脅威がネット上で発生するため、国家のネットワークセキュリティが最優先事項として提起された。情報化の大潮に乗り、電子政府の概念が興起し、中央は情報化の問題に真剣に取り組むことを決定し、国家情報化作業指導小組を設立した。最初の構成名簿の中で、安全部門と宣伝部門が大多数の席を占めており、その第一下部機関は安全問題を処理し、第二下部機関は情報化改革を処理することから、安全の必要性が非常に強いことが見て取れる。この時、情報セキュリティに対して独自の見解を持つ方浜興が信産部の張春江によって安管センターに調任された。方浜興の情報セキュリティに対する見解は、高層部のネットワークセキュリティの必要性と一致している。
方浜興は最近の発言「五つのレベルで国家情報セキュリティ保障システムを解読する」において、「情報セキュリティ法を必ず持つべきであり、この核心法があれば一連の作業を行うことができる」と述べている。国家情報セキュリティシステムの最も重要な核心は、情報セキュリティを基盤とした法的保障システムであり、国家の意志――法律を通じて「情報セキュリティ」を定義するものである。情報セキュリティは本来純粋な技術であり、完全に中立的な用語であるが、国家の意志によって「扇動… 扇動… 扇動… 扇動… 捏造… 宣伝… 侮辱… 損害… その他…」をいわゆるネットワーク攻撃、ネットワークゴミ、ネットワーク有害情報、ネットワークセキュリティ脅威として定義し、実現の面では完全に技術的、中立的に安全を見ており、現実の政治問題をまったく考慮していない。こうすることで、技術的に完璧な封装を実現し、ユーザーに高い拡張性のあるセキュリティ事件定義インターフェースを提供することができる。国家安全と技術安全の実現に対する暗喩的な結びつき、イデオロギーと情報科学の不可分の結合、これが方浜興が高層部に提供した開拓的思考であり、これが方浜興が提唱した国家情報セキュリティの言説パラダイムである。
この言説パラダイムは非常に自然で、完全に封装されているため、ほとんどの人が中国のネットワーク化の発展にどれほど深刻な問題が発生しているかを認識していない。ほとんどすべてのネットユーザーは、自分たちに大きな迷惑と失望をもたらす GFW が、実際にはネットユーザーを守るために設立された国家インターネット緊急対応センターであることを認識していない。ほとんどすべてのネットユーザーは、自分がネット上のどこかで花を育てることが、国家にとってはネットワークセキュリティ攻撃事件であることを認識していない。ほとんどすべての意思決定者は、見た目には効果的なファイアウォールが、実際にはどれほど強力な副作用を持ち、インターネットの発展にどれほど大きな損害を与えるかを認識していない。ほとんどすべての意思決定者は、GFW のような専門的なセキュリティツールを使用してネットワーク封鎖を行うことが何を意味するかを認識していない。イデオロギーは、ネットワーク化のこの変幻自在な景色に耐えられず、目を閉じるしかない。
ネットワーク化に関する中国語の理論テキストの中で、最も重要な位置を占め、最も多くのページを占めるのはネットワークセキュリティとネットワーク脅威である。国家情報化作業指導小組の第一下部機関は安全問題を処理するものである。このように、ネットワーク自体がまだ発展していない時期に、理論的にネットワークに対するさまざまな制限と管理が行われている。ネットワークが自発的に成長した後、文化的にネットワークが体系的に悪魔化され、地理的にネットワーク中国が閉じ込められる。さらに深刻なのは、技術の本質や副作用をまったく理解していない状態で国家情報セキュリティツールを使用することであり、まるで無知な子供が銃器を扱うようなものである。安全を維持するという言説の下で、意思決定者は GFW を使用してネットワーク封鎖を行うことが、自らのネットワーク国土で軍隊を使って弾圧することと同じであり、ネットワークケーブルを切断することは、自らのネットワーク国土で核兵器を使用することと同じである。
さらに悲しいことに、GFW の建設者たちのほとんどは、自分たちが何をしているのかを認識しておらず、秘密保持契約を結んだ後、無意識のうちに党国の事業に身を投じている。方浜興のように、彼と共に江山を築いた云晓春は、方浜興が高く飛ぶ一方で、彼らはただ技術に尽くし、安管センターでは王秀軍や黄澄清のような人々が後から追い上げてきた。かつてハルビン工業大学で方浜興と共にいた貧しい研究者たちも、最後には百度などの企業に次々と行った。GFW はマンハッタン計画と同じ倫理的な困難に直面している。科学は本来中立的であるが、科学者は政治に操られている。技術者たちは安全を実現する方法にのみ関心を持ち、またそれにのみ許可されている。彼らは安全の定義がどうであるかを考慮することができず、彼らの仕事のすべての可能な結果を検証し評価することができない。問題や危険を発見した場合は、自らの仕事を変更または中断し、社会に警告するべきであるという原則を実践できない。結果として、彼らが一生懸命研究しても民生に恩恵をもたらすことはできず、「中国人権を抑圧する」「ナチスの共犯者」といったレッテルを貼られることは、歴史の悲劇であると言えよう。
この言説パラダイムは社会のあらゆる側面に浸透している。この言説の下で、中国は世界で最も強力なファイアウォールを持っているが、中国のネットワーク構築は世界の先進レベルに遠く及ばない。中国は世界で最も大規模なネット依存症治療産業チェーンを持っているが、中国のネットワーク産業はただの模倣技術しか持っていない。中国には世界で最も多くのネットユーザーがいるが、インターネット上では中国の声を聞くことができない。GFW は人々の自己検閲を実現し、人々が自由を取り戻しても飛ぶことができないようにし、その根本的な目的を達成した。現在、GFW に対する DDoS 技術は成熟しているが、壁を倒すことは意味がなく、公安システムの金盾が勢力を強め、より多くのネットユーザーが逮捕され、最終的には新しい壁が立てられる。これらすべては、イデオロギー化された現代性とネットワーク化されたポストモダン性の間の巨大な断裂、そして「国家情報セキュリティの言説」という致命的な隠蔽から生じている。
GFW の実体は安管センター(CNCERT/CC)であり、事業単位である。事業単位の政治的地位は非常に低いと考えられ、上司はすべて指令を下してネットワーク封鎖を行うことができるが、彼自身には主観的な能動性はなく、業務に専念し、国家安全基盤の構築を誠実に行うことに専念している。視点を変えれば、GFW が行っていることは実際には神秘的ではなく、むしろ自らの名義に完全に合致している。私たちが美しい「ブロードバンドネットワーク環境下の悪意のあるコード監視システム」を見てみましょう。あなたが blogger や wordpress にアクセスすると、それは URL 攻撃です。さらに、一般的なフィッシング攻撃やウイルスよりも深刻です。なぜなら、党と国家の安全を害するからです。GFW の研究も一般的なネットワークセキュリティ会社が行っていることと変わりません。ネットワークトラフィックを監視分析し、有害なソフトウェアを逆向きに解析し、悪意のある攻撃を阻止することです。違いは、GFW は国家安全のためにあなたの反革命的な攻撃を処理する必要があることです。さらに、GFW は無限の金銭、無限の人口、無敵の秘訣を持っています。
GFW とネットユーザーのエコシステム
政府、GFW、ネットユーザーはエコシステムを構成しており、政府と GFW は食物連鎖の上端に共生し、ネットユーザーは食物連鎖の下端に位置しています。これを「猫とネズミのゲーム」と呼ぶ人もいます。GFW とネットユーザーの相互作用の歴史を観察すると、それは技術水準を相互に向上させる軍拡競争に要約されますが、それにもかかわらず、両者の関係は GFW がますます積極的にネットユーザーを追いかけ、ネットユーザーがますます受動的に逃げるというパターンを破ることはありません。最初の普通の HTTP プロキシ、SOCKS プロキシから、暗号化プロキシソフトウェア、さまざまなウェブプロキシ、VPN、SSH プロキシ、P2P ネットワーク、混合方法に至るまで。しかし、これらの方法は GFW の封鎖から完全に免れることはありません。なぜなら、GFW は攻撃に非常に優れているからです。ネットユーザーは今まで新しい逃避方法を探し続けるだけです。
この相互作用モデルの問題は、軍拡競争が続くにつれて、GFW はますます洗練され、強力になり、ネットユーザーは手元のカードを失い、翻墙の難易度とコストがますます高くなることです。GFW はこの分野の専門家であり、ネットユーザーは集団知恵を持っているが、技術能力が効果的に組織されていないため、GFW と対等に競争することはできません。したがって、少しでも遠くを見れば、このモデルはネットユーザーにとって持続可能ではなく、いつか GFW は大多数のネットユーザーの技術基準を超えることになるでしょう。したがって、唯一の出口は方法を変え、このモデルを突破することです。
GFW への対策#
ネットユーザーが現在の動的状況の方法を突破する基本原理は、GFW が攻撃に優れている一方で防御が不得意であるという特徴を利用することです。GFW を国家のネットワーク暴力機関と見なすのではなく、GFW をネットワークセキュリティ機関と見なす方が良い。実際、GFW もネットワークセキュリティ機関(CNCERT/CC)である。どんなセキュリティシステムにも必ず脆弱性や弱点がある。GFW が提供するこの GFW セキュリティソリューション(国家情報セキュリティ管理システム)も例外ではない。ネットユーザーは技術を持っているわけではなく、技術が効果的に組織されていないだけである。実際、GFW には多くの脆弱性や弱点があり、いくつかは理論的に解決できないものもある。これは後で詳しく説明する。
GFW の脆弱性を利用することは、GFW の攻撃を防ぐための非常に良い方法である。GFW は、特定の IP アドレスを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、特定のポートを持つサーバーに対して、