神不為者,人為之 God's In His Heaven, All's Right With The World.
[转]“金盾工程”
在管制言论与媒体方面投入的金钱与人力之多,中国确实可以号称“世界第一”:连续6年,中国一直是世界上关押记者人数最多的国家,仅去年就抓捕了42位记者。传统的纸质媒体与电视电台早已万马齐喑,对信息传播自由度相对高些的互联网,中国政府最近也痛下杀手。中国信息产业部宣布3 月20日开始实行《非经营性互联网信息服务备案管理办法》,按照这一“办法”,中国各大小网站将于4月15日以前重新备案登记,接受审查。此次“审查”的第一个“战果”就是将各大学的BBS关闭或变成禁止外部访问,一些学校要求本校学生以真实姓名和学号重新登记,否则不准在论坛上留言。
不过,众多网民以为用网名可以肆无忌惮说话且不用担心暴露身份却是个误会。因为中国的“金盾工程”从技术上完全可以做到追踪上网发贴者的IP,了解其真实身份。这次封堵大学网站的BBS,主要目的是封堵网民表达意见的渠道,这样做有利于粉饰中国政府的国际形象,因为触犯言禁的人如果太多,抓不胜抓,而且容易引发国际社会对中国人权状态的批评,有损“党与国家的光辉形象”。
中国封锁网络的技术与中国使用互联网的历史几乎一样长,国际社会最初将其称为“The Great Firewall” (防火墙)。中国政府在防火墙上的投资规模之大、技术手段之先进、以及封锁之严密,在全世界堪称独一无二。但后来随着网路突破封锁的手段越来越先进,防火墙已经落后于形势需要,中国政府于是投入巨额资金,着手建立一个庞大的网络监视与封锁系统,名之为“金盾工程”。
“金盾工程”1998年开始立项,计划于2006年全部完成,前期工程投资 8亿美元,已于前年9月已经正式投入使用。名义上是公安自动化系统,实际包括一个综合的、多层的、包括网络各个环节的网络封锁和监视系统,涉及技术(电信与网络服务提供商)、行政、公安、国安、宣传等多个部门的系统工程,其核心是一个网络封锁与监视系统,功能是能看、能听、能“思维”。
“金盾工程”是在欧美高科技公司倾力合作下完成的。这些公司为了赚钱,积极帮助中国政府建设了一个罪恶的监控系统。最先对跨国公司与中国政府之间不光彩的合作披露与指责的人士,都是曾经参与中国互联网建设的专业人士,这方面有几份很重要的文献,一份是Greg Walton写的“‘金盾工程’:庞大的中国电讯监控工程”,另一份是葛德曼撰写的“谁失去了中国的互联网”。这两篇文章揭露了跨国公司与中 国政府之间不光彩的交易。
现将“金盾工程”的功能简述如下:
一、技术方面的主要功能:
1、封锁信息,主要封锁国外网站和服务器。包括封锁网站、网络交流关键字与电子邮件;IP地址封锁;过滤网页内容、网址、HTTPS证书,等等。
2、对“重点”目标的所有网络活动实施监控,包括网吧监控、个人上网监控等。
3、收集情报。
4、破坏。如劫持域名,包括劫持个人电脑,发送病毒等。
二、对网路的行政管理。如要求网吧监控软件与公安局监控系统联网;要求网客持身份证上网,实行个人上网实名制。对一些在网路上有越轨行为的网客,由其所在单位与学校做“思想教育”工作,行威胁之实。
外国公司为了在中国取得市场份额与合同,都与中国签订合同,比如网路服务提供商必须对网路内容过滤,对网站内容“自律”,不发布中国 政府不喜欢的内容。有名的搜索引擎公司Google按照中国政府的要求做了一个“新的Google新闻中国版” ,不采用中国政府封锁的新闻源。
负责操办这一业务的江恒(江**之子)声称“中国必须建立一个全国性的网路,独立于国际互联网之外”。在“金盾工程”的严格控制下,这一独立于国际互联网之外的网路给中国带来的与其说是信息的自由交流,不如说是E-mail这一即时通讯工具对电信行业的冲击,以及网路色情的泛滥。奥威尔在《1984》这本书里描绘的世界将成为中国的现实,“金盾工程”这个“老大哥”将时时刻刻“照看”着中国民众。
Wikipedia上对金盾工程的解释
http://zh.wikipedia.org/wiki/%E9%87%91%E7%9B%BE%E5%B7%A5%E7%A8%8B
不过,众多网民以为用网名可以肆无忌惮说话且不用担心暴露身份却是个误会。因为中国的“金盾工程”从技术上完全可以做到追踪上网发贴者的IP,了解其真实身份。这次封堵大学网站的BBS,主要目的是封堵网民表达意见的渠道,这样做有利于粉饰中国政府的国际形象,因为触犯言禁的人如果太多,抓不胜抓,而且容易引发国际社会对中国人权状态的批评,有损“党与国家的光辉形象”。
中国封锁网络的技术与中国使用互联网的历史几乎一样长,国际社会最初将其称为“The Great Firewall” (防火墙)。中国政府在防火墙上的投资规模之大、技术手段之先进、以及封锁之严密,在全世界堪称独一无二。但后来随着网路突破封锁的手段越来越先进,防火墙已经落后于形势需要,中国政府于是投入巨额资金,着手建立一个庞大的网络监视与封锁系统,名之为“金盾工程”。
“金盾工程”1998年开始立项,计划于2006年全部完成,前期工程投资 8亿美元,已于前年9月已经正式投入使用。名义上是公安自动化系统,实际包括一个综合的、多层的、包括网络各个环节的网络封锁和监视系统,涉及技术(电信与网络服务提供商)、行政、公安、国安、宣传等多个部门的系统工程,其核心是一个网络封锁与监视系统,功能是能看、能听、能“思维”。
“金盾工程”是在欧美高科技公司倾力合作下完成的。这些公司为了赚钱,积极帮助中国政府建设了一个罪恶的监控系统。最先对跨国公司与中国政府之间不光彩的合作披露与指责的人士,都是曾经参与中国互联网建设的专业人士,这方面有几份很重要的文献,一份是Greg Walton写的“‘金盾工程’:庞大的中国电讯监控工程”,另一份是葛德曼撰写的“谁失去了中国的互联网”。这两篇文章揭露了跨国公司与中 国政府之间不光彩的交易。
现将“金盾工程”的功能简述如下:
一、技术方面的主要功能:
1、封锁信息,主要封锁国外网站和服务器。包括封锁网站、网络交流关键字与电子邮件;IP地址封锁;过滤网页内容、网址、HTTPS证书,等等。
2、对“重点”目标的所有网络活动实施监控,包括网吧监控、个人上网监控等。
3、收集情报。
4、破坏。如劫持域名,包括劫持个人电脑,发送病毒等。
二、对网路的行政管理。如要求网吧监控软件与公安局监控系统联网;要求网客持身份证上网,实行个人上网实名制。对一些在网路上有越轨行为的网客,由其所在单位与学校做“思想教育”工作,行威胁之实。
外国公司为了在中国取得市场份额与合同,都与中国签订合同,比如网路服务提供商必须对网路内容过滤,对网站内容“自律”,不发布中国 政府不喜欢的内容。有名的搜索引擎公司Google按照中国政府的要求做了一个“新的Google新闻中国版” ,不采用中国政府封锁的新闻源。
负责操办这一业务的江恒(江**之子)声称“中国必须建立一个全国性的网路,独立于国际互联网之外”。在“金盾工程”的严格控制下,这一独立于国际互联网之外的网路给中国带来的与其说是信息的自由交流,不如说是E-mail这一即时通讯工具对电信行业的冲击,以及网路色情的泛滥。奥威尔在《1984》这本书里描绘的世界将成为中国的现实,“金盾工程”这个“老大哥”将时时刻刻“照看”着中国民众。
Wikipedia上对金盾工程的解释
http://zh.wikipedia.org/wiki/%E9%87%91%E7%9B%BE%E5%B7%A5%E7%A8%8B
該討論的回覆
-
固定鏈接由小狼於回覆 -
很多人都有过这样的体验,在中国访问一些国际网站,感觉速度比较慢。这其中有多种原因,中国国内网络的带宽不够,到国际网站的服务器需要经过多层路由器转接,到欧洲的网站一般需要在美国中转,等等。还有一个重要原因不一定每个人都知道,那就是所有从中国到国外的数据包都要经过一个巨大的防火墙(Firewall)过滤。这个防火墙是世界上功能最强大的网络控制机构之一,国际上的研究人员称之为“Great Firewall of China”,简称GFC,可译为“中国防火长城”(长城英文是“Great Wall of China”)。国内的正式名称是“金盾工程”。
“金盾工程”(Golden Shield Project)的核心项目是一个综合的网络封锁和监视系统,涉及技术(电信与网络服务提供商ISP)、行政、公安、国安、宣传等很多部门的系统工程,总体工程规划五年内完成,分两期建设。一期工程在2003年建成并全面启动。据中央电视台报道,至2002年为止,金盾工程共花费了人民币六十四亿元。二期工程从2006年开始实施。据估计,目前参与金盾工程日常运作的人员(主要来自公安部门)超过三万人。
GFC(以下用GFC表示金盾工程)的主要功能包括封锁国外的一些网站,监控一些网吧和个人的上网行为,收集网络情报,有时也破坏网络通讯,如劫持域名,劫持个人电脑等。下面我们就具体分析一下GFC的构成和工作原理。
国际互联网(Internet)起源于美国军方的网络研究项目ARPANET,其设计目的是一个没有中心机构的分布式网络。如果在战争情况下某些节点遭到破坏,其他部分还能正常工作。如果美国政府有一天决定要监控所有进出美国的网络数据,他们也无法办到,因为美国与世界各地的连接太多,有些连接并不在政府控制之下,要监控所有的国际数据无论在技术、法律或财力上都是不可行的。
同理,如果中国政府要监控国内、国际所有的网络通信也不可能。但是,只监控中国到国外的互联网通信是可行的,因为中国到国外的互联网接口只有有限的几个,主要的只有三个。北方的一个是北京-青岛-天津,接到日本;上海有一个国际接口,也接到日本;南方广州有一个,接到香港。除此以外,还有一些卫星国际连接,但是速度很慢,收费很高。中国西部还有通过中亚到俄国的线路,但数据传输量也很少。中国互联网国际出口少的坏处在2006年台湾地震时暴露得很明显,几条海底电缆的破坏就使得中国互联网国际通信受到巨大影响。好处也有,如果在这几个国际出口各放一套防火墙设备,就可监控所有的国际数据通信。GFC就是这样做的。
GFC主要设备供应商是思科(Cisco),核心设备是一种路由器,“Mirroring Router”。这种路由器在转发每个数据包的同时,都会复制一份进行分析。根据分析的结果,可以允许这次通信正常进行,或者中断这次通讯,更加严重的,可以封掉这个国际网站或IP地址。由于参与GFC的建设,思科公司曾受到美国国内多方的强烈批评。但现在这种路由器已经不是什么尖端技术,很多网络设备厂商都可以制造,包括中国的华为,中国不必非从思科购买。目前GFC的技术更新工作主要在软件方面,这由中国方面独立进行,思科并不参与。
GFC截断国际通信的技术手段有几种,最严厉的一种是封锁域名(DNS Block)。例如,用户要访问www.google.com,首先需要域名服务器(DNS Server)先返回一个IP地址,然后再用这个IP地址和谷歌的服务器交换数据。封锁域名就是在用户查询谷歌的IP地址时,GFC截获这个请求并返回一个零地址,或假地址。用户的浏览器就会显示“无法找到网站”,使得用户无法访问google.com。有时GFC还会更进一步,把访问一个网站的请求转到另一个网站。例如,在2002年有几个月,访问www.google.cn的请求都被转到百度的网站,www.baidu.com。
假如谷歌的域名被封,但如果你知道谷歌的IP地址,那你还可以直接用IP地址访问谷歌的网站。所以,GFC还有另一个手段,封锁IP。这和域名封锁类似,都是有一个黑名单,在黑名单上的域名和IP地址一概不能访问。黑名单有两种,一个是永久的,一个是临时的。上榜永久黑名单的网站那是没有办法了,临时名单要好些,它有时间限制,敏感时期过后,或表现良好,名单中的网站就有可能被去掉。
还有一种手段是URL关键字封锁。也就是说,即使google.com没被封锁,但如果该网站的某一页面的名字中含有某个关键字(对不住,这儿就不举例子了),那么这一页面就可能被封。最后一个手段,也是最先进的,就是实时扫描每一页的内容。如果页面中含有GFC不喜欢的字或词,GFC会马上中断这次通信,在一定的时间内还不准再试(一般为30分钟)。
后面这两种手段更人性化一点儿,不像前两种封掉整个网站那么粗暴,打击面也小一些,可以精确到页面,而不是整个网站。当然,本质是一样的,在遇到页面无法访问时,用户都不知道是怎么回事儿。是我的PC坏了,网线断了,电信的机器坏了,网站的服务器当机,还是它今天被封了?都有可能,这种不确定性也使得 GFC的威力更加强大。不像其他政府,如新加坡政府等,封掉一个网页后,还会告诉你,“…对不起,这个网页含有不适当的内容,不能访问…”,幼稚了不是?
那么,如何破解GFC?
破解GFC也很简单,两种办法最有效,代理服务器(Proxy)和虚拟私有网(VPN)。Proxy就是通过国外的另一台服务器中转一下,掩盖最终地址,逃过GFC的审查;VPN的办法是使用数据加密,GFC无法知道通信双方的域名或IP地址。国外的Proxy很多,IP经常变化,GFW无法把它们都列入黑名单封掉。而且Proxy都是免费,就是需要经常换新的。使用VPN要求较高,如果国外没有服务器可连,就需要付费。VPN的数据都经过加密,GFC看不懂,只好放行。那么,有没有可能有一天GFC会把所有看不懂的、加密过的VPN数据都封掉?不会,因为成本太大。成千上万的外企、银行每天都使用VPN 与其总部通信和传递财经数据,封掉VPN,他们马上就没法在中国做生意了。只要中国的改革开放政策不变,这就不会发生。
既然这么简单就可以攻破GFC,为什么政府还要花巨资建设它?因为GFC虽然不能挡住所有人,但它设置的障碍足够挡住绝大多数不熟悉互联网技术的人。一些外商或国内精英人士可以绕过GFC,这并不一定是件坏事情,至少并不严重。另外,由于GFC的存在,多数国内外的网站(包括《弯曲评论》)都会严格自律,非常小心,以避免被封。所以,从这种意义上讲,GFC还是非常有效的。
