Главная » Хабрахабр » Краткая история ИБ в Китае: как возводили Великий китайский файрвол

Краткая история ИБ в Китае: как возводили Великий китайский файрвол

В этом году исполняется 20 лет с момента зарождения идеи фильтрации контента в интернете Китая. Сейчас эта технология известна всему миру под названием «Великий китайский файрвол».

Теперь разберемся с историей «Великого брандмауэра», который воплощает собой политику кибербезопасности страны. В прошлой статье мы уже затронули регулирование сферы ИБ Китая.


/ Flickr / Andi Gentsch / CC

Как все начиналось

Интернет начал распространяться по азиатским странам в начале 80-х. Им пользовалось в основном научное сообщество, китайского веба еще не было, как и систем фильтрации контента.

В 1987 году (по другим сведениям, в 1986-м) двое китайских ученых через простую почтовую систему того времени отправили своим европейским коллегам первое электронное сообщение из страны: «Через Великую китайскую стену мы сможем достичь всех уголков мира».

Между Китаем и США были проложены первые линии связи, домены верхнего уровня . И действительно — это произошло уже в 1994 году. CN стали доступны из-за рубежа.

Тогда же национальное издание China Daily запустило свой сайт, на котором цитировалось международное агенство Reuters (сейчас запрещено в стране). В том же году Национальный исследовательский центр интеллектуальных вычислительных систем запустил первую в Китае электронную доску объявлений — Dawn BBS.

В 1995 году один из двух на тот момент телеком-операторов в стране начал строить сетевую инфраструктуру для обычных граждан. Как и во многих других странах мира, одними из первых пользователей интернета стали ученые, члены университетского сообщества — они налаживали связь между филиалами и обменивались знаниями. Уже в следующем году первым пользователям стал доступен первый коммерческий сайт Китая.

Проникновение интернета было минимальным, а сама технология рассматривалась как часть политики «открытых дверей» — процесса получения и адаптации западных знаний для реформирования национальной экономики. На первом этапе развития интернета в стране не существовало четких рамок и правил в контроле контента.

Проект «Золотой щит»

В 1996 году в Шанхае и других крупных городах стали открываться первые интернет-кафе. Все больше людей получали доступ к сети. По мере роста популярности интернета начала формироваться и необходимость в регулировании нового пространства.

В основном это касалось распространения и защиты секретных сведений, ответственности владельцев инфраструктуры и обслуживания международных линий связи. В этом году Китай принял ряд временных положений для управления сетевым контентом.

На следующий год Министерство общественной безопасности подготовило всеобъемлющие правила, которые запрещали использовать интернет для:

  • нанесения вреда национальной безопасности;
  • раскрытия государственных тайн;
  • нанесения ущерба интересам государства или общества.

Законодательно запрещалось создавать и распространять информацию, которая:

  • направлена против Конституции КНР, законов или административных норм;
  • призывает к свержению правительства или социалистической системы, подрыву национального единства;
  • искажает правду, распространяет слухи или вредит общественному порядку;
  • содержит материалы сексуального характера или поощряет азартные игры, насилие или убийства.

В 1998 году на базе уже принятых законов и правил Министерство общественной безопасности запустило разработку проекта «Золотой щит» — комплексной системы безопасности, в возможности которой входила и фильтрация сетевого контента. Проект презентовали в 2000 году во время торговой выставки в Пекине. Грег Уолтон (Greg Walton) из Международного центра по правам человека и демократическому развитию описал «щит» как инструмент, направленный ​​на «внедрение передовых информационных и коммуникационных технологий в целях укрепления контроля, реагирования и борьбы с преступностью».

С помощью нее в течение первых лет работы проекта Департамент общественной безопасности упорядочил информацию о большей части жителей Китая. «Золотой щит» на первом этапе представлял собой многоуровневую систему баз данных. Она отвечала и продолжает отвечать за фильтрацию сетевого контента в соответствии с законодательством страны. Одна из подсистем «Золотого щита» в последствии получила название «Великий файрвол».

Программу «Золотого щита», а вместе с ней и «Великий китайский файрвол», официально развернули в стране в 2003 году. Для разработки «Золотого щита» и файрвола китайское правительство сотрудничало с целым рядом научно-исследовательских институтов и поставщиков технологий как внутри страны, так и за ее пределами. Он выполняет возложенные на него обязанности вот уже 15 лет — фильтрует запрещенный в Китае контент.

Как это работает

В основе работы файрвола лежит комбинация нескольких систем фильтрации контента, которые развивались поэтапно. Сначала фильтр научили блокировать только доменные имена и IP-адреса. Этот метод есть в инструментарии файрвола до сих пор, но на первом этапе он был основным. Существует пополняемый «черный список» IP-адресов нежелательных ресурсов — нарушителей закона об информационной безопасности. Этого обычно достаточно, чтобы заблокировать доступ к какому-либо сайту и перенаправить трафик в так называемый «blackhole route».

Недостаток заключается в необходимости обновлять список IP-адресов, подлежащих блокировке. Главное преимущество этого метода фильтрации — он относительно прост в реализации и не требует особого участия со стороны интернет-провайдеров. Если некий запрещенный ресурс ставил своей задачей «прорваться через файрвол», он мог добиться этого сменой IP.

Система анализирует контент сайтов на соответствие «национальному черному списку» ключевых слов. На втором этапе развития файрвол эволюционировал до фильтрации контента по ключевым словам. В случае обнаружения запрещенных сведений соединение сбрасывается.

Тогда же в список запрещенных ресурсов попали крупные социальные сервисы с большим количеством генерируемого пользователями контента — Facebook, Youtube, Twitter, Blogspot, Vimeo. Этот этап пришелся на конец 2000-х.

Они использовали для этого средства вроде VPN и Shadowsocks. Постепенно пользователи научились заходить на запрещенные ресурсы в обход системы фильтрации. Удалось установить особенности используемых VPN протоколов, таких как IPSec, L2TP / TPSec и PPTP. Поэтому на третьем этапе развития файрвола — в 2011-2012 годах — разработчики сосредоточились на обнаружении случаев использования VPN и других инструментов для обхода блокировок. Теперь «Золотой щит» может сбрасывать и VPN-соединения.

Система фильтрации продолжает развиваться при поддержке законодательства. Четвертый этап для стратегии кибербезопасности стал комплексным. С 31 марта 2018 года в стране вступил в силу полный запрет на VPN. Из App Store (магазина приложений Apple) летом 2017 года стали пропадать VPN-сервисы, а China Sinnet Technology — компания, управляющая облачным направлением бизнеса Amazon в Китае, — потребовала от своих клиентов прекратить пользоваться VPN. Это согласуется с правовым регулированием киберпространства в стране.

Помимо описанных выше возможностей «Великий файрвол» способен:

  • Перехватывать DNS. Этот метод часто используется в сочетании с блокировкой IP-адресов. Результат с точки зрения пользователя один — не удастся перейти на запрещенный ресурс.
  • Фильтровать контент на стороне клиента. В 2005 году Skype и TOM Online создали совместное предприятие — TOM-Skype. Это специальная версия Skype, на которую перенаправлялись все китайские пользователи со skype.com. TOM-Skype собирал и анализировал все переписки, сверяя их с «черным списком» ключевых слов.
  • Фильтровать контент выборочно. Для этого у регулятора есть сотни тысяч сотрудников. С помощью поиска, по ключевым словам, они вычитывают сообщения на популярных социальных платформах и формируют доклад для лиц, принимающих решения.
  • Полагаться на самоцензуру. Законы обязывают интернет-провайдеров и остальные компании отслеживать и фильтровать контент. Например, Google самостоятельно убирал из поисковой выдачи ресурсы, способные нарушить законодательство. Компания пошла на самоцензуру с момента запуска местной версии поисковой системы в 2006 году. Однако, как и в других странах, Google уведомлял пользователей, что часть информации была скрыта из выдачи. В 2013 году компания сняла эту пометку после продолжительных споров с властями Китая.


/ Flickr / Eric E Castro / CC

Кого блокируют

Есть достаточно обширные списки запрещенных сайтов в Китае, а также сервисы, с помощью которых можно проверить, заблокирован ли доступ к тому или иному ресурсу. Местная поисковая система Baidu с прошлого года сообщает пользователям состояние того или иного сайта и анализирует, отвечает ли запрашиваемый ресурс нормам закона об информационной безопасности.

Пользоваться ими, находясь в Китае, нельзя — получить доступ без средств для обхода блокировки невозможно. Большинство крупных международных социальных сетей, поисковых систем, видеохостингов, мессенджеров, стриминговых сервисов находятся «за Великим китайским файрволом». Ряд новостных сайтов, таких как The New York Times и Bloomberg, также запрещен в стране. Однако, у многих заблокированных ресурсов есть разрешенные локальные аналоги — Sina Weibo вместо Twitter, Youku вместо YouTube, Renren вместо Facebook.

По этой причине, например, уже несколько раз блокировался доступ к Wikipedia. Многие из перечисленных платформ — в основном социальные сети — нарушают положения закона, предоставляя возможность пользователям самим оставлять комментарии. Сейчас в Китае собираются создать собственную версию энциклопедии, которую смогут модерировать только представители государственных университетов.

Другие — временно, например, WhatsApp. Некоторые сервисы блокируются на длительный срок — Facebook, YouTube и Twitter недоступны уже 9 лет. В течение последних лет на некоторое время в стране ограничивался доступ к GitHub. Месенджер переставал работать у многих пользователей в прошлом году накануне партийного съезда.

Недавно в Китае сняли ограничение сроков пребывания на посту президента. Местные версии социальных сетей также обрабатывает система фильтрации контента. Вскоре после этого в микроблоговом сервисе Weibo стали удаляться сообщения с критикой этого события.

В этом году в стране запретили ICO и криптовалютные биржи. Блокировки могут быть связаны с запретом каких-либо услуг или товаров. В связи с этим целью брандмауэра в феврале стали сайты, предлагающие услуги по торговле криптовалютами.

Что в итоге

Политика китайских властей не останавливает рост числа пользователей интернета в стране. К концу прошлого года показатель вырос до 772 млн человек. Годом ранее он составлял 731 млн человек.

На долю Tencent, Alibaba и Baidu приходится 73,9% от общей суммы. Капитализация 102-х национальных интернет-компаний, котируемых на биржах внутри страны или за рубежом, достигла $1,4 трлн. У каждой корпорации из первой тройки есть хотя бы один продукт, западный аналог которого хоть раз был заблокирован в стране. В прошлом году Tencent даже заняла место Facebook в списке пяти крупнейших по капитализации компаний мира.

Тем не менее, власти не собираются отказываться от «Золотого щита» и брандмауэра, а местные компании становятся реальными конкурентами для крупнейших американских корпораций. Несмотря на это, существует мнение, что файрвол наносит вред национальной экономике, а технологический сектор Китая остается без инноваций.

S. P. Вот еще несколько материалов из корпоративного блога VAS Experts:


Оставить комментарий

Ваш email нигде не будет показан
Обязательные для заполнения поля помечены *

*

x

Ещё Hi-Tech Интересное!

[Из песочницы] .Net Бинарная сериализация без ссылки на сборку с исходным типом или как договориться с BinaryFormatter

В данной статье я поделюсь опытом бинарной сериализации типов между сборками, без ссылок друг на друга. Как оказалось, встречаются реальные и «законные» случаи, когда нужно десериализовать данные не имея сыслки на сборку где они объявлены. В статье я расскажу о ...

[Из песочницы] Написание простого процессора и окружения для него

В этой статье я расскажу какие шаги нужно пройти для создания простого процессора и окружения для него. Здравствуйте! Важны такие параметры как: Для начала нужно определиться с тем, каким будет процессор. Архитектуры процессоров можно разделить по размеру инструкций на 2 ...