中国恶意软件：抱歉，技术极客们，你们依然无处可藏Harris Sliwoski LLP

在《中国政府正通过后门访问您的网络，而您依然无处可藏》一文中，我阐述了中国银行如何强制账户持有人安装恶意软件，使中国政府得以获取所有账户数据——无论金融信息或其他数据。每当我们撰写关于中国数据保护缺失的文章时，总会收到一贯的评论：

有人质疑：既然"各国都这么做"，为何要专门讨论中国数据保护缺失的问题？首先，本博客聚焦中国议题；其次，各国做法并非如出一辙；再者，在中国，你的数据流向的是中国政府，而非Facebook或谷歌——而据我们所知，这两家公司尚不具备将你投入监狱的无限权力。
有人质疑：既然谁都无能为力，我们为何还要撰文揭露中国数据保护的缺失？难道我们所有人（包括贵律所）不该闭嘴不言？诚然，若我们集体缄默，装作问题不存在，继续鼓动企业纯粹为利益涌入中国，或许会更安稳。但这绝非我们的行事之道。
你们是国际律师，而非数据安全专家，自然不了解那些能让你们在中国开设银行账户却无需向中国政府提供任何数据的简单变通方案。我将在本文中回应这些评论。

最引人入胜的评论聚焦于这样一个观点：西方式网络安全措施可成功用于防御中国政府主导的黑客攻击。迪伦·埃文斯在《Simple Salt》博客中发表了一篇详尽回应，题为中国间谍活动：未完待续的传奇。

埃文先生这样描述自己和他的博客：

良好的安全防护对大多数人而言并不难。我想向您说明如何轻松实现安全防护。本网站所有内容均未收取任何报酬，且本人与本站提及的任何公司均无直接经济利益关联。

我在企业安全与合规领域拥有深厚的技术背景，主要服务于美国医疗和金融公司。目前就职于一家大型金融企业。

埃文斯先生声称的目标是证明网络安全易如反掌。但在中国并非如此，因为像埃文斯先生这样技术高超的专家无法在中国施展才华。除却他在我们平台的这篇帖子外，其博客中没有任何迹象表明他在上周之前曾涉足中国网络安全领域。需要澄清的是，我们既不质疑埃文斯先生的网络安全知识，也不质疑他对中国网络安全的认知。我们只是指出，为何他似乎未能理解——中国的网络安全绝非塔尔萨或杰克逊维尔那种传统意义上的网络安全。

直白地说，在中国，政府本身就是黑客，它不会允许任何外国或国内技术人员提供可能破坏黑客最终目标的服务。

Simple Salt在文章开篇解释了为何要在独立笔记本电脑上设置银行操作，这样能将受感染的网站与安全的主网站隔离。在中国，使用专用笔记本电脑处理银行业务是标准做法。我当年在中国协助运营公司时也曾这样操作。需要独立笔记本电脑的原因恰恰揭示了问题的症结所在——中国银行软件的设计使其只能在中国版Windows操作系统上运行。

此外，该软件仅能在过时、未打补丁且不受支持的Windows版本上运行——通常是旧版Windows 7。原因在于软件中隐藏的恶意程序依赖于利用未打补丁的Windows操作系统中普遍存在的各类漏洞。因此，任何使用双语版、已打补丁且受支持的Windows 10系统的用户都无法使用银行提供的软件。这使得必须使用独立笔记本电脑。

在中国普通企业的日常运营中，这种使用独立笔记本电脑的做法完全不切实际。必须认识到，在本文所述的新体系下，企业在中国境内的所有财务与监管事务都需通过互联网完成。因此，若要实现全面防护，我们需要配备多台独立笔记本电脑：每家银行一台、税务部门一台、增值税发票处理一台、地方政府一台、中央政府一台、货运代理一台、海关一台、（政府监管的）会计师一台、簿记员一台、员工福利服务商一台。清单将无穷无尽。因此迫切需要将所有软件系统整合到一台笔记本电脑上。这台设备将贯穿整个工作日持续使用——并非连接接收方（例如某家银行）后立即关机，而是几乎全天候保持与互联网用户的在线状态。

但等等，情况更糟。如今企业所有重要数据都存储在一台或多台专用笔记本电脑上，这些设备与公司主系统完全隔离。然而开展业务时，公司需要将笔记本电脑中的数据传输至主系统。试想一下：如果贵公司所有银行信息都存放在某办公室的一台笔记本电脑上，且不属于主系统的一部分。因此笔记本电脑中的数据必须定期传输至主系统。

不仅笔记本电脑的数据必须在某个时间点传输到主系统，才能确保公司运作顺畅，主系统的数据也需要传输到笔记本电脑，以便使用笔记本电脑上安装的各类系统。试想一下，如何才能每天将特定的财务数据从主系统流畅地转移到笔记本电脑上。

实际上，要完全隔离系统是不可能的，而在这些必要的数据传输过程中，您的系统便暴露在恶意软件感染的风险之下。最原始的传播方式是通过U盘传输数据时携带恶意软件。然而许多企业仍通过以太网或无线网络在不同系统间传输数据。有些公司干脆放弃防护，将所有重要财务操作转移到专用笔记本电脑上，甚至直接使用中国产的Windows台式机。

这就是中国本土实际发生的情况，且无法阻止。部分在华外资企业会根据戴维斯先生等外国专家的建议部署系统：使用打过补丁的最新操作系统、最先进的防病毒防护、顶级加密技术和复杂的VPN。但这一切努力都徒劳无功——因为当需要网络连接时，中国电信或其他政府机构就会接管网络系统。他们会告知：这些系统仅限于个人用途，但不得用于任何涉及中国境内互联网的业务操作——因为中国法规要求：

1. 中国批准了病毒防护软件。

2. 中国批准的密码学。

3. 中国批准的互联网服务提供商。

4. 中国批准的云服务提供商。

5. 中国批准的连接软件。

6. 我们将为您提供经中国批准的中文版本Windows系统。

7. 仅由中国批准（且受其管控）的网络顾问提供的支持服务。

更甚者，中国地方当局有权随时无须通知就检查您的联网系统，且检查过程无需公司员工参与。检查期间，您的数据将通过U盘被移除。若政府检查人员意图实施，他们可通过同一U盘植入恶意软件。中国境内多数大型网络连接均通过云系统实现。中国政府部门同样拥有检查云系统的权利。根据相关规定，云服务提供商的客户甚至不会知晓其系统已被检查。

在中国，企业网络系统完全由中国政府、中国政府机构及政府批准管控的IT顾问提供。中国政府是国内主要黑客组织，您的网络安全正由黑客本身负责。这已超越普通网络连接范畴——中国政府提供固定电话系统、移动通信系统、互联网接入服务及电子邮件服务器。许多中国政府机构拒绝使用电子邮件，要求所有联络必须通过微信——这个完全不安全的平台始终处于政府监控之下。外国企业在华若能采取《Simple Salt》文章所述的极端防护措施，或许能抵御其中某类数据攻击。但当攻击来自四面八方，由中国政府直接组织实施，且伴随监禁威胁时，任何防御终将失效。

正如我所言：无处可藏。

正因如此，Simple Salt帖子及部分评论中提出的分析过于天真。中国绝大多数外资企业根本无力尝试，这项任务过于艰巨，他们深知终将失败。更何况在中国，这些企业根本无处寻求实地协助，使这项任务变得毫无意义。美国网络安全顾问不得在中国境内开展实地工作，因此这类援助实际上根本无法实现。

为防范中国政府入侵而采取的安全措施，竟被视作可疑甚至非法行为。这点至关重要。在推特上，我们的帖文遭到中国机器人账号和中国走狗的评论，诸如"只有心虚的人才会在意这种事"之类。但真相是，中国政府绝不允许任何顾问或公司破解其网络黑客计划。该计划是中央政府核心政策的重要组成部分。

美国网络安全顾问公司通过兜售"轻松"规避中国政府网络攻击的服务牟利，实则造成双重危害。首先，这些手段在中国境内根本行不通；其次，采用这些手段的企业可能被贴上"问题企业"标签，导致其网络系统遭受更严密的审查，在华业务运营面临更严苛的监管与干预，甚至可能面临监禁风险。例如以下数篇近两周内发表的文章，均详述了中国如何严厉打击试图规避中国体系的外国人士：

我敢挑战任何人读完这些文章后，还敢建议中国企业建立网络系统来规避中国政府的指令。

正如我所言，无处可藏。唯有当中国政府对你毫无兴趣时，你才算"安全"。那些自以为能在本土技术上击败中国体系的科技狂热分子，不过是活在梦里。但他们根本无需承担风险——所有风险都转嫁给了在华运营的外国企业。本博客正是致力于揭示这些风险。这些风险真实存在，绝非技术魔法所能化解。

你看到外面有什么？