Краткая история ИБ в Китае: как возводили Великий китайский файрвол

В этом году исполняется 20 лет с момента зарождения идеи фильтрации контента в интернете Китая. Сейчас эта технология известна всему миру под названием «Великий китайский файрвол».

В прошлой статье мы уже затронули регулирование сферы ИБ Китая. Теперь разберемся с историей «Великого брандмауэра», который воплощает собой политику кибербезопасности страны.

kteijxtrqcf-z9v6b9fx8d_569e.jpeg
/ Flickr / Andi Gentsch / CC

Как все начиналось


Интернет начал распространяться по азиатским странам в начале 80-х. Им пользовалось в основном научное сообщество, китайского веба еще не было, как и систем фильтрации контента.

В 1987 году (по другим сведениям, в 1986-м) двое китайских ученых через простую почтовую систему того времени отправили своим европейским коллегам первое электронное сообщение из страны: «Через Великую китайскую стену мы сможем достичь всех уголков мира».

И действительно — это произошло уже в 1994 году. Между Китаем и США были проложены первые линии связи, домены верхнего уровня .CN стали доступны из-за рубежа.

В том же году Национальный исследовательский центр интеллектуальных вычислительных систем запустил первую в Китае электронную доску объявлений — Dawn BBS. Тогда же национальное издание China Daily запустило свой сайт, на котором цитировалось международное агенство Reuters (сейчас запрещено в стране).

Как и во многих других странах мира, одними из первых пользователей интернета стали ученые, члены университетского сообщества — они налаживали связь между филиалами и обменивались знаниями. В 1995 году один из двух на тот момент телеком-операторов в стране начал строить сетевую инфраструктуру для обычных граждан. Уже в следующем году первым пользователям стал доступен первый коммерческий сайт Китая.

На первом этапе развития интернета в стране не существовало четких рамок и правил в контроле контента. Проникновение интернета было минимальным, а сама технология рассматривалась как часть политики «открытых дверей» — процесса получения и адаптации западных знаний для реформирования национальной экономики.

Проект «Золотой щит»


В 1996 году в Шанхае и других крупных городах стали открываться первые интернет-кафе. Все больше людей получали доступ к сети. По мере роста популярности интернета начала формироваться и необходимость в регулировании нового пространства.

В этом году Китай принял ряд временных положений для управления сетевым контентом. В основном это касалось распространения и защиты секретных сведений, ответственности владельцев инфраструктуры и обслуживания международных линий связи.

На следующий год Министерство общественной безопасности подготовило всеобъемлющие правила, которые запрещали использовать интернет для:

  • нанесения вреда национальной безопасности;
  • раскрытия государственных тайн;
  • нанесения ущерба интересам государства или общества.


Законодательно запрещалось создавать и распространять информацию, которая:

  • направлена против Конституции КНР, законов или административных норм;
  • призывает к свержению правительства или социалистической системы, подрыву национального единства;
  • искажает правду, распространяет слухи или вредит общественному порядку;
  • содержит материалы сексуального характера или поощряет азартные игры, насилие или убийства.


В 1998 году на базе уже принятых законов и правил Министерство общественной безопасности запустило разработку проекта «Золотой щит» — комплексной системы безопасности, в возможности которой входила и фильтрация сетевого контента. Проект презентовали в 2000 году во время торговой выставки в Пекине. Грег Уолтон (Greg Walton) из Международного центра по правам человека и демократическому развитию описал «щит» как инструмент, направленный ​​на «внедрение передовых информационных и коммуникационных технологий в целях укрепления контроля, реагирования и борьбы с преступностью».

«Золотой щит» на первом этапе представлял собой многоуровневую систему баз данных. С помощью нее в течение первых лет работы проекта Департамент общественной безопасности упорядочил информацию о большей части жителей Китая. Одна из подсистем «Золотого щита» в последствии получила название «Великий файрвол». Она отвечала и продолжает отвечать за фильтрацию сетевого контента в соответствии с законодательством страны.

Для разработки «Золотого щита» и файрвола китайское правительство сотрудничало с целым рядом научно-исследовательских институтов и поставщиков технологий как внутри страны, так и за ее пределами. Программу «Золотого щита», а вместе с ней и «Великий китайский файрвол», официально развернули в стране в 2003 году. Он выполняет возложенные на него обязанности вот уже 15 лет — фильтрует запрещенный в Китае контент.

Как это работает


В основе работы файрвола лежит комбинация нескольких систем фильтрации контента, которые развивались поэтапно. Сначала фильтр научили блокировать только доменные имена и IP-адреса. Этот метод есть в инструментарии файрвола до сих пор, но на первом этапе он был основным. Существует пополняемый «черный список» IP-адресов нежелательных ресурсов — нарушителей закона об информационной безопасности. Этого обычно достаточно, чтобы заблокировать доступ к какому-либо сайту и перенаправить трафик в так называемый «blackhole route».

Главное преимущество этого метода фильтрации — он относительно прост в реализации и не требует особого участия со стороны интернет-провайдеров. Недостаток заключается в необходимости обновлять список IP-адресов, подлежащих блокировке. Если некий запрещенный ресурс ставил своей задачей «прорваться через файрвол», он мог добиться этого сменой IP.

На втором этапе развития файрвол эволюционировал до фильтрации контента по ключевым словам. Система анализирует контент сайтов на соответствие «национальному черному списку» ключевых слов. В случае обнаружения запрещенных сведений соединение сбрасывается.

Этот этап пришелся на конец 2000-х. Тогда же в список запрещенных ресурсов попали крупные социальные сервисы с большим количеством генерируемого пользователями контента — Facebook, Youtube, Twitter, Blogspot, Vimeo.

Постепенно пользователи научились заходить на запрещенные ресурсы в обход системы фильтрации. Они использовали для этого средства вроде VPN и Shadowsocks. Поэтому на третьем этапе развития файрвола — в 2011–2012 годах — разработчики сосредоточились на обнаружении случаев использования VPN и других инструментов для обхода блокировок. Удалось установить особенности используемых VPN протоколов, таких как IPSec, L2TP / TPSec и PPTP. Теперь «Золотой щит» может сбрасывать и VPN-соединения.

Четвертый этап для стратегии кибербезопасности стал комплексным. Система фильтрации продолжает развиваться при поддержке законодательства. Из App Store (магазина приложений Apple) летом 2017 года стали пропадать VPN-сервисы, а China Sinnet Technology — компания, управляющая облачным направлением бизнеса Amazon в Китае, — потребовала от своих клиентов прекратить пользоваться VPN. С 31 марта 2018 года в стране вступил в силу полный запрет на VPN. Это согласуется с правовым регулированием киберпространства в стране.

Помимо описанных выше возможностей «Великий файрвол» способен:

  • Перехватывать DNS. Этот метод часто используется в сочетании с блокировкой IP-адресов. Результат с точки зрения пользователя один — не удастся перейти на запрещенный ресурс.
  • Фильтровать контент на стороне клиента. В 2005 году Skype и TOM Online создали совместное предприятие — TOM-Skype. Это специальная версия Skype, на которую перенаправлялись все китайские пользователи со skype.com. TOM-Skype собирал и анализировал все переписки, сверяя их с «черным списком» ключевых слов.
  • Фильтровать контент выборочно. Для этого у регулятора есть сотни тысяч сотрудников. С помощью поиска, по ключевым словам, они вычитывают сообщения на популярных социальных платформах и формируют доклад для лиц, принимающих решения.
  • Полагаться на самоцензуру. Законы обязывают интернет-провайдеров и остальные компании отслеживать и фильтровать контент. Например, Google самостоятельно убирал из поисковой выдачи ресурсы, способные нарушить законодательство. Компания пошла на самоцензуру с момента запуска местной версии поисковой системы в 2006 году. Однако, как и в других странах, Google уведомлял пользователей, что часть информации была скрыта из выдачи. В 2013 году компания сняла эту пометку после продолжительных споров с властями Китая.


i9og49w-87bdlnla5pvlvif_qfc.jpeg
/ Flickr / Eric E Castro / CC

Кого блокируют


Есть достаточно обширные списки запрещенных сайтов в Китае, а также сервисы, с помощью которых можно проверить, заблокирован ли доступ к тому или иному ресурсу. Местная поисковая система Baidu с прошлого года сообщает пользователям состояние того или иного сайта и анализирует, отвечает ли запрашиваемый ресурс нормам закона об информационной безопасности.

Большинство крупных международных социальных сетей, поисковых систем, видеохостингов, мессенджеров, стриминговых сервисов находятся «за Великим китайским файрволом». Пользоваться ими, находясь в Китае, нельзя — получить доступ без средств для обхода блокировки невозможно. Однако, у многих заблокированных ресурсов есть разрешенные локальные аналоги — Sina Weibo вместо Twitter, Youku вместо YouTube, Renren вместо Facebook. Ряд новостных сайтов, таких как The New York Times и Bloomberg, также запрещен в стране.

Многие из перечисленных платформ — в основном социальные сети — нарушают положения закона, предоставляя возможность пользователям самим оставлять комментарии. По этой причине, например, уже несколько раз блокировался доступ к Wikipedia. Сейчас в Китае собираются создать собственную версию энциклопедии, которую смогут модерировать только представители государственных университетов.

Некоторые сервисы блокируются на длительный срок — Facebook, YouTube и Twitter недоступны уже 9 лет. Другие — временно, например, WhatsApp. Месенджер переставал работать у многих пользователей в прошлом году накануне партийного съезда. В течение последних лет на некоторое время в стране ограничивался доступ к GitHub.

Местные версии социальных сетей также обрабатывает система фильтрации контента. Недавно в Китае сняли ограничение сроков пребывания на посту президента. Вскоре после этого в микроблоговом сервисе Weibo стали удаляться сообщения с критикой этого события.

Блокировки могут быть связаны с запретом каких-либо услуг или товаров. В этом году в стране запретили ICO и криптовалютные биржи. В связи с этим целью брандмауэра в феврале стали сайты, предлагающие услуги по торговле криптовалютами.

Что в итоге


Политика китайских властей не останавливает рост числа пользователей интернета в стране. К концу прошлого года показатель вырос до 772 млн человек. Годом ранее он составлял 731 млн человек.

Капитализация 102-х национальных интернет-компаний, котируемых на биржах внутри страны или за рубежом, достигла $1,4 трлн. На долю Tencent, Alibaba и Baidu приходится 73,9% от общей суммы. В прошлом году Tencent даже заняла место Facebook в списке пяти крупнейших по капитализации компаний мира. У каждой корпорации из первой тройки есть хотя бы один продукт, западный аналог которого хоть раз был заблокирован в стране.

Несмотря на это, существует мнение, что файрвол наносит вред национальной экономике, а технологический сектор Китая остается без инноваций. Тем не менее, власти не собираются отказываться от «Золотого щита» и брандмауэра, а местные компании становятся реальными конкурентами для крупнейших американских корпораций.

P.S. Вот еще несколько материалов из корпоративного блога VAS Experts:

© Habrahabr.ru