隨著網(wǎng)絡(luò)主權(quán)概念的逐漸明晰,“自主可控”已經(jīng)成為信息化部署的關(guān)鍵詞。我國正在大力推動政府、國防、金融、交通等關(guān)鍵領(lǐng)域的信息化產(chǎn)品盡快實現(xiàn)國產(chǎn)化,并發(fā)布了多個重要政策來保障國產(chǎn)化實施。而除了服務(wù)器、數(shù)據(jù)庫等核心IT設(shè)備之外,移動信息化系統(tǒng)同樣在中國信息化整體布局中扮演著越來越重要的角色,其發(fā)展必須實現(xiàn)高度的“自主可控”。
移動信息化系統(tǒng)的“風(fēng)險”
隨著移動互聯(lián)網(wǎng)的快速發(fā)展,越來越多的移動設(shè)備應(yīng)用于政企的業(yè)務(wù)創(chuàng)新與拓展之中,組織需要搭建移動信息化系統(tǒng)來降低移動設(shè)備應(yīng)用的風(fēng)險,提高移動信息化能力。然而,眾多國外品牌的移動信息化系統(tǒng)卻無法實現(xiàn)安全可信、自主可控的要求,這給移動信息化系統(tǒng)內(nèi)的重要信息帶來了重大的風(fēng)險。
首先,風(fēng)險來在于移動信息泄密風(fēng)險。由于政企移動業(yè)務(wù)的發(fā)展,移動信息化系統(tǒng)內(nèi)存儲著大量的機密信息,這些信息一旦從不可控的服務(wù)器中泄露到外界,將帶來重大損失。而且,無法滿足自主可控需求的移動信息化系統(tǒng),可能暗藏著大量的漏洞與后門,攻擊者很容易通過系統(tǒng)的“缺口”來盜取信息。
其次,移動信息化系統(tǒng)開始成為政企信息化整體部署的重要組成部分。其連接包括組織服務(wù)器、PC等信息終端,攻擊者很有可能以移動終端設(shè)備作為跳板,對組織的其它信息化設(shè)備進行攻擊,散播木馬、病毒等安全威脅。更大的威脅在于,攻擊者很可能會針對重要的移動目標實施高級可持續(xù)性攻擊,竊取或破壞組織信息。非自主可控的移動信息化系統(tǒng)更可能被特定組織或是國家利用,這提高了企業(yè)遭受APT攻擊的危險性。
有些政企認為,雖然自己采用的是國外的移動信息化系統(tǒng),但是其技術(shù)是安全可信的,因此就沒有問題。這其實是混淆了兩個概念:第一個概念是可信的安全感覺,第二個是可信的技術(shù)。這是兩個不同層面的問題,如果操作系統(tǒng)或者安全設(shè)備來自于西方國家,其在技術(shù)上實現(xiàn)了安全可信的標準,那么其對于西方國家是安全的,但是對于中國是不安全的,這是信任感,也就是信息系統(tǒng)控制權(quán)在誰手中的問題。
保障移動信息化系統(tǒng)“自主可控”
要保證移動信息化系統(tǒng)的自主可控,需要從政策的頂層設(shè)計與組織的信息化建設(shè)實踐兩方面入手。從頂層設(shè)計來看,保證移動信息化系統(tǒng)的自主可控對于數(shù)據(jù)的安全非常重要,推進關(guān)鍵領(lǐng)域與重要部門的移動信息化系統(tǒng)國產(chǎn)化,也被納入到國家的網(wǎng)絡(luò)安全整體規(guī)劃之中。
從政策來看,目前國家已經(jīng)顯著加大了對國產(chǎn)化設(shè)備替代的政策支持。有關(guān)部門正在著手準備調(diào)研并起草“信息安全裝備國產(chǎn)化”專項扶持方案,以保障信息安全,實現(xiàn)核心軟硬件國產(chǎn)化自主可控。來自國家互聯(lián)網(wǎng)信息辦公室的消息稱,為維護國家網(wǎng)絡(luò)安全、保障中國用戶合法利益,我國即將推出網(wǎng)絡(luò)安全審查制度,該項制度規(guī)定關(guān)系國家安全和公共利益的系統(tǒng)使用的重要技術(shù)產(chǎn)品和服務(wù),應(yīng)通過網(wǎng)絡(luò)安全審查。
在具體措施上,國家對國產(chǎn)化的推動更是緊鑼密鼓。工信部就明確要求關(guān)鍵軟硬件采購在標書中明確安全需求。在近期,中央政府采購網(wǎng)還取消了所有國外安全供應(yīng)商資質(zhì),只保留了國產(chǎn)安全供應(yīng)商,這證明信息設(shè)備尤其是信息安全設(shè)備的國產(chǎn)化,已經(jīng)被提到了戰(zhàn)略高度。由于移動信息化系統(tǒng)涵蓋了移動設(shè)備安全管理、移動應(yīng)用安全分發(fā)等重要的信息安全子系統(tǒng),因此移動信息化的國產(chǎn)化同樣在國家推動的范圍之內(nèi)。
從部署實踐來看,要實現(xiàn)移動信息體系架構(gòu)的整體把控。如果要實現(xiàn)自主可控的移動信息系統(tǒng)部署,各組織應(yīng)該自主設(shè)計并建立起軟硬件架構(gòu)體系,著力研究體系中各個系統(tǒng)端到端的整體設(shè)計。在不同環(huán)節(jié)應(yīng)用不同技術(shù),合理進行技術(shù)組合,實現(xiàn)對體系架構(gòu)整體的自主可控,進而在信息系統(tǒng)的整體防護體系架構(gòu)設(shè)計和各個系統(tǒng)端到端整體設(shè)計的過程中,實現(xiàn)可管理、可監(jiān)控和過程可審計。
對于政企組織來說,移動信息化體系的建設(shè)主要涉及到移動設(shè)備、移動應(yīng)用、移動信息化系統(tǒng)這三個部分,而建設(shè)重點則是自主可控移動信息化系統(tǒng)的建立,這既是其在移動信息化體系中關(guān)鍵角色的體現(xiàn),也是基于移動互聯(lián)網(wǎng)應(yīng)用現(xiàn)狀而考量。
目前組織內(nèi)的移動設(shè)備種類繁多,在品牌、操作系統(tǒng)、硬件配置上存在著巨大的異構(gòu)性,很難做到統(tǒng)一,實現(xiàn)完全的國產(chǎn)化替代還有賴于國產(chǎn)終端廠商的長期努力。但是換個角度來看,既然現(xiàn)在還無法在所有的環(huán)節(jié)實現(xiàn)國產(chǎn)化替代,那么我們可以先從可控的角度入手,來通過“自主可控”的移動信息化系統(tǒng)來管理這些移動設(shè)備。
除了信息安全上的考量之外,移動信息化系統(tǒng)國產(chǎn)化的一個充分條件在于,國產(chǎn)的移動信息化系統(tǒng)無論是從技術(shù)上,還是從生態(tài)系統(tǒng)的構(gòu)建上都已經(jīng)比肩國際先進水平。啟迪國信等國內(nèi)企業(yè)在產(chǎn)品研發(fā)上并不遜色于IBM等國外企業(yè),其產(chǎn)品完全能夠保障移動信息化戰(zhàn)略的順利實施。
故此,金融、國防等事關(guān)國計民生的行業(yè)需要在國家政策的引導(dǎo)下,率先行動起來,推動移動信息化系統(tǒng)的國產(chǎn)化進程,并在移動信息化系統(tǒng)的選型中,將安全可信、自主可控作為系統(tǒng)選型的一個關(guān)鍵標準及原則。