時至今日,由“棱鏡門”事件引發(fā)的網(wǎng)絡(luò)與信息安全問題正在持續(xù)發(fā)酵,我國正面臨著嚴(yán)峻的網(wǎng)絡(luò)安全問題。
今年2月,中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組宣告成立,習(xí)近平總書記親自擔(dān)任組長。習(xí)近平總書記在領(lǐng)導(dǎo)小組第一次會議上就明確指出“沒有網(wǎng)絡(luò)安全就沒有國家安全,沒有信息化就沒有現(xiàn)代化”,這也標(biāo)志著網(wǎng)絡(luò)與信息安全保護(hù)已提升至國家戰(zhàn)略高度。
網(wǎng)絡(luò)安全問題涉及到國家安全,這就勢必要求在國家層面對敏感領(lǐng)域安全系統(tǒng)進(jìn)行重新審視,對相關(guān)系統(tǒng)提供商的安全性、產(chǎn)品安全性和市場地位安全性等方面重新審核。的確,監(jiān)管部門也正在醞釀推出網(wǎng)絡(luò)安全審查制度,要對關(guān)系國家安全的信息系統(tǒng)中使用的產(chǎn)品與服務(wù)進(jìn)行測試評估、檢測分析和持續(xù)監(jiān)督。
但需要指出的是,借保護(hù)網(wǎng)絡(luò)信息安全名義、炒作式的的“去IOE”、“去思科化”,并不能實現(xiàn)真正的國家網(wǎng)絡(luò)與信息安全。面對龐雜的網(wǎng)絡(luò)系統(tǒng)和爆炸性增長的數(shù)據(jù),僅僅“根正苗紅”是不夠的。是否具備強(qiáng)大的健壯的產(chǎn)品與系統(tǒng)構(gòu)架能力?研發(fā)、產(chǎn)品等核心能力能否實現(xiàn)本土化與國家可控?是否能夠做到誠信坦蕩、積極主動接受國家的安全審查呢?總結(jié)下來,在自主可控的大背景之下,系統(tǒng)廠商要想做出自己更大的貢獻(xiàn),就要看他們在從安全能力、安全可控、安全誠信這個“鐵人三項賽”中,到底能夠走多遠(yuǎn)。
安全可靠:IT界第一原則
IT技術(shù)的進(jìn)步在改善產(chǎn)業(yè)環(huán)境的同時,也帶來了些煩惱。以網(wǎng)絡(luò)系統(tǒng)為例,其正在變得越來越龐雜,動輒千萬行級的操作系統(tǒng)代碼、廠商定義的數(shù)千項功能、超過6000多項的標(biāo)準(zhǔn)協(xié)議。
要想實現(xiàn)網(wǎng)絡(luò)安全,就必須能夠琢磨透這些龐雜的環(huán)境,對于任何廠商而言,這都是個無法回避的巨大挑戰(zhàn)。同樣,所有國家和任何行業(yè)在關(guān)鍵IT系統(tǒng)的技術(shù)選擇均把“安全可靠”作為第一原則。
“安全可靠”作為一種能力,不等同于企業(yè)的資本屬性,只有長期和廣泛的實踐才能檢驗。雖然,目前很多國內(nèi)廠商在安全產(chǎn)品、技術(shù)以及服務(wù)能力不斷發(fā)力,但是大部分依舊缺乏實力和積累,在關(guān)鍵技術(shù)領(lǐng)域,部分國產(chǎn)品依舊無法替代舶來品,哪怕技術(shù)實力相當(dāng),整體替換和搬遷也是個耗時耗資的巨大工程。
因而,需要理性進(jìn)行國產(chǎn)力量的扶持,在審查企業(yè)網(wǎng)絡(luò)產(chǎn)品是否安全時,應(yīng)重在實踐中檢驗安全可靠。
國家信息技術(shù)安全研究中心李京春就指出,對發(fā)現(xiàn)存在安全隱患的網(wǎng)絡(luò)產(chǎn)品和服務(wù),不論是外國企業(yè)還是中國境內(nèi)企業(yè),都需一視同仁,都要遵從適應(yīng)新網(wǎng)絡(luò)安全審查制度的實施,滿足國家關(guān)鍵基礎(chǔ)設(shè)施和重要信息系統(tǒng)的安全性能要求。
中國工程院院士方濱興也表示,網(wǎng)絡(luò)安全審查過程除要求多個相關(guān)部門協(xié)助外,還將引入第三方專業(yè)的檢測機(jī)構(gòu)和專家組參與,保證過程的客觀公正;對于進(jìn)入政府機(jī)構(gòu)、交通、電力、金融等重要領(lǐng)域的產(chǎn)品,需要建立“黑名單”制,不僅對技術(shù)也對企業(yè)背景進(jìn)行審查,保障國家信息安全;而對于在市面流通的信息技術(shù)產(chǎn)品,需進(jìn)行“白名單”強(qiáng)制認(rèn)證,只有符合安全標(biāo)準(zhǔn)的產(chǎn)品才能入市。這種審查只是一種技術(shù)評估,普通用戶的利益不會受到影響。
安全可控:能力中心在中國
除了安全能力之外,CEC中國信息安全研究院副院長左曉棟還表示,網(wǎng)絡(luò)安全審查內(nèi)容絕不單單是一個單純的技術(shù)性的審查。而是將考量各種指標(biāo)和因素。包括對企業(yè)聲譽(yù),背景審查、公司資質(zhì),“將從多角度衡量產(chǎn)品和提供商的可控性與安全性。”
中國信息安全測評中心總工王軍也指出,在信息產(chǎn)品進(jìn)入市場前,需對用戶信息安全進(jìn)行技術(shù)審查,同時對該產(chǎn)品是否對國家安全造成影響、是否會產(chǎn)生壟斷等社會經(jīng)濟(jì)安全影響進(jìn)行評估;已進(jìn)入市場的信息產(chǎn)品也并非絕對安全,補(bǔ)丁和升級都可能帶來新的安全隱患,因此同樣需要監(jiān)控。
由此可見,安全可控也是衡量企業(yè)網(wǎng)絡(luò)產(chǎn)品是否安全的因素之一,而要做到安全可控,企業(yè)所需具備的是能力中心在中國,具體表現(xiàn)在企業(yè)核心人員在中國,研發(fā)、生產(chǎn)制造、服務(wù)等業(yè)務(wù)能力中心在中國等。與此同時,還要企業(yè)遵從所在國家的法律法規(guī),做到國家可控,具體表現(xiàn)在核心技術(shù)和知識產(chǎn)權(quán)的轉(zhuǎn)移及授權(quán)使用中國可控,企業(yè)的關(guān)鍵行為遵從中國可控,稅收、就業(yè)核心貢獻(xiàn)在中國。
因而,我們也需要認(rèn)識到,依據(jù)企業(yè)資本無法判定IT產(chǎn)品是否安全可控。安全可控性同樣是要在保障中國國內(nèi)重大事件中的實踐中得到檢驗,需要得到國家多部門的驗證和認(rèn)可。
安全誠信:從源代碼到硬件平臺
工業(yè)和信息化部電信研究院副院長劉多指出,中國的網(wǎng)絡(luò)安全審查制度將“無國別”實施,網(wǎng)絡(luò)安全審查制度主要目的是為了維護(hù)安全,但網(wǎng)絡(luò)安全審查制度不是行政許可,也不是對所有的設(shè)備和服務(wù)進(jìn)行審查。
據(jù)劉多介紹,開展網(wǎng)絡(luò)安全審查,要依靠權(quán)威專業(yè)檢測機(jī)構(gòu)對信息技術(shù)產(chǎn)品和服務(wù)進(jìn)行技術(shù)審查,要依托專家力量深入開展專家論證,以及對企業(yè)的誠信和安全背景等進(jìn)行審查,從而綜合評判和認(rèn)定帶有安全風(fēng)險的信息技術(shù)產(chǎn)品和服務(wù)。
在劉多的話語中,誠信是個關(guān)鍵點。的確,誠信也是整個商業(yè)社會和國家信息安全戰(zhàn)略的關(guān)鍵點。
這就是要企業(yè)做到誠信坦蕩,積極主動接受國家的安全審查。主觀上絕不做危害國家信息安全的事情,客觀上積極主動接受國家主管部門的全方位審查,從源代碼到硬件設(shè)計。企業(yè)、開發(fā)者需對所著代碼安全性作出終身有效的承諾,愿意對審查開放并受中國法律約束和保護(hù)。
需要指出的是,在全球化的背景下,資本是全球化流動的,企業(yè)的資本屬性是變化的,包括阿里巴巴等國內(nèi)知名IT企業(yè)都多有外資背景。在全球化的背景下,單純的“出身論”并沒有多大實際意義,只有推動更多的IT能力中心進(jìn)入中國,保證安全與技術(shù)進(jìn)步兼顧,才能實現(xiàn)信息化和現(xiàn)代化。而國際化身份有利于企業(yè)全球市場拓展、促進(jìn)技術(shù)創(chuàng)新和進(jìn)步,保持技術(shù)領(lǐng)先。
D1Net評論:
國家網(wǎng)絡(luò)信息安全,就是一次慢慢征程,而這場征途,注定沒有終點,就如同是沒有終點的比賽一樣,只有將安全能力、安全可控和安全誠信三者結(jié)合,才能更科學(xué)判定一個企業(yè)及其產(chǎn)品是否符合網(wǎng)絡(luò)安全的需求,才能切實保障國家的網(wǎng)絡(luò)安全,當(dāng)然,從根本上解決網(wǎng)絡(luò)安全問題,還要很長一段路要走。