每個人心中的中國夢具體是什么,無從得知。但自2013年的"棱鏡門"事件后,中國信息安全產(chǎn)業(yè)的中國夢,卻似乎越來越具體真實(shí),在眾多信息安全人士的腦海中,迫不及待地試圖噴薄而出。政府負(fù)責(zé)人、資深專家、企業(yè)高層、學(xué)者紛紛變身,就如同《盜夢空間》的造夢師一樣,潛心描繪和構(gòu)筑心目中的信息安全盛世,固若金湯且自助可控。
如何讓信息安全的中國夢早日變得真實(shí)又完美?眾人努力的方向在哪里?記者走訪了 信息安全圈內(nèi)的專家、廠商,挖掘到實(shí)現(xiàn)中國夢的最關(guān)鍵因素就在于--管制之道。正所謂無以規(guī)矩不成方圓,要想實(shí)現(xiàn)國家信息安全,"管制"二字內(nèi)有乾坤。
專家答疑政策背后
2014年中國政府對信息安全的重視達(dá)到了空前的高度。先是政府采購封殺微軟win8,后公安部稱賽門鐵克存在后門,禁止使用。一個是全國操作系統(tǒng)的霸主,一個是全球最大的信息安全廠商,中國政府拿這兩個美國企業(yè)開刀,引出無數(shù)問號。最核心的問題還是為什么要"管"?為什么現(xiàn)在"管"?如何"管"?
國家信息技術(shù)安全研究中心李京春認(rèn)為,以往我國只是對網(wǎng)絡(luò)進(jìn)行表層化管理,主要包括功能符合檢測和低層面的安全審查。目前網(wǎng)絡(luò)產(chǎn)品和服務(wù)逐漸向深層次發(fā)展,若繼續(xù)沿用以前的監(jiān)管辦法,就很可能會出現(xiàn)網(wǎng)絡(luò)監(jiān)管漏洞,進(jìn)而給國家安全和用戶安全造成損失。"對發(fā)現(xiàn)存在安全隱患的網(wǎng)絡(luò)產(chǎn)品和服務(wù),不論是外國企業(yè)還是中國境內(nèi)企業(yè),中國政府都一視同仁,都要遵從、適應(yīng)這一管理制度的實(shí)施,這才能滿足國家關(guān)鍵基礎(chǔ)設(shè)施和重要信息系統(tǒng)的安全性能要求。"
在他看來,對網(wǎng)絡(luò)產(chǎn)品和服務(wù)的提供商、運(yùn)營商和服務(wù)商進(jìn)行審查,還能促使企業(yè)規(guī)范行為標(biāo)準(zhǔn),提高服務(wù)質(zhì)量,這也算是硬幣的另一面了。
正確理解中國制造的標(biāo)簽
中國對信息安全的管控得到大多數(shù)人的認(rèn)可。然而業(yè)界討論的另一個話題又冒出來:所有的非中國信息安全企業(yè)都要一竿子打倒嗎?是不是只有采購國內(nèi)企業(yè)的信息安全產(chǎn)品才能保證安全?其實(shí)這幾個問題的背后,又延伸出新的問題,什么樣的企業(yè)才算國內(nèi)信息安全企業(yè)?采購什么樣的產(chǎn)品才能保證安全?顯然這個問題,讓掌握IT設(shè)備采購大權(quán)的決策者來回答更有權(quán)威性。E行網(wǎng)就對眾多CIO用戶提出了這個問題。
采訪中,將近半數(shù)的CIO回答非常理性。作為企業(yè)單位掌握IT設(shè)備采購大權(quán)的決策者,大多數(shù)人都認(rèn)為不能將信息安全產(chǎn)品貼上簡單的國字號或非國字號標(biāo)簽。有一位CIO表示,資本是全球化流動的,企業(yè)的資本屬性是變化的,資本屬性不足以證明企業(yè)的能力和誠信,資本的流動性是常態(tài),國內(nèi)知名IT企業(yè)也多有外資背景。在滿足國家網(wǎng)絡(luò)安全審查技術(shù)標(biāo)準(zhǔn)的前提下,人們更應(yīng)該關(guān)注4個關(guān)鍵點(diǎn),才能抓住問題的本質(zhì):
1. 產(chǎn)品/代碼的安全性與知識產(chǎn)權(quán)所在地的關(guān)聯(lián)性強(qiáng)于與資本背景的關(guān)聯(lián)性;
2. 產(chǎn)品/代碼的安全性與研發(fā)所在地的關(guān)聯(lián)性強(qiáng)于與資本背景的關(guān)聯(lián)性;
3. 產(chǎn)品/代碼的安全性與研發(fā)團(tuán)隊的國籍的關(guān)聯(lián)性強(qiáng)于資本背景的關(guān)聯(lián)性;
4. 企業(yè)、開發(fā)者需對所著代碼安全性作出終身有效的承諾,愿意對審查開放并受中國法律約束(法制保護(hù))。
工業(yè)和信息化部電信研究院副院長劉多的話,似乎也在佐證了這位CIO的觀點(diǎn)。劉多表示,網(wǎng)絡(luò)安全審查制度可以有多種方式,主要目的是為了維護(hù)安全,但網(wǎng)絡(luò)安全審查制度不是行政許可,也不是對所有的設(shè)備和服務(wù)進(jìn)行審查。他強(qiáng)調(diào),"中國的網(wǎng)絡(luò)安全審查制度將'無國別'實(shí)施"。
當(dāng)記者問到信息安全的可控時,一位CIO理智的反問也讓記者思索良久。"一個信息安全企業(yè),身份背景姑且不論,它的核心人員在中國,它的研發(fā)、生產(chǎn)制造、服務(wù)等業(yè)務(wù)也在中國,稅收就業(yè)還在中國,它的所有關(guān)鍵行為遵從可控,它的核心技術(shù)和知識產(chǎn)權(quán)皆可控,難道這樣的企業(yè)還不算可控嗎?采購這樣企業(yè)的產(chǎn)品的風(fēng)險又從何談起呢 ?"
安全與技術(shù)進(jìn)步的兼容
解答了"為什么要管?"、"管的對象是誰?"之后,最關(guān)鍵的問題是"如何管?"。記者認(rèn)為,如何實(shí)現(xiàn)信息安全產(chǎn)業(yè)的中國夢,其實(shí)是一個非常龐大的命題。因?yàn)樾畔踩a(chǎn)業(yè)鏈環(huán)節(jié)眾多,每個環(huán)節(jié)從自身角度出發(fā),都能描繪出不一樣的中國夢藍(lán)圖。但是,作為信息安全產(chǎn)業(yè)中最重要的網(wǎng)絡(luò)安全環(huán)節(jié),它的地位和意義更加特殊,上至政府,下至企業(yè),網(wǎng)絡(luò)安全中國夢更離不開"管制之道"。
通過采訪,記者概括起來,管制之道,有三點(diǎn)絕對繞不開,即安全能力、安全可控、安全誠信。三者結(jié)合才能切實(shí)保障國家的網(wǎng)絡(luò)安全。
用中國信息安全測評中心總工王軍的話來說,安全能力是指自身強(qiáng)健,外界難以突破。"安全可靠"則是IT界第一原則,所有國家在關(guān)鍵IT系統(tǒng)的技術(shù)選擇均把"安全可靠"作為第一原則。前不久發(fā)生的NSA事件其實(shí)也是對網(wǎng)絡(luò)安全的啟示:首先安全能力不等同于企業(yè)的資本屬性;其次沒有安全能力,附加任何其它條件,都保障不了信息安全;最后具備安全能力,不等于安全"可控"和安全"誠信"。
而安全誠信則更好理解一些,指主觀上絕不做危害國家信息安全的事情,客觀上積極主動接受國家主管部門的全方位審查,從源代碼到硬件設(shè)計。CEC中國信息安全研究院副院長左曉棟明確表示,審查的內(nèi)容絕不單單是一個單純的技術(shù)性的審查。而是將考量各種指標(biāo)和因素。包括對企業(yè)聲譽(yù),背景審查、公司資質(zhì),"將從多角度衡量產(chǎn)品和提供商的可控性與安全性。"
其實(shí)在采訪中,記者發(fā)現(xiàn),安全審查的目的不是固步自封,而是為了以更好的姿態(tài)融入到世界的信息化建設(shè)大潮中。國家信息安全固然重要,但在全球化的背景下,推動更多的IT能力中心進(jìn)入中國,安全與技術(shù)進(jìn)步才能兼而有之,這才是目前國內(nèi)所有的信息安全人士樂意看到的現(xiàn)實(shí)。