國家網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組的成立從國家戰(zhàn)略層面對網(wǎng)信安全進行了布局。此后,我國開始對網(wǎng)信安全領(lǐng)域采取一系列旗幟鮮明的舉措,以推動國家戰(zhàn)略的落地。近日,國家層面開始有針對性地在網(wǎng)信安全相關(guān)的軟件和硬件領(lǐng)域進行更為嚴格的把關(guān),將有可能涉及網(wǎng)信安全的威脅“拒之門外”,保衛(wèi)政府和企業(yè)網(wǎng)信安全的重任便交到了中國安全企業(yè)手上。
我國在網(wǎng)信安全領(lǐng)域動真格的了!近日,一直在我國政府采購中榜上有名的俄羅斯企業(yè)卡巴斯基和美國殺毒軟件供應(yīng)商賽門鐵克被排除在安全軟件供應(yīng)商之外,政府采購辦公室批準使用的五個殺毒軟件品牌皆為國產(chǎn)品牌。另據(jù)彭博社報道,由于擔心安全問題,我國政府已經(jīng)將10款蘋果公司的產(chǎn)品從政府采購名單中刪除。而早在今年5月,微軟也因安全問題遭棄用。
一些洋品牌被政府采購“除名”
在國家發(fā)改委和財政部今年6月起草的初步采購名單中,蘋果的設(shè)備仍然在列。然而,一個月之后,包括iPad、iPadmini、MacBook Air和MacBook Pro在內(nèi)的10款蘋果產(chǎn)品,都已經(jīng)從最終的政府采購名單中去除。
蘋果公司是最新一家從中國政府采購名單中除名的國外科技公司。此前不久,我國采購部門曾經(jīng)要求各部門停止購買賽門鐵克和卡巴斯基的殺毒軟件,而微軟也已經(jīng)從政府的電腦采購名單除名。
對此,賽門鐵克與卡巴斯基發(fā)表聲明稱,其產(chǎn)品并未被中國政府所禁用。卡巴斯基回應(yīng)稱,此變化只涉及中央政府采購預(yù)算范圍內(nèi)的中央國家機構(gòu),地方政府和國家企事業(yè)單位等并不在此規(guī)定范圍之內(nèi),并表示,希望可以早日重新成為中央采購網(wǎng)站供應(yīng)商。而賽門鐵克方面也強調(diào),該名單僅僅適用于項目采購范圍,而賽門鐵克產(chǎn)品并未被中國政府所禁用,并將繼續(xù)在中國政府行業(yè)參與競標。蘋果公司則沒有發(fā)表任何評論。
據(jù)悉,這份采購名單適用于所有中央部委和地方政府。該名單的下一次評估將在明年1月,目前仍在采購名單中的洋品牌戴爾和惠普能否保住自己的位置還不得而知。
網(wǎng)絡(luò)空間被虛假安全“扎籬笆”
我國網(wǎng)民數(shù)量截至今年6月已經(jīng)達到6.32億,卻難逃“一流網(wǎng)絡(luò)規(guī)模,四流防御能力”的命運。2012年1月,美國“安全與國防議程”智囊團發(fā)布報告,將全球23個國家的信息安全防御能力分為6個梯隊,中國處于中下等的第4梯隊,網(wǎng)絡(luò)與信息系統(tǒng)安全防護水平很低。
奇虎360曾對中國教育系統(tǒng)、航空公司、司法機構(gòu)等100多家重點行業(yè)關(guān)鍵企業(yè)和機關(guān)部門的內(nèi)部網(wǎng)絡(luò)進行測試,結(jié)果網(wǎng)絡(luò)全被攻破,最長的耗時3天,最短的30分鐘。該公司的另一項檢測發(fā)現(xiàn),中國100多萬個網(wǎng)站中,65%左右有漏洞,近30%是高危漏洞,“基本上你只要下功夫,這個站就能被拿下”。
中國工程院院士沈昌祥牽頭進行一項課題研究發(fā)現(xiàn),中國半數(shù)以上重要信息系統(tǒng)難以抵御一般性網(wǎng)絡(luò)攻擊,利用一般性攻擊工具即可獲取大多數(shù)中央部委門戶網(wǎng)站控制權(quán)。
盡管,我國網(wǎng)信安全的脆弱與政企自身安全意識淡薄、重設(shè)備輕服務(wù)的做法有關(guān),但其中一個重要原因,是我國重要信息系統(tǒng)、關(guān)鍵基礎(chǔ)設(shè)施中使用的核心信息技術(shù)產(chǎn)品和關(guān)鍵服務(wù)過度依賴國外。
相關(guān)數(shù)據(jù)顯示,全球網(wǎng)絡(luò)根域名服務(wù)器為美國掌控;中國90%以上的高端芯片依賴美國幾家企業(yè)提供;智能操作系統(tǒng)的90%以上由美國企業(yè)提供。中國政府、金融、能源、電信、交通等領(lǐng)域的信息化系統(tǒng)主機裝備中近一半采用外國產(chǎn)品?;A(chǔ)網(wǎng)絡(luò)中七成以上的設(shè)備來自美國科技公司,幾乎所有的超級核心節(jié)點、國際交換節(jié)點、國際匯聚節(jié)點和互聯(lián)互通節(jié)點都由美國科技公司掌握。
“安全和高精尖技術(shù)向來是有國家屬性與民族屬性的,因為這些技術(shù)不但關(guān)系著企業(yè)安全,與國家安全也息息相關(guān)。在世界范圍內(nèi),各國對其他國家在安全問題上都是區(qū)別對待的。”奇虎360相關(guān)人員告訴本報記者,國外安全廠商的優(yōu)勢是歷史悠久,經(jīng)驗積累豐富,產(chǎn)品和方案都非常成熟。但是,這些公司的核心技術(shù)和核心團隊不會放在中國,一方面無法快速響應(yīng)國內(nèi)的安全威脅變化,另一方面,政府無法對其源代碼進行完整的安全審計,由此也會引發(fā)信任問題。
不難看出,本該銅墻鐵壁的重點行業(yè)和黨政部門的網(wǎng)絡(luò)信息安全卻被扎了虛假安全的“竹籬笆”,竹片間的漏洞仍然赤裸裸地暴露在一些國外安全廠商的視野里。
“國貨”將擔網(wǎng)信安全重任
去年的“棱鏡門”事件刺痛了各國網(wǎng)信安全的神經(jīng),其持續(xù)發(fā)酵帶來的影響讓多國政府把網(wǎng)絡(luò)安全放在了前所未有的高度去重視。粗略統(tǒng)計可發(fā)現(xiàn),全球已有50多個國家出臺網(wǎng)絡(luò)安全或信息安全戰(zhàn)略和政策。
巴西政府要求在巴西提供社交網(wǎng)絡(luò)、電子郵箱及搜索引擎等服務(wù)的外國互聯(lián)網(wǎng)公司,都必須在巴西本土建立數(shù)據(jù)中心;印度要求全國官員使用本國郵件服務(wù);俄聯(lián)邦航天署為多家下屬企業(yè)員工采購國產(chǎn)防竊聽手機;德國、法國攜手建立獨立互聯(lián)網(wǎng),以便讓數(shù)據(jù)“遠離美國”。
在我國,2013年年底,金融行業(yè)就發(fā)起去“IOE”行動,呼吁國內(nèi)銀行放棄IBM、Oracle和EMC的產(chǎn)品,盡量采購本土同類產(chǎn)品。而年初成立的國家網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組更是從國家戰(zhàn)略層面進行了布局。此后,我國開始從國家層面對網(wǎng)信安全領(lǐng)域采取了一系列旗幟鮮明的舉措,以推動國家戰(zhàn)略落地。5月22日,國家互聯(lián)網(wǎng)信息辦公室宣布我國將出臺網(wǎng)絡(luò)安全審查制度,規(guī)定關(guān)系國家安全和公共利益的系統(tǒng)使用的重要技術(shù)產(chǎn)品與服務(wù)應(yīng)通過網(wǎng)絡(luò)安全審查。而接下來審查微軟、棄用洋品牌等事件都可以看出我國對信息安全問題的重視程度正不斷提高,對危害國家網(wǎng)信安全的企業(yè)和產(chǎn)品毫不手軟。
此前,企業(yè)安全市場幾乎是國外廠商一統(tǒng)天下。數(shù)據(jù)顯示,賽門鐵克等國外廠商占據(jù)企業(yè)安全軟件市場近70%的份額。而此次中央政府采購新政,企業(yè)安全市場全部留給了包括奇虎360、啟明星辰、北京江民、冠群金辰和瑞星在內(nèi)的國內(nèi)安全廠商。那么,這些國產(chǎn)安全企業(yè)能否勝任國家網(wǎng)信安全的重任呢?
目前,在我國個人消費者殺毒軟件市場,本土殺毒軟件由于采取免費戰(zhàn)略,已經(jīng)牢牢占據(jù)了絕對領(lǐng)先地位,包括360、瑞星和金山等成為個人消費者普遍裝機的殺毒軟件。在企業(yè)市場,國外殺毒軟件品牌的市場占有率超過一半。但是,IDC數(shù)據(jù)顯示,目前中國個人安全市場產(chǎn)值不過20億元,而2015年企業(yè)級安全市場產(chǎn)值將超過200億元,在巨大的市場空間面前,國產(chǎn)安全企業(yè)有理由去大力占地開疆。
“盡管國外安全企業(yè)歷史悠久、經(jīng)驗豐富,但國內(nèi)安全廠商在技術(shù)上并不輸給他們,且擁有本土化的優(yōu)勢。”一位不愿透露姓名的安全專家對本報記者表示,幾乎所有國內(nèi)殺毒軟件的主要市場都在中國,因此“本土化”做得更徹底;國內(nèi)安全企業(yè)所有技術(shù)支持團隊、安全威脅發(fā)現(xiàn)和分析團隊都在國內(nèi),能夠?qū)鴥?nèi)的安全威脅如病毒樣本、攻擊樣本進行更好的采集,能夠更快地應(yīng)對國內(nèi)網(wǎng)信安全形勢的突發(fā)狀況。
而不少國外安全企業(yè)的研發(fā)團隊并不在國內(nèi),在國內(nèi)的只是銷售部門,很難做到研發(fā)級別的支持。面對企業(yè)的定制化需求,中國安全企業(yè)能夠針對國內(nèi)網(wǎng)絡(luò)環(huán)境進行優(yōu)化和適配,更好地滿足政府和企業(yè)的需求。