近日，華為受到美國國家安全局（NSA）全面監控的消息引發了一番熱議。根據NSA前雇員斯諾登爆料，NSA滲透進了華為的內網，不僅成功拷貝了華為的客戶名單和訓練工程師的內部文件，還截獲了任正非和孫亞芳等華為高管的電子郵件。

即使是華為這樣專業的網絡設備廠商，仍然無法避免NSA的入侵，這讓我們不寒而栗。我們必須面對殘酷的現實：美國仍然占據了全球信息戰的制高點。NSA之所以能夠為所欲為，是因為美國掌握了全球網絡基礎設施的核心：全球互聯網13臺根服務器中的10臺在美國，網絡設備老大思科是美國公司，全球主流PC和手機操作系統廠商微軟、蘋果、谷歌都是美國公司，計算芯片老大英特爾是美國公司，通信芯片老大高通還是美國公司……即使是互聯網應用層的領導者谷歌、雅虎和Facebook，也統統都是美國公司。因此，只要我們還在使用互聯網，我們就無法避免美國的監控。

我們把互聯網完全隔斷，行不行？據說俄羅斯總統普京就從來不用手機，也不用電腦。普京這么干行，因為還有一個團隊專門為他服務。企業這么做可不行，像華為這種在北極都有基站的全球化企業，如果沒有互聯網和IT系統，根本無法運轉。

如果我們不“斷網”，而是把所有硬件和軟件全部換成國產的產品，是不是就能夠解決安全的問題呢？還是不行。還以華為為例，這家技術型公司的IT系統中，大部分的硬件都是自己開發的，管理軟件也有很大一部分是自己的，仍然無法避免被NSA入侵的結局。

為什么會這樣呢？這是因為整個科技產業早就全球化了，任何一家企業想要做出有競爭力的產品，都需要全球采購，而網絡基礎設施的核心還是掌握在美國人的手中。“盒子上寫著華為的名字并不意味著所有的部件都來自華為。”在2013年10月發布的一份網絡安全白皮書中，華為網絡安全官（CSO）約翰·薩?？伺?，華為技術組合中高達70%的部件都不是來自華為，而是來自全球供應鏈，其中有32%來自于美國。

那么，企業怎么樣才能保證自己的信息安全呢？老冀在《中國金融電腦》雜志上看到了中國工商銀行首席信息官林曉軒的一篇文章《信息科技“自主可控”之道》，倒是提供了一個比較好的思路。

林曉軒認為，要保證信息安全，必須堅持“自主可控”的原則，系統性地解決這個問題。他主張要自主研發核心和關鍵信息系統，分層異構使用外部產品，從而實現對信息科技風險的可監控、可管理、過程可審計。

那么，工行是怎么做的呢？老冀簡單地解讀一下：

第一，堅持自主研發。工行先后啟動實施了四代核心應用系統的開發和推廣工作，完全依托自身技術力量，獨立研發了超大型的核心應用系統，在同業中率先自主研發并全面推廣了多幣種、多語言、多時區的境外核心業務系統。

第二，通過管理和技術兩個層面的頂層設計，實現對整體技術架構自上而下的嚴格自主把控。

在管理層面，根據監管部門要求在董事會及高級管理層下設信息科技管理委員會，主要負責信息科技戰略、信息科技重大決策事項等；信息科技管理委員會下設技術審查委員會，負責重大科技項目規劃與方案的審批。

在技術層面，工商銀行在選擇信息技術產品時，從自身整體架構體系出發，做到了以下幾點：

1. 分層次、分區域綜合保障。按照“垂直分層、水平分區”的層次化防護思想進行安全設計，在縱向層次上分為核心層、應用層、隔離層和接入層，在橫向區域上分為電子銀行區域、自助區域、柜面區域等，從整體上保障系統的安全性。

2. 采用不同廠商、不同類型產品實現異構防護。在同一層次上，通過不同廠商、不同類型產品的異構組合，相互彌補缺陷，避免單一廠商、單一類型的產品存在安全隱患所帶來的風險。

3. 兼顧系統安全性和客戶服務需要。銀行信息系統是面向廣大客戶提供服務的，在保障系統安全性的同時，也必須選擇適當的技術產品保障客戶服務需要，實現系統的客戶便利性、易用性。例如，工商銀行在開展密碼技術防護體系建設中，在核心層、應用層、隔離層和客戶終端等層面分別部署和選用了不同廠商的軟硬件加密設備和產品，以達到確保系統安全，方便客戶使用的目的。

第三，向外部延伸。2007年工商銀行開始自主研發金融市場業務管理平臺，經過多年摸索實踐，至2011年已構建起金融市場交易管理、風險管理、產品控制、定價估值平臺，不僅提高了工商銀行代客交易的產品創新能力，還實現了為境內外機構客戶產品推廣和統一報價、集中平盤，逐步建立了自營業務前臺交易風險控制、中后臺風險聯動管理的全球一體化處理平臺。

從工行的例子中可以看出，企業要保證信息安全，還真的不只是設備國產化這么簡單的事情，而是需要從頂層設計開始，實現系統級的自主可控。企業必須從產品、技術、運維、管理、規范、標準等多方面入手，抓住相應的關鍵控制點，才能最大程度地降低信息泄露所帶來的風險。目前，大部分中國企業的信息安全意識還停留在用國產設備這個層面，這還遠遠不夠。未來，他們必須建立一個完整的、系統級的信息安全策略。