美國眾議院情報委員會發布報告稱,總部設在中國深圳的華為和中興通訊,有可能對美國國家安全構成威脅,并建議美國禁止兩家公司在美展開業務。此后1個多月時間里,相關各方展開激烈的論辯沖撞,至今尚未有最終結論。隨著此事的進一步發酵,一場關于中國信息安全的反思也悄然漸起。通過美國立法、政府部門與企業在此事中的種種作為,行業人士認為,中國信息安全亦處于威脅中,且需要從制度、監管等各個環節進行調整。
一場意料之外的打擊,或許能讓中國的信息安全評估保障體系獲得成長的反思。
10月8日,美國眾議院情報委員會發布報告稱,總部設在中國深圳的華為和中興通訊,有可能對美國國家安全構成威脅,并建議美國禁止兩家公司在美展開業務。此后1個多月時間里,相關各方展開激烈的論辯沖撞,至今尚未有最終結論。
隨著此事的進一步發酵,一場關于中國信息安全的反思也悄然漸起。通過美國立法、政府部門與企業在此事中的種種作為,行業人士認為,中國信息安全亦處于威脅中,且需要從制度、監管等各個環節進行調整。
美國之鑒
“華為中興在美國受到調查的事件教育了我們,要重新調查技術標準、法律法規,以及監管機構和電信運營商在網絡信息安全中的角色和作用,建立起安全的防護墻。”11月14日,電信專家陳金表示。
在這一事件爆發后,多個領域的專家,一直對于中美兩國公司在對方市場受到的不對等待遇表示不滿。外界普遍認為,此次調查的主要推動力并不是美國政府,而更多是在大選年背景下,思科等公司與一些政客假國家信息安全之名,蓄謀打擊競爭對手的手段。
但不論如何,在此過程中,美國從調查、立法到政府介入的各個環節,都已經形成一個通暢的體系,這值得中國借鑒。
“比如,美國對中興與華為的調查,并不是政府進行的,而是眾議院下屬的情報委員會。”一位深度參與此次事件的設備廠商人士說,“這份報告本身沒有任何的法律約束力,但如果報告通過議會,則可能迅速演變為立法,從而形成一個堅固壁壘。”
與之對應的是,中國對外資廠商的信息安全監管卻并未在立法層面建立類似的機制。這就導致在面臨信息安全威脅或國際摩擦時,政府干預會破壞規則或被人指責,不干預則無法形成有效的防范或對抗,從而陷入兩難的困局。
就此,多位接受采訪的專家建議,中國應考慮效法美國,在人大下設常態化的外國投資審查委員會,并對相關企業進行審查監督。
與此同時,基礎網絡建設層面相關法規的缺失,也導致中國網絡安全無法得到充分保障。雖然早在2003年,中國就出臺第一部信息安全綱領性文件《關于加強信息安全保障工作的意見》(中辦發[2003]27號文),但直到現在,信息安全依然缺少一個完整保障信息安全的法律體系。
從工信部獲悉,工信部信息安全協調司經過2011年的專項調研,已于2012年上半年曾形成相關報告。報告表示,僅在涉及個人信息保護方面,相關法規條文就已經眾多,其中涉及個人信息保護的法律有將近40部、最高人民法院出臺10條個人信息保護相關的司法解釋、國務院發布的有關個人信息保護的法規約有30部、而各大部委頒布的相關部門條例、管理辦法、規定,更是多達近200部,這還不包括各省級以下政府頒布的區域性政策和規定。
然而,這些文件大多是針對具體問題,在總體上,個人信息保護領域的法律法規,卻仍然不成體系,對基礎網絡建設信息安全領域保護,更是缺少明確的、體系化的法律文本。
從工信部相關部門獲得的資料表明,工信部2011年已經啟動信息保護立法調研和研究工作,并約談了包括百度、騰訊等諸多互聯網公司。
監管調整
降了立法層面之外,專家也建議,中國應建立更加立體化的國家網絡信息安全評估保障機制。
一位資深行業人士說,中國一直沒有真正著手信息安全體系,更多是由于歷史原因。
“就最基礎的通信設備和網絡設備來說,中國最早是沒有自己的工業基礎的,在上個世紀90年代以前,基本上都是依賴進口,而且在早期我們還處于大發展階段,每年都需要興建大量的網絡,在那個階段,對系統設備的要求基本上只有最低的要求:能用就行。”該人士說,雖然當年的信產部及后來的工信部,都設立了入網檢測機構與檢測程序,但這一程序也更多是對于設備可用性的檢測,對信息安全的評估并沒有提到最為重要的等級。
但隨著時代變化,當各國的信息通信流量爆漲,并全面滲透進入政府、軍事、商業、工業與公眾服務的各個環節之后,信息安全的作用變得日益重要。
“信息安全關系到國家的政治安全、經濟安全、文化安全、國防安全和社會穩定,尤其網絡信息安全已經成為事關國家安全的第一安全,信息技術產業的發展也就直接關系對國家安全的基本保障能力。”工信部軟件與集成電路促進中心主任邱善勤說,當前,世界各國都將信息技術和信息安全的自主可控能力與維護國家安全的能力緊密聯系在一起,控制與反控制的斗爭甚至已經對國與國之間的外交、經貿等關系產生了重要影響。
與此同時,信息安全事故的破壞性越來越大,信息安全問題也越來越成為焦點。近兩年來,微軟、亞馬遜、谷歌等企業紛紛發生重大信息安全事故,“震網”病毒更給伊朗造成巨大損失。信息安全事故頻發,也引起了各國政府的高度重視。比如在美國,奧巴馬將網絡安全問題視為最嚴重的國家經濟和國家安全挑戰之一,提出將數字基礎設施視為國家戰略資產予以保護,并組建了網絡戰司令部。日本則通過了《保護國民信息安全戰略》,重點加強鐵路、金融系統重要信息基礎設施的安全防范。
“這也是為什么利益相關方以信息安全為借口指控中興華為時,美國各方立刻高度緊張的原因。”前文提及資深行業人士說。
問題在于,由于過去在開放環境下的高速發展,中國過去是既沒有行業標準,也沒有法律要求,沒有合格的檢測機構,對于信息安全成體系的評估監管,尤其在設備領域,幾乎是一個空白。該人士說,在此過程中,過去政府對行業基本沒有做強制性的規范,也缺乏強制手段和檢測手段,而是把權放給了基礎運營商,但在商業環境下,運營商所進行的檢測乃至防范往往會不自覺地放松要求。
“所以,中國現在除了繼續開放市場,積極與海外廠商合作外,也要注意保護與捍衛自己的核心利益與國家安全,重新改變政府與企業過去在對信息安全體系中的定位和分工。”陳金橋認為。
據了解,中國從決策層到各個部委,在此之前就已開始意識到相關的風險,并開始考慮如何要進一步強化信息安全領域的管理,包括來自物理網絡層面的國家安全和來自互聯網傳輸過程中的個人信息安全。
威脅仍在
以思科、微軟等為主的美國IT公司,仍然占據著中國基礎網絡核心。
目前,中國市場仍是思科全球范圍內唯一沒有占據壟斷地位的區域市場,但這一市場主要份額,仍被思科和H3C兩個美國公司占據。2011 年,H3C銷售收入14.6億美元,而思科在華收入略低于H3C,約占思科全球收入3%。但有報道稱,思科中國業務的利潤高達思科整體利潤的30%。
思科網絡設備廣泛應用于中國信息網絡關鍵領域,包括運營商骨干網絡、醫療網絡、航空和交通網絡,乃至金融網絡、政府網絡,甚至于軍隊網絡。
“值得警惕的是,包括思科、微軟等在內的大多數美國公司,在中國占據了龐大的市場份額和商業機會的同時,一直沒有向中國政府開放相關源代碼,而這些美國公司在中國信息網絡的關鍵領域,同樣長期占有較大份額。”中國通信標準化協會理事、邁普通信CEO肖志輝對《財經國家周刊》表示,“中國政府應當為自身安全考慮,未來應對包括思科、微軟在內的美國公司予以相應審查,以防范關鍵信息被竊取的事件繼續發生。”
與此同時,正在興起的云計算業務中也存在類似風險。一位行業人士說,中小企業如果沒有主機系統,只有一個服務的平臺,大量的經濟信息與商業秘密就會成半裸露狀態呈現在云服務器上。為此,歐盟此前就有要求,在12到18個月之內,所有入云中小企業的信息都必須全部刪除,而且不允許跨境傳播。但外國的技術商向中國客戶提供這一服務時,卻一直在掩蓋這一事實。
公益律師董正偉也認為,中國執法機構、國家安全機構包括信息產業機構應盡快對這些產品采取必要的調查措施,“比如思科的產品,應用于我國核心政府以及其他關鍵領域時,不能保證其是否會通過后門收集情報。思科的設備已被應用在中國的許多關鍵領域,如果對思科的產品不加以審查或防范,一旦出現重大事故,將對國家和企業造成不可估量的損失。”
這些擔憂并非空穴來風。在此之前,《華爾街日報》對中興華為受調查一事的評論就認為,“美國及其盟友不愿讓華為進入美國是因為他們自己的經驗告訴他們,進口的電子設備可以成為進行間諜和破壞活動的武器”,并認為美國軍方和政府,曾利用其國內公司的產品,達成對他國的信息竊取和攻擊,早已成為公開事實,比如美國情報機構就曾和以色列合作,利用微軟多版本操作系統底層,創建蠕蟲病毒Stuxnet并以此破壞了伊朗核電項目。