最近,一則關于信息安全的消息再次引起了大家的關注。
22日,國家互聯網信息辦公室發布消息稱,為維護國家網絡安全、保障中國用戶合法利益,我國將推出網絡安全審查制度。據了解,網絡審查制度將主要審查關系國家安全和公共利益的系統使用的重要信息技術產品和服務。產品的安全性和可控性將成為審查重點,以防止產品提供者利用提供產品的方便,非法控制、干擾、中斷用戶系統,非法收集、存儲、處理和利用用戶有關信息,不符合安全要求的產品和服務,將不得在中國境內使用。
制度利好國內軟硬件廠商
在“斯諾登事件”之后,國家間的網絡安全問題引起了各界人士的廣泛關注。假裝是極客日前走訪了倪光南院士及業內部分相關廠商,從他們的觀點可以看出,國家要推行的“網絡安全審查制度”,對于國內軟硬件廠商來講,無疑是一項重大利好消息。
倪光南院士對搜狐IT表示,國家出臺這個措施主要會影響外國跨國公司,尤其是那些已經參與了“棱鏡門”之類監控計劃的外國跨國公司。它們在這類計劃中所扮演的角色,表明它們的技術產品和服務會引入安全風險。對于本國企業來說,如果它的技術產品和服務確實是自己研發的,符合國家有關安全規范,那么一般說來,應該能夠通過安全審查制度,所以這個制度不會對本國企業的創新產生影響。總的說來,它將有利于本國企業發揮自主可控和性價比的優勢,有利于推進以國產化替代外國的技術產品和服務。
倪光南院士稱,網絡安全審查制度的實施可以改變過去我國骨干網絡、重要信息系統中大量采用外國跨國公司技術產品和服務的狀況。網絡安全審查制度會成為實施國家增強網絡空間安全戰略的一項制度保證。
在國內企業安全市場占有率超過50%的瑞星,對國家出臺的這項制度同樣抱歡迎的態度。
瑞星安全專家唐威對搜狐IT表示,目前絕大多數的百姓、網絡從業人員、政企辦公人員、公務員等,是不具備專業的信息安全防護水平和知識的。大家普遍存在的一個問題是安全意識都很差。想讓這些人,在采購、日常辦公時要有很高的安全意識和防護水平是不現實的。因此很要必要建立這樣一個安全制度,把可能會觸及到信息安全的東西定義好、規范好。在這種制度、規定的約束下,將大家的安全意識逐步養成、逐步提高。
從“網絡安全審查制度”消息出臺,目前已經有進一步的消息稱,國家在重點部分的硬件采購開始大規模采用國產設備。更有部分硬件廠商高調宣布了在重點部門中用國產硬件替代原有國外設備的計劃。
據了解,此前IBM在銀行系統中的占有率一度達90%,而思科在國內網絡設備中的占有率也超過80%。
操作系統及軟件完全國產化不現實
眾所周知,硬件搭好后,還需要軟件來完成各種應用。目前很多軟件關鍵技術都掌握在國外公司手里,開發擁有完全自主知識產權的國產操作系統難度如何到底如何呢?
倪光南院士對搜狐IT稱,操作系統是否好用在很大程度上取決于其生態環境是否完善。總的說來,構建一個完善的生態環境的難度遠超過開發一個優良的操作系統的難度。
國產操作系統的競爭力在很大程度上也將取決于其生態環境,為了不在軟件上受制于國外廠商,今后需要大力營造國產操作系統的生態環境,只有這樣,國產操作系統才能取得市場的成功。
開源軟件已經成為當前軟件界的一個主流,云計算的發展更促進了開源軟件的發展,國產操作系統基于開源Linux技術符合時代潮流。一般說來,成熟的開源軟件漏洞較少,存在“后門”的可能性也很少。
如果能真正掌握開源軟件而不是簡單地采取“拿來主義”,那么,基于開源軟件發展國產軟件既能提高開發效率,又能減少漏洞和存在“后門”的風險。不自主開發而采用外國公司的軟件,如果不開放源碼,當然存在“后門”風險;部分開放源碼也無濟于事;只有完全開放源碼,并容許用戶分析、重構,才可能減少“后門”風險。即使是這種情況,如果源碼規模很大,分析水平和時間不夠,仍然不能保證不存在“后門”。根據上述考慮,倪光南對搜狐IT表示,基于開源軟件自主開發軟件,應該是一條現實的途徑。在其他領域,從來都是繼承人類歷史上積累下來的科技知識,不會去重新發明輪子,不會把牛頓定律之類的科學知識看成是“國外”的。
在軟件界,開源軟件也是人類積累下來的軟件財富,不能認為開源軟件就是“國外”的。如果要求每一行代碼都要自己來寫,往往不大現實也并非必要;如果自己寫的代碼不成熟的話,其漏洞不一定比開源軟件少。
個人用戶幾乎不受影響
騰訊安全專家對搜狐IT稱,這項審核制度更多的是從國家層面進行的。對于個人用戶來講,幾乎不會受到這項制度的直接影響。不過從長遠來看,重要機構使用通過安全審核的后,會減少普通網民上網時數據被國外廠商截獲并做分析的可能性。
由于是國家層面的制度,對于只做個人安全產品的廠商,也不會受到即將出臺的“網絡安全審查制度”影響。
國際安全廠商持觀望態度
為了保護國家重點部門的安全,國家其實早就有類似的規定。重點部門在采購國際廠商的軟硬件產品有,有嚴格的準入制度。
某國際安全廠商對搜狐IT透露,國家將要推出的網絡安全審查制度對他們還沒有太直接的影響。從他們的銷售人員那里還沒有得到受此影響的反饋信息。
據稱,由于國家之前有相關規定,對于敏感行業或部門,國外的軟件很難進入,對于新的制度,他們后繼會根據國家的規定來評估對其業務的影響。