由“斯諾登”事件所引發的網絡與信息安全話題在持續發酵。
今年2月,中央網絡安全和信息化領導小組宣告成立,習近平總書記親自擔任組長。習近平總書記在領導小組第一次會議上就明確指出“沒有網絡安全就沒有國家安全,沒有信息化就沒有現代化”,這也標志著網絡與信息安全保護已提升至國家戰略高度。
網絡安全問題涉及到國家安全,這就勢必要求在國家層面對敏感領域安全系統進行重新審視,對相關系統提供商的安全性、產品安全性和市場地位安全性等方面重新審核。的確,監管部門也正在醞釀推出網絡安全審查制度,要對關系國家安全的信息系統中使用的產品與服務進行測試評估、檢測分析和持續監督。
但需要指出的是,借保護網絡信息安全名義、炒作式的的“去IOE”、“去思科化”,并不能實現真正的國家網絡與信息安全。面對龐雜的網絡系統和爆炸性增長的數據,僅僅“根正苗紅”是不夠的。是否具備強大的健壯的產品與系統構架能力?研發、產品等核心能力能否實現本土化與國家可控?是否能夠做到誠信坦蕩、積極主動接受國家的安全審查呢?總結下來,在自主可控的大背景之下,系統廠商要想做出自己更大的貢獻,就要看他們在從安全能力、安全可控、安全誠信這個“鐵人三項賽”中,到底能夠走多遠。
安全可靠:IT界第一原則
IT技術的進步在改善產業環境的同時,也帶來了些煩惱。以網絡系統為例,其正在變得越來越龐雜,動輒千萬行級的操作系統代碼、廠商定義的數千項功能、超過6000多項的標準協議。
要想實現網絡安全,就必須能夠琢磨透這些龐雜的環境,對于任何廠商而言,這都是個無法回避的巨大挑戰。同樣,所有國家和任何行業在關鍵IT系統的技術選擇均把“安全可靠”作為第一原則。
“安全可靠”作為一種能力,不等同于企業的資本屬性,只有長期和廣泛的實踐才能檢驗。雖然,目前很多國內廠商在安全產品、技術以及服務能力不斷發力,但是大部分依舊缺乏實力和積累,在關鍵技術領域,部分國產品依舊無法替代舶來品,哪怕技術實力相當,整體替換和搬遷也是個耗時耗資的巨大工程。
因而,需要理性進行國產力量的扶持,在審查企業網絡產品是否安全時,應重在實踐中檢驗安全可靠。
國家信息技術安全研究中心李京春就指出,對發現存在安全隱患的網絡產品和服務,不論是外國企業還是中國境內企業,都需一視同仁,都要遵從適應新網絡安全審查制度的實施,滿足國家關鍵基礎設施和重要信息系統的安全性能要求。
中國工程院院士方濱興也表示,網絡安全審查過程除要求多個相關部門協助外,還將引入第三方專業的檢測機構和專家組參與,保證過程的客觀公正;對于進入政府機構、交通、電力、金融等重要領域的產品,需要建立“黑名單”制,不僅對技術也對企業背景進行審查,保障國家信息安全;而對于在市面流通的信息技術產品,需進行“白名單”強制認證,只有符合安全標準的產品才能入市。這種審查只是一種技術評估,普通用戶的利益不會受到影響。
安全可控:能力中心在中國
除了安全能力之外,CEC中國信息安全研究院副院長左曉棟還表示,網絡安全審查內容絕不單單是一個單純的技術性的審查。而是將考量各種指標和因素。包括對企業聲譽,背景審查、公司資質,“將從多角度衡量產品和提供商的可控性與安全性。”
中國信息安全測評中心總工王軍也指出,在信息產品進入市場前,需對用戶信息安全進行技術審查,同時對該產品是否對國家安全造成影響、是否會產生壟斷等社會經濟安全影響進行評估;已進入市場的信息產品也并非絕對安全,補丁和升級都可能帶來新的安全隱患,因此同樣需要監控。
由此可見,安全可控也是衡量企業網絡產品是否安全的因素之一,而要做到安全可控,企業所需具備的是能力中心在中國,具體表現在企業核心人員在中國,研發、生產制造、服務等業務能力中心在中國等。與此同時,還要企業遵從所在國家的法律法規,做到國家可控,具體表現在核心技術和知識產權的轉移及授權使用中國可控,企業的關鍵行為遵從中國可控,稅收、就業核心貢獻在中國。
因而,我們也需要認識到,依據企業資本無法判定IT產品是否安全可控。安全可控性同樣是要在保障中國國內重大事件中的實踐中得到檢驗,需要得到國家多部門的驗證和認可。
安全誠信:從源代碼到硬件平臺
工業和信息化部電信研究院副院長劉多指出,中國的網絡安全審查制度將“無國別”實施,網絡安全審查制度主要目的是為了維護安全,但網絡安全審查制度不是行政許可,也不是對所有的設備和服務進行審查。
據劉多介紹,開展網絡安全審查,要依靠權威專業檢測機構對信息技術產品和服務進行技術審查,要依托專家力量深入開展專家論證,以及對企業的誠信和安全背景等進行審查,從而綜合評判和認定帶有安全風險的信息技術產品和服務。
在劉多的話語中,誠信是個關鍵點。的確,誠信也是整個商業社會和國家信息安全戰略的關鍵點。
這就是要企業做到誠信坦蕩,積極主動接受國家的安全審查。主觀上絕不做危害國家信息安全的事情,客觀上積極主動接受國家主管部門的全方位審查,從源代碼到硬件設計。企業、開發者需對所著代碼安全性作出終身有效的承諾,愿意對審查開放并受中國法律約束和保護。
需要指出的是,在全球化的背景下,資本是全球化流動的,企業的資本屬性是變化的,包括阿里巴巴等國內知名IT企業都多有外資背景。在全球化的背景下,單純的“出身論”并沒有多大實際意義,只有推動更多的IT能力中心進入中國,保證安全與技術進步兼顧,才能實現信息化和現代化。而國際化身份有利于企業全球市場拓展、促進技術創新和進步,保持技術領先。
國家網絡與信息安全的征途,就像一場沒有終點的“鐵人三項賽”,只有將安全能力、安全可控和安全誠信三者結合,才能更科學判定一個企業及其產品是否符合網絡安全的需求,才能切實保障國家的網絡安全。
京公網安備 11010502049343號