自“斯諾登”事件以來,關于信息泄露帶來的恐慌像病毒一樣快速席卷全球,包括德國、英國、法國等在內的多個國家都籠罩在隱私被窺的陰影之下。在中國,NSA監測中國政企事件的后續曝光,讓信息安全危機持續發酵,一場由國家、企業、個人多方關注的信息安全保衛戰正在拉響。
其中,最值得關注的即是2014年2月,國家成立了以習近平主席為小組組長的“國家網絡安全與信息化領導小組”,首次把網絡安全與信息化建設提到并重的位置,網絡與信息安全保護正式上升至國家戰略高度。
事實上,信息安全本身涉及的范圍非常大,它包括如何防范國家、商業企業機密泄露、防范青少年對不良信息的瀏覽、個人信息的泄露等。要真正保障信息安全,除了國家出臺相關戰略和政策,加強頂層設計,更需要廠商、用戶、機構組織等多方努力。因此,建立一個適合國情的信息安全生態圈,顯得尤為重要。
國家間的信息化戰爭
追溯信息安全對國家安全的重要意義,最早可見諸于1991年的海灣戰爭。在以美國領導的‘沙漠風暴’行動中,美國將帶有病毒的芯片裝入伊拉克電腦打印機,進而侵入伊拉克指揮中心主機,輕而易舉的摧毀了伊拉克通訊能力。伊拉克儼然成為信息戰的試驗場,這也是最早的被國際社會公認的信息化戰爭。
當然,這一堪稱大片的戰爭化情景并非時刻發生。在和平時期,國與國的信息化戰爭往往是一場沒有硝煙的戰爭。信息強國往往通過技術手段,探窺一個國家的經濟、文化、政治等多種信息,實現所謂“國家利益最大化”。美國用棱鏡門的丑聞告訴世界,通過有效的監控,美國獲取他國隱私可以如此簡單。而中國作為全球最大的經濟體之一,自然成為被他人窺視的一大目標,國內某廠商受NSA監控長達7年之久,以此獲取國家領導人、相關企業相關信息,便是例證。
事實上,信息安全一直是世界各國共同關注的焦點。在嚴峻的信息安全挑戰面前,各國都加強了信息安全維護力量,采取各種措施防范信息安全對國家安全和社會穩定所帶來的威脅。
在信息安全防護層面,不得不承認,美國絕對是國際“大拿”。作為信息產業最發達的國家,美國歷來將信息安全視作維護國家安全的重要環節,也是世界上第一個引入信息戰概念的國家,其信息安全法制建設的萌芽可以追溯到1946年,自1978年以來,美國國會及政府各部門先后通過了130余項相關法律法規。同時,美國發布了“網絡安全國家戰略”和“確保信息安全的國家戰略”以此確保國家信息安全,已具備了一整套信息安全防范體系。
不僅如此,因其美國在互聯網世界真正的主宰力量,美國積極推行互聯網戰略的實質,就是利用其向世界各國推銷政治、商業和文化價值觀,謀求美國最大的政治、商業和文化利益。因此,美國也歷來重視打擊危害信息安全的犯罪行為,并堅持隨形勢的變化,不斷強化信息安全的法律保護。目前,美國正在采取措施改變主要依賴于企業應對信息網絡威脅的防護模式,轉由軍隊來直接保障信息網絡安全。
此外,法國、英國、日本等多個西方國家也都從法律、制度、機構建制等多方面保障國家網絡安全。相比之下,我國的信息安全產業在行業核心技術、關鍵裝備和應用創新方面以及信息產業鏈上下游行業綜合實力、產品成熟度、產品國際市場占有率等方面,與國際先進水平相比差距都較大。而在相關信息安全策略的制定上,直至今年,關于信息安全的議題才正式上升至國家戰略層面,在立法、行政、公民意識、安全組織建設等方面,還都不夠完善。IDC中國曾經對比過一個數字,13年中國所有行業的信息安全建設投入占整個IT支出約為1%,而美國的投入占到整個IT支出的9%左右,是我國的9倍。
由此可見,面對嚴峻的信息安全保衛形勢,我國要從根本上保障信息安全,必須調整步伐,從多方入手,建立一個適合中國國情的安全產業生態圈。其中,政府、廠商、用戶作為安全產業鏈的主要參與者,自然是信息安全生態圈的建設主力。
政府:完備審查,多方監管
政府作為信息安全的頂層實施者,在信息安全生態圈建設中擔當著至關重要的角色。針對以往的網絡表層化管理,政府需制定一套適合當前技術發展的完整網絡安全審查和監督體系。
首先,擴大審查內容。審查的內容不僅需要包括技術安全指標,還需對企業聲譽,背景審查、公司資質、公司誠信等方面進行多指標的審查和考量。借助完備的審查體系,確保國家對IT產品應用的有效可控。
其次,要進行多類型廠商的統一審查。信息安全涉及多個服務環節,要更好的保障信息安全,需要對對網絡產品和服務的提供商、運營商和服務商進行統一審查。無論是國外企業還是國內企業,都需要一視同仁,采用統一管理制度。
最后,發動多方力量,實現專業審查機構、第三方檢測機構與業內專家的多方互動,完備審查過程。中國工程院院士方濱興曾表示,審查制度將由國家互聯網信息辦公室主管,全國信息安全標準化技術委員會(信安標委)具體落實,審查過程除要求多個相關部門協助外,還將引入第三方專業的檢測機構和專家組參與,保證過程的客觀公正。
目前,從政府相關部門,到各行業主管機構,已經從全局的角度,開始對網絡安全保障問題,進行各方面、各層次、各要素統籌規劃,逐步完善網絡信息安全制度,力圖在頂層建設一個良好的信息安全屏障。
廠商:加強IT能力,重視實踐檢驗
在信息安全生態圈中,IT廠商可謂是國家信息安全中的基石。以美國為例,在以上層國家戰略、法律、制度、價值觀、先進技術共同組成的信息安全生態圈中,以思科、Juniper、瞻博網絡等全球領先技術商的技術支撐功不可沒。
因此,加強廠商安全可靠的IT能力是構建安全生態圈的重要一面。不同于企業其他資質,廠商的安全可靠能力需要多方錘煉,產品設計、生產、測試、市場投放等眾多環節都是考驗廠商IT能力的試金石。
同時,廠商技術和產品是否可靠,往往還需要進行市場的深層檢驗。國內一些廠商雖然在技術上不斷精進,產品卻缺乏長期市場檢驗,僅僅依靠品牌效應使產品匆匆上馬,極易導致信息安全隱患。因此,經過大量市場和用戶檢驗的產品,往往具備相對安全可靠的IT能力。
用戶:追本看品質
用戶可以說是整個信息產業下游支撐者,是信息產業的終端消費群體。信息的安全與否,直接關乎用戶生產及作業環節安全。以政府用戶為例,我國以往一些政府網站雖然投入巨資建設,但是技術設備門檻低下,存在大量可被惡意篡改的安全漏洞,對信息安全產生了極大威脅。
因此,用戶在進行IT建設過程中,無需考慮供應商是國外的還是國內的,只需要關注其產品及技術是否足夠安全可靠。要選擇那些企業誠信度好、產品得到眾多應用、服務精良的廠商,從源頭上保障IT應用的安全。
安全生態圈制勝“第五維”戰場
國內有信息安全專家指出,信息安全已成為繼海、陸、空、天后的“第五維”戰場。可見,信息安全保衛戰對未來國家及個人的重要意義。一個沒有隱私的國家,顯然是沒有安全可言的。
在全新“第五維”戰場中,借助政府、IT廠商、終端用戶等多方互動,形成一個適合我國基本國情的完整信息安全生態圈,實現生態圈的良性互動,顯然是制勝信息保衛戰的關鍵。未來,我國需納入安全產業鏈多方利益相關者,實現上下游緊密合作,才能在任重道遠的信息安全生態圈建設中取得勝利。
京公網安備 11010502049343號