風險頻發后的信息安全反思

2014-07-04 11:39:57 比特網　點擊量：評論 (0)

　NSA事件發生后，大家不僅對美國的行為感到震驚，也對國內相關部門和企業的網絡安全防范能力感到擔憂。在亡羊補牢過程中，我們不要僅僅著眼于加強網絡安全保障措施，而是需要對整個網絡安全監管體系的完善加以更

　NSA事件發生后，大家不僅對美國的行為感到震驚，也對國內相關部門和企業的網絡安全防范能力感到擔憂。在“亡羊補牢”過程中，我們不要僅僅著眼于加強網絡安全保障措施，而是需要對整個網絡安全監管體系的完善加以更多的思考。

　　實際上，我國以往對網絡安全已經采取了相關的監管措施，但還有很大的提升空間。國家信息技術安全研究中心總工程師李京春就指出，以往我國只是對網絡進行表層化管理，主要包括功能符合檢測和低層面的安全審查。目前網絡產品和服務逐漸向深層次發展，若繼續沿用以前的監管辦法，就很可能會出現網絡監管漏洞，進而給國家安全和用戶安全造成損失。

　　因此，許多專家紛紛指出，要更進一步認識到網絡安全監管的重要性和必要性，從源頭上杜絕網絡安全風險隱患，確保公共安全和國家網絡空間安全。例如國家信息中心專家委員會主任寧家駿就明確表示，政府應該對任何與信息安全有關的企業進行審查，建立好全面監管的體系。中國工程院院士倪光南也指出，對網絡產品和服務的提供商、運營商和服務商進行審查，還能促使企業規范行為標準，提高服務質量，進而推進信息產業更加健康有序的發展。

　　我們高興的看到，目前網絡安全已經納入了“頂層設計”的范疇。從政府相關部門，到各行業主管機構，已經從全局的角度，開始對網絡安全保障問題，進行各方面、各層次、各要素統籌規劃，逐步完善網絡信息安全制度。5月22日，國務院新聞辦公室正式對外宣布，我國將對關系國家安全和公共利益的系統使用的重要技術產品和服務進行網絡安全審查。此次網絡安全審查制度將針對重要信息技術產品及提供者，重點審查產品的安全性和可控性，以防產品提供者非法控制、干擾、中斷用戶系統，非法收集、存儲、處理和利用用戶有關信息。對不符合安全要求的產品和服務，將不得在中國境內使用。政府部門的相關舉措，與業內專家普遍共識的“建立完善的監管體系”這一觀點，顯得不謀而合。

　　反思二：選擇設備不能只看性能指標

　　一名網絡安全資深專家曾經表示，安全圈流行一句話：“系統只存在兩種狀態：已經被攻破和即將被攻破。”這句話雖然有些令人難以接受，但充分說明了網絡安全防范的難度。

　　要知道，網絡是一個龐大而復雜的體系，其操作系統的代碼甚至達到千萬行級，在上面不僅運行著六千多個標準協議，還有諸多廠商定義的功能。要保證這一體系的安全可靠，讓外界難以攻破，就需要網絡系統具備足夠安全能力。這種安全能力不僅僅只針對網絡安全設備，而是涉及到IT系統的所有硬件和軟件。

　　需要注意的是，IT設備是否安全，很多時候并不體現在具體的性能指標上，而是與整個產品的設計思路、研發生產、服務保障等各個環節息息相關。有些產品在對外宣稱的參數、功能貌似很不錯，并不能代表其能通過實踐的嚴峻考驗。

　　因此，這就要求企業在選擇網絡設備時多加以考慮，在關鍵IT系統的選擇時，要把“安全可靠”作為第一原則，選擇經過了長期和廣泛的實踐檢驗，證明具備足夠安全可靠能力的產品，并充分考慮廠商自身的安全技術整體能力。從廠商角度來說，對這一問題也應加以足夠重視，并制定具體舉措，給用戶提供更加安全可靠的產品和方案。

　　反思三：勿要陷入“唯資本論”誤區

　　斯諾登曝光的機密文件，將許多知名國際IT企業推到了輿論“風口浪尖”，包括微軟、谷歌、蘋果等等。與此同時，國內也掀起了一股“國產化”、“去IOE”的話題風潮。許多人認為，通過國產化替代，可以解決“棱鏡”籠罩中國的問題。

　　在這一點上需要注意的是，不要將網絡安全的解決方法僅僅寄托在是否“國產”上。一方面來說，在當前的全球化時代，資本的流動性是常態，國內知名IT企業多有外資背景。僅僅用資本屬性來衡量，并不能說明企業的能力和誠信。另一方面，國產化設備也沒有絕對性，在當前全球供應鏈模式下，很多零配件的源頭也無法真正實現國產化，任何設備都不能保證絕無漏洞，NSA入侵某國內知名網絡設備商服務器就是例證。

　　因此，在選擇IT設備時，要結合廠商的安全能力、安全可控和安全誠信等三個方面來綜合判定。中國工程院院士方濱興建議，可以針對市面流通的信息技術產品，進行“白名單”強制認證，只有符合安全標準的產品才能入市。這種審查只是一種技術評估，不影響普通用戶的利益。這種審查認證，也會進一步促進國內外企業的安全誠信。真正可控可信的企業，對這種審查也會持支持態度。

　　只有擺脫“國產化”的局限性，在全球化的背景下，推動更多的IT能力中心進入中國，實現安全與技術進步兼顧，在自主可控的基礎上，積極發展自己的網絡產業，提升自主創新能力，掌握核心技術，才能更好地保障網絡安全和國家安全，實現信息化和現代化。

　　習近平總書記在中央網絡安全和信息化領導小組第一次會議上明確表示：“沒有網絡安全就沒有國家安全，沒有信息化就沒有現代化。”網絡安全問題，已經升級到信息化建設中的最核心位置。對未來的網絡安全策略加以思考，制定出更加有效的舉措，將為今后我國的網絡安全保障，尋找到一個更為穩妥的立足點。