网络安全 频道

中国信息安全“造梦师”:以规矩成方圆

        【IT168 评论】每个人心中的中国梦具体是什么,无从得知。但自2013年的“棱镜门”事件后,中国信息安全产业的中国梦,却似乎越来越具体真实,在众多信息安全人士的脑海中,迫不及待地试图喷薄而出。政府负责人、资深专家、企业高层、学者纷纷变身,就如同《盗梦空间》的造梦师一样,潜心描绘和构筑心目中的信息安全盛世,固若金汤且自助可控。

  如何让信息安全的中国梦早日变得真实又完美?众人努力的方向在哪里?记者走访了 信息安全圈内的专家、厂商,挖掘到实现中国梦的最关键因素就在于——管制之道。正所谓无以规矩不成方圆,要想实现国家信息安全,“管制”二字内有乾坤。

  专家答疑政策背后

  2014年中国政府对信息安全的重视达到了空前的高度。先是政府采购封杀微软win8,后公安部称赛门铁克存在后门,禁止使用。一个是全国操作系统的霸主,一个是全球最大的信息安全厂商,中国政府拿这两个美国企业开刀,引出无数问号。最核心的问题还是为什么要“管”?为什么现在“管”?如何“管”?

  国家信息技术安全研究中心李京春认为,以往我国只是对网络进行表层化管理,主要包括功能符合检测和低层面的安全审查。目前网络产品和服务逐渐向深层次发展,若继续沿用以前的监管办法,就很可能会出现网络监管漏洞,进而给国家安全和用户安全造成损失。“对发现存在安全隐患的网络产品和服务,不论是外国企业还是中国境内企业,中国政府都一视同仁,都要遵从、适应这一管理制度的实施,这才能满足国家关键基础设施和重要信息系统的安全性能要求。”

  在他看来,对网络产品和服务的提供商、运营商和服务商进行审查,还能促使企业规范行为标准,提高服务质量,这也算是硬币的另一面了。

  正确理解中国制造的标签

  中国对信息安全的管控得到大多数人的认可。然而业界讨论的另一个话题又冒出来:所有的非中国信息安全企业都要一竿子打倒吗?是不是只有采购国内企业的信息安全产品才能保证安全?其实这几个问题的背后,又延伸出新的问题,什么样的企业才算国内信息安全企业?采购什么样的产品才能保证安全?显然这个问题,让掌握IT设备采购大权的决策者来回答更有权威性。E行网就对众多CIO用户提出了这个问题。

  采访中,将近半数的CIO回答非常理性。作为企业单位掌握IT设备采购大权的决策者,大多数人都认为不能将信息安全产品贴上简单的国字号或非国字号标签。有一位CIO表示,资本是全球化流动的,企业的资本属性是变化的,资本属性不足以证明企业的能力和诚信,资本的流动性是常态,国内知名IT企业也多有外资背景。在满足国家网络安全审查技术标准的前提下,人们更应该关注4个关键点,才能抓住问题的本质:

  1. 产品/代码的安全性与知识产权所在地的关联性强于与资本背景的关联性;

  2. 产品/代码的安全性与研发所在地的关联性强于与资本背景的关联性;

  3. 产品/代码的安全性与研发团队的国籍的关联性强于资本背景的关联性;

  4. 企业、开发者需对所著代码安全性作出终身有效的承诺,愿意对审查开放并受中国法律约束(法制保护)。

  工业和信息化部电信研究院副院长刘多的话,似乎也在佐证了这位CIO的观点。刘多表示,网络安全审查制度可以有多种方式,主要目的是为了维护安全,但网络安全审查制度不是行政许可,也不是对所有的设备和服务进行审查。他强调,“中国的网络安全审查制度将‘无国别’实施“。

  当记者问到信息安全的可控时,一位CIO理智的反问也让记者思索良久。“一个信息安全企业,身份背景姑且不论,它的核心人员在中国,它的研发、生产制造、服务等业务也在中国,税收就业还在中国,它的所有关键行为遵从可控,它的核心技术和知识产权皆可控,难道这样的企业还不算可控吗?采购这样企业的产品的风险又从何谈起呢 ?”

  安全与技术进步的兼容

  解答了“为什么要管?”、“管的对象是谁?”之后,最关键的问题是“如何管?”。记者认为,如何实现信息安全产业的中国梦,其实是一个非常庞大的命题。因为信息安全产业链环节众多,每个环节从自身角度出发,都能描绘出不一样的中国梦蓝图。但是,作为信息安全产业中最重要的网络安全环节,它的地位和意义更加特殊,上至政府,下至企业,网络安全中国梦更离不开“管制之道”。

  通过采访,记者概括起来,管制之道,有三点绝对绕不开,即安全能力、安全可控、安全诚信。三者结合才能切实保障国家的网络安全。

  用中国信息安全测评中心总工王军的话来说,安全能力是指自身强健,外界难以突破。“安全可靠”则是IT界第一原则,所有国家在关键IT系统的技术选择均把“安全可靠”作为第一原则。前不久发生的NSA事件其实也是对网络安全的启示:首先安全能力不等同于企业的资本属性;其次没有安全能力,附加任何其它条件,都保障不了信息安全;最后具备安全能力,不等于安全“可控”和安全“诚信”。

  而安全诚信则更好理解一些,指主观上绝不做危害国家信息安全的事情,客观上积极主动接受国家主管部门的全方位审查,从源代码到硬件设计。CEC中国信息安全研究院副院长左晓栋明确表示,审查的内容绝不单单是一个单纯的技术性的审查。而是将考量各种指标和因素。包括对企业声誉,背景审查、公司资质,“将从多角度衡量产品和提供商的可控性与安全性。”

  其实在采访中,记者发现,安全审查的目的不是固步自封,而是为了以更好的姿态融入到世界的信息化建设大潮中。国家信息安全固然重要,但在全球化的背景下,推动更多的IT能力中心进入中国,安全与技术进步才能兼而有之,这才是目前国内所有的信息安全人士乐意看到的现实。

0
相关文章