(圖片來自人民網(wǎng))
國之所需,民之所向
所謂網(wǎng)絡安全審查����,即對信息系統(tǒng)中使用的信息技術產(chǎn)品與服務進行測試評估�����、監(jiān)測分析�、持續(xù)監(jiān)督的過程。歐美�����、日本等發(fā)達國家早已針對信息安全的全鏈條建立了詳盡的審查體系���,對涉及國家重大戰(zhàn)略層面的信息技術產(chǎn)品進行評估���。
2000年�����,美國率先在國家安全系統(tǒng)中對采購的產(chǎn)品進行安全審查,隨后陸續(xù)針對聯(lián)邦政府云計算服務�����、國防供應鏈等出臺了安全審查政策����,實現(xiàn)了對國家安全系統(tǒng)、國防系統(tǒng)��、聯(lián)邦政府系統(tǒng)的全面覆蓋�。其要求為聯(lián)邦政府提供云計算服務的服務商�����,必須通過安全審查���、獲得授權,其基礎設施必須位于美國境內(nèi);并要求聯(lián)邦政府各部門不得采用未經(jīng)審查的云服務���。
相比之下,我國在網(wǎng)絡安全審查方面的制度仍是一片空白。但另一方面����,近年來��,我國的網(wǎng)絡安全事件卻在不斷增加�����,網(wǎng)絡安全風險不斷加大�����,斯諾登事件的影響之深遠�,更是無人不知����,國家互聯(lián)網(wǎng)信息辦公室發(fā)言人姜軍專家認為���,建立網(wǎng)絡安全審查制度刻不容緩���。
“信息安全現(xiàn)已成為國家安全的重要一環(huán),進行網(wǎng)絡安全審查是信息技術發(fā)展的必然趨勢����。”中國工程院院士方濱興說。
工業(yè)和信息化部電子科學技術情報研究所總工程師尹麗波更是直言��,美國的“八大金剛”(微軟�、思科、高通等8個美國公司)在我國的市場產(chǎn)量占有很多比例���,如果我們做了審查�,至少可以保證它沒有被植入后門,也確保這些被用在政府部門����、企業(yè)等的重要產(chǎn)品不會非法收集信息��、非法控制數(shù)據(jù)����。
國家互聯(lián)網(wǎng)信息辦公室發(fā)言人姜軍也表示,網(wǎng)絡和信息技術產(chǎn)品是否安全��、是否可控�,事關國家安全,事關中國經(jīng)濟社會健康發(fā)展����,事關廣大人民群眾合法權益不受侵犯。他指出�,近年來,我國政府部門�����、機構�、企業(yè)、大學及電信主干網(wǎng)絡遭受大規(guī)模的侵入��、監(jiān)聽,深受其害���。
中國信息安全評測中心總工程師王軍則認為���,隨著智能手機等信息產(chǎn)品的普及,民眾對信息產(chǎn)品的安全性也越來越重視����。但是,由于第三方約束機制的缺乏�����,許多廠商對產(chǎn)品的安全屬性不夠重視�,有的甚至“店大欺客”,明知產(chǎn)品有安全缺陷���,卻拒不更改;更有部分廠商在產(chǎn)品中埋“后門”��,竊取用戶信息和數(shù)據(jù)����,由此帶來的用戶隱私泄露等問題近年來時有發(fā)生。
對于這樣利國利民的需求��,在信息化剛剛開始的時候���,我們沒有意識到����,以致造成被動的局面�。但現(xiàn)在云計算的蓬勃發(fā)展帶來了信息系統(tǒng)重構的浪潮��,本土的云計算服務提供商也在技術上和服務上崛起����,正是實施網(wǎng)絡安全審查的好時機。
如何落實?
對于制度的具體實施��,工業(yè)和信息化部電信研究院副院長劉多表示�,結合國情,落實網(wǎng)絡安全審查制度可以有多種方式��。開展網(wǎng)絡安全審查��,要依靠權威專業(yè)檢測機構對信息技術產(chǎn)品和服務進行技術審查�,要依托專家力量深入開展專家論證,以及對企業(yè)的誠信和安全背景等進行審查,從而綜合評判和認定帶有安全風險的信息技術產(chǎn)品和服務���。
中國工程院院士方濱興說:“審查制度將由國家互聯(lián)網(wǎng)信息辦公室主管����,全國信息安全標準化技術委員會具體落實���,審查過程除要求多個相關部門協(xié)助外�����,還將引入第三方專業(yè)的檢測機構和專家組參與����,保證過程的客觀公正���。”
“網(wǎng)絡安全審查應包括事前審查�、事中監(jiān)測和事后懲處三部分���。”中國信息安全測評中心總工程師王軍指出����,在信息產(chǎn)品進入市場前,需對用戶信息安全進行技術審查�����,同時對該產(chǎn)品是否對國家安全造成影響��、是否會產(chǎn)生壟斷等社會經(jīng)濟安全影響進行評估;已進入市場的信息產(chǎn)品也并非絕對安全���,補丁和升級都可能帶來新的安全隱患����,因此同樣需要監(jiān)控����。
方濱興認為�����,根據(jù)其他國家的經(jīng)驗�,應針對宏觀戰(zhàn)略和微觀技術兩方面分別采取不同措施。對于進入政府機構�����、交通、電力����、金融等重要領域的產(chǎn)品,需要建立“黑名單”制���,不僅對技術也對企業(yè)背景進行審查����,保障國家信息安全;而對于在市面流通的信息技術產(chǎn)品�,需進行“白名單”強制認證,只有符合安全標準的產(chǎn)品才能入市��。這種審查只是一種技術評估���,普通用戶的利益不會受到影響��。
CEC中國信息安全研究院副院長左曉棟解釋說�����,審查的內(nèi)容絕不單單是一個單純的技術性的審查���。而是將考量各種指標和因素����。他舉例稱�����,包括對企業(yè)聲譽�����,背景審查��、公司資質��,“將從多角度衡量產(chǎn)品和提供商的可控性與安全性�。”
云之勝利�����,云之機遇
目前�����,國外的云計算企業(yè)紛紛在中國落地生根:2013年7月�,IBM宣布與首都在線合作�����,在中國引入其公有云業(yè)務;2013年12月18日��,亞馬遜在北京宣布設立亞馬遜AWS中國區(qū)域云計算平臺服務;2014年3月��,微軟宣布由世紀互聯(lián)負責運營的Microsoft Azure公有云服務正式商用�。
此外����,2014年初,IBM�����、思科���、HP等公司紛紛表態(tài)將投資超過10億美元進行云計算投資��,也將中國市場視為重要市場����。
同時��,本土商場也在努力,在本周舉行的第六屆中國云計算大會上����,不論浪潮這樣的老牌基礎設施提供商和電信、聯(lián)通����、移動等運營商轉型的云服務商,還是百度�����、阿里�、騰訊、新浪�����、搜狐等云計算新貴����,都極力闡釋其開放性���,希望打造屬于自己的云生態(tài)系統(tǒng)��。
在此背景下�����,網(wǎng)絡安全審查制度出爐并從云服務入手�,說明了國家對本土的測評技術、體系��、標準和云計算基礎設施的認可�����。有分析認為���,隨著審查制度的進一步落地����,服務于政府和國企的云計算服務領域料將掀起一輪國產(chǎn)化的趨勢����。
但我們需要認識到,中國的網(wǎng)絡安全審查制度將“無國別”實施��。劉多指出,對發(fā)現(xiàn)存在安全隱患的網(wǎng)絡產(chǎn)品和服務�����,不論是外國企業(yè)還是中國境內(nèi)企業(yè)�,都一視同仁,都要遵從�、適應這一管理制度的實施。
王軍也表示:“網(wǎng)絡安全審查并不是貿(mào)易保護��,無論是國內(nèi)產(chǎn)品還是國外產(chǎn)品�����,只要符合我國的網(wǎng)絡安全標準���,就能夠進入市場自由流通����。”
這意味著��,網(wǎng)絡安全審查制度并不是貿(mào)易保護�����,國產(chǎn)云計算服務想要攻城略地���,就必須明白“打鐵還需自身硬”��。
我們知道���,對純國產(chǎn)化產(chǎn)品十分鐘情的浪潮,其國產(chǎn)天梭K1主機系統(tǒng)采用的仍然是安騰處理器�����,對此張東解釋說����,面向關鍵業(yè)務的系統(tǒng),首先要保證其性能和可靠性��、可用性��,這說明本土技術缺失存在差距�����。
在云計算方面����,根據(jù)CSDN通過數(shù)據(jù)解讀��,本土云服務商的實力仍然稍遜一籌����。
亞馬遜網(wǎng)絡服務全球市場副總裁Ariel Kelman表示�,用戶采用AWS的一個原因是因為體驗,“因為通過使用AWS服務之后可以有好的體驗�。我們知道提升用戶體驗是沒有捷徑可走的,必須不斷的積累經(jīng)驗����,這跟我們出售軟件和硬件是一樣的,要有一個積累的過程�����。”
因此��,我們確實還有很長的路要走����。
近期中國部分網(wǎng)絡安全大事件
2014年5月16日,中央國家機關政府采購中心發(fā)出通知���,要求國家機關進行信息類協(xié)議供貨強制節(jié)能產(chǎn)品采購時���,所有計算機類產(chǎn)品不允許安裝Windows8操作系統(tǒng),業(yè)界認為安全可控的保障是主要原因��。
2014年3月19日至5月18日��,2077個位于美國的木馬或僵尸網(wǎng)絡控制服務器��,直接控制了我國境內(nèi)約118萬臺主機����。
2014年2月27日,中央網(wǎng)絡安全和信息化領導小組成立����,習近平親自擔任組長,并提出“沒有網(wǎng)絡安全就沒有國家安全���,沒有信息化就沒有現(xiàn)代化”���。
2013年6月,斯諾登事件爆發(fā)����,暴露出美國利用掌握的互聯(lián)網(wǎng)基礎資源和信息技術優(yōu)勢��,大規(guī)模實施網(wǎng)絡監(jiān)控���,大量竊取政治、經(jīng)濟�、軍事秘密以及企業(yè)、個人敏感數(shù)據(jù)�����。
