信息安全保障:底氣來源于技術
責編:admin |2014-12-08 20:31:272014年還有最后一個月,回顧剛剛過去的11月,可謂發生了不少大事。在北京召開的2014年APEC會議拂動著濃濃的“國貨風”,有網友認為,國產品牌有望通過APEC會議華麗轉身,向世界證明“中國制造”的實力,也有記者提出了“APEC國貨風能吹多遠”的話題,發人深省。
首屆世界互聯網大會頻頻聚焦網絡安全,來自政府高層的聲音,更像是中國向世界發出的捍衛信息安全宣言。筆者想就信息安全和政府采購,談談在信息技術領域采購國產產品的必要性和緊迫性。
首先,筆者認為,信息安全的重要性是怎么強調都不會過分的。因為信息安全關系到國計民生、金融經濟、軍事外交、國家安全等方面,任何個人、企業、政府、國家都異常重視信息安全。例如,2006年3月20日,聯想集團在美國的合作伙伴——CDW-G公司宣布,通過公開的招投標程序獲得美國國務院價值超過1300萬美元的訂單,將提供16000臺聯想Think Center M51臺式電腦及相關設備給美國國務院。消息公布不久,美中經濟安全調查委員會(USCC)委員Michael Wessel發表聲明,質疑在美國國務院使用聯想電腦有可能對美國國家安全帶來風險。此外,任何一個國外企業若要并購美國企業或其業務,都將受到由12個政府部門組成的外國投資委員會的審查,而否定的理由往往就是“可能損害美國國家安全”。
其次,國產品牌的安全性和可控性高于進口產品,而且政府采購法第十條明確規定“政府采購應當采購本國貨物、工程和服務”。信息產品的不安全性主要由兩方面造成。一是產品本身存在缺陷(Bug),導致安全“漏洞”,這個問題無論國內外產品都同樣存在。二是某些產品在設計時就留有“后門”程序。例如,美國很早就認識到信息安全與國家整體利益和國防的緊密聯系,采取了一系列措施加強其信息產業在全球的壟斷地位。美國主要通過國家安全局(NSA)對信息產業實行嚴格的控制,NSA派出既懂密碼、電子偵察業務,又懂半導體技術的專家駐入各大公司,其任務就是對銷往全球的信息產品進行監控,甚至在大規模集成電路芯片等關鍵部件安裝了“后門”。這些“后門”可以通過特殊手段啟動,發回芯片所處理的各種數據,也可使該芯片失去工作能力。而經過中國國家信息安全測評認證中心的測試確認,美國某公司的產品存在“后門”——該公司的產品在客戶不知情的情況下,定期向美國回傳200K字節的加密數據,經有關部門解密后,可獲知重要的客戶信息,對用戶構成極大的潛在安全危險。最令人擔憂的是,在今天的技術條件下,將一塊芯片中可能設置的所有“后門”全部排除掉,幾乎是不可能的。
再次,在目前我國信息產品大部分核心技術、核心產品都由國外控制的情況下,信息安全問題不是一朝一夕就能解決的。我國的服務器、存儲設備、操作系統、數據庫、中間件等基本都是國外產品,這些產品構成了OA等應用系統。如果把軟硬件基礎產品比作“高速公路”的話,那么,應用系統就是與之相適應的“汽車”。而要想將上述基礎產品全部換成國產產品,即將國外的“高速公路”改造成本國的“高速公路”,甚至進一步升級成“高速鐵路”,難度可想而知。
然而,這個問題拖得時間越久,解決的難度越大,需要的費用也越高。好在“曙光”已現。今年2月27日,我國成立了中央網絡安全和信息化領導小組,由習近平總書記擔任組長。5月22日,國家互聯網信息辦公室宣布我國將推出網絡安全審查制度。6月24日,國務院印發《國家集成電路產業發展推進綱要》,要求國家擴大內需的各項惠民工程和財政資金支持的重大信息化項目的政府采購部分應采購基于安全可靠軟硬件的產品。8月28日,工信部發布《關于加強電信和互聯網行業網絡安全工作的指導意見》,提出推進安全可控關鍵軟硬件應用等工作重點。9月,銀監會下發了《關于應用安全可控信息技術加強銀行業網絡安全和信息化建設的指導意見》,提出到2019年,安全可控信息技術在銀行業總體達到75%左右的使用率。這些無不是針對信息安全難題,大力發展我國具有自主知識產權軟硬件產品而作出的重要舉措。
在首屆國家網絡安全宣傳周啟動儀式上,中共中央政治局常委、中央書記處書記、中央網絡安全和信息化領導小組副組長劉云山指出,網絡信息人人共享,網絡安全人人有責。要不斷增強全民網絡安全意識,切實維護網絡安全,著力推進網絡空間法治化,為建設網絡強國提供有力保障。中央的重視,對振興國產軟硬件的發展具有積極意義。
最后,要大量采購國產軟硬件產品。一方面要完善我國的政策環境,創造出適合“國貨”生產、發展的土壤;另一方面,需要政府采購當事各方的相互配合。其中,采購人的積極使用是關鍵,制造廠商的努力(提高產品質量、技術含量和服務水準等)是重點,政府采購代理機構是橋梁,只有各方共同努力、全面合作,才能形成一個采購“國貨”、使用“國貨”的良好氛圍。
一個國家的自主品牌從培育到壯大離不開政府和民眾的支持,而政府采購正是實現支持、培育“國貨”的理想手段。從另一層意義上看,不管是什么產品或者軟件,只有通過大量使用,才能促進技術進步、產品完善。在掌握信息產品核心技術方面,我國與發達國家的差距不容樂觀。在我國目前的現實條件下,僅靠一地之力,“國貨”很難與“洋貨”相抗衡,在IT領域尤其如此。因此,需打破行政區域的界限,立足于全國一盤棋,讓采購人優先購買、使用“國貨”,舉國上下牢固樹立以購買、使用“國貨”為榮的意識。
那么,什么樣的信息系統才是安全的呢?具體來說,信息安全的目標就是要實現“六個性”:真實性,即對信息來源進行判斷,能對偽造來源的信息予以鑒別;保密性,即保證機密信息不被竊聽,或竊聽者不能了解信息的真實含義;完整性,即保證數據的一致性,防止數據被非法用戶篡改;可用性,即保證合法用戶對信息和資源的使用不會被不正當地拒絕;不可抵賴性,即建立有效的責任機制,防止用戶否認其行為,這在電子商務中尤其重要;可控性,即對信息的傳播及內容具有控制能力。