針對(duì)中國(guó)網(wǎng)絡(luò)安全審查制度將出臺(tái)的消息��,國(guó)家信息技術(shù)安全研究中心總工李京春解讀稱(chēng)���,這是我國(guó)云計(jì)算基礎(chǔ)設(shè)施的成熟帶來(lái)的契機(jī)�����,今年將以云計(jì)算平臺(tái)安全測(cè)試作為工作試點(diǎn)����。
5月22日�,國(guó)家互聯(lián)網(wǎng)信息辦公室發(fā)布消息稱(chēng),我國(guó)將實(shí)行網(wǎng)絡(luò)安全審查制度���,重點(diǎn)審查信息技術(shù)產(chǎn)品的安全性和可控性�,防止產(chǎn)品提供者利非法控制�����、干擾、中斷用戶(hù)系統(tǒng)���,非法收集��、存儲(chǔ)�、處理和利用用戶(hù)有關(guān)信息���,以確保我國(guó)的公共安全和國(guó)家網(wǎng)絡(luò)空間安全�����。
“之所以現(xiàn)在出臺(tái)此項(xiàng)制度�,主要是因?yàn)槲覈?guó)的測(cè)評(píng)技術(shù)����、體系、標(biāo)準(zhǔn)等均已成熟�。我們?cè)朴?jì)算基礎(chǔ)設(shè)施已經(jīng)完備,今年我國(guó)將以云計(jì)算平臺(tái)安全測(cè)試作為工作試點(diǎn)��,制定云計(jì)算安全標(biāo)準(zhǔn),主要從安全技術(shù)要求和服務(wù)能力標(biāo)準(zhǔn)兩個(gè)方面進(jìn)行審查��,從中找出安全短板�����,進(jìn)而盡快彌補(bǔ)安全漏洞����。”李京春說(shuō)。
(圖片來(lái)自人民網(wǎng))
國(guó)之所需���,民之所向
所謂網(wǎng)絡(luò)安全審查,即對(duì)信息系統(tǒng)中使用的信息技術(shù)產(chǎn)品與服務(wù)進(jìn)行測(cè)試評(píng)估�、監(jiān)測(cè)分析、持續(xù)監(jiān)督的過(guò)程�。歐美、日本等發(fā)達(dá)國(guó)家早已針對(duì)信息安全的全鏈條建立了詳盡的審查體系�,對(duì)涉及國(guó)家重大戰(zhàn)略層面的信息技術(shù)產(chǎn)品進(jìn)行評(píng)估。
2000年�,美國(guó)率先在國(guó)家安全系統(tǒng)中對(duì)采購(gòu)的產(chǎn)品進(jìn)行安全審查,隨后陸續(xù)針對(duì)聯(lián)邦政府云計(jì)算服務(wù)�、國(guó)防供應(yīng)鏈等出臺(tái)了安全審查政策,實(shí)現(xiàn)了對(duì)國(guó)家安全系統(tǒng)���、國(guó)防系統(tǒng)�����、聯(lián)邦政府系統(tǒng)的全面覆蓋�����。其要求為聯(lián)邦政府提供云計(jì)算服務(wù)的服務(wù)商�,必須通過(guò)安全審查、獲得授權(quán)���,其基礎(chǔ)設(shè)施必須位于美國(guó)境內(nèi);并要求聯(lián)邦政府各部門(mén)不得采用未經(jīng)審查的云服務(wù)����。
相比之下��,我國(guó)在網(wǎng)絡(luò)安全審查方面的制度仍是一片空白�。但另一方面,近年來(lái)���,我國(guó)的網(wǎng)絡(luò)安全事件卻在不斷增加����,網(wǎng)絡(luò)安全風(fēng)險(xiǎn)不斷加大,斯諾登事件的影響之深遠(yuǎn)��,更是無(wú)人不知�,國(guó)家互聯(lián)網(wǎng)信息辦公室發(fā)言人姜軍專(zhuān)家認(rèn)為,建立網(wǎng)絡(luò)安全審查制度刻不容緩����。
“信息安全現(xiàn)已成為國(guó)家安全的重要一環(huán),進(jìn)行網(wǎng)絡(luò)安全審查是信息技術(shù)發(fā)展的必然趨勢(shì)�����。”中國(guó)工程院院士方濱興說(shuō)���。
工業(yè)和信息化部電子科學(xué)技術(shù)情報(bào)研究所總工程師尹麗波更是直言,美國(guó)的“八大金剛”(微軟����、思科、高通等8個(gè)美國(guó)公司)在我國(guó)的市場(chǎng)產(chǎn)量占有很多比例�����,如果我們做了審查��,至少可以保證它沒(méi)有被植入后門(mén),也確保這些被用在政府部門(mén)�、企業(yè)等的重要產(chǎn)品不會(huì)非法收集信息、非法控制數(shù)據(jù)�。
國(guó)家互聯(lián)網(wǎng)信息辦公室發(fā)言人姜軍也表示,網(wǎng)絡(luò)和信息技術(shù)產(chǎn)品是否安全����、是否可控,事關(guān)國(guó)家安全��,事關(guān)中國(guó)經(jīng)濟(jì)社會(huì)健康發(fā)展����,事關(guān)廣大人民群眾合法權(quán)益不受侵犯。他指出���,近年來(lái)�����,我國(guó)政府部門(mén)���、機(jī)構(gòu)、企業(yè)�、大學(xué)及電信主干網(wǎng)絡(luò)遭受大規(guī)模的侵入���、監(jiān)聽(tīng),深受其害���。
中國(guó)信息安全評(píng)測(cè)中心總工程師王軍則認(rèn)為����,隨著智能手機(jī)等信息產(chǎn)品的普及�����,民眾對(duì)信息產(chǎn)品的安全性也越來(lái)越重視�。但是,由于第三方約束機(jī)制的缺乏���,許多廠商對(duì)產(chǎn)品的安全屬性不夠重視�,有的甚至“店大欺客”��,明知產(chǎn)品有安全缺陷���,卻拒不更改;更有部分廠商在產(chǎn)品中埋“后門(mén)”,竊取用戶(hù)信息和數(shù)據(jù)���,由此帶來(lái)的用戶(hù)隱私泄露等問(wèn)題近年來(lái)時(shí)有發(fā)生����。
對(duì)于這樣利國(guó)利民的需求,在信息化剛剛開(kāi)始的時(shí)候��,我們沒(méi)有意識(shí)到�����,以致造成被動(dòng)的局面��。但現(xiàn)在云計(jì)算的蓬勃發(fā)展帶來(lái)了信息系統(tǒng)重構(gòu)的浪潮����,本土的云計(jì)算服務(wù)提供商也在技術(shù)上和服務(wù)上崛起,正是實(shí)施網(wǎng)絡(luò)安全審查的好時(shí)機(jī)��。
如何落實(shí)?
對(duì)于制度的具體實(shí)施���,工業(yè)和信息化部電信研究院副院長(zhǎng)劉多表示��,結(jié)合國(guó)情�,落實(shí)網(wǎng)絡(luò)安全審查制度可以有多種方式��。開(kāi)展網(wǎng)絡(luò)安全審查,要依靠權(quán)威專(zhuān)業(yè)檢測(cè)機(jī)構(gòu)對(duì)信息技術(shù)產(chǎn)品和服務(wù)進(jìn)行技術(shù)審查���,要依托專(zhuān)家力量深入開(kāi)展專(zhuān)家論證�����,以及對(duì)企業(yè)的誠(chéng)信和安全背景等進(jìn)行審查�����,從而綜合評(píng)判和認(rèn)定帶有安全風(fēng)險(xiǎn)的信息技術(shù)產(chǎn)品和服務(wù)��。
中國(guó)工程院院士方濱興說(shuō):“審查制度將由國(guó)家互聯(lián)網(wǎng)信息辦公室主管�,全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)具體落實(shí)��,審查過(guò)程除要求多個(gè)相關(guān)部門(mén)協(xié)助外��,還將引入第三方專(zhuān)業(yè)的檢測(cè)機(jī)構(gòu)和專(zhuān)家組參與�,保證過(guò)程的客觀公正。”
“網(wǎng)絡(luò)安全審查應(yīng)包括事前審查�����、事中監(jiān)測(cè)和事后懲處三部分����。”中國(guó)信息安全測(cè)評(píng)中心總工程師王軍指出,在信息產(chǎn)品進(jìn)入市場(chǎng)前����,需對(duì)用戶(hù)信息安全進(jìn)行技術(shù)審查,同時(shí)對(duì)該產(chǎn)品是否對(duì)國(guó)家安全造成影響���、是否會(huì)產(chǎn)生壟斷等社會(huì)經(jīng)濟(jì)安全影響進(jìn)行評(píng)估;已進(jìn)入市場(chǎng)的信息產(chǎn)品也并非絕對(duì)安全���,補(bǔ)丁和升級(jí)都可能帶來(lái)新的安全隱患,因此同樣需要監(jiān)控���。
方濱興認(rèn)為�,根據(jù)其他國(guó)家的經(jīng)驗(yàn)��,應(yīng)針對(duì)宏觀戰(zhàn)略和微觀技術(shù)兩方面分別采取不同措施����。對(duì)于進(jìn)入政府機(jī)構(gòu)、交通����、電力��、金融等重要領(lǐng)域的產(chǎn)品����,需要建立“黑名單”制���,不僅對(duì)技術(shù)也對(duì)企業(yè)背景進(jìn)行審查�����,保障國(guó)家信息安全;而對(duì)于在市面流通的信息技術(shù)產(chǎn)品���,需進(jìn)行“白名單”強(qiáng)制認(rèn)證,只有符合安全標(biāo)準(zhǔn)的產(chǎn)品才能入市�����。這種審查只是一種技術(shù)評(píng)估�,普通用戶(hù)的利益不會(huì)受到影響。
CEC中國(guó)信息安全研究院副院長(zhǎng)左曉棟解釋說(shuō)����,審查的內(nèi)容絕不單單是一個(gè)單純的技術(shù)性的審查。而是將考量各種指標(biāo)和因素。他舉例稱(chēng)��,包括對(duì)企業(yè)聲譽(yù)���,背景審查、公司資質(zhì)��,“將從多角度衡量產(chǎn)品和提供商的可控性與安全性���。”
云之勝利���,云之機(jī)遇
目前,國(guó)外的云計(jì)算企業(yè)紛紛在中國(guó)落地生根:2013年7月��,IBM宣布與首都在線(xiàn)合作�����,在中國(guó)引入其公有云業(yè)務(wù);2013年12月18日���,亞馬遜在北京宣布設(shè)立亞馬遜AWS中國(guó)區(qū)域云計(jì)算平臺(tái)服務(wù);2014年3月��,微軟宣布由世紀(jì)互聯(lián)負(fù)責(zé)運(yùn)營(yíng)的Microsoft Azure公有云服務(wù)正式商用�。
此外,2014年初��,IBM�����、思科�����、HP等公司紛紛表態(tài)將投資超過(guò)10億美元進(jìn)行云計(jì)算投資���,也將中國(guó)市場(chǎng)視為重要市場(chǎng)�。
同時(shí)�����,本土商場(chǎng)也在努力���,在本周舉行的第六屆中國(guó)云計(jì)算大會(huì)上��,不論浪潮這樣的老牌基礎(chǔ)設(shè)施提供商和電信���、聯(lián)通���、移動(dòng)等運(yùn)營(yíng)商轉(zhuǎn)型的云服務(wù)商,還是百度���、阿里��、騰訊、新浪����、搜狐等云計(jì)算新貴,都極力闡釋其開(kāi)放性����,希望打造屬于自己的云生態(tài)系統(tǒng)。
在此背景下���,網(wǎng)絡(luò)安全審查制度出爐并從云服務(wù)入手���,說(shuō)明了國(guó)家對(duì)本土的測(cè)評(píng)技術(shù)、體系�����、標(biāo)準(zhǔn)和云計(jì)算基礎(chǔ)設(shè)施的認(rèn)可。有分析認(rèn)為�,隨著審查制度的進(jìn)一步落地,服務(wù)于政府和國(guó)企的云計(jì)算服務(wù)領(lǐng)域料將掀起一輪國(guó)產(chǎn)化的趨勢(shì)��。
但我們需要認(rèn)識(shí)到���,中國(guó)的網(wǎng)絡(luò)安全審查制度將“無(wú)國(guó)別”實(shí)施�。劉多指出�,對(duì)發(fā)現(xiàn)存在安全隱患的網(wǎng)絡(luò)產(chǎn)品和服務(wù),不論是外國(guó)企業(yè)還是中國(guó)境內(nèi)企業(yè)�,都一視同仁,都要遵從���、適應(yīng)這一管理制度的實(shí)施����。
王軍也表示:“網(wǎng)絡(luò)安全審查并不是貿(mào)易保護(hù)����,無(wú)論是國(guó)內(nèi)產(chǎn)品還是國(guó)外產(chǎn)品,只要符合我國(guó)的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)��,就能夠進(jìn)入市場(chǎng)自由流通���。”
這意味著����,網(wǎng)絡(luò)安全審查制度并不是貿(mào)易保護(hù),國(guó)產(chǎn)云計(jì)算服務(wù)想要攻城略地�,就必須明白“打鐵還需自身硬”。
我們知道���,對(duì)純國(guó)產(chǎn)化產(chǎn)品十分鐘情的浪潮�����,其國(guó)產(chǎn)天梭K1主機(jī)系統(tǒng)采用的仍然是安騰處理器,對(duì)此張東解釋說(shuō)��,面向關(guān)鍵業(yè)務(wù)的系統(tǒng)�,首先要保證其性能和可靠性、可用性���,這說(shuō)明本土技術(shù)缺失存在差距�。
在云計(jì)算方面���,根據(jù)CSDN通過(guò)數(shù)據(jù)解讀���,本土云服務(wù)商的實(shí)力仍然稍遜一籌����。
亞馬遜網(wǎng)絡(luò)服務(wù)全球市場(chǎng)副總裁Ariel Kelman表示��,用戶(hù)采用AWS的一個(gè)原因是因?yàn)轶w驗(yàn)���,“因?yàn)橥ㄟ^(guò)使用AWS服務(wù)之后可以有好的體驗(yàn)���。我們知道提升用戶(hù)體驗(yàn)是沒(méi)有捷徑可走的,必須不斷的積累經(jīng)驗(yàn)�,這跟我們出售軟件和硬件是一樣的,要有一個(gè)積累的過(guò)程�����。”
因此���,我們確實(shí)還有很長(zhǎng)的路要走�。
近期中國(guó)部分網(wǎng)絡(luò)安全大事件
2014年5月16日�,中央國(guó)家機(jī)關(guān)政府采購(gòu)中心發(fā)出通知,要求國(guó)家機(jī)關(guān)進(jìn)行信息類(lèi)協(xié)議供貨強(qiáng)制節(jié)能產(chǎn)品采購(gòu)時(shí)�,所有計(jì)算機(jī)類(lèi)產(chǎn)品不允許安裝Windows8操作系統(tǒng)���,業(yè)界認(rèn)為安全可控的保障是主要原因。
2014年3月19日至5月18日����,2077個(gè)位于美國(guó)的木馬或僵尸網(wǎng)絡(luò)控制服務(wù)器,直接控制了我國(guó)境內(nèi)約118萬(wàn)臺(tái)主機(jī)��。
2014年2月27日�����,中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組成立�,習(xí)近平親自擔(dān)任組長(zhǎng),并提出“沒(méi)有網(wǎng)絡(luò)安全就沒(méi)有國(guó)家安全�,沒(méi)有信息化就沒(méi)有現(xiàn)代化”����。
2013年6月,斯諾登事件爆發(fā)�,暴露出美國(guó)利用掌握的互聯(lián)網(wǎng)基礎(chǔ)資源和信息技術(shù)優(yōu)勢(shì),大規(guī)模實(shí)施網(wǎng)絡(luò)監(jiān)控����,大量竊取政治�����、經(jīng)濟(jì)���、軍事秘密以及企業(yè)、個(gè)人敏感數(shù)據(jù)����。
