(圖片來自人民網(wǎng))
國(guó)之所需,民之所向
所謂網(wǎng)絡(luò)安全審查���,即對(duì)信息系統(tǒng)中使用的信息技術(shù)產(chǎn)品與服務(wù)進(jìn)行測(cè)試評(píng)估����、監(jiān)測(cè)分析、持續(xù)監(jiān)督的過程����。歐美、日本等發(fā)達(dá)國(guó)家早已針對(duì)信息安全的全鏈條建立了詳盡的審查體系���,對(duì)涉及國(guó)家重大戰(zhàn)略層面的信息技術(shù)產(chǎn)品進(jìn)行評(píng)估�����。
2000年�����,美國(guó)率先在國(guó)家安全系統(tǒng)中對(duì)采購(gòu)的產(chǎn)品進(jìn)行安全審查��,隨后陸續(xù)針對(duì)聯(lián)邦政府云計(jì)算服務(wù)���、國(guó)防供應(yīng)鏈等出臺(tái)了安全審查政策�,實(shí)現(xiàn)了對(duì)國(guó)家安全系統(tǒng)����、國(guó)防系統(tǒng)、聯(lián)邦政府系統(tǒng)的全面覆蓋�����。其要求為聯(lián)邦政府提供云計(jì)算服務(wù)的服務(wù)商���,必須通過安全審查��、獲得授權(quán)���,其基礎(chǔ)設(shè)施必須位于美國(guó)境內(nèi);并要求聯(lián)邦政府各部門不得采用未經(jīng)審查的云服務(wù)。
相比之下�,我國(guó)在網(wǎng)絡(luò)安全審查方面的制度仍是一片空白。但另一方面�����,近年來�����,我國(guó)的網(wǎng)絡(luò)安全事件卻在不斷增加,網(wǎng)絡(luò)安全風(fēng)險(xiǎn)不斷加大�����,斯諾登事件的影響之深遠(yuǎn)���,更是無人不知,國(guó)家互聯(lián)網(wǎng)信息辦公室發(fā)言人姜軍專家認(rèn)為���,建立網(wǎng)絡(luò)安全審查制度刻不容緩�。
“信息安全現(xiàn)已成為國(guó)家安全的重要一環(huán)�,進(jìn)行網(wǎng)絡(luò)安全審查是信息技術(shù)發(fā)展的必然趨勢(shì)。”中國(guó)工程院院士方濱興說��。
工業(yè)和信息化部電子科學(xué)技術(shù)情報(bào)研究所總工程師尹麗波更是直言����,美國(guó)的“八大金剛”(微軟、思科�����、高通等8個(gè)美國(guó)公司)在我國(guó)的市場(chǎng)產(chǎn)量占有很多比例,如果我們做了審查����,至少可以保證它沒有被植入后門,也確保這些被用在政府部門�����、企業(yè)等的重要產(chǎn)品不會(huì)非法收集信息�����、非法控制數(shù)據(jù)�。
國(guó)家互聯(lián)網(wǎng)信息辦公室發(fā)言人姜軍也表示,網(wǎng)絡(luò)和信息技術(shù)產(chǎn)品是否安全�、是否可控,事關(guān)國(guó)家安全���,事關(guān)中國(guó)經(jīng)濟(jì)社會(huì)健康發(fā)展�,事關(guān)廣大人民群眾合法權(quán)益不受侵犯����。他指出,近年來�����,我國(guó)政府部門、機(jī)構(gòu)��、企業(yè)���、大學(xué)及電信主干網(wǎng)絡(luò)遭受大規(guī)模的侵入���、監(jiān)聽��,深受其害��。
中國(guó)信息安全評(píng)測(cè)中心總工程師王軍則認(rèn)為��,隨著智能手機(jī)等信息產(chǎn)品的普及��,民眾對(duì)信息產(chǎn)品的安全性也越來越重視����。但是,由于第三方約束機(jī)制的缺乏��,許多廠商對(duì)產(chǎn)品的安全屬性不夠重視�,有的甚至“店大欺客”,明知產(chǎn)品有安全缺陷,卻拒不更改;更有部分廠商在產(chǎn)品中埋“后門”��,竊取用戶信息和數(shù)據(jù)����,由此帶來的用戶隱私泄露等問題近年來時(shí)有發(fā)生。
對(duì)于這樣利國(guó)利民的需求�,在信息化剛剛開始的時(shí)候,我們沒有意識(shí)到��,以致造成被動(dòng)的局面����。但現(xiàn)在云計(jì)算的蓬勃發(fā)展帶來了信息系統(tǒng)重構(gòu)的浪潮,本土的云計(jì)算服務(wù)提供商也在技術(shù)上和服務(wù)上崛起�,正是實(shí)施網(wǎng)絡(luò)安全審查的好時(shí)機(jī)。
如何落實(shí)?
對(duì)于制度的具體實(shí)施���,工業(yè)和信息化部電信研究院副院長(zhǎng)劉多表示���,結(jié)合國(guó)情,落實(shí)網(wǎng)絡(luò)安全審查制度可以有多種方式�����。開展網(wǎng)絡(luò)安全審查,要依靠權(quán)威專業(yè)檢測(cè)機(jī)構(gòu)對(duì)信息技術(shù)產(chǎn)品和服務(wù)進(jìn)行技術(shù)審查���,要依托專家力量深入開展專家論證�����,以及對(duì)企業(yè)的誠(chéng)信和安全背景等進(jìn)行審查�����,從而綜合評(píng)判和認(rèn)定帶有安全風(fēng)險(xiǎn)的信息技術(shù)產(chǎn)品和服務(wù)�����。
中國(guó)工程院院士方濱興說:“審查制度將由國(guó)家互聯(lián)網(wǎng)信息辦公室主管,全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)具體落實(shí)����,審查過程除要求多個(gè)相關(guān)部門協(xié)助外,還將引入第三方專業(yè)的檢測(cè)機(jī)構(gòu)和專家組參與�,保證過程的客觀公正。”
“網(wǎng)絡(luò)安全審查應(yīng)包括事前審查����、事中監(jiān)測(cè)和事后懲處三部分����。”中國(guó)信息安全測(cè)評(píng)中心總工程師王軍指出�,在信息產(chǎn)品進(jìn)入市場(chǎng)前,需對(duì)用戶信息安全進(jìn)行技術(shù)審查����,同時(shí)對(duì)該產(chǎn)品是否對(duì)國(guó)家安全造成影響、是否會(huì)產(chǎn)生壟斷等社會(huì)經(jīng)濟(jì)安全影響進(jìn)行評(píng)估;已進(jìn)入市場(chǎng)的信息產(chǎn)品也并非絕對(duì)安全���,補(bǔ)丁和升級(jí)都可能帶來新的安全隱患����,因此同樣需要監(jiān)控���。
方濱興認(rèn)為����,根據(jù)其他國(guó)家的經(jīng)驗(yàn)�,應(yīng)針對(duì)宏觀戰(zhàn)略和微觀技術(shù)兩方面分別采取不同措施。對(duì)于進(jìn)入政府機(jī)構(gòu)�、交通、電力�����、金融等重要領(lǐng)域的產(chǎn)品,需要建立“黑名單”制���,不僅對(duì)技術(shù)也對(duì)企業(yè)背景進(jìn)行審查��,保障國(guó)家信息安全;而對(duì)于在市面流通的信息技術(shù)產(chǎn)品�,需進(jìn)行“白名單”強(qiáng)制認(rèn)證�����,只有符合安全標(biāo)準(zhǔn)的產(chǎn)品才能入市�����。這種審查只是一種技術(shù)評(píng)估�����,普通用戶的利益不會(huì)受到影響����。
CEC中國(guó)信息安全研究院副院長(zhǎng)左曉棟解釋說��,審查的內(nèi)容絕不單單是一個(gè)單純的技術(shù)性的審查。而是將考量各種指標(biāo)和因素�����。他舉例稱���,包括對(duì)企業(yè)聲譽(yù)�����,背景審查�、公司資質(zhì)�,“將從多角度衡量產(chǎn)品和提供商的可控性與安全性。”
云之勝利����,云之機(jī)遇
目前,國(guó)外的云計(jì)算企業(yè)紛紛在中國(guó)落地生根:2013年7月���,IBM宣布與首都在線合作��,在中國(guó)引入其公有云業(yè)務(wù);2013年12月18日�,亞馬遜在北京宣布設(shè)立亞馬遜AWS中國(guó)區(qū)域云計(jì)算平臺(tái)服務(wù);2014年3月���,微軟宣布由世紀(jì)互聯(lián)負(fù)責(zé)運(yùn)營(yíng)的Microsoft Azure公有云服務(wù)正式商用����。
此外,2014年初��,IBM��、思科����、HP等公司紛紛表態(tài)將投資超過10億美元進(jìn)行云計(jì)算投資,也將中國(guó)市場(chǎng)視為重要市場(chǎng)�����。
同時(shí)�����,本土商場(chǎng)也在努力���,在本周舉行的第六屆中國(guó)云計(jì)算大會(huì)上,不論浪潮這樣的老牌基礎(chǔ)設(shè)施提供商和電信�����、聯(lián)通、移動(dòng)等運(yùn)營(yíng)商轉(zhuǎn)型的云服務(wù)商���,還是百度�����、阿里�����、騰訊��、新浪����、搜狐等云計(jì)算新貴��,都極力闡釋其開放性��,希望打造屬于自己的云生態(tài)系統(tǒng)��。
在此背景下,網(wǎng)絡(luò)安全審查制度出爐并從云服務(wù)入手��,說明了國(guó)家對(duì)本土的測(cè)評(píng)技術(shù)��、體系����、標(biāo)準(zhǔn)和云計(jì)算基礎(chǔ)設(shè)施的認(rèn)可。有分析認(rèn)為��,隨著審查制度的進(jìn)一步落地����,服務(wù)于政府和國(guó)企的云計(jì)算服務(wù)領(lǐng)域料將掀起一輪國(guó)產(chǎn)化的趨勢(shì)。
但我們需要認(rèn)識(shí)到�,中國(guó)的網(wǎng)絡(luò)安全審查制度將“無國(guó)別”實(shí)施。劉多指出�,對(duì)發(fā)現(xiàn)存在安全隱患的網(wǎng)絡(luò)產(chǎn)品和服務(wù),不論是外國(guó)企業(yè)還是中國(guó)境內(nèi)企業(yè)��,都一視同仁�����,都要遵從�����、適應(yīng)這一管理制度的實(shí)施���。
王軍也表示:“網(wǎng)絡(luò)安全審查并不是貿(mào)易保護(hù)���,無論是國(guó)內(nèi)產(chǎn)品還是國(guó)外產(chǎn)品,只要符合我國(guó)的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)����,就能夠進(jìn)入市場(chǎng)自由流通。”
這意味著���,網(wǎng)絡(luò)安全審查制度并不是貿(mào)易保護(hù)�����,國(guó)產(chǎn)云計(jì)算服務(wù)想要攻城略地�,就必須明白“打鐵還需自身硬”����。
我們知道,對(duì)純國(guó)產(chǎn)化產(chǎn)品十分鐘情的浪潮���,其國(guó)產(chǎn)天梭K1主機(jī)系統(tǒng)采用的仍然是安騰處理器����,對(duì)此張東解釋說,面向關(guān)鍵業(yè)務(wù)的系統(tǒng)���,首先要保證其性能和可靠性����、可用性����,這說明本土技術(shù)缺失存在差距。
在云計(jì)算方面�����,根據(jù)CSDN通過數(shù)據(jù)解讀�����,本土云服務(wù)商的實(shí)力仍然稍遜一籌����。
亞馬遜網(wǎng)絡(luò)服務(wù)全球市場(chǎng)副總裁Ariel Kelman表示����,用戶采用AWS的一個(gè)原因是因?yàn)轶w驗(yàn)��,“因?yàn)橥ㄟ^使用AWS服務(wù)之后可以有好的體驗(yàn)�。我們知道提升用戶體驗(yàn)是沒有捷徑可走的��,必須不斷的積累經(jīng)驗(yàn)�����,這跟我們出售軟件和硬件是一樣的�����,要有一個(gè)積累的過程�����。”
因此��,我們確實(shí)還有很長(zhǎng)的路要走���。
近期中國(guó)部分網(wǎng)絡(luò)安全大事件
2014年5月16日���,中央國(guó)家機(jī)關(guān)政府采購(gòu)中心發(fā)出通知��,要求國(guó)家機(jī)關(guān)進(jìn)行信息類協(xié)議供貨強(qiáng)制節(jié)能產(chǎn)品采購(gòu)時(shí)����,所有計(jì)算機(jī)類產(chǎn)品不允許安裝Windows8操作系統(tǒng)���,業(yè)界認(rèn)為安全可控的保障是主要原因����。
2014年3月19日至5月18日�,2077個(gè)位于美國(guó)的木馬或僵尸網(wǎng)絡(luò)控制服務(wù)器,直接控制了我國(guó)境內(nèi)約118萬臺(tái)主機(jī)��。
2014年2月27日��,中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組成立����,習(xí)近平親自擔(dān)任組長(zhǎng),并提出“沒有網(wǎng)絡(luò)安全就沒有國(guó)家安全��,沒有信息化就沒有現(xiàn)代化”�。
2013年6月�,斯諾登事件爆發(fā)�,暴露出美國(guó)利用掌握的互聯(lián)網(wǎng)基礎(chǔ)資源和信息技術(shù)優(yōu)勢(shì),大規(guī)模實(shí)施網(wǎng)絡(luò)監(jiān)控���,大量竊取政治��、經(jīng)濟(jì)���、軍事秘密以及企業(yè)��、個(gè)人敏感數(shù)據(jù)����。
