网络安全审查制度将出台:国产云计算的初步胜利

针对中国网络安全审查制度将出台的消息,国家信息技术安全研究中心总工李京春解读称,这是我国云计算基础设施的成熟带来的契机,今年将以云计算平台安全测试作为工作试点。

5月22日,国家互联网信息办公室发布消息称,我国将实行网络安全审查制度,重点审查信息技术产品的安全性和可控性,防止产品提供者利非法控制、干扰、中断用户系统,非法收集、存储、处理和利用用户有关信息,以确保我国的公共安全和国家网络空间安全。

“之所以现在出台此项制度,主要是因为我国的测评技术、体系、标准等均已成熟。我们云计算基础设施已经完备,今年我国将以云计算平台安全测试作为工作试点,制定云计算安全标准,主要从安全技术要求和服务能力标准两个方面进行审查,从中找出安全短板,进而尽快弥补安全漏洞。”李京春说。

(图片来自人民网)

国之所需,民之所向

所谓网络安全审查,即对信息系统中使用的信息技术产品与服务进行测试评估、监测分析、持续监督的过程。欧美、日本等发达国家早已针对信息安全的全链条建立了详尽的审查体系,对涉及国家重大战略层面的信息技术产品进行评估。

2000年,美国率先在国家安全系统中对采购的产品进行安全审查,随后陆续针对联邦政府云计算服务、国防供应链等出台了安全审查政策,实现了对国家安全系统、国防系统、联邦政府系统的全面覆盖。其要求为联邦政府提供云计算服务的服务商,必须通过安全审查、获得授权,其基础设施必须位于美国境内;并要求联邦政府各部门不得采用未经审查的云服务。

相比之下,我国在网络安全审查方面的制度仍是一片空白。但另一方面,近年来,我国的网络安全事件却在不断增加,网络安全风险不断加大,斯诺登事件的影响之深远,更是无人不知,国家互联网信息办公室发言人姜军专家认为,建立网络安全审查制度刻不容缓。

“信息安全现已成为国家安全的重要一环,进行网络安全审查是信息技术发展的必然趋势。”中国工程院院士方滨兴说。

工业和信息化部电子科学技术情报研究所总工程师尹丽波更是直言,美国的“八大金刚”(微软、思科、高通等8个美国公司)在我国的市场产量占有很多比例,如果我们做了审查,至少可以保证它没有被植入后门,也确保这些被用在政府部门、企业等的重要产品不会非法收集信息、非法控制数据。

国家互联网信息办公室发言人姜军也表示,网络和信息技术产品是否安全、是否可控,事关国家安全,事关中国经济社会健康发展,事关广大人民群众合法权益不受侵犯。他指出,近年来,我国政府部门、机构、企业、大学及电信主干网络遭受大规模的侵入、监听,深受其害。

中国信息安全评测中心总工程师王军则认为,随着智能手机等信息产品的普及,民众对信息产品的安全性也越来越重视。但是,由于第三方约束机制的缺乏,许多厂商对产品的安全属性不够重视,有的甚至“店大欺客”,明知产品有安全缺陷,却拒不更改;更有部分厂商在产品中埋“后门”,窃取用户信息和数据,由此带来的用户隐私泄露等问题近年来时有发生。

对于这样利国利民的需求,在信息化刚刚开始的时候,我们没有意识到,以致造成被动的局面。但现在云计算的蓬勃发展带来了信息系统重构的浪潮,本土的云计算服务提供商也在技术上和服务上崛起,正是实施网络安全审查的好时机。

如何落实?

对于制度的具体实施,工业和信息化部电信研究院副院长刘多表示,结合国情,落实网络安全审查制度可以有多种方式。开展网络安全审查,要依靠权威专业检测机构对信息技术产品和服务进行技术审查,要依托专家力量深入开展专家论证,以及对企业的诚信和安全背景等进行审查,从而综合评判和认定带有安全风险的信息技术产品和服务。

中国工程院院士方滨兴说:“审查制度将由国家互联网信息办公室主管,全国信息安全标准化技术委员会具体落实,审查过程除要求多个相关部门协助外,还将引入第三方专业的检测机构和专家组参与,保证过程的客观公正。”

“网络安全审查应包括事前审查、事中监测和事后惩处三部分。”中国信息安全测评中心总工程师王军指出,在信息产品进入市场前,需对用户信息安全进行技术审查,同时对该产品是否对国家安全造成影响、是否会产生垄断等社会经济安全影响进行评估;已进入市场的信息产品也并非绝对安全,补丁和升级都可能带来新的安全隐患,因此同样需要监控。

方滨兴认为,根据其他国家的经验,应针对宏观战略和微观技术两方面分别采取不同措施。对于进入政府机构、交通、电力、金融等重要领域的产品,需要建立“黑名单”制,不仅对技术也对企业背景进行审查,保障国家信息安全;而对于在市面流通的信息技术产品,需进行“白名单”强制认证,只有符合安全标准的产品才能入市。这种审查只是一种技术评估,普通用户的利益不会受到影响。

CEC中国信息安全研究院副院长左晓栋解释说,审查的内容绝不单单是一个单纯的技术性的审查。而是将考量各种指标和因素。他举例称,包括对企业声誉,背景审查、公司资质,“将从多角度衡量产品和提供商的可控性与安全性。”

云之胜利,云之机遇

目前,国外的云计算企业纷纷在中国落地生根:2013年7月,IBM宣布与首都在线合作,在中国引入其公有云业务;2013年12月18日,亚马逊在北京宣布设立亚马逊AWS中国区域云计算平台服务;2014年3月,微软宣布由世纪互联负责运营的Microsoft Azure公有云服务正式商用。

此外,2014年初,IBM、思科、HP等公司纷纷表态将投资超过10亿美元进行云计算投资,也将中国市场视为重要市场。

同时,本土商场也在努力,在本周举行的第六届中国云计算大会上,不论浪潮这样的老牌基础设施提供商和电信、联通、移动等运营商转型的云服务商,还是百度、阿里、腾讯、新浪、搜狐等云计算新贵,都极力阐释其开放性,希望打造属于自己的云生态系统。

在此背景下,网络安全审查制度出炉并从云服务入手,说明了国家对本土的测评技术、体系、标准和云计算基础设施的认可。有分析认为,随着审查制度的进一步落地,服务于政府和国企的云计算服务领域料将掀起一轮国产化的趋势。

但我们需要认识到,中国的网络安全审查制度将“无国别”实施。刘多指出,对发现存在安全隐患的网络产品和服务,不论是外国企业还是中国境内企业,都一视同仁,都要遵从、适应这一管理制度的实施。

王军也表示:“网络安全审查并不是贸易保护,无论是国内产品还是国外产品,只要符合我国的网络安全标准,就能够进入市场自由流通。”

这意味着,网络安全审查制度并不是贸易保护,国产云计算服务想要攻城略地,就必须明白“打铁还需自身硬”。

我们知道,对纯国产化产品十分钟情的浪潮,其国产天梭K1主机系统采用的仍然是安腾处理器,对此张东解释说,面向关键业务的系统,首先要保证其性能和可靠性、可用性,这说明本土技术缺失存在差距。

在云计算方面,根据CSDN通过数据解读,本土云服务商的实力仍然稍逊一筹。

亚马逊网络服务全球市场副总裁Ariel Kelman表示,用户采用AWS的一个原因是因为体验,“因为通过使用AWS服务之后可以有好的体验。我们知道提升用户体验是没有捷径可走的,必须不断的积累经验,这跟我们出售软件和硬件是一样的,要有一个积累的过程。”

因此,我们确实还有很长的路要走。

近期中国部分网络安全大事件

2014年5月16日,中央国家机关政府采购中心发出通知,要求国家机关进行信息类协议供货强制节能产品采购时,所有计算机类产品不允许安装Windows8操作系统,业界认为安全可控的保障是主要原因。

2014年3月19日至5月18日,2077个位于美国的木马或僵尸网络控制服务器,直接控制了我国境内约118万台主机。

2014年2月27日,中央网络安全和信息化领导小组成立,习近平亲自担任组长,并提出“没有网络安全就没有国家安全,没有信息化就没有现代化”。

2013年6月,斯诺登事件爆发,暴露出美国利用掌握的互联网基础资源和信息技术优势,大规模实施网络监控,大量窃取政治、经济、军事秘密以及企业、个人敏感数据。