风险频发后的信息安全反思

风险频发后的信息安全反思

过去一年来,信息安全成为了频频见诸于媒体的公众话题,“棱镜门”曝光、携程网用户支付信息漏洞、支付宝漏洞、小米用户资料泄露、NSA入侵中国政企……,频发的信息安全事件的背后,信息安全风险严峻性不言而喻。

在信息安全事件屡发的促动下,我国政府和企业对网络安全的重视提升到了一个全新的高度,中央网络安全和信息化领导小组的成立,就是其中最好的注解。在各方加以重视的同时,我们也需要从技术与实践的角度,来反思网络安全风险的严峻性,以及如何应对的问题。

反思一:监管体系不能“流于表面”

NSA事件发生后,大家不仅对美国的行为感到震惊,也对国内相关部门和企业的网络安全防范能力感到担忧。在“亡羊补牢”过程中,我们不要仅仅着眼于加强网络安全保障措施,而是需要对整个网络安全监管体系的完善加以更多的思考。

实际上,我国以往对网络安全已经采取了相关的监管措施,但还有很大的提升空间。国家信息技术安全研究中心总工程师李京春就指出,以往我国只是对网络进行表层化管理,主要包括功能符合检测和低层面的安全审查。目前网络产品和服务逐渐向深层次发展,若继续沿用以前的监管办法,就很可能会出现网络监管漏洞,进而给国家安全和用户安全造成损失。

因此,许多专家纷纷指出,要更进一步认识到网络安全监管的重要性和必要性,从源头上杜绝网络安全风险隐患,确保公共安全和国家网络空间安全。例如国家信息中心专家委员会主任宁家骏就明确表示,政府应该对任何与信息安全有关的企业进行审查,建立好全面监管的体系。中国工程院院士倪光南也指出,对网络产品和服务的提供商、运营商和服务商进行审查,还能促使企业规范行为标准,提高服务质量,进而推进信息产业更加健康有序的发展。

我们高兴的看到,目前网络安全已经纳入了“顶层设计”的范畴。从政府相关部门,到各行业主管机构,已经从全局的角度,开始对网络安全保障问题,进行各方面、各层次、各要素统筹规划,逐步完善网络信息安全制度。5月22日,国务院新闻办公室正式对外宣布,我国将对关系国家安全和公共利益的系统使用的重要技术产品和服务进行网络安全审查。此次网络安全审查制度将针对重要信息技术产品及提供者,重点审查产品的安全性和可控性,以防产品提供者非法控制、干扰、中断用户系统,非法收集、存储、处理和利用用户有关信息。对不符合安全要求的产品和服务,将不得在中国境内使用。政府部门的相关举措,与业内专家普遍共识的“建立完善的监管体系”这一观点,显得不谋而合。

反思二:选择设备不能只看性能指标

一名网络安全资深专家曾经表示,安全圈流行一句话:“系统只存在两种状态:已经被攻破和即将被攻破。”这句话虽然有些令人难以接受,但充分说明了网络安全防范的难度。

要知道,网络是一个庞大而复杂的体系,其操作系统的代码甚至达到千万行级,在上面不仅运行着六千多个标准协议,还有诸多厂商定义的功能。要保证这一体系的安全可靠,让外界难以攻破,就需要网络系统具备足够安全能力。这种安全能力不仅仅只针对网络安全设备,而是涉及到IT系统的所有硬件和软件。

需要注意的是,IT设备是否安全,很多时候并不体现在具体的性能指标上,而是与整个产品的设计思路、研发生产、服务保障等各个环节息息相关。有些产品在对外宣称的参数、功能貌似很不错,并不能代表其能通过实践的严峻考验。

因此,这就要求企业在选择网络设备时多加以考虑,在关键IT系统的选择时,要把“安全可靠”作为第一原则,选择经过了长期和广泛的实践检验,证明具备足够安全可靠能力的产品,并充分考虑厂商自身的安全技术整体能力。从厂商角度来说,对这一问题也应加以足够重视,并制定具体举措,给用户提供更加安全可靠的产品和方案。

反思三:勿要陷入“唯资本论”误区

斯诺登曝光的机密文件,将许多知名国际IT企业推到了舆论“风口浪尖”,包括微软、谷歌、苹果等等。与此同时,国内也掀起了一股“国产化”、“去IOE”的话题风潮。许多人认为,通过国产化替代,可以解决“棱镜”笼罩中国的问题。

在这一点上需要注意的是,不要将网络安全的解决方法仅仅寄托在是否“国产”上。一方面来说,在当前的全球化时代,资本的流动性是常态,国内知名IT企业多有外资背景。仅仅用资本属性来衡量,并不能说明企业的能力和诚信。另一方面,国产化设备也没有绝对性,在当前全球供应链模式下,很多零配件的源头也无法真正实现国产化,任何设备都不能保证绝无漏洞,NSA入侵某国内知名网络设备商服务器就是例证。

因此,在选择IT设备时,要结合厂商的安全能力、安全可控和安全诚信等三个方面来综合判定。中国工程院院士方滨兴建议,可以针对市面流通的信息技术产品,进行“白名单”强制认证,只有符合安全标准的产品才能入市。这种审查只是一种技术评估,不影响普通用户的利益。这种审查认证,也会进一步促进国内外企业的安全诚信。真正可控可信的企业,对这种审查也会持支持态度。

只有摆脱“国产化”的局限性,在全球化的背景下,推动更多的IT能力中心进入中国,实现安全与技术进步兼顾,在自主可控的基础上,积极发展自己的网络产业,提升自主创新能力,掌握核心技术,才能更好地保障网络安全和国家安全,实现信息化和现代化。

习近平总书记在中央网络安全和信息化领导小组第一次会议上明确表示:“没有网络安全就没有国家安全,没有信息化就没有现代化。”网络安全问题,已经升级到信息化建设中的最核心位置。对未来的网络安全策略加以思考,制定出更加有效的举措,将为今后我国的网络安全保障,寻找到一个更为稳妥的立足点。