赵小凡:信息安全是国家安全必要因素

  要想大国崛起,信息安全的空中壁垒必须固若金汤,坚不可摧。中国软件行业协会理事长赵小凡表示,国家安全有五个必要条件——政治、军事、经济、文化和信息,而信息安全是支撑另外四个安全的必要因素。国内更有信息安全专家指出,信息安全已成为继海、陆、空、天后的“第五维”战场。在这个“战场”上,拼的是国家与国家之间的IT“硬”实力和“软”实力,也是对涉及网络、服务器、软件等所有自主品牌厂商的一次“大考”。

  自“棱镜门”事件开始,近两年来,信息安全问题屡屡登上各大媒体头条,甚嚣尘上。关于信息泄露带来的恐慌如病毒一样快速席卷全球,多个国家都笼罩在隐私被偷窥的阴云之下。

  在中国,NSA监测中国政企事件的后续曝光,让信息安全危机持续发酵,一场由国家、企业、个人多方关注的信息安全保卫战已经拉响。

  中国政府对信息安全问题的重视程度空前。其中,最值得关注的即是2014年2月,国家成立了以习近平主席为小组组长的“国家网络安全与信息化领导小组”,首次把网络安全与信息化建设提到并重的位置,网络与信息安全保护正式上升至国家战略高度,成为国家意志。

  在实际行动方面,早在去年年底,我国金融系统内部就发起去“IOE”行动,呼吁国内银行放弃由IBM、Oracle和EMC的产品,尽量采购本土同类产品。今年5月下旬,国家互联网信息办公室公布出台了《网络信息安全审查制度》,规定凡是涉及国家安全和公共利益的所有的系统使用的信息技术产品和服务,都将进行安全审查。如今,国家对win8说不、对赛门铁克有问题产品实行“禁用”,足以可见国家对信息安全问题的重视程度正不断提高,对危害国家信息安全的软件和现象也是毫不手软。

  谁是信息窃取者的目标?

  政府

  网络信息安全如暴风骤雨般来袭,其中,服务器首当其冲。

  全球13台根服务器没有一台在中国,这使美国可以轻易掌握其他国家的网络信息流。在基础设施方面,关键芯片、路由器有较大比例来自国外,这一状况至今未能根本性改善,一旦国外在芯片、路由器上暗藏后门,造成的泄密隐患可想而知。

  5月26日,我国互联网新闻研究中心发布了《美国全球监听行动纪录》(以下简称“纪录”),美国实施窃密监听行动的具体细节可谓触目惊心。

  “纪录”内容显示,中国的政府机构是美国窃听的“重点关照”对象。白宫的一位外交政策助理曾透露,美国在1990年8月落成的中国驻澳大利亚新使馆的每间办公室的混凝土墙里,都埋设了光纤窃听器,这种细细的玻璃丝在全面安全检查中没有被发现。直到这件事在前些时候被泄露给《悉尼先驱晨报》和其他新闻媒体后,才引起中国的警觉。

  据德国《明镜》周刊报道,已被曝光的一份美国2010年的“监听世界地图”包含了世界90个国家的监控点,中国作为美国在东亚的首要监听对象,北京、上海、成都、香港及台北等城市,均在美国国家安全局重点监控目录之下。从2009年开始,美国国家安全局就开始入侵中国大陆和香港的电脑和网络系统,中国大陆和香港已有数百个目标受到监视。

  企业

  在中国软件行业协会财务及企业管理软件分会最近进行的《大型企业信息系统的国产化路径》调研中,安全、技术与成本已经成为大型企业当前信息化的最大挑战,也是他们愿意考虑选择国产软件的最重要的原因。

  这份针对127家大型企业CIO、信息化负责人以及高管的调研中,41%的大型企业信息化负责人认为,安全是当前信息化最大挑战,排在所有挑战的首位。而86%的大型企业负责人在信息化建设时会考虑到安全问题,尤其是棱镜门事件后。而信息系统建设的国产化是应对这些问题的有效手段。

  研究小组预计,未来三年,在大型企业的信息化建设中,国产软件和解决方案将会成为企业信息化的应用重点和投资热点。但调查结果显示,高达90% 的大型企业信息化负责人希望业界能够提供信息系统国产化的应用路径和成熟方法。

  在企业内,由于BYOD[Bring Your Own Device]和物联网趋势的出现,现在由信息安全官(CISO)定义的IT安全做法可能需要扩展。Gartner分析师Paul Proctor表示,这种扩展将会带来更复杂的安全管控工作。

  Paul Proctor表示,到2017年,三分之一的大型企业将会有一个“数字风险官”或者类似职位,现在很少有公司存在这种职位。数字风险官的职责是能够评估数字连接的各个方面,包括通过物联网的各种连接,以确保安全保护可以在必要时可以扩展到数百万设备。“数字风险官”需要弄清楚,并定义与企业进行的任何“数字创新”相关的风险。所有数字创新都将由数字风险官进行审核,同时数字风险官将负责监管首席信息安全官负责的传统任务,例如企业网络安全和合规性。

  民众

  2014年1月发布的《2014年我国信息安全产业发展形势展望》报告指出,移动互联网、云计算、大数据等新兴领域在自身快速发展的同时也给更广泛领域内的信息安全带来严峻挑战。

  从支付宝漏洞到小米手机用户信息泄露,上半年频发的信息安全事件显示,随着移动互联网兴起,用户包括身份、银行财产等相关数据和互联网应用绑定越来越紧密,泄露风险和威胁也越来越大。

  “没有信息安全,就没有国家安全。”信息是特殊的存在,信息安全不像实体安全那样,有真实的空间界线,虚拟的信息及其技术,可以无孔不入,也可以无孔不出。任何一个信息节点,都肩负安全责任。因此,不论是地方,还是企业、个人,都应当把信息安全举过头顶,放在第一位。

  强大IT 自主优先

  面对信息安全问题,全世界都在积极行动应对技术的变化。“棱镜门”等事件给我们一个启发:我们的信息系统必须建立在自主可控的技术平台上,只有这样,才是确保安全的一个前提和必要条件。如果系统是建立在国外的技术软件和硬件的基础上,要谈安全可靠的前提都不成立。我国信息安全的出路只有一条,那就是强大的IT产业,我们要构建技术过硬的国产软件、硬件乃至芯片,才能做到安全可靠。

  因此,我们要倡导自主优先。自主意味着掌握主动权、信息权。在信息化建设中,自觉采用国产产品和解决方案,大力发展自主可控信息技术,促进自主技术产业化。在研究核心技术的同时,也要通过其他的如中间件技术、系统架构技术、底层保护技术等办法,提升网络安全度。市场是创新的引擎,鼓励国产产品之间充分展开竞争,优胜劣汰。在一些可控的领域,鼓励自主产品与外来产品展开竞争,并且将信息安全列为竞争的首要条件。

  在全新的“第五维”战场中,我们必须要借助政府、IT厂商、终端用户等多方互动,抱团取暖,形成一个适合我国基本国情的完整信息安全生态圈,并实现生态圈的良性互动。这显然是制胜信息保卫战的关键。未来,我国需纳入安全产业链多方利益相关者,实现上下游紧密合作,才能在任重道远的信息安全生态圈建设中取得胜利。

 

上一篇:智能无惧挑战 山石网科轰动RSA2015

下一篇:中移动彭华熹:“端管云”协同防护终端安全