降了立法层面之外,专家也建议,中国应建立更加立体化的国家网络信息安全评估保障机制。
一位资深行业人士说,中国一直没有真正着手信息安全体系,更多是由于历史原因。
“就最基础的通信设备和网络设备来说,中国最早是没有自己的工业基础的,在上个世纪90年代以前,基本上都是依赖进口,而且在早期我们还处于大发展阶段,每年都需要兴建大量的网络,在那个阶段,对系统设备的要求基本上只有最低的要求:能用就行。”该人士说,虽然当年的信产部及后来的工信部,都设立了入网检测机构与检测程序,但这一程序也更多是对于设备可用性的检测,对信息安全的评估并没有提到最为重要的等级。
但随着时代变化,当各国的信息通信流量爆涨,并全面渗透进入政府、军事、商业、工业与公众服务的各个环节之后,信息安全的作用变得日益重要。
“信息安全关系到国家的政治安全、经济安全、文化安全、国防安全和社会稳定,尤其网络信息安全已经成为事关国家安全的第一安全,信息技术产业的发展也就直接关系对国家安全的基本保障能力。”工信部软件与集成电路促进中心主任邱善勤说,当前,世界各国都将信息技术和信息安全的自主可控能力与维护国家安全的能力紧密联系在一起,控制与反控制的斗争甚至已经对国与国之间的外交、经贸等关系产生了重要影响。
与此同时,信息安全事故的破坏性越来越大,信息安全问题也越来越成为焦点。近两年来,微软、亚马逊、谷歌等企业纷纷发生重大信息安全事故,“震网”病毒更给伊朗造成巨大损失。信息安全事故频发,也引起了各国政府的高度重视。比如在美国,奥巴马将网络安全问题视为最严重的国家经济和国家安全挑战之一,提出将数字基础设施视为国家战略资产予以保护,并组建了网络战司令部。日本则通过了《保护国民信息安全战略》,重点加强铁路、金融系统重要信息基础设施的安全防范。
“这也是为什么利益相关方以信息安全为借口指控中兴华为时,美国各方立刻高度紧张的原因。”前文提及资深行业人士说。
问题在于,由于过去在开放环境下的高速发展,中国过去是既没有行业标准,也没有法律要求,没有合格的检测机构,对于信息安全成体系的评估监管,尤其在设备领域,几乎是一个空白。该人士说,在此过程中,过去政府对行业基本没有做强制性的规范,也缺乏强制手段和检测手段,而是把权放给了基础运营商,但在商业环境下,运营商所进行的检测乃至防范往往会不自觉地放松要求。
“所以,中国现在除了继续开放市场,积极与海外厂商合作外,也要注意保护与捍卫自己的核心利益与国家安全,重新改变政府与企业过去在对信息安全体系中的定位和分工。”陈金桥认为。
据《财经国家周刊》了解,中国从决策层到各个部委,在此之前就已开始意识到相关的风险,并开始考虑如何要进一步强化信息安全领域的管理,包括来自物理网络层面的国家安全和来自互联网传输过程中的个人信息安全。
威胁仍在
《财经国家周刊》获得的一份资料表明,以思科、微软等为主的美国IT公司,仍然占据着中国基础网络核心。目前,中国市场仍是思科全球范围内唯一没有占据垄断地位的区域市场,但这一市场主要份额,仍被思科和H3C两个美国公司占据。2011年,H3C销售收入14.6亿美元,而思科在华收入略低于H3C,约占思科全球收入3%。但有报道称,思科中国业务的利润高达思科整体利润的30%。
《财经国家周刊》获得的文件表明,思科网络设备广泛应用于中国信息网络关键领域,包括运营商骨干网络、医疗网络、航空和交通网络,乃至金融网络、政府网络,甚至于军队网络。
“值得警惕的是,包括思科、微软等在内的大多数美国公司,在中国占据了庞大的市场份额和商业机会的同时,一直没有向中国政府开放相关源代码,而这些美国公司在中国信息网络的关键领域,同样长期占有较大份额。”中国通信标准化协会理事、迈普通信CEO肖志辉对《财经国家周刊》表示,“中国政府应当为自身安全考虑,未来应对包括思科、微软在内的美国公司予以相应审查,以防范关键信息被窃取的事件继续发生。”与此同时,正在兴起的云计算业务中也存在类似风险。一位行业人士说,中小企业如果没有主机系统,只有一个服务的平台,大量的经济信息与商业秘密就会成半裸露状态呈现在云服务器上。为此,欧盟此前就有要求,在12到18个月之内,所有入云中小企业的信息都必须全部删除,而且不允许跨境传播。但外国的技术商向中国客户提供这一服务时,却一直在掩盖这一事实。公益律师董正伟也认为,中国执法机构、国家安全机构包括信息产业机构应尽快对这些产品采取必要的调查措施,“比如思科的产品,应用于我国核心政府以及其他关键领域时,不能保证其是否会通过后门收集情报。思科的设备已被应用在中国的许多关键领域,如果对思科的产品不加以审查或防范,一旦出现重大事故,将对国家和企业造成不可估量的损失。”这些担忧并非空穴来风。在此之前,《华尔街日报》对中兴华为受调查一事的评论就认为,“美国及其盟友不愿让华为进入美国是因为他们自己的经验告诉他们,进口的电子设备可以成为进行间谍和破坏活动的武器”,并认为美国军方和政府,曾利用其国内公司的产品,达成对他国的信息窃取和攻击,早已成为公开事实,比如美国情报机构就曾和以色列合作,利用微软多版本操作系统底层,创建蠕虫病毒Stuxnet并以此破坏了伊朗核电项目。
