一个有效的国家信息安全保障体系的建立,不仅需要国家相关的法律法规,更在于所有体系内成员的共同努力。
盲目崇拜与追求效益 信息安全认识存误区
与近期美国政府以安全为由阻止中国企业华为、中兴进入美国市场不同,中国市场目前几乎向包括美国在内的国外企业畅开着大门。究其原因,主要是有些机构和企业,为了短期的高效快捷和经济效益,而忽视国家长远的安全利益,在网络设计、采购、构建以及管理上,盲目相信外国企业,并让其发挥主导作用,从而为信息安全埋下了重大隐患。技术上的落后也许不是最要命的,而思想上的盲目崇拜和管理上的迟滞才是信息安全面临的更深层次,也是更为严重的威胁。
信息安全专家、中国计算机学会常务理事、北京启明星辰公司首席战略官潘柱廷为此告诉记者:“所有的计算机和网络相关产品都存在漏洞,没有一家企业能够采用相应的技术和产品来证明自己的产品是绝对安全的,高价不代表高安全。”
潘柱廷的判断不是没有道理。据记者了解,2005年7月12日,承载着超过200万用户的北京网通ADSL和LAN宽带网,突然大面积中断。对此,北京网通负责人称,网络中断根源于互联网路由器。而自中国互联网骨干网从架网开始,大部分使用的都是美国思科的路由器设备,包括硬件和软件。
更令人担忧的是,在现有思科路由器产品中,仍然在使用上世纪70年代的加密算法DES(data encryption standard,数据加密标准),这种算法已经被多次证明不再安全,能用穷举搜索法对DES算法进行攻击。即使一台普通的PC机,也能够在10分钟内完成DES算法的破解。
对此,中国工程院院士、中科院计算所研究员倪光南对记者表示:“从客观水平上来看,在网络设备领域,华为、中兴等国产产品已经完全可以和思科相媲美,重要的是,我们的产品比他们便宜,性价比更高。但是由于一些观念上的原因,以及在招投标方面存在的不合理之处,很多单位在采购的时候却会倾向于采购思科这些进口设备。事实上,并非国外的东西才是好的,这是认识上的误区。”
除了我国很多政府机构和企业对当前信息网络安全问题的认识严重迟滞外,相关法规制度缺失,管理体系不健全、网络安全监管不到位等问题也普遍存在。
重量不重质 标准体系仍缺失
说到相关法规及管理体系,工信部信息安全协调司相关报告显示,仅在涉及个人信息保护方面,相关法规条文就已经众多,其中涉及个人信息保护的法律有将近40部,最高人民法院出台了10条个人信息保护相关的司法解释,国务院发布的有关个人信息保护的法规约有30部,而各大部委颁布的相关部门条例、管理办法、规定更是多达近200部,这还不包括各省级以下政府颁布的区域性政策和规定。
“尽管相关法规众多,但这些文件大多针对具体问题,并未形成体系,在基础网络信息安全保护领域,更缺少明确的、体系化的法律文本。”某业内人士向记者表示。
“此外,法规众多,涉及的主管部门也很多,很可能形成‘人人有责’却‘人人不管’的尴尬局面。”该人士对记者补充道。
例如在中国,国外软件可以用在哪儿、什么地方必须使用国产软件、什么机构除了做好网络安全还需要物理隔离,对于这些问题的管理策略,国内目前还没有机构对此做出统一规定。
