自“斯诺登”事件以来,关于信息泄露带来的恐慌像病毒一样快速席卷全球,包括德国、英国、法国等在内的多个国家都笼罩在隐私被窥的阴影之下。在中国,NSA监测中国政企事件的后续曝光,让信息安全危机持续发酵,一场由国家、企业、个人多方关注的信息安全保卫战正在拉响。
其中,最值得关注的即是2014年2月,国家成立了以习近平主席为小组组长的“国家网络安全与信息化领导小组”,首次把网络安全与信息化建设提到并重的位置,网络与信息安全保护正式上升至国家战略高度。
事实上,信息安全本身涉及的范围非常大,它包括如何防范国家、商业企业机密泄露、防范青少年对不良信息的浏览、个人信息的泄露等。要真正保障信息安全,除了国家出台相关战略和政策,加强顶层设计,更需要厂商、用户、机构组织等多方努力。因此,建立一个适合国情的信息安全生态圈,显得尤为重要。
国家间的信息化战争
追溯信息安全对国家安全的重要意义,最早可见诸于1991年的海湾战争。在以美国领导的‘沙漠风暴’行动中,美国将带有病毒的芯片装入伊拉克电脑打印机,进而侵入伊拉克指挥中心主机,轻而易举的摧毁了伊拉克通讯能力。伊拉克俨然成为信息战的试验场,这也是最早的被国际社会公认的信息化战争。
当然,这一堪称大片的战争化情景并非时刻发生。在和平时期,国与国的信息化战争往往是一场没有硝烟的战争。信息强国往往通过技术手段,探窥一个国家的经济、文化、政治等多种信息,实现所谓“国家利益最大化”。美国用棱镜门的丑闻告诉世界,通过有效的监控,美国获取他国隐私可以如此简单。而中国作为全球最大的经济体之一,自然成为被他人窥视的一大目标,国内某厂商受NSA监控长达7年之久,以此获取国家领导人、相关企业相关信息,便是例证。
事实上,信息安全一直是世界各国共同关注的焦点。在严峻的信息安全挑战面前,各国都加强了信息安全维护力量,采取各种措施防范信息安全对国家安全和社会稳定所带来的威胁。
在信息安全防护层面,不得不承认,美国绝对是国际“大拿”。作为信息产业最发达的国家,美国历来将信息安全视作维护国家安全的重要环节,也是世界上第一个引入信息战概念的国家,其信息安全法制建设的萌芽可以追溯到1946年,自1978年以来,美国国会及政府各部门先后通过了130余项相关法律法规。同时,美国发布了“网络安全国家战略”和“确保信息安全的国家战略”以此确保国家信息安全,已具备了一整套信息安全防范体系。
不仅如此,因其美国在互联网世界真正的主宰力量,美国积极推行互联网战略的实质,就是利用其向世界各国推销政治、商业和文化价值观,谋求美国最大的政治、商业和文化利益。因此,美国也历来重视打击危害信息安全的犯罪行为,并坚持随形势的变化,不断强化信息安全的法律保护。目前,美国正在采取措施改变主要依赖于企业应对信息网络威胁的防护模式,转由军队来直接保障信息网络安全。
此外,法国、英国、日本等多个西方国家也都从法律、制度、机构建制等多方面保障国家网络安全。相比之下,我国的信息安全产业在行业核心技术、关键装备和应用创新方面以及信息产业链上下游行业综合实力、产品成熟度、产品国际市场占有率等方面,与国际先进水平相比差距都较大。而在相关信息安全策略的制定上,直至今年,关于信息安全的议题才正式上升至国家战略层面,在立法、行政、公民意识、安全组织建设等方面,还都不够完善。IDC中国曾经对比过一个数字,13年中国所有行业的信息安全建设投入占整个IT支出约为1%,而美国的投入占到整个IT支出的9%左右,是我国的9倍。
由此可见,面对严峻的信息安全保卫形势,我国要从根本上保障信息安全,必须调整步伐,从多方入手,建立一个适合中国国情的安全产业生态圈。其中,政府、厂商、用户作为安全产业链的主要参与者,自然是信息安全生态圈的建设主力。
政府:完备审查,多方监管
政府作为信息安全的顶层实施者,在信息安全生态圈建设中担当着至关重要的角色。针对以往的网络表层化管理,政府需制定一套适合当前技术发展的完整网络安全审查和监督体系。
首先,扩大审查内容。审查的内容不仅需要包括技术安全指标,还需对企业声誉,背景审查、公司资质、公司诚信等方面进行多指标的审查和考量。借助完备的审查体系,确保国家对IT产品应用的有效可控。
其次,要进行多类型厂商的统一审查。信息安全涉及多个服务环节,要更好的保障信息安全,需要对对网络产品和服务的提供商、运营商和服务商进行统一审查。无论是国外企业还是国内企业,都需要一视同仁,采用统一管理制度。
最后,发动多方力量,实现专业审查机构、第三方检测机构与业内专家的多方互动,完备审查过程。中国工程院院士方滨兴曾表示,审查制度将由国家互联网信息办公室主管,全国信息安全标准化技术委员会(信安标委)具体落实,审查过程除要求多个相关部门协助外,还将引入第三方专业的检测机构和专家组参与,保证过程的客观公正。
目前,从政府相关部门,到各行业主管机构,已经从全局的角度,开始对网络安全保障问题,进行各方面、各层次、各要素统筹规划,逐步完善网络信息安全制度,力图在顶层建设一个良好的信息安全屏障。
厂商:加强IT能力,重视实践检验
在信息安全生态圈中,IT厂商可谓是国家信息安全中的基石。以美国为例,在以上层国家战略、法律、制度、价值观、先进技术共同组成的信息安全生态圈中,以思科、Juniper、瞻博网络等全球领先技术商的技术支撑功不可没。
因此,加强厂商安全可靠的IT能力是构建安全生态圈的重要一面。不同于企业其他资质,厂商的安全可靠能力需要多方锤炼,产品设计、生产、测试、市场投放等众多环节都是考验厂商IT能力的试金石。
同时,厂商技术和产品是否可靠,往往还需要进行市场的深层检验。国内一些厂商虽然在技术上不断精进,产品却缺乏长期市场检验,仅仅依靠品牌效应使产品匆匆上马,极易导致信息安全隐患。因此,经过大量市场和用户检验的产品,往往具备相对安全可靠的IT能力。
用户:追本看品质
用户可以说是整个信息产业下游支撑者,是信息产业的终端消费群体。信息的安全与否,直接关乎用户生产及作业环节安全。以政府用户为例,我国以往一些政府网站虽然投入巨资建设,但是技术设备门槛低下,存在大量可被恶意篡改的安全漏洞,对信息安全产生了极大威胁。
因此,用户在进行IT建设过程中,无需考虑供应商是国外的还是国内的,只需要关注其产品及技术是否足够安全可靠。要选择那些企业诚信度好、产品得到众多应用、服务精良的厂商,从源头上保障IT应用的安全。
安全生态圈制胜“第五维”战场
国内有信息安全专家指出,信息安全已成为继海、陆、空、天后的“第五维”战场。可见,信息安全保卫战对未来国家及个人的重要意义。一个没有隐私的国家,显然是没有安全可言的。
在全新“第五维”战场中,借助政府、IT厂商、终端用户等多方互动,形成一个适合我国基本国情的完整信息安全生态圈,实现生态圈的良性互动,显然是制胜信息保卫战的关键。未来,我国需纳入安全产业链多方利益相关者,实现上下游紧密合作,才能在任重道远的信息安全生态圈建设中取得胜利。
|