由“斯諾登”事件所引發(fā)的網(wǎng)絡(luò )與信息安全話(huà)題在持續發(fā)酵。

今年2月，中央網(wǎng)絡(luò )安全和信息化領(lǐng)導小組宣告成立，習近平總書(shū)記親自擔任組長(cháng)。習近平總書(shū)記在領(lǐng)導小組第一次會(huì )議上就明確指出“沒(méi)有網(wǎng)絡(luò )安全就沒(méi)有國家安全，沒(méi)有信息化就沒(méi)有現代化”，這也標志著(zhù)網(wǎng)絡(luò )與信息安全保護已提升至國家戰略高度。

網(wǎng)絡(luò )安全問(wèn)題涉及到國家安全，這就勢必要求在國家層面對敏感領(lǐng)域安全系統進(jìn)行重新審視，對相關(guān)系統提供商的安全性、產(chǎn)品安全性和市場(chǎng)地位安全性等方面重新審核。的確，監管部門(mén)也正在醞釀推出網(wǎng)絡(luò )安全審查制度，要對關(guān)系國家安全的信息系統中使用的產(chǎn)品與服務(wù)進(jìn)行測試評估、檢測分析和持續監督。

但需要指出的是，借保護網(wǎng)絡(luò )信息安全名義、炒作式的的“去IOE”、“去思科化”，并不能實(shí)現真正的國家網(wǎng)絡(luò )與信息安全。面對龐雜的網(wǎng)絡(luò )系統和爆炸性增長(cháng)的數據，僅僅“根正苗紅”是不夠的。是否具備強大的健壯的產(chǎn)品與系統構架能力？研發(fā)、產(chǎn)品等核心能力能否實(shí)現本土化與國家可控？是否能夠做到誠信坦蕩、積極主動(dòng)接受?chē)业陌踩珜彶槟?？總結下來(lái)，在自主可控的大背景之下，系統廠(chǎng)商要想做出自己更大的貢獻，就要看他們在從安全能力、安全可控、安全誠信這個(gè)“鐵人三項賽”中，到底能夠走多遠。

安全可靠：IT界第一原則

IT技術(shù)的進(jìn)步在改善產(chǎn)業(yè)環(huán)境的同時(shí)，也帶來(lái)了些煩惱。以網(wǎng)絡(luò )系統為例，其正在變得越來(lái)越龐雜，動(dòng)輒千萬(wàn)行級的操作系統代碼、廠(chǎng)商定義的數千項功能、超過(guò)6000多項的標準協(xié)議。

要想實(shí)現網(wǎng)絡(luò )安全，就必須能夠琢磨透這些龐雜的環(huán)境，對于任何廠(chǎng)商而言，這都是個(gè)無(wú)法回避的巨大挑戰。同樣，所有國家和任何行業(yè)在關(guān)鍵IT系統的技術(shù)選擇均把“安全可靠”作為第一原則。

“安全可靠”作為一種能力，不等同于企業(yè)的資本屬性，只有長(cháng)期和廣泛的實(shí)踐才能檢驗。雖然，目前很多國內廠(chǎng)商在安全產(chǎn)品、技術(shù)以及服務(wù)能力不斷發(fā)力，但是大部分依舊缺乏實(shí)力和積累，在關(guān)鍵技術(shù)領(lǐng)域，部分國產(chǎn)品依舊無(wú)法替代舶來(lái)品，哪怕技術(shù)實(shí)力相當，整體替換和搬遷也是個(gè)耗時(shí)耗資的巨大工程。

因而，需要理性進(jìn)行國產(chǎn)力量的扶持，在審查企業(yè)網(wǎng)絡(luò )產(chǎn)品是否安全時(shí)，應重在實(shí)踐中檢驗安全可靠。

國家信息技術(shù)安全研究中心李京春就指出，對發(fā)現存在安全隱患的網(wǎng)絡(luò )產(chǎn)品和服務(wù)，不論是外國企業(yè)還是中國境內企業(yè)，都需一視同仁，都要遵從適應新網(wǎng)絡(luò )安全審查制度的實(shí)施，滿(mǎn)足國家關(guān)鍵基礎設施和重要信息系統的安全性能要求。

中國工程院院士方濱興也表示，網(wǎng)絡(luò )安全審查過(guò)程除要求多個(gè)相關(guān)部門(mén)協(xié)助外，還將引入第三方專(zhuān)業(yè)的檢測機構和專(zhuān)家組參與，保證過(guò)程的客觀(guān)公正；對于進(jìn)入政府機構、交通、電力、金融等重要領(lǐng)域的產(chǎn)品，需要建立“黑名單”制，不僅對技術(shù)也對企業(yè)背景進(jìn)行審查，保障國家信息安全；而對于在市面流通的信息技術(shù)產(chǎn)品，需進(jìn)行“白名單”強制認證，只有符合安全標準的產(chǎn)品才能入市。這種審查只是一種技術(shù)評估，普通用戶(hù)的利益不會(huì )受到影響。

安全可控：能力中心在中國

除了安全能力之外，CEC中國信息安全研究院副院長(cháng)左曉棟還表示，網(wǎng)絡(luò )安全審查內容絕不單單是一個(gè)單純的技術(shù)性的審查。而是將考量各種指標和因素。包括對企業(yè)聲譽(yù)，背景審查、公司資質(zhì)，“將從多角度衡量產(chǎn)品和提供商的可控性與安全性。”

中國信息安全測評中心總工王軍也指出，在信息產(chǎn)品進(jìn)入市場(chǎng)前，需對用戶(hù)信息安全進(jìn)行技術(shù)審查，同時(shí)對該產(chǎn)品是否對國家安全造成影響、是否會(huì )產(chǎn)生壟斷等社會(huì )經(jīng)濟安全影響進(jìn)行評估；已進(jìn)入市場(chǎng)的信息產(chǎn)品也并非絕對安全，補丁和升級都可能帶來(lái)新的安全隱患，因此同樣需要監控。

由此可見(jiàn)，安全可控也是衡量企業(yè)網(wǎng)絡(luò )產(chǎn)品是否安全的因素之一，而要做到安全可控，企業(yè)所需具備的是能力中心在中國，具體表現在企業(yè)核心人員在中國，研發(fā)、生產(chǎn)制造、服務(wù)等業(yè)務(wù)能力中心在中國等。與此同時(shí)，還要企業(yè)遵從所在國家的法律法規，做到國家可控，具體表現在核心技術(shù)和知識產(chǎn)權的轉移及授權使用中國可控，企業(yè)的關(guān)鍵行為遵從中國可控，稅收、就業(yè)核心貢獻在中國。

因而，我們也需要認識到，依據企業(yè)資本無(wú)法判定IT產(chǎn)品是否安全可控。安全可控性同樣是要在保障中國國內重大事件中的實(shí)踐中得到檢驗，需要得到國家多部門(mén)的驗證和認可。

安全誠信：從源代碼到硬件平臺

工業(yè)和信息化部電信研究院副院長(cháng)劉多指出，中國的網(wǎng)絡(luò )安全審查制度將“無(wú)國別”實(shí)施，網(wǎng)絡(luò )安全審查制度主要目的是為了維護安全，但網(wǎng)絡(luò )安全審查制度不是行政許可，也不是對所有的設備和服務(wù)進(jìn)行審查。

據劉多介紹，開(kāi)展網(wǎng)絡(luò )安全審查，要依靠權威專(zhuān)業(yè)檢測機構對信息技術(shù)產(chǎn)品和服務(wù)進(jìn)行技術(shù)審查，要依托專(zhuān)家力量深入開(kāi)展專(zhuān)家論證，以及對企業(yè)的誠信和安全背景等進(jìn)行審查，從而綜合評判和認定帶有安全風(fēng)險的信息技術(shù)產(chǎn)品和服務(wù)。

在劉多的話(huà)語(yǔ)中，誠信是個(gè)關(guān)鍵點(diǎn)。的確，誠信也是整個(gè)商業(yè)社會(huì )和國家信息安全戰略的關(guān)鍵點(diǎn)。

這就是要企業(yè)做到誠信坦蕩，積極主動(dòng)接受?chē)业陌踩珜彶?。主觀(guān)上絕不做危害國家信息安全的事情，客觀(guān)上積極主動(dòng)接受?chē)抑鞴懿块T(mén)的全方位審查，從源代碼到硬件設計。企業(yè)、開(kāi)發(fā)者需對所著(zhù)代碼安全性作出終身有效的承諾，愿意對審查開(kāi)放并受中國法律約束和保護。

需要指出的是，在全球化的背景下，資本是全球化流動(dòng)的，企業(yè)的資本屬性是變化的，包括阿里巴巴等國內知名IT企業(yè)都多有外資背景。在全球化的背景下，單純的“出身論”并沒(méi)有多大實(shí)際意義，只有推動(dòng)更多的IT能力中心進(jìn)入中國，保證安全與技術(shù)進(jìn)步兼顧，才能實(shí)現信息化和現代化。而國際化身份有利于企業(yè)全球市場(chǎng)拓展、促進(jìn)技術(shù)創(chuàng )新和進(jìn)步，保持技術(shù)領(lǐng)先。

國家網(wǎng)絡(luò )與信息安全的征途，就像一場(chǎng)沒(méi)有終點(diǎn)的“鐵人三項賽”，只有將安全能力、安全可控和安全誠信三者結合，才能更科學(xué)判定一個(gè)企業(yè)及其產(chǎn)品是否符合網(wǎng)絡(luò )安全的需求，才能切實(shí)保障國家的網(wǎng)絡(luò )安全。

相關(guān)閱讀：中國將出臺網(wǎng)絡(luò )安全審查制度 或推進(jìn)信息安全廠(chǎng)商本土化

網(wǎng)絡(luò )安全防御是一項需要長(cháng)期堅持的工程