咨询热线:010-58964027
当前位置:首页 >> 信息安全
信息安全保卫战
0
发布时间:2015-04-22

信息安全保卫战刚刚打响,热点问题、热点事件未来还会出现,有关战略规划还将进一步明晰,有关政策举措还将形成体系化,自主产业发展还将加快。不管怎样,为打造一个技术先进、产业领先、自主可控、安全可靠的网络强国,网络信息安全一定会成为牵引未来中国信息产业发展和信息化建设的主题和主线。

      今年以来,有关网络信息安全的话题持续升温,电台、电视台、报刊、网络连篇累牍,骤然形成舆论热点。尤其是中国国家互联网应急中心公布,自今年3月19日至5月18日,2077个位于美国的木马或僵尸网络控制服务器,直接控制了我国境内约118万台主机等相关数据源。中国互联网信息中心最近编辑出版的《美国是如何监听中国的——美国全球监听行动纪录》一书,触目惊心,让国民感觉到,我国网络与信息安全形势异常严峻。正是在这样的背景下,新一届中央网络与信息安全领导小组宣布成立,习近平主席在领导小组第一次会议上提出了我国的网络信息安全战略构想,相关主管部门迅速出台系列举措,社会各界普遍响应,表明我国网络信息安全保卫战正式打响。

制定国家战略 明确应对举措
      综合分析我国网络与信息安全存在的突出问题,关键是要解决“九龙治水”的混乱状态,做好顶层设计和统筹规划。为此,习近平主席在中央网络与信息安全领导小组第一次会议上强调指出,网络安全和信息化对一个国家很多领域都是牵一发而动全身的,要认清我们面临的形势和任务,充分认识做好工作的重要性和紧迫性,因势而谋,应势而动,顺势而为。网络安全和信息化是一体之两翼、驱动之双轮,必须统一谋划、统一部署、统一推进、统一实施。他进而强调,没有网络安全就没有国家安全,没有信息化就没有现代化。建设网络强国,要有自己的技术,有过硬的技术;要有丰富全面的信息服务,繁荣发展的网络文化;要有良好的信息基础设施,形成实力雄厚的信息经济;要有高素质的网络安全和信息化人才队伍;要积极开展双边、多边的互联网国际交流合作。建设网络强国的战略部署要与“两个一百年”奋斗目标同步推进,向着网络基础设施基本普及、自主创新能力显著增强、信息经济全面发展、网络安全保障有力的目标不断前进。
      根据习近平的重要讲话精神,相关主管部门正在积极制定国家网络与信息安全发展战略。在做好顶层设计的同时,有关部门也迅速出台具体措施:今年5月20日,中国政府采购网发布《中央国家机关政府采购中心重要通知》,明确规定所有计算机类产品不允许安装Windows 8操作系统;5月22日,国家互联网信息办公室宣布,中国即将推出网络安全审查制度,并指出少数国家政府和企业利用产品“单边垄断”和技术“独霸”优势,大规模收集敏感数据,对其他国家的网络空间安全造成巨大威胁。紧接着,5月26日,中国互联网新闻研究中心发表了《美国全球监听行动纪录》,首次系统地以官方出版物形式整理和披露美国对中国的长期监测。这也是“棱镜门”事件爆发近一年来,中国政府所属机构首次对涉及中国的监听窃密问题进行确认和表态。
   
做好安全审查 发展自主产业
       5月22日,国家互联网信息办公室发布消息称,为维护国家网络安全、保障中国用户合法利益,我国即将推出网络安全审查制度。明确对关系国家安全和公共利益的重要技术产品和服务,应通过网络安全审查。网络安全审查制度直接针对的对象就是肩负筑起网络安全框架的网络信息安全基础设施建设,此次明确推进网络安全审查制度瞄准产品和服务,就是原本网络审查更重内容审查而轻视基础设施安全审查的终结,取而代之的,则是针对网络信息基础设施以及产品内容和服务的全方位审查。
       其中,审查的重点在于该产品的安全性和可控性,旨在防止产品提供者利用提供产品之便,非法控制、干扰、中断用户系统,非法收集、存储、处理和利用用户有关信息,不符合安全要求的产品和服务,将不得在中国境内使用。
       中国的网络审查制度将由国家互联网信息办公室主管, 全国信息安全标准化技术委员会具体落实,审查过程除要求多个相关部门协助外, 还将引入第三方专业的检测机构和专家组参与。中国政府不仅要对从国外进口的产品进行安全审查,对国内的产品也一样要进行审查。无论是国内产品还是国外产品,只要符合中国的网络安全标准,就能够进入市场自由流通。
       “从技术层面看,网络安全审查要检查信息安全产品漏洞、后门等情况,但审查内容不能仅停留在技术层面上,还应上升到国家高度,对提供信息安全产品和服务的供应商背景进行调查。该背景包括是否受到外国军方、情报部门的影响,供应商的高级管理人员及技术研发人员是否曾有反人类言行、是否有犯罪前科等。对于供应商背景的调查,美国在信息安全审查中一直进行,我国的网络安全审查制度执行时也可以借鉴。只有全方位审查,才能保证国家重要部门和行业的信息技术产品和服务的信息安全。” 中国信息安全认证中心副主任陈晓桦说。
       据了解,欧美国家针对信息安全的全链条建立了详尽的审查体系。以美国为例,安全审查不仅局限于产品安全性能指标,还要审查产品的研发过程、程序、步骤、方法、产品的交付方法等。我国的网络审查制度将借鉴国外的成熟经验,并结合实际情况作出符合我国信息产业发展现状的规定。产品的安全性和可控性将成为审查重点。
      “网络安全审查应包括事前审查、事中监测和事后惩处三部分。” 中国信息安全评测中心总工程师王军表示,在信息产品进入市场前,需对用户信息安全进行技术审查,同时对该产品是否对国家安全造成影响、是否会产生垄断等社会经济安全影响进行评估;已进入市场的信息产品也并非绝对安全,补丁和升级都可能带来新的安全隐患,因此同样需要监控。
       而中国工程院院士方滨兴则指出,根据其他国家的经验,网络安全审查制度应针对宏观战略和微观技术两方面分别采取不同措施。对于进入政府机构、交通、电力、金融等重要领域的产品,需要建立“黑名单”制,不仅对技术也对企业背景进行审查,保障国家信息安全;而对于在市面流通的信息技术产品,需进行“白名单”强制认证,只有符合安全标准的产品才能入市。这种审查只是一种技术评估,普通用户的利益不会受到影响。
    
国内信息技术厂商面临新机遇
      审查是确保网络与信息安全的基本管理手段,研发安全可控技术、发展自主产业是关键。工业和信息化部总经济师周子学认为,我国存在的信息安全问题,核心是产业落后问题。由于发达国家信息技术产业发展较早,技术研发和产业控制能力更强,发展中国家、落后国家应用信息技术,自然受制于人,不管你采取什么管理手段,信息安全都不能完全保障。因此化解信息安全问题,关键的是解决产业落后问题。根据信息产业发展规律,我们不能全面开花,幻想在所有领域都赶超人家。但是,利用信息技术更新换代快的特点,结合我国产业积累,在一些关键点和核心部门攻关突围,形成竞争力是有可能的。只有在某些方面形成市场优势,才能与发达国家进行博弈。由此,在信息安全提升到国家战略的今天,国内信息技术厂商面临前所未有的发展机会。
       今年第一季度,我国信息产业发展呈现良好的发展态势。中国商情网2014年一季度中国规模以上工业生产主要数据显示,计算机、通信和其他电子设备制造业1至3月同比增长11.3%,其中3月同比增长15.3%,显示出加速增长的趋势。而与此同时,外资企业在华市场纷纷受到影响。截至2014年3月31日的这一财季,IBM第一季度营收为225亿美元,比去年同期的234亿美元下滑3.9%;净利润为23.84亿美元,比去年同期的30.32亿美元下滑21.4%。而来自市场研究公司Gartner的数据显示,2014年第一季度,IBM、HP和戴尔市场份额从2013年同期的49%降至38%,其中IBM x服务器的降幅高达25%。
       在国外厂商市场落潮的同时,宝德、浪潮、曙光这样的国产服务器厂商,开始准备全盘接手外资企业们留下的空白市场。
       在工信部的指导下,国产主机系统产业联盟宣告成立,这也是国内首个面向关键应用领域的IT产业联盟,共有联盟成员16家,涵盖了浪潮、中标软件、金蝶、达梦、锐捷网络等中国主要的IT软硬件企业,初步形成了完整的国产主机产业链。
       对于国家的网络安全来说,使用本国企业的产品,一定程度上可以避免网络技术产品中被恶意预留漏洞,危害国家安全。近年来,我国信息产业国产化趋势已经愈发明显。市场调查公司IDC 2014年4月份公布中国X86服务器市场数据显示,2013年中国X86服务器总销量为1474828台,同比增长12.6%,国内厂商以61%的市场份额连续第三年超过国外厂商。
       在品牌格局方面,戴尔取代IBM夺得销售额榜首,IBM销售额退至第二位,惠普位居第三。在国内厂商中,浪潮销售额位居第一,并保持较大领先优势,华为和联想分别位居第二和第三位。以浪潮为代表的国内服务器厂商正在加快抢占惠普、IBM等国际厂商的市场份额,2013年国际厂商市场份额下降4个百分点,且呈连续下降趋势,在过去4年中由53%下滑到了39%。
       浪潮2013年就启动了针对IBM市场以及营销体系展开的全面渗透、切入、接管,涉及X86业务、主机系统、云计算大数据、高性能计算产品线,涵盖行业拓展、优渠开发、项目迁移、人员接纳等多项细分计划,其实质就是蚕食和抢夺IBM的渠道、人才等各方面市场,最终目的是从IBM手中抢下20%中国市场份额。
      与往年相比,华为、联想、浪潮、曙光这4家X86服务器供应商也开始加大其高端产品的销售力度。以往国内厂商主要占据中低端、国外厂商占据高端的市场格局正在改变。

外企没有机会了吗?
       基于国家信息安全考虑,中国各行各业关键信息系统设备,实现国产替代应是大势所趋。然而,替代有个过程,尽管国内企业纷纷摩拳擦掌、跃跃欲试。但实际上很多系统对海外公司设备形成依赖,不可能马上更替。
       拿集中式架构来说,采用的多是闭源商用系统。也就是说,程序99%都是运行在1~2台服务器上,而且由外资软件服务商提供了应用程序以外的所有的“基础软件”,包括操作系统,中间件,数据库等。这些“基础软件”的源代码一般都是不公开的,且一般经过几十年的使用,这给替换带来了很大难度。
       而一般互联网企业使用的是分布式架构加开源系统。也就是说,程序同时运行在数十台至数万台服务器上,而且上面这些“基础软件”都是用公开源代码的软件修改而成的。
       尽管浪潮造势不小,但其自己也承认接管的是IBM的x系列业务,且不论x系列利润相对较低,而且已经卖给了联想,浪潮实际上是
要跟联想抢生意。
       此外,很多用户采购业界最好公司的产品其中一个重要原因是规避责任,而冒然选用并不成熟的国产产品会让企业负责人们承担很大压力。
       再看国内企业,联想目前提供的产品还局限在PC、服务器、工作站等硬件产品。华为虽然除存储、服务器产品外,还有自己的云服务,但在数据库中间件这些领域还没什么积累,要抗起国产化大旗还需在软件与服务方面加大力度。
       此外,针对信息技术产品及其供应商开展不同形式的网络安全审查,出发点并不是针对国外企业,只要国外企业独立经营,不承担美国政府收集信息情报和监听他国信息的职能,注重客户的信息安全问题,进一步开放技术合作,国外产品竞争优势依然存在。因此,“国外产品没有机会了”是一个伪命题。
      信息安全保卫战刚刚打响,热点问题、热点事件未来还会出现,有关战略规划还将进一步明晰,有关政策举措还将形成体系化,自主产业发展还将加快。不管怎样,为打造一个技术先进、产业领先、自主可控、安全可靠的网络强国,网络信息安全一定会成为牵引未来中国信息产业发展和信息化建设的主题和主线。

Tags:
  • 合作单位