多管齐下 构建国家信息安全保障体系

  【智慧城市】一个有效的国家信息安全保障体系的建立,不仅需要国家相关的法律法规,更在于所有体系内成员的共同努力。
  
  盲目崇拜与追求效益信息安全认识存误区
  
  与近期美国政府以安全为由阻止中国企业华为、中兴进入美国市场不同,中国市场目前几乎向包括美国在内的国外企业畅开着大门。究其原因,主要是有些机构和企业,为了短期的高效快捷和经济效益,而忽视国家长远的安全利益,在网络设计、采购、构建以及管理上,盲目相信外国企业,并让其发挥主导作用,从而为信息安全埋下了重大隐患。技术上的落后也许不是最要命的,而思想上的盲目崇拜和管理上的迟滞才是信息安全面临的更深层次,也是更为严重的威胁。
  
  信息安全专家、中国计算机学会常务理事、北京启明星辰公司首席战略官潘柱廷为此告诉记者:“所有的计算机和网络相关产品都存在漏洞,没有一家企业能够采用相应的技术和产品来证明自己的产品是绝对安全的,高价不代表高安全。”
  
  潘柱廷的判断不是没有道理。据记者了解,2005年7月12日,承载着超过200万用户的北京网通ADSL和LAN宽带网,突然大面积中断。对此,北京网通负责人称,网络中断根源于互联网路由器。而自中国互联网骨干网从架网开始,大部分使用的都是美国思科的路由器设备,包括硬件和软件。
  
  更令人担忧的是,在现有思科路由器产品中,仍然在使用上世纪70年代的加密算法DES(dataencryptionstandard,数据加密标准),这种算法已经被多次证明不再安全,能用穷举搜索法对DES算法进行攻击。即使一台普通的PC机,也能够在10分钟内完成DES算法的破解。
  
  对此,中国工程院院士、中科院计算所研究员倪光南对记者表示:“从客观水平上来看,在网络设备领域,华为、中兴等国产产品已经完全可以和思科相媲美,重要的是,我们的产品比他们便宜,性价比更高。但是由于一些观念上的原因,以及在招投标方面存在的不合理之处,很多单位在采购的时候却会倾向于采购思科这些进口设备。事实上,并非国外的东西才是好的,这是认识上的误区。”
  
  除了我国很多政府机构和企业对当前信息网络安全问题的认识严重迟滞外,相关法规制度缺失,管理体系不健全、网络安全监管不到位等问题也普遍存在。
  
  重量不重质标准体系仍缺失
  
  说到相关法规及管理体系,工信部信息安全协调司相关报告显示,仅在涉及个人信息保护方面,相关法规条文就已经众多,其中涉及个人信息保护的法律有将近40部,最高人民法院出台了10条个人信息保护相关的司法解释,国务院发布的有关个人信息保护的法规约有30部,而各大部委颁布的相关部门条例、管理办法、规定更是多达近200部,这还不包括各省级以下政府颁布的区域性政策和规定。
  
  “尽管相关法规众多,但这些文件大多针对具体问题,并未形成体系,在基础网络信息安全保护领域,更缺少明确的、体系化的法律文本。”某业内人士向记者表示。
  
  “此外,法规众多,涉及的主管部门也很多,很可能形成‘人人有责’却‘人人不管’的尴尬局面。”该人士对记者补充道。
  
  例如在中国,国外软件可以用在哪儿、什么地方必须使用国产软件、什么机构除了做好网络安全还需要物理隔离,对于这些问题的管理策略,国内目前还没有机构对此做出统一规定。
  
  对此,中国工程院院士、中科院计算所研究员倪光南表示:“在政府采购、公共采购上,现阶段可以参考的法律是2001年的《政府采购法》和《招标投标法》,但是这两部法律对政府采购的界定比较模糊,具体来说就是一个项目的采购不知是由《政府采购法》还是《招标投标法》审核。”
  
  通过对多位业内人士的采访,记者发现,虽然在信息安全保障上,我国的相关法规数量较之前有了很大增长,但仍不乏空白,交叉重复的现象也时有发生,给相关企业带来了困惑。
  
  多维度建设限购和迁移国外产品
  
  随着时代的发展,信息安全建设已经成为一项系统化、体系化的复杂工程,需要从计算机硬件、网络设备、软件等多个方面加强安全防护工作,涉及物理层、系统层、网络层、应用层等各个层面。长期以来,国内在计算机芯片、操作系统、网络等关键领域缺少具备自主知识产权的成熟产品,包括电信、金融、能源等重要领域在内的各类信息系统只能采用进口的设备。因此,所谓的信息安全保障体系从某种意义上来说只能是“空中楼阁”。
  
  针对上述现实,有业内专家告诉记者:“应加快信息安全立法进度,完善我国信息安全法律体系,要将《信息安全法》尽快纳入国家立法规划中,尽快推进《信息安全条例》的出台;做好基础性的信息安全法律体系构建工作,要从完善国家信息安全组织体系、建立国家信息安全技术保障体系等多方面进行全面规划和不断完善;对涉及国家安全、国计民生、社会稳定的关键基础设施和重要信息系统及信息资源的安全保障制定专门的法规加以规范;构建和完善我国信息安全的监管体系;在《政府采购法》规定范围内实行强制性认证,未获得强制性认证证书和未加贴中国强制性认证标志的产品体系不得进入政府采购领域。”
  
  对此,互联网专家方兴东告诉记者:“针对国家信息安全,网络安全立法、对现有网络设备的更替以及对现有网络的安全审查等,都是可行的方法。比如近期联通公司对江苏无锡节点思科设备的成功搬迁,虽然只是一个节点,但也是一个良好的开始。另外,在性能相差无几的情况下,优先采购中国企业自己的产品也可从根本上解决我国信息安全隐患,是构建信息安全保障体系的最佳选择。”
  
  事实上已经有越来越多的国内声音发出,呼吁政府、相关企业采购设备时更多支持国内企业,尽可能少地采用思科等国外的设备。
  
  可以说,信息安全保障不仅牵涉到用户的利益,更事关国家的信息安全,因此亟需产业链各方的积极参与,共同推动产业发展。业内人士指出:“产业化道路是构建国家安全保障体系的必然选择,国家需要打造以市场为导向,以政策和法规为支撑的一整套信息安全保障模式,形成政府重视、企业投入、用户积极的良性循环机制,惟有如此国内信息安全保障体系才能不断完善,并发挥应有的作用。”

原创文章,作者:智慧城市,如若转载,请注明出处:https://www.zhihuichengshi.cn/xinwenzixun/wuliannews/4456.html