1、信息安全“本质”是自主可控如能用国产的就应该用国产的,对进口的则要进行安全审查,这都可以说是增强“本质安全” 。 大数据时代的信息安全话题,现在是一个新热点。 但实际上,信息安全问题并没有因为大数据的兴起而发生本质的变化,不过由于大数据的发展使信息系统及其应用所涉及的数据规模越来越大,对数据安全性的要求越来越高。在这个意义上可以说,大数据对信息安全提出了更高的要求,我们需要比以前的任何时候都更加重视信息安全。 说到我国的信息安全,不能回避的一个事实是,中国在 IT 领域有很多关键技术以及关键零部件受制于国外。 一般来说,人们在考虑信息安全措施的时候往往倾向于只考虑信息安全的防护措施,例如防病毒
2、和木马软件、防火墙、内外网隔离等,但如果信息系统本身的软硬件有后门、有漏洞,外加安全措施可能无济于事。 所以我们必须高度重视信息系统本身软硬件的安全问题,尤其是基础软硬件、核心设备等更是影响重大。正因为如此,有人提出“本质安全”的概念,强调信息系统本身所使用的软硬件和设备的信息安全问题。为此,我们历来主张要做到自主可控,如能用国产的就应该用国产的,对进口的则要进行安全审查,这都可以说是增强“本质安全” 。 但需要注意的是,国产化可以做到自主可控,但不等于安全。信息安全的特殊性是一定存在一个“第三方” ,即威胁方,它不是一成不变的。今天系统是安全的,不等于明天还是安全的,因为可能出现了新的攻击,
3、需要有新的防御手段去对付,因此,保障信息安全是一项长期的任务,是贯穿信息系统全生命周期的任务,需要持之以恒。那为什么要强调自主可控呢?因为自主可控是一个前提、一个基础,这样可以保证没有后门,而且一旦发现漏洞可以及时修补,使自己处于主动地位,总的效果是容易保障信息安全。否则的话,想做到保障信息安全往往是空谈。有人主张“安全可控” 、 “安全可靠” 、 “自主可控、安全可信” ,这些要求都是正确的,但比自主可控的要求更高。所以,可以把自主可控作为基本要求和前提,在此基础上能再提高当然更好。 其实这里面还有一个深层次问题,那就是为什么我们研发、创新了这么多年,在这些关键零部件、关键技术上还会受制于外
4、国呢? 这个问题要从两个角度考察。第一,在关键技术、零部件上我们已经取得了很大的突破,问题主要是在推广方面。例如以软件来说,国产软件很多已达到或接近发达国家水平,但是由于软件的“自然垄断性” ,再加上崇洋迷外心理和“使用进口出问题不会追究责任”的潜规则的影响,使国产软件很难推广。而且大家知道,很多重要的技术突破的成败,不能用短期的经济效益来衡量。空客公司 30 年才赢利,如果到 29 年时欧盟嫌它没有盈利而下马,那就没有今天的空客了。事实上,往往我国突破了某项技术,发达国家就会大大降低这项技术的价格,甚至不计成本大降价,用作反制的手段,使我们的技术难以推广。所以,很多技术虽有突破但短期不易推广
5、、不能赢利是不足为奇的。第二,有些方面我们的基础较差,确实需要再坚持若干时间才能最后成功,这时更不要轻易下结论,更不要轻易地放弃,眼光要放得远些,只有长远的眼光才能利于我们建设长远的事业。 由于历史的原因,对国产信息安全产品有很多消费者不信任,甚至在一些消费者观点中,用了国产安全产品反而更有风险感,这种倾向如不纠正,国产信息安全产品永远也不可能发展成熟。有关部门应当从国家利益出发,从长远利益出发加以引导,可以制定一些相应的法规制度,例如对进口产品和服务进行审查就是其中的一项。任何国家都是偏向本国企业的,认为要和国际接轨就不能偏本国企业,甚至要偏外国企业,这是天真的、单方面的、不切实际的想法。
6、也不是说一切都不要外国的,我们还是需要向国外学习。关键在于学习什么,我认为就目前来说,我们应当学习国外先进的信息安全产品和服务的安全审查机制。 过去我国并没有可以与发达国家相比拟的信息安全产品和服务的安全审查机制。如果细分一下,这种机制应该有两部分,一是对进口设备、器件、软件和服务等进行信息安全审查,二是对出口设备、器件、软件和服务等进行信息安全审查。前一部分如美国对华为、中兴通信设备的审查,后一部分如发达国家对我国的某些技术进行封锁。显然,这两部分工作过去我们都没有做,现在应当向发达国家学习这些我们不足的方面,予以弥补,以期在日后实现飞跃。 保障信息安全是国家的战略。十八大提出高度关注网络空
7、间安全就是将它提到国家战略的高度,网络空间安全与信息安全是同一范畴,这里讲的安全不是人身安全、交通安全的那种安全,而是含有攻防对抗的那种安全,在英语中前者是“safety” ,或者是“security” ,在中文中目前不大区分这两者,实际上是很不相同的概念。 除了在国家层面要重视信息安全外,企业也要将信息安全放到重要地位。发达国家的大企业很多都设有 CSO 这个职位,专门负责企业的信息安全,有时还受国家信息安全主管部门的领导。每个人因工作的不同,对信息安全的认识、责任等不能一律要求。但在今天的信息社会,个人即使不承担任何机构的工作,没有任何工作义务,就是单独一人,不想侵犯别人,他也不能完全无视
8、信息安全,例如他个人的信息、隐私权有可能受到侵犯,这时他也应当知道如何保护自己。 从根本上来说,信息安全也是一个国家的主权。 但一个遗憾的现实是,在把信息安全视为主权第一部分这方面我们的认识还很不够,我们需要向发达国家学习这种看问题的角度和意识。 比如我们过去往往只看到海、陆、空、天这四个边疆,现在我们知道了还有另一个网络空间的边疆,同等重要,不能忽视。有了认识,还需要法规制度的保证和组织的落实。此外,需要发展相应的技术作为物质保障。总之,维护网络空间安全,维护信息主权是当前一个重要的、艰巨的任务。 一个不可否认的事实是,现在信息安全领域的人才数量和质量还远远不能满足实际需求,有人提议在学科设置上对此加以重视是有道理的。例如,海、陆、空、天这四个边疆中都有信息安全的问题,但我们还是要强调网络空间这个边疆,这个边疆的斗争主要就是围绕信息安全的攻防斗争,所以我们要把培养信息安全领域人才的问题提高到为五大边疆之一培养人才的高度,这样,我们当然有责任培养出更多、更好的信息安全领域的人才。 (本文根据本刊记者专访内容整理)
