国家信息中心专家委员会副主任宁家骏告诉记者,“棱镜门”为我们的全社会上了一堂非常生动的、新的技术背景下的信息安全课。
据记者了解,“棱镜门”对国内各大运营商的影响很大,各方的压力都非常大,接下来各运营商内部可能都会有“去思科化运动”。
宁家骏说:“以前谈到网络信息安全,我们比较重视政治思想领域,特别是意识形态方面的问题,比如一些反动的、敌对势力的不良言论,我们下了很大的功夫,处理得比较得当,但是对于基础网络和重要信息系统的安全,就显得重视程度不够了,经济社会民生方面的信息重视不够,甚至有些忽视。而这次的‘棱镜’计划,它的主要目的并非是政治原因,并不是说是西方反动势力的政治渗透,而更多的是出于经济目的。”
应采取“数据过境流管理办法”
宁家骏认为,基础网络和重要信息系统的安全必须尽快得到重视,基础网络包括电信、广播电视、电网,目前还是有自主可控安全保障能力不足的问题;而重要信息系统的安全,主要包括金融、保险、交通、能源等,似乎认识也不足。
“美国通过蠕虫病毒就破坏了伊朗的核设施非常轰动。而我们在交通、能源等方面使用的硬件、软件大量都是国外的产品和服务,一旦发生对峙甚至战争,就会存在被他国直接破坏的可能性。”宁家骏说,“再比如,现在很多外资银行掌握了很多我们国内优质客户的资源,但是目前外资银行在中国采集的数据是可以不设防地进出国门的。而很多国家都有‘数据过境流管理办法’,在本国采集的数据是要经过管理和控制、报备和审查才能发送至他国。”
“去年,我们还与思科谈了一个战略合作协议,要联手搞‘智慧城市’,还好最后考虑到安全问题没有真正进行。”国内某市经济和信息化委员会的相关负责人告诉记者,“因为有专家提醒,如果与美国公司合作建设智慧城市,这个城市的任何信息从技术层面来讲美国政府都可以轻易获取。”
国货替代的契机与必须
“针对基础网络建设和信息化应用中的采购环节,为了避免信息泄露,政府行业的用户应该严格按照国家相关规定,优先采用本国研发和设计的产品,这不只是在中国,同时也是国际惯例。‘棱镜’事件更应该让我们认识到,这种选择不仅是一项简单的规定,更是一种责任。”国家审计署计算机技术中心主任王智玉告诉记者,审计署信息系统无论是硬件还是软件,都选用了非常多的国产自主知识产权的品牌,特别是一些重要环节。
“坦率地讲,国外IT企业起步较早,技术确实有优势,我们很多政府和公司,常常会想,买就买个最好的吧。”曙光公司总裁历军告诉记者,“但是,我敢肯定地说,在绝大多数情况下,中国企业的产品已经完全可以满足中国社会经济发展的需要了,华为交换机卖到全球,曙光的超级计算机全球排在前列了。中国IT技术水平已经达到了国际先进水平,虽然与国际领先水平还有一些差距,但在一般情况下,完全能够满足我国信息化建设的要求。”
锐捷网络副总裁刘弘瑜也非常自信:“中国信息产业经过十多年大力自主创新,国内厂商生产的设备,无论是技术、质量还是价格,基本可以替代国外的产品,甚至是替代国外的高端产品。”他说。
确实,经过入世十年以来的发展,我国已成为全球电子信息产业大国。电子信息产品制造业规模占全球总量30%以上,居世界第一。
但是,宁家骏认为,要避免风险,并不是简单的一概不用就解决问题了,这也不现实。“应该做到疏堵结合,一方面坚持开放,筛选出国外安全的产品和技术,同时要加强严格管理,如果有一些产品和设备确实无法实现国产化替代,那就要使用和管理上严格规范。比如,在重要的部门一定要求关闭远程端口,而且要经过有关部门的测试。”
宁家骏还提示,安全说到最终是人的问题。即使你用了国产的设备,但是如果管理人员外泄,一样会造成严重的后果。另外,也要警惕“假国货”,有的产品号称是自主产品,但其实是由国外产品改头换面而来。
“虽然经过多年的发展,我们国家的信息技术已经取得了非常不俗的成绩,也成长了一大批成功企业,但是核心技术受制于人的局面没有完全摆脱,我们在核心技术上的创新才是真创新,我们要鼓励这种真创新。”
工信部的一个司难以牵头管理
据记者了解,政府和重点行业部门在信息建设过程中所参照的法律,主要是2001年制定的《政府采购法》和《招标投标法》,但遗憾的是,其中的很多内容,已经很难适应日新月异的网络时代了,而且这两部法律对政府采购国产化产品的界定比较模糊。
网络空间战略研究所所长秦安就曾多次警示,“八大金刚”普遍采取了在中国寻找代理人的策略,与其结成“利益共同体”,并利用其巨大影响力,包括各级官员“政绩心态”在内的各种条件,形成了中国各级政府“不设防”甚至是欢迎的态度,直接造成“八大金刚”长驱直入事关国计民生的核心枢纽重地。
除了立法上的因素,当前我们国家信息安全管理体制仍然处在多头管理、难以协调的状态。记者在采访中也发现,似乎很难找到相应的政府部门去获得权威的信息安全数据。
“现在我们国家是把信息安全分成两类,一是信息技术安全,主要归工信部管理;二是信息内容安全,主要归国务院信息办管理,当然主要是关注意识形态方面的问题,但是信息内容安全要比意识形态内容丰富得多,比如经济社会领域的各种数据,一旦被人拿走做了大数据挖掘分析,可能会泄露非常多和非常重要的信息。”一位不愿具名的接近工信部的人士向记者透露。
“与此同时,目前有多个国家部门都会涉及信息安全的管理工作,现在名义上是由工信部牵头,协调公安部、安全部、国家机密局、国家密码管理局和最权威的国务院信息办进行管理,但是,和这些‘被协调’的部门相比,工信部是个弱势部门,实际上根本协调不了什么的。把这么重要的工作,只是放在工信部的一个司,已经非常不能适应当前的形势要求了。”上述人士说。
这位人士还强烈建议,要想不再因为类似“棱镜门”让中国如此紧张,从根本上解决中国信息安全令人堪忧的局面,就应该尽快成立国家级的权威的信息安全部门,比如美国就是由直接向总统汇报的国土安全部来管理,韩国也是如此。“在信息安全管理上一定要坚持一元化,不能多头管理;一定要依法管理,不能政策只在中央。”