在信息安全事件屢發(fā)的促動(dòng)下,我國(guó)政府和企業(yè)對(duì)網(wǎng)絡(luò)安全的重視提升到了一個(gè)全新的高度,中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組的成立,就是其中最好的注解。在各方加以重視的同時(shí),我們也需要從技術(shù)與實(shí)踐的角度,來反思網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的嚴(yán)峻性,以及如何應(yīng)對(duì)的問題。
反思一:監(jiān)管體系不能“流于表面”
NSA事件發(fā)生后,大家不僅對(duì)美國(guó)的行為感到震驚,也對(duì)國(guó)內(nèi)相關(guān)部門和企業(yè)的網(wǎng)絡(luò)安全防范能力感到擔(dān)憂。在“亡羊補(bǔ)牢”過程中,我們不要僅僅著眼于加強(qiáng)網(wǎng)絡(luò)安全保障措施,而是需要對(duì)整個(gè)網(wǎng)絡(luò)安全監(jiān)管體系的完善加以更多的思考。
實(shí)際上,我國(guó)以往對(duì)網(wǎng)絡(luò)安全已經(jīng)采取了相關(guān)的監(jiān)管措施,但還有很大的提升空間。國(guó)家信息技術(shù)安全研究中心總工程師李京春就指出,以往我國(guó)只是對(duì)網(wǎng)絡(luò)進(jìn)行表層化管理,主要包括功能符合檢測(cè)和低層面的安全審查。目前網(wǎng)絡(luò)產(chǎn)品和服務(wù)逐漸向深層次發(fā)展,若繼續(xù)沿用以前的監(jiān)管辦法,就很可能會(huì)出現(xiàn)網(wǎng)絡(luò)監(jiān)管漏洞,進(jìn)而給國(guó)家安全和用戶安全造成損失。
因此,許多專家紛紛指出,要更進(jìn)一步認(rèn)識(shí)到網(wǎng)絡(luò)安全監(jiān)管的重要性和必要性,從源頭上杜絕網(wǎng)絡(luò)安全風(fēng)險(xiǎn)隱患,確保公共安全和國(guó)家網(wǎng)絡(luò)空間安全。例如國(guó)家信息中心專家委員會(huì)主任寧家駿就明確表示,政府應(yīng)該對(duì)任何與信息安全有關(guān)的企業(yè)進(jìn)行審查,建立好全面監(jiān)管的體系。中國(guó)工程院院士倪光南也指出,對(duì)網(wǎng)絡(luò)產(chǎn)品和服務(wù)的提供商、運(yùn)營(yíng)商和服務(wù)商進(jìn)行審查,還能促使企業(yè)規(guī)范行為標(biāo)準(zhǔn),提高服務(wù)質(zhì)量,進(jìn)而推進(jìn)信息產(chǎn)業(yè)更加健康有序的發(fā)展。
我們高興的看到,目前網(wǎng)絡(luò)安全已經(jīng)納入了“頂層設(shè)計(jì)”的范疇。從政府相關(guān)部門,到各行業(yè)主管機(jī)構(gòu),已經(jīng)從全局的角度,開始對(duì)網(wǎng)絡(luò)安全保障問題,進(jìn)行各方面、各層次、各要素統(tǒng)籌規(guī)劃,逐步完善網(wǎng)絡(luò)信息安全制度。5月22日,國(guó)務(wù)院新聞辦公室正式對(duì)外宣布,我國(guó)將對(duì)關(guān)系國(guó)家安全和公共利益的系統(tǒng)使用的重要技術(shù)產(chǎn)品和服務(wù)進(jìn)行網(wǎng)絡(luò)安全審查。此次網(wǎng)絡(luò)安全審查制度將針對(duì)重要信息技術(shù)產(chǎn)品及提供者,重點(diǎn)審查產(chǎn)品的安全性和可控性,以防產(chǎn)品提供者非法控制、干擾、中斷用戶系統(tǒng),非法收集、存儲(chǔ)、處理和利用用戶有關(guān)信息。對(duì)不符合安全要求的產(chǎn)品和服務(wù),將不得在中國(guó)境內(nèi)使用。政府部門的相關(guān)舉措,與業(yè)內(nèi)專家普遍共識(shí)的“建立完善的監(jiān)管體系”這一觀點(diǎn),顯得不謀而合。
反思二:選擇設(shè)備不能只看性能指標(biāo)
一名網(wǎng)絡(luò)安全資深專家曾經(jīng)表示,安全圈流行一句話:“系統(tǒng)只存在兩種狀態(tài):已經(jīng)被攻破和即將被攻破。”這句話雖然有些令人難以接受,但充分說明了網(wǎng)絡(luò)安全防范的難度。
要知道,網(wǎng)絡(luò)是一個(gè)龐大而復(fù)雜的體系,其操作系統(tǒng)的代碼甚至達(dá)到千萬(wàn)行級(jí),在上面不僅運(yùn)行著六千多個(gè)標(biāo)準(zhǔn)協(xié)議,還有諸多廠商定義的功能。要保證這一體系的安全可靠,讓外界難以攻破,就需要網(wǎng)絡(luò)系統(tǒng)具備足夠安全能力。這種安全能力不僅僅只針對(duì)網(wǎng)絡(luò)安全設(shè)備,而是涉及到IT系統(tǒng)的所有硬件和軟件。
需要注意的是,IT設(shè)備是否安全,很多時(shí)候并不體現(xiàn)在具體的性能指標(biāo)上,而是與整個(gè)產(chǎn)品的設(shè)計(jì)思路、研發(fā)生產(chǎn)、服務(wù)保障等各個(gè)環(huán)節(jié)息息相關(guān)。有些產(chǎn)品在對(duì)外宣稱的參數(shù)、功能貌似很不錯(cuò),并不能代表其能通過實(shí)踐的嚴(yán)峻考驗(yàn)。
因此,這就要求企業(yè)在選擇網(wǎng)絡(luò)設(shè)備時(shí)多加以考慮,在關(guān)鍵IT系統(tǒng)的選擇時(shí),要把“安全可靠”作為第一原則,選擇經(jīng)過了長(zhǎng)期和廣泛的實(shí)踐檢驗(yàn),證明具備足夠安全可靠能力的產(chǎn)品,并充分考慮廠商自身的安全技術(shù)整體能力。從廠商角度來說,對(duì)這一問題也應(yīng)加以足夠重視,并制定具體舉措,給用戶提供更加安全可靠的產(chǎn)品和方案。
反思三:勿要陷入“唯資本論”誤區(qū)
斯諾登曝光的機(jī)密文件,將許多知名國(guó)際IT企業(yè)推到了輿論“風(fēng)口浪尖”,包括微軟、谷歌、蘋果等等。與此同時(shí),國(guó)內(nèi)也掀起了一股“國(guó)產(chǎn)化”、“去IOE”的話題風(fēng)潮。許多人認(rèn)為,通過國(guó)產(chǎn)化替代,可以解決“棱鏡”籠罩中國(guó)的問題。
在這一點(diǎn)上需要注意的是,不要將網(wǎng)絡(luò)安全的解決方法僅僅寄托在是否“國(guó)產(chǎn)”上。一方面來說,在當(dāng)前的全球化時(shí)代,資本的流動(dòng)性是常態(tài),國(guó)內(nèi)知名IT企業(yè)多有外資背景。僅僅用資本屬性來衡量,并不能說明企業(yè)的能力和誠(chéng)信。另一方面,國(guó)產(chǎn)化設(shè)備也沒有絕對(duì)性,在當(dāng)前全球供應(yīng)鏈模式下,很多零配件的源頭也無(wú)法真正實(shí)現(xiàn)國(guó)產(chǎn)化,任何設(shè)備都不能保證絕無(wú)漏洞,NSA入侵某國(guó)內(nèi)知名網(wǎng)絡(luò)設(shè)備商服務(wù)器就是例證。
因此,在選擇IT設(shè)備時(shí),要結(jié)合廠商的安全能力、安全可控和安全誠(chéng)信等三個(gè)方面來綜合判定。中國(guó)工程院院士方濱興建議,可以針對(duì)市面流通的信息技術(shù)產(chǎn)品,進(jìn)行“白名單”強(qiáng)制認(rèn)證,只有符合安全標(biāo)準(zhǔn)的產(chǎn)品才能入市。這種審查只是一種技術(shù)評(píng)估,不影響普通用戶的利益。這種審查認(rèn)證,也會(huì)進(jìn)一步促進(jìn)國(guó)內(nèi)外企業(yè)的安全誠(chéng)信。真正可控可信的企業(yè),對(duì)這種審查也會(huì)持支持態(tài)度。
只有擺脫“國(guó)產(chǎn)化”的局限性,在全球化的背景下,推動(dòng)更多的IT能力中心進(jìn)入中國(guó),實(shí)現(xiàn)安全與技術(shù)進(jìn)步兼顧,在自主可控的基礎(chǔ)上,積極發(fā)展自己的網(wǎng)絡(luò)產(chǎn)業(yè),提升自主創(chuàng)新能力,掌握核心技術(shù),才能更好地保障網(wǎng)絡(luò)安全和國(guó)家安全,實(shí)現(xiàn)信息化和現(xiàn)代化。
習(xí)近平總書記在中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組第一次會(huì)議上明確表示:“沒有網(wǎng)絡(luò)安全就沒有國(guó)家安全,沒有信息化就沒有現(xiàn)代化。”網(wǎng)絡(luò)安全問題,已經(jīng)升級(jí)到信息化建設(shè)中的最核心位置。對(duì)未來的網(wǎng)絡(luò)安全策略加以思考,制定出更加有效的舉措,將為今后我國(guó)的網(wǎng)絡(luò)安全保障,尋找到一個(gè)更為穩(wěn)妥的立足點(diǎn)。
核心關(guān)注:拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請(qǐng)注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:風(fēng)險(xiǎn)頻發(fā)后的信息安全反思
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/10839515401.html