網(wǎng)絡(luò)安全不能止步于技術(shù)層面
發(fā)布時間:2015-04-09在國家高度重視和業(yè)界共同努力下,我國網(wǎng)絡(luò)安全和信息化產(chǎn)業(yè)實現(xiàn)了較快發(fā)展,產(chǎn)品體系逐漸健全,產(chǎn)品種類不斷豐富,產(chǎn)品功能逐步向多樣化、集成化、系統(tǒng)化方向發(fā)展。國內(nèi)網(wǎng)絡(luò)安全和信息化產(chǎn)業(yè)也越來越開放,國有企業(yè)、民營企業(yè)、外資企業(yè)、技術(shù)引進(jìn)等不同類型企業(yè)、產(chǎn)品在市場中充分競爭,都取得了大量的成功案例。
但是,網(wǎng)絡(luò)安全和信息化產(chǎn)品還普遍面臨著產(chǎn)品生命周期、供應(yīng)鏈風(fēng)險、服務(wù)質(zhì)量、安全漏洞、數(shù)據(jù)泄露等問題,特別是我國基礎(chǔ)軟件、芯片、操作系統(tǒng)、數(shù)據(jù)庫等產(chǎn)品領(lǐng)域,至今還是主要掌握在國外企業(yè)手中,由于政治、市場、文化、技術(shù)等方面的多種因素,國外企業(yè)產(chǎn)品的安全問題總令人隱隱地?fù)?dān)憂。
2000年,美國率先在國家安全系統(tǒng)中對采購的產(chǎn)品進(jìn)行安全審查,隨后陸續(xù)針對聯(lián)邦政府云計算服務(wù)、國防供應(yīng)鏈等出臺了安全審查政策,實現(xiàn)了對國家安全系統(tǒng)、國防系統(tǒng)、聯(lián)邦政府系統(tǒng)的全面覆蓋。審查對象不僅涉及產(chǎn)品和服務(wù),還會針對產(chǎn)品和服務(wù)提供商。隨后,美國等西方國家為保障國家安全、防范供應(yīng)鏈安全風(fēng)險,逐步建立了多種形式的網(wǎng)絡(luò)安全審查制度。將全方位、綜合性的供應(yīng)鏈安全審查對策上升至國家戰(zhàn)略高度。
我國也在積極推進(jìn)網(wǎng)絡(luò)安全審查制度,關(guān)系國家安全和公共利益的系統(tǒng)使用的重要信息技術(shù)產(chǎn)品和服務(wù),應(yīng)通過網(wǎng)絡(luò)安全審查。但審查內(nèi)容和形式不能僅停留在技術(shù)層面上,要進(jìn)行全方位審查,才能保證國家重要部門和行業(yè)的信息技術(shù)產(chǎn)品和服務(wù)的信息安全自主可控。
“供應(yīng)鏈透明機(jī)制”是一種有效的達(dá)成安全可控性的手段。如果每一個供應(yīng)商都能夠向網(wǎng)絡(luò)安全審查備案機(jī)構(gòu)(或者用戶)提供供應(yīng)鏈上下游環(huán)節(jié)的情況,進(jìn)而整個供應(yīng)鏈就能夠做到一環(huán)一環(huán)的透明化清晰化,通過透明達(dá)到兼顧細(xì)節(jié)和整體的掌握與可控。
我國的信息安全保障體系建設(shè)大多是在等級保護(hù)、分級保護(hù)等制度基礎(chǔ)上,以滿足合規(guī)為驅(qū)動。究其根本原因還在于我國對信息安全的重視沒有提高到“以效果為導(dǎo)向”的程度,或者說還沒有找到更有效的方式來落實效果導(dǎo)向;同時,又伴隨著信息安全領(lǐng)域中“三分技術(shù)七分管理” “信息安全沒有100%安全”這種特點和說法,以及政府采購目錄以硬件產(chǎn)品為主、《采購法》以最低價為準(zhǔn)繩的制度,交織反復(fù),最終形成我國信息安全保障體系建設(shè)目前以合規(guī)為目標(biāo),最低價產(chǎn)品主導(dǎo)市場,整體行業(yè)低水平競爭,國家重要信息系統(tǒng)安全保障能力的產(chǎn)業(yè)支撐力不足,國家網(wǎng)絡(luò)空間對抗能力不足等系列惡性循環(huán)的現(xiàn)狀。