一個(gè)有效的國(guó)家信息安全保障體系的建立，不僅需要國(guó)家相關(guān)的法律法規(guī)，更在于所有體系內(nèi)成員的共同努力。

盲目崇拜與追求效益 信息安全認(rèn)識(shí)存誤區(qū)

與近期美國(guó)政府以安全為由阻止中國(guó)企業(yè)華為、中興進(jìn)入美國(guó)市場(chǎng)不同，中國(guó)市場(chǎng)目前幾乎向包括美國(guó)在內(nèi)的國(guó)外企業(yè)暢開(kāi)著大門(mén)。究其原因，主要是有些機(jī)構(gòu)和企業(yè)，為了短期的高效快捷和經(jīng)濟(jì)效益，而忽視國(guó)家長(zhǎng)遠(yuǎn)的安全利益，在網(wǎng)絡(luò)設(shè)計(jì)、采購(gòu)、構(gòu)建以及管理上，盲目相信外國(guó)企業(yè)，并讓其發(fā)揮主導(dǎo)作用，從而為信息安全埋下了重大隱患。技術(shù)上的落后也許不是最要命的，而思想上的盲目崇拜和管理上的遲滯才是信息安全面臨的更深層次，也是更為嚴(yán)重的威脅。

信息安全專家、中國(guó)計(jì)算機(jī)學(xué)會(huì)常務(wù)理事、北京啟明星辰公司首席戰(zhàn)略官潘柱廷為此告訴記者：“所有的計(jì)算機(jī)和網(wǎng)絡(luò)相關(guān)產(chǎn)品都存在漏洞，沒(méi)有一家企業(yè)能夠采用相應(yīng)的技術(shù)和產(chǎn)品來(lái)證明自己的產(chǎn)品是絕對(duì)安全的，高價(jià)不代表高安全。”

潘柱廷的判斷不是沒(méi)有道理。據(jù)記者了解，2005年7月12日，承載著超過(guò)200萬(wàn)用戶的北京網(wǎng)通ADSL和LAN寬帶網(wǎng)，突然大面積中斷。對(duì)此，北京網(wǎng)通負(fù)責(zé)人稱，網(wǎng)絡(luò)中斷根源于互聯(lián)網(wǎng)路由器。而自中國(guó)互聯(lián)網(wǎng)骨干網(wǎng)從架網(wǎng)開(kāi)始，大部分使用的都是美國(guó)思科的路由器設(shè)備，包括硬件和軟件。

更令人擔(dān)憂的是，在現(xiàn)有思科路由器產(chǎn)品中，仍然在使用上世紀(jì)70年代的加密算法DES(data encryption standard，數(shù)據(jù)加密標(biāo)準(zhǔn))，這種算法已經(jīng)被多次證明不再安全，能用窮舉搜索法對(duì)DES算法進(jìn)行攻擊。即使一臺(tái)普通的PC機(jī)，也能夠在10分鐘內(nèi)完成DES算法的破解。

對(duì)此，中國(guó)工程院院士、中科院計(jì)算所研究員倪光南對(duì)記者表示：“從客觀水平上來(lái)看，在網(wǎng)絡(luò)設(shè)備領(lǐng)域，華為、中興等國(guó)產(chǎn)產(chǎn)品已經(jīng)完全可以和思科相媲美，重要的是，我們的產(chǎn)品比他們便宜，性價(jià)比更高。但是由于一些觀念上的原因，以及在招投標(biāo)方面存在的不合理之處，很多單位在采購(gòu)的時(shí)候卻會(huì)傾向于采購(gòu)思科這些進(jìn)口設(shè)備。事實(shí)上，并非國(guó)外的東西才是好的，這是認(rèn)識(shí)上的誤區(qū)。”

除了我國(guó)很多政府機(jī)構(gòu)和企業(yè)對(duì)當(dāng)前信息網(wǎng)絡(luò)安全問(wèn)題的認(rèn)識(shí)嚴(yán)重遲滯外，相關(guān)法規(guī)制度缺失，管理體系不健全、網(wǎng)絡(luò)安全監(jiān)管不到位等問(wèn)題也普遍存在。

重量不重質(zhì) 標(biāo)準(zhǔn)體系仍缺失

說(shuō)到相關(guān)法規(guī)及管理體系，工信部信息安全協(xié)調(diào)司相關(guān)報(bào)告顯示，僅在涉及個(gè)人信息保護(hù)方面，相關(guān)法規(guī)條文就已經(jīng)眾多，其中涉及個(gè)人信息保護(hù)的法律有將近40部，最高人民法院出臺(tái)了10條個(gè)人信息保護(hù)相關(guān)的司法解釋，國(guó)務(wù)院發(fā)布的有關(guān)個(gè)人信息保護(hù)的法規(guī)約有30部，而各大部委頒布的相關(guān)部門(mén)條例、管理辦法、規(guī)定更是多達(dá)近200部，這還不包括各省級(jí)以下政府頒布的區(qū)域性政策和規(guī)定。

“盡管相關(guān)法規(guī)眾多，但這些文件大多針對(duì)具體問(wèn)題，并未形成體系，在基礎(chǔ)網(wǎng)絡(luò)信息安全保護(hù)領(lǐng)域，更缺少明確的、體系化的法律文本。”某業(yè)內(nèi)人士向記者表示。

“此外，法規(guī)眾多，涉及的主管部門(mén)也很多，很可能形成‘人人有責(zé)’卻‘人人不管’的尷尬局面。”該人士對(duì)記者補(bǔ)充道。

例如在中國(guó)，國(guó)外軟件可以用在哪兒、什么地方必須使用國(guó)產(chǎn)軟件、什么機(jī)構(gòu)除了做好網(wǎng)絡(luò)安全還需要物理隔離，對(duì)于這些問(wèn)題的管理策略，國(guó)內(nèi)目前還沒(méi)有機(jī)構(gòu)對(duì)此做出統(tǒng)一規(guī)定。

對(duì)此，中國(guó)工程院院士、中科院計(jì)算所研究員倪光南表示：“在政府采購(gòu)、公共采購(gòu)上，現(xiàn)階段可以參考的法律是2001年的《政府采購(gòu)法》和《招標(biāo)投標(biāo)法》，但是這兩部法律對(duì)政府采購(gòu)的界定比較模糊，具體來(lái)說(shuō)就是一個(gè)項(xiàng)目的采購(gòu)不知是由《政府采購(gòu)法》還是《招標(biāo)投標(biāo)法》審核。”

通過(guò)對(duì)多位業(yè)內(nèi)人士的采訪，記者發(fā)現(xiàn)，雖然在信息安全保障上，我國(guó)的相關(guān)法規(guī)數(shù)量較之前有了很大增長(zhǎng)，但仍不乏空白，交叉重復(fù)的現(xiàn)象也時(shí)有發(fā)生，給相關(guān)企業(yè)帶來(lái)了困惑。

多維度建設(shè) 限購(gòu)和遷移國(guó)外產(chǎn)品

隨著時(shí)代的發(fā)展，信息安全建設(shè)已經(jīng)成為一項(xiàng)系統(tǒng)化、體系化的復(fù)雜工程，需要從計(jì)算機(jī)硬件、網(wǎng)絡(luò)設(shè)備、軟件等多個(gè)方面加強(qiáng)安全防護(hù)工作，涉及物理層、系統(tǒng)層、網(wǎng)絡(luò)層、應(yīng)用層等各個(gè)層面。長(zhǎng)期以來(lái)，國(guó)內(nèi)在計(jì)算機(jī)芯片、操作系統(tǒng)、網(wǎng)絡(luò)等關(guān)鍵領(lǐng)域缺少具備自主知識(shí)產(chǎn)權(quán)的成熟產(chǎn)品，包括電信、金融、能源等重要領(lǐng)域在內(nèi)的各類信息系統(tǒng)只能采用進(jìn)口的設(shè)備。因此，所謂的信息安全保障體系從某種意義上來(lái)說(shuō)只能是“空中樓閣”。

針對(duì)上述現(xiàn)實(shí)，有業(yè)內(nèi)專家告訴記者：“應(yīng)加快信息安全立法進(jìn)度，完善我國(guó)信息安全法律體系，要將《信息安全法》盡快納入國(guó)家立法規(guī)劃中，盡快推進(jìn)《信息安全條例》的出臺(tái)；做好基礎(chǔ)性的信息安全法律體系構(gòu)建工作，要從完善國(guó)家信息安全組織體系、建立國(guó)家信息安全技術(shù)保障體系等多方面進(jìn)行全面規(guī)劃和不斷完善；對(duì)涉及國(guó)家安全、國(guó)計(jì)民生、社會(huì)穩(wěn)定的關(guān)鍵基礎(chǔ)設(shè)施和重要信息系統(tǒng)及信息資源的安全保障制定專門(mén)的法規(guī)加以規(guī)范；構(gòu)建和完善我國(guó)信息安全的監(jiān)管體系；在《政府采購(gòu)法》規(guī)定范圍內(nèi)實(shí)行強(qiáng)制性認(rèn)證，未獲得強(qiáng)制性認(rèn)證證書(shū)和未加貼中國(guó)強(qiáng)制性認(rèn)證標(biāo)志的產(chǎn)品體系不得進(jìn)入政府采購(gòu)領(lǐng)域。”

對(duì)此，互聯(lián)網(wǎng)專家方興東告訴記者：“針對(duì)國(guó)家信息安全，網(wǎng)絡(luò)安全立法、對(duì)現(xiàn)有網(wǎng)絡(luò)設(shè)備的更替以及對(duì)現(xiàn)有網(wǎng)絡(luò)的安全審查等，都是可行的方法。比如近期聯(lián)通公司對(duì)江蘇無(wú)錫節(jié)點(diǎn)思科設(shè)備的成功搬遷，雖然只是一個(gè)節(jié)點(diǎn)，但也是一個(gè)良好的開(kāi)始。另外，在性能相差無(wú)幾的情況下，優(yōu)先采購(gòu)中國(guó)企業(yè)自己的產(chǎn)品也可從根本上解決我國(guó)信息安全隱患，是構(gòu)建信息安全保障體系的最佳選擇。”

事實(shí)上已經(jīng)有越來(lái)越多的國(guó)內(nèi)聲音發(fā)出，呼吁政府、相關(guān)企業(yè)采購(gòu)設(shè)備時(shí)更多支持國(guó)內(nèi)企業(yè)，盡可能少地采用思科等國(guó)外的設(shè)備。

可以說(shuō)，信息安全保障不僅牽涉到用戶的利益，更事關(guān)國(guó)家的信息安全，因此亟需產(chǎn)業(yè)鏈各方的積極參與，共同推動(dòng)產(chǎn)業(yè)發(fā)展。業(yè)內(nèi)人士指出：“產(chǎn)業(yè)化道路是構(gòu)建國(guó)家安全保障體系的必然選擇，國(guó)家需要打造以市場(chǎng)為導(dǎo)向，以政策和法規(guī)為支撐的一整套信息安全保障模式，形成政府重視、企業(yè)投入、用戶積極的良性循環(huán)機(jī)制，惟有如此國(guó)內(nèi)信息安全保障體系才能不斷完善，并發(fā)揮應(yīng)有的作用。”[!--empirenews.page--]