多管齊下 構(gòu)建國家信息安全保障體系

一個有效的國家信息安全保障體系的建立，不僅需要國家相關(guān)的法律法規(guī)，更在于所有體系內(nèi)成員的共同努力。

盲目崇拜與追求效益 信息安全認識存誤區(qū)

與近期美國政府以安全為由阻止中國企業(yè)華為、中興進入美國市場不同，中國市場目前幾乎向包括美國在內(nèi)的國外企業(yè)暢開著大門。究其原因，主要是有些機構(gòu)和企業(yè)，為了短期的高效快捷和經(jīng)濟效益，而忽視國家長遠的安全利益，在網(wǎng)絡(luò)設(shè)計、采購、構(gòu)建以及管理上，盲目相信外國企業(yè)，并讓其發(fā)揮主導作用，從而為信息安全埋下了重大隱患。技術(shù)上的落后也許不是最要命的，而思想上的盲目崇拜和管理上的遲滯才是信息安全面臨的更深層次，也是更為嚴重的威脅。

信息安全專家、中國計算機學會常務(wù)理事、北京啟明星辰公司首席戰(zhàn)略官潘柱廷為此告訴記者：“所有的計算機和網(wǎng)絡(luò)相關(guān)產(chǎn)品都存在漏洞，沒有一家企業(yè)能夠采用相應(yīng)的技術(shù)和產(chǎn)品來證明自己的產(chǎn)品是絕對安全的，高價不代表高安全。”

潘柱廷的判斷不是沒有道理。據(jù)記者了解，2005年7月12日，承載著超過200萬用戶的北京網(wǎng)通ADSL和LAN寬帶網(wǎng)，突然大面積中斷。對此，北京網(wǎng)通負責人稱，網(wǎng)絡(luò)中斷根源于互聯(lián)網(wǎng)路由器。而自中國互聯(lián)網(wǎng)骨干網(wǎng)從架網(wǎng)開始，大部分使用的都是美國思科的路由器設(shè)備，包括硬件和軟件。

更令人擔憂的是，在現(xiàn)有思科路由器產(chǎn)品中，仍然在使用上世紀70年代的加密算法DES(data encryption standard，數(shù)據(jù)加密標準)，這種算法已經(jīng)被多次證明不再安全，能用窮舉搜索法對DES算法進行攻擊。即使一臺普通的PC機，也能夠在10分鐘內(nèi)完成DES算法的破解。

對此，中國工程院院士、中科院計算所研究員倪光南對記者表示：“從客觀水平上來看，在網(wǎng)絡(luò)設(shè)備領(lǐng)域，華為、中興等國產(chǎn)產(chǎn)品已經(jīng)完全可以和思科相媲美，重要的是，我們的產(chǎn)品比他們便宜，性價比更高。但是由于一些觀念上的原因，以及在招投標方面存在的不合理之處，很多單位在采購的時候卻會傾向于采購思科這些進口設(shè)備。事實上，并非國外的東西才是好的，這是認識上的誤區(qū)。”

除了我國很多政府機構(gòu)和企業(yè)對當前信息網(wǎng)絡(luò)安全問題的認識嚴重遲滯外，相關(guān)法規(guī)制度缺失，管理體系不健全、網(wǎng)絡(luò)安全監(jiān)管不到位等問題也普遍存在。

重量不重質(zhì) 標準體系仍缺失

說到相關(guān)法規(guī)及管理體系，工信部信息安全協(xié)調(diào)司相關(guān)報告顯示，僅在涉及個人信息保護方面，相關(guān)法規(guī)條文就已經(jīng)眾多，其中涉及個人信息保護的法律有將近40部，最高人民法院出臺了10條個人信息保護相關(guān)的司法解釋，國務(wù)院發(fā)布的有關(guān)個人信息保護的法規(guī)約有30部，而各大部委頒布的相關(guān)部門條例、管理辦法、規(guī)定更是多達近200部，這還不包括各省級以下政府頒布的區(qū)域性政策和規(guī)定。

“盡管相關(guān)法規(guī)眾多，但這些文件大多針對具體問題，并未形成體系，在基礎(chǔ)網(wǎng)絡(luò)信息安全保護領(lǐng)域，更缺少明確的、體系化的法律文本。”某業(yè)內(nèi)人士向記者表示。

“此外，法規(guī)眾多，涉及的主管部門也很多，很可能形成‘人人有責’卻‘人人不管’的尷尬局面。”該人士對記者補充道。

例如在中國，國外軟件可以用在哪兒、什么地方必須使用國產(chǎn)軟件、什么機構(gòu)除了做好網(wǎng)絡(luò)安全還需要物理隔離，對于這些問題的管理策略，國內(nèi)目前還沒有機構(gòu)對此做出統(tǒng)一規(guī)定。

對此，中國工程院院士、中科院計算所研究員倪光南表示：“在政府采購、公共采購上，現(xiàn)階段可以參考的法律是2001年的《政府采購法》和《招標投標法》，但是這兩部法律對政府采購的界定比較模糊，具體來說就是一個項目的采購不知是由《政府采購法》還是《招標投標法》審核。”

通過對多位業(yè)內(nèi)人士的采訪，記者發(fā)現(xiàn)，雖然在信息安全保障上，我國的相關(guān)法規(guī)數(shù)量較之前有了很大增長，但仍不乏空白，交叉重復(fù)的現(xiàn)象也時有發(fā)生，給相關(guān)企業(yè)帶來了困惑。

多維度建設(shè) 限購和遷移國外產(chǎn)品

隨著時代的發(fā)展，信息安全建設(shè)已經(jīng)成為一項系統(tǒng)化、體系化的復(fù)雜工程，需要從計算機硬件、網(wǎng)絡(luò)設(shè)備、軟件等多個方面加強安全防護工作，涉及物理層、系統(tǒng)層、網(wǎng)絡(luò)層、應(yīng)用層等各個層面。長期以來，國內(nèi)在計算機芯片、操作系統(tǒng)、網(wǎng)絡(luò)等關(guān)鍵領(lǐng)域缺少具備自主知識產(chǎn)權(quán)的成熟產(chǎn)品，包括電信、金融、能源等重要領(lǐng)域在內(nèi)的各類信息系統(tǒng)只能采用進口的設(shè)備。因此，所謂的信息安全保障體系從某種意義上來說只能是“空中樓閣”。

針對上述現(xiàn)實，有業(yè)內(nèi)專家告訴記者：“應(yīng)加快信息安全立法進度，完善我國信息安全法律體系，要將《信息安全法》盡快納入國家立法規(guī)劃中，盡快推進《信息安全條例》的出臺；做好基礎(chǔ)性的信息安全法律體系構(gòu)建工作，要從完善國家信息安全組織體系、建立國家信息安全技術(shù)保障體系等多方面進行全面規(guī)劃和不斷完善；對涉及國家安全、國計民生、社會穩(wěn)定的關(guān)鍵基礎(chǔ)設(shè)施和重要信息系統(tǒng)及信息資源的安全保障制定專門的法規(guī)加以規(guī)范；構(gòu)建和完善我國信息安全的監(jiān)管體系；在《政府采購法》規(guī)定范圍內(nèi)實行強制性認證，未獲得強制性認證證書和未加貼中國強制性認證標志的產(chǎn)品體系不得進入政府采購領(lǐng)域。”

對此，互聯(lián)網(wǎng)專家方興東告訴記者：“針對國家信息安全，網(wǎng)絡(luò)安全立法、對現(xiàn)有網(wǎng)絡(luò)設(shè)備的更替以及對現(xiàn)有網(wǎng)絡(luò)的安全審查等，都是可行的方法。比如近期聯(lián)通公司對江蘇無錫節(jié)點思科設(shè)備的成功搬遷，雖然只是一個節(jié)點，但也是一個良好的開始。另外，在性能相差無幾的情況下，優(yōu)先采購中國企業(yè)自己的產(chǎn)品也可從根本上解決我國信息安全隱患，是構(gòu)建信息安全保障體系的最佳選擇。”

事實上已經(jīng)有越來越多的國內(nèi)聲音發(fā)出，呼吁政府、相關(guān)企業(yè)采購設(shè)備時更多支持國內(nèi)企業(yè)，盡可能少地采用思科等國外的設(shè)備。

可以說，信息安全保障不僅牽涉到用戶的利益，更事關(guān)國家的信息安全，因此亟需產(chǎn)業(yè)鏈各方的積極參與，共同推動產(chǎn)業(yè)發(fā)展。業(yè)內(nèi)人士指出：“產(chǎn)業(yè)化道路是構(gòu)建國家安全保障體系的必然選擇，國家需要打造以市場為導向，以政策和法規(guī)為支撐的一整套信息安全保障模式，形成政府重視、企業(yè)投入、用戶積極的良性循環(huán)機制，惟有如此國內(nèi)信息安全保障體系才能不斷完善，并發(fā)揮應(yīng)有的作用。”[!--empirenews.page--]