構建國家信息安全制度保障體系 控制信息安全風險
云計算與大數據技術的廣泛運用與深入滲透在極大地促進我國信息化程度的同時,也給信息安全帶來了嚴重威脅,使我國國家信息安全面臨著前所未有的挑戰。對此,全國政協委員、湖南省政協副主席張大方在十二屆全國政協三次會議上提出建議,構建國家信息安全制度保障體系,控制我國信息安全風險。
張大方委員認為,當前,云計算與大數據在我國的運用已涉及到醫療、科技、教育、體育、商業、經濟等幾乎社會生活的所有方面,這在很大程度上推動了我國信息化進程。然而,目前云計算、大數據技術及其相關服務大都由國外大型跨國公司掌握與提供,云計算應用形成的數據都存儲在云服務提供商的服務器上,其呈現無國界、去國家化的狀態。當這些數據信息被泄露、被惡意利用時,可能使在傳統管理范式下的國家機密變得透明,將會給國家帶來難以挽回的巨大損失。據了解,云計算與大數據技術的廣泛運用與深入滲透在極大地促進我國信息化程度的同時,也給信息安全帶來了嚴重威脅,使我國國家信息安全面臨著前所未有的挑戰。
由于技術上存在的差距,我國在終端、網絡、軟件、服務器、集成電路芯片等IT基礎設施建設上大都采用了國外技術和品牌,存在著諸多的后門,帶來了嚴重的安全隱患。
微軟的操作系統和辦公軟件獨霸天下,中國政府部門、軍隊、武警、軍工企業等在內的單位,幾乎100%使用微軟的操作系統和辦公軟件。思科是世界云計算市場上最大的IT產品提供商,民航的空中管制骨干網絡全部為思科設備。同時,思科還占有中國金融行業70%以上的份額,在鐵路的份額達到了60%,在海關、公安、武警、工商、教育等政府機構,思科的市場份額超過了50%。美國IT界的“八大金剛”在中國的信息網絡體系層層滲透,長驅直入,全面覆蓋。上述美國企業提供的產品很多留有“后門”,為信息安全留下極大的隱患。
張大方委員指出,我國信息系統面臨的攻擊無時無刻不在發生。2013年1~5月,中國國家信息安全漏洞庫監測到新增安全漏洞3116個。與此相反的卻是我國安全產業非常薄弱,我國國內的安全生產總值在全球占1%;我國國內的安全廠商的產值和國外的安全廠商的產值比例是0.5%;國內的安全產業與國內的IT產值來比也僅為0.2%。
為此,張大方委員提出建議,針對云計算與大數據的技術特征,適時制定與實施我國信息安全戰略,構建信息安全制度保障體系,防范與降低國家信息安全風險,是我國在新一輪國際競爭中獲得制勝能力的重要保障。
1、盡快制定并實施信息安全法
我國曾制定、頒布并施行了大量有關信息安全監督與管理的規范性文件以及法律法規。但長期以來,我國習慣于采取規范性文件的方式,進行任務的布置或者國家意志的貫徹與落實,缺乏宏觀規劃和體系設計,各種規范性文件以及法律、行政法規、部門規章、地方性法規和地方政府規章相互之間的沖突和交叉非常嚴重。這種制度現狀使得云環境下我國面臨的信息安全風險難以防范,進而影響國家的信息安全乃至總體安全。因此,我國亟需清理現有與信息安全有關的各類法律、行政法規和部門規章,針對云計算與大數據時代信息安全各種新問題,吸收借鑒各國信息安全立法經驗,對現有各類法律、行政法規、部門規章進行法典化編纂和修訂,制定《信息安全法》,依此作為上位法依據,分別制定有關單行法,形成上位、下位邏輯結構合理的信息安全法律體系。
2、出臺信息安全核心技術產業激勵政策
在美國壓倒性的優勢面前,中國亟需加大對云計算安全保障關鍵技術研發的傾斜性投入,需要出臺積極的產業激勵政策,以改變中國技術上受制于人的現狀。
一方面要基于專利地圖與專利信息分析的視角,尋找信息安全領域核心技術的專利布局與發展態勢,尋找技術空白點,繞開國外專利地雷陣和標準封鎖線,選擇相對安全快捷的技術路線,在此基礎上研究我國在信息安全核心技術領域專利戰略的制定和實施,為出臺積極的產業激勵政策提供導向性的決策支持;另一方面要出臺積極的產業政策支持信息安全核心技術領域的技術創新活動,譬如在“973”、“863”等國家重大科技專項中,重點支持與大數據、云計算相關的信息安全技術的研發項目,跟蹤并持續資助研發效果好的項目,并建立協同創新機制,打造產學研平臺,促進其成果轉化。
3、對國外信息安全產品與服務實行準入與審查制度
目前國產服務器、存儲等網絡設備及安全設備,總體上已與當前國際巨頭的產品齊頭并進。從目前來看,自主設備不一定能夠做到百分之百的安全可信,但自主設備沒有后門這類安全隱患,這實際上比不可控設備要安全得多。自主可控是安全的起點和基本保證,國產化采購是保障我國信息安全的必經之途。對通過政府采購中涉及國家經濟安全、信息安全的產品和服務,要從保護國家安全的立場出發,以不開放為原則,以開放為例外,以最大限度地保障我國的信息安全和經濟安全。因此有必要在政府采購流程中嵌入對進口信息產品與服務的安全審查環節。
4、建設與云計算和大數據相關的國家信息安全標準體系
信息安全標準是我國信息安全保障體系的重要組成部分。我國信息安全標準化所存在問題主要體現在三個方面,一是缺乏清晰的體系概念,總體上看來還沒有形成清晰的信息安全標準體系,分類不夠明確,使用者往往忽視標準使用環境,忽視各個標準之間的互補性;二是我國制定的信息安全管理標準太少,沿用國際標準過多;三是對國際標準的接受忽視知識產權因素,ISO(世界上最大的國際標準化組織)、IEC(國際電工委員會)、ITOT等國際標準化組織基本傾向于不在技術標準中采納專利。過去信息安全國際標準往往不涉及知識產權,接受國際標準差不多等于無償享受國際社會提供的公共物品,所以近幾十年我國對國際標準的接受非常積極。但云計算時代信息技術以翻江倒海之勢推進,信息安全標準的選擇不得不與專利結合,新技術環境下對于國際標準的接受,知識產權成為不可忽視的考量因素。
5、積極參與信息安全國際立法與國際合作機制建設
在信息安全領域,國家與國家之間的關系既有競爭也有合作,所以有必要進行推進信息安全國際立法,建立信息安全國際規則,防止信息國際霸權。我國應積極參與建立雙邊或多邊國際合作機制,共同防范與應對云環境下的特殊、非典型的國家信息安全風險。
