過去一年來，信息安全成為了頻頻見諸于媒體的公眾話題，棱鏡門曝光、攜程網(wǎng)用戶支付信息漏洞、支付寶漏洞、小米用戶資料泄露、NSA入侵中國政企……，頻發(fā)的信息安全事件的背后，信息安全風(fēng)險嚴峻性不言而喻。

中培偉業(yè)《信息安全技術(shù)與信息安全管理體系(ISO27001認證)》培訓(xùn)專家高老師指出，在信息安全事件屢發(fā)的促動下，我國政府和企業(yè)對網(wǎng)絡(luò)安全的重視提升到了一個全新的高度，中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組的成立，就是其中最好的注解。在各方加以重視的同時，我們也需要從技術(shù)與實踐的角度，來反思網(wǎng)絡(luò)安全風(fēng)險的嚴峻性，以及如何應(yīng)對的問題。

反思一：監(jiān)管體系不能“流于表面”

NSA事件發(fā)生后，大家不僅對美國的行為感到震驚，也對國內(nèi)相關(guān)部門和企業(yè)的網(wǎng)絡(luò)安全防范能力感到擔(dān)憂。在“亡羊補牢”過程中，我們不要僅僅著眼于加強網(wǎng)絡(luò)安全保障措施，而是需要對整個網(wǎng)絡(luò)安全監(jiān)管體系的完善加以更多的思考。

實際上，我國以往對網(wǎng)絡(luò)安全已經(jīng)采取了相關(guān)的監(jiān)管措施，但還有很大的提升空間。國家信息技術(shù)安全研究中心總工程師李京春就指出，以往我國只是對網(wǎng)絡(luò)進行表層化管理，主要包括功能符合檢測和低層面的安全審查。

目前網(wǎng)絡(luò)產(chǎn)品和服務(wù)逐漸向深層次發(fā)展，若繼續(xù)沿用以前的監(jiān)管辦法，就很可能會出現(xiàn)網(wǎng)絡(luò)監(jiān)管漏洞，進而給國家安全和用戶安全造成損失。

因此，許多專家紛紛指出，要更進一步認識到網(wǎng)絡(luò)安全監(jiān)管的重要性和必要性，從源頭上杜絕網(wǎng)絡(luò)安全風(fēng)險隱患，確保公共安全和國家網(wǎng)絡(luò)空間安全。例如國家信息中心專家委員會主任寧家駿就明確表示，政府應(yīng)該對任何與信息安全有關(guān)的企業(yè)進行審查，建立好全面監(jiān)管的體系。中國工程院院士倪光南也指出，對網(wǎng)絡(luò)產(chǎn)品和服務(wù)的提供商、運營商和服務(wù)商進行審查，還能促使企業(yè)規(guī)范行為標準，提高服務(wù)質(zhì)量，進而推進信息產(chǎn)業(yè)更加健康有序的發(fā)展。

我們高興的看到，目前網(wǎng)絡(luò)安全已經(jīng)納入了“頂層設(shè)計”的范疇。從政府相關(guān)部門，到各行業(yè)主管機構(gòu)，已經(jīng)從全局的角度，開始對網(wǎng)絡(luò)安全保障問題，進行各方面、各層次、各要素統(tǒng)籌規(guī)劃，逐步完善網(wǎng)絡(luò)信息安全制度。

5月22日，國務(wù)院新聞辦公室正式對外宣布，我國將對關(guān)系國家安全和公共利益的系統(tǒng)使用的重要技術(shù)產(chǎn)品和服務(wù)進行網(wǎng)絡(luò)安全審查。此次網(wǎng)絡(luò)安全審查制度將針對重要信息技術(shù)產(chǎn)品及提供者，重點審查產(chǎn)品的安全性和可控性，以防產(chǎn)品提供者非法控制、干擾、中斷用戶系統(tǒng)，非法收集、存儲、處理和利用用戶有關(guān)信息。對不符合安全要求的產(chǎn)品和服務(wù)，將不得在中國境內(nèi)使用。政府部門的相關(guān)舉措，與業(yè)內(nèi)專家普遍共識的“建立完善的監(jiān)管體系”這一觀點，顯得不謀而合。

思二：選擇設(shè)備不能只看性能指標　　

一名網(wǎng)絡(luò)安全資深專家曾經(jīng)表示，安全圈流行一句話：“系統(tǒng)只存在兩種狀態(tài)：已經(jīng)被攻破和即將被攻破。”這句話雖然有些令人難以接受，但充分說明了網(wǎng)絡(luò)安全防范的難度。

要知道，網(wǎng)絡(luò)是一個龐大而復(fù)雜的體系，其操作系統(tǒng)的代碼甚至達到千萬行級，在上面不僅運行著六千多個標準協(xié)議，還有諸多廠商定義的功能。要保證這一體系的安全可靠，讓外界難以攻破，就需要網(wǎng)絡(luò)系統(tǒng)具備足夠安全能力。這種安全能力不僅僅只針對網(wǎng)絡(luò)安全設(shè)備，而是涉及到IT系統(tǒng)的所有硬件和軟件。

需要注意的是，IT設(shè)備是否安全，很多時候并不體現(xiàn)在具體的性能指標上，而是與整個產(chǎn)品的設(shè)計思路、研發(fā)生產(chǎn)、服務(wù)保障等各個環(huán)節(jié)息息相關(guān)。有些產(chǎn)品在對外宣稱的參數(shù)、功能貌似很不錯，并不能代表其能通過實踐的嚴峻考驗。

因此，這就要求企業(yè)在選擇網(wǎng)絡(luò)設(shè)備時多加以考慮，在關(guān)鍵IT系統(tǒng)的選擇時，要把“安全可靠”作為第一原則，選擇經(jīng)過了長期和廣泛的實踐檢驗，證明具備足夠安全可靠能力的產(chǎn)品，并充分考慮廠商自身的安全技術(shù)整體能力。從廠商角度來說，對這一問題也應(yīng)加以足夠重視，并制定具體舉措，給用戶提供更加安全可靠的產(chǎn)品和方案。

反思三：勿要陷入“唯資本論”誤區(qū)　　

斯諾登曝光的機密文件，將許多知名國際IT企業(yè)推到了輿論“風(fēng)口浪尖”，包括微軟、谷歌、蘋果等等。與此同時，國內(nèi)也掀起了一股“國產(chǎn)化”、“去IOE”的話題風(fēng)潮。許多人認為，通過國產(chǎn)化替代，可以解決“棱鏡”籠罩中國的問題。

在這一點上需要注意的是，不要將網(wǎng)絡(luò)安全的解決方法僅僅寄托在是否“國產(chǎn)”上。一方面來說，在當前的全球化時代，資本的流動性是常態(tài)，國內(nèi)知名IT企業(yè)多有外資背景。僅僅用資本屬性來衡量，并不能說明企業(yè)的能力和誠信。另一方面，國產(chǎn)化設(shè)備也沒有絕對性，在當前全球供應(yīng)鏈模式下，很多零配件的源頭也無法真正實現(xiàn)國產(chǎn)化，任何設(shè)備都不能保證絕無漏洞，NSA入侵某國內(nèi)知名網(wǎng)絡(luò)設(shè)備商服務(wù)器就是例證。

因此，在選擇IT設(shè)備時，要結(jié)合廠商的安全能力、安全可控和安全誠信等三個方面來綜合判定。中國工程院院士方濱興建議，可以針對市面流通的信息技術(shù)產(chǎn)品，進行“白名單”強制認證，只有符合安全標準的產(chǎn)品才能入市。這種審查只是一種技術(shù)評估，不影響普通用戶的利益。這種審查認證，也會進一步促進國內(nèi)外企業(yè)的安全誠信。真正可控可信的企業(yè)，對這種審查也會持支持態(tài)度。

只有擺脫“國產(chǎn)化”的局限性，在全球化的背景下，推動更多的IT能力中心進入中國，實現(xiàn)安全與技術(shù)進步兼顧，在自主可控的基礎(chǔ)上，積極發(fā)展自己的網(wǎng)絡(luò)產(chǎn)業(yè)，提升自主創(chuàng)新能力，掌握核心技術(shù)，才能更好地保障網(wǎng)絡(luò)安全和國家安全，實現(xiàn)信息化和現(xiàn)代化