网络安全里的铁人三项,您认可吗?

标签:网络安全信息

访客:20817  发表于:2014-07-04 17:43:41

网络安全里的铁人三项,您认可吗?


今年2月,中央网络安全和信息化领导小组宣告成立,习近平总书记亲自担任组长。习近平总书记在领导小组第一次会议上就明确指出没有网络安全就没有国家安全,没有信息化就没有现代化,这也标志着网络与信息安全保护已提升至国家战略高度。

面对庞杂的网络系统和爆炸性增长的数据,我们是否具备强大的健壮的产品与系统构架能力?研发、产品等核心能力能否实现本土化与国家可控?是否能够做到诚信坦荡、积极主动接受国家的安全审查呢?

在自主可控的大背景之下,系统厂商要想做出自己更大的贡献,就要看他们在从安全能力、安全可控、安全诚信这个铁人三项赛中,到底能够走多远。

安全可靠:IT界第一原则

IT技术的进步在改善产业环境的同时,也带来了些烦恼。以网络系统为例,其正在变得越来越庞杂,动辄千万行级的操作系统代码、厂商定义的数千项功能、超过6000多项的标准协议。

要想实现网络安全,就必须能够琢磨透这些庞杂的环境,对于任何厂商而言,这都是个无法回避的巨大挑战。同样,所有国家和任何行业在关键IT系统的技术选择均把安全可靠作为第一原则。

虽然,目前很多国内厂商在安全产品、技术以及服务能力不断发力,但是大部分依旧缺乏实力和积累,在关键技术领域,部分国产品依旧无法替代舶来品,哪怕技术实力相当,整体替换和搬迁也是个耗时耗资的巨大工程。因而,需要理性进行国产力量的扶持,在审查企业网络产品是否安全时,应重在实践中检验安全可靠。

安全可控:能力中心在中国

除了安全能力之外,CEC中国信息安全研究院副院长左晓栋还表示,网络安全审查内容绝不单单是一个单纯的技术性的审查。而是将考量各种指标和因素。包括对企业声誉,背景审查、公司资质,将从多角度衡量产品和提供商的可控性与安全性。

中国信息安全测评中心总工王军也指出,在信息产品进入市场前,需对用户信息安全进行技术审查,同时对该产品是否对国家安全造成影响、是否会产生垄断等社会经济安全影响进行评估;已进入市场的信息产品也并非绝对安全,补丁和升级都可能带来新的安全隐患,因此同样需要监控。

由此可见,安全可控也是衡量企业网络产品是否安全的因素之一,而要做到安全可控,企业所需具备的是能力中心在中国,具体表现在企业核心人员在中国,研发、生产制造、服务等业务能力中心在中国等。与此同时,我们也需要认识到,依据企业资本无法判定IT产品是否安全可控。安全可控性同样是要在保障中国国内重大事件中的实践中得到检验,需要得到国家多部门的验证和认可。

安全诚信:从源代码到硬件平台

工业和信息化部电信研究院副院长刘多指出,中国的网络安全审查制度将无国别实施,网络安全审查制度主要目的是为了维护安全,但网络安全审查制度不是行政许可,也不是对所有的设备和服务进行审查。

这就是要企业做到诚信坦荡,积极主动接受国家的安全审查。主观上绝不做危害国家信息安全的事情,客观上积极主动接受国家主管部门的全方位审查,从源代码到硬件设计。企业、开发者需对所著代码安全性作出终身有效的承诺,愿意对审查开放并受中国法律约束和保护。

在全球化的背景下,资本是全球化流动的,企业的资本属性是变化的,包括阿里巴巴等国内知名IT企业都多有外资背景。在全球化的背景下,单纯的出身论并没有多大实际意义,只有推动更多的IT能力中心进入中国,保证安全与技术进步兼顾,才能实现信息化和现代化。

e点评】

国家网络与信息安全的征途,就像一场没有终点的“铁人三项赛”,只有将安全能力、安全可控和安全诚信三者结合,才能更科学判定一个企业及其产品是否符合网络安全的需求,才能切实保障国家的网络安全。您认可以上说法吗?欢迎您加入我们共同讨论,也欢迎您加入网络安全圈。


评论(0)

您可以在评论框内@您的好友一起参与讨论!

<--script type="text/javascript">BAIDU_CLB_fillSlot("927898");