学习领会“发展是安全的基础 安全是发展的条件”
荆继武
随着我国信息化的发展,信息网络已经渗入到百姓生活、产业发展及国家事务的各个方面,网络信息安全问题已经成为困扰经济发展、社会稳定和国家安全的重要问题。利用网络和移动终端的欺诈、信息偷窃、恶意吸费以及类似斯络登窃密监听等重大安全事件无不在警告我们,网络信息安全问题已经迫在眉睫。发展信息安全需要我们的奉献和热情,也需要科学的策略和方法。有三点思考,与大家探讨:
一、要大力推动自主可控系统研发,也要重视网络信息安全技术的研发。
推进自主可控技术的研发和全面使用是实现网络信息安全的一种最直接的手段,也是在管理上最简单的操作措施。由于信息系统越来越复杂,发现所有的安全问题就越来越困难,发现开发者隐藏的后门就更加困难。“没有自主的系统,就没有安全”已经成为目前信息安全管理的一个重要理念。当我们的检测、分析与安全监控技术严重不足的时候,推进自主可控信息产品的全面应用就显得非常必要。强调使用自主可控产品,宣传比较简单,操作相对容易,目前已成为信息安全管理者的一个很好的政策出路。
一方面,全面使用自主可控的产品还有一定的困难;另一方面,自主可控的产品依旧是很多人共同开发的产品,有些技术依旧依赖国外的原始技术,所开发的自主可控产品和系统依旧非常复杂,自主可控的系统依旧无法避免漏洞和后门的存在,仅仅依赖自主可控仍旧不能解决安全问题。最近有报道说,伊朗、阿富汗等不愿购买美国设备的国家大量采用了华为的技术设备,美国国家安全局“发觉可以通过侵入华为设备来监控这些国家的目标”。这说明我们使用华为的自主可控设备也会面临安全风险。我们可以看到,美国是网络信息产品自主可控做得最好的国家,但其信息安全问题依旧没能彻底解决,据美国政府部门统计,美国2014年信息安全研究预算占整个网络信息技术研究预算的24.7%(参见NITRD报告)。在大力推动自主基础信息产品研发的同时,提高我国网络信息安全技术的研发,培养信息安全人才也非常重要。
在全球化的时代,我们可能不得不使用他人的产品。从信息安全的角度来说,使用他人的产品一定不安全的说法治的商榷。容错技术、容侵技术的理论告诉我们,我们可以利用不够安全的设备搭建安全的系统,浮沙上建高楼是有可能的。如果我们怀疑服务器会将关键信息发往外网,我们可以在中间安装一个防火墙,过滤其不该发送的数据报文;如果我们怀疑某服务器的登录身份鉴别有后门,我们就可以在中间安装一个认证网关,只有通过认证网关的身份鉴别,才允许他连到服务器进行身份鉴别;如果我们怀疑服务器会将信息发往不该去的地方,我们可以采用加密网关将所有发送出的数据都加上密,使得非法设备只能收到加过密的信息,无法阅读和使用。在许多场合,信息安全技术可以透过更低的成本,让我们安全地使用更加先进的信息技术。
二、以保障安全为目标,应强调产业发展和市场应用
不论是通过自主可控信息技术保障安全,还是采用信息安全技术保障安全,离开产业发展和市场应用都可能带来严重的安全问题。
产业发展是信息安全的技术,离开信息产业,我们的基础部件就会依赖国外厂商,我们的网络信息安全就没有很好的立足之地。同样,没有信息安全产业技术和人才队伍,我们也无法在这个道高一尺,魔高一丈,不断变化的信息安全领域站稳脚跟。我们需要跟进不断变化的信息和信息安全技术,需要不断推出新的安全技术和产品,这就需要我们有一个很坚实的信息安全产业和人才队伍。产业发展才是长期信息安全的保障。
从产品使用角度来看,信息安全技术再好,如果没有人使用,其安全保障作用就等于零。在信息产业全球化的时代,少数人使用的安全产品不具备规模效益,也就难以获得足够的市场利润,其市场竞争能力和可持续发展能力也就可能受到限制。长期的信息安全产业基础就很难形成。
我们要加强国家和政府的信息安全应用。为了更好地服务国家,我们需要发展我们的信息安全产业。在发展信息安全产业的时候,就应强调市场应用,也就是要强调市场在信息安全产业展中资源配置的决定作用。只有强调市场应用目标,才能将真正有实力的企业和技术筛选出来,才能真正使我国的信息安全技术成为能够与国际抗衡的信息安全技术。
三、要利用好信息技术发展的契机,推动信息安全技术的发展
信息技术的发展,一直在给自主信息技术和信息安全技术的发展创造机会。近年来,手机造就了诺基亚的Symbian系统;智能终端又送走了Symbian, 造就了谷歌的安卓和苹果的IOS;云计算,移动互联的不断推进同样给了我们很多机会。作为信息安全的从业人员,我们不得不承认这不断的变革一直在给我们机会。我们应该抓住这些机会,利用好我国的大好政策环境,开发我们自主的信息系统和安全技术,在新的一轮竞争中脱颖而出。
安全是一把双刃剑,如果我们为了安全就停止发展,我们就会丧失未来的安全。当我们为了安全而盲目发展,我们的发展就是失控,最后崩溃。在我国形势大好的今天,我们不能因为可能的信息安全问题就停止先进的信息技术的发展和使用,也不能因为需要发展就不管不顾安全问题。如果我们为了安全大量使用陈旧的信息技术,我们很多人就会丧失学习先进经验的机会,也就会丧失在先进技术上创新发展的机会,我们就很难在未来网络信息环境中打赢信息安全的战争。同样,如果我们盲目发展,我们的网络信息就有可能失控,就可能会给国家安全、经济安全带来灾难。
