網絡安全不能止步于技術層面
發(fā)布時間:2015-04-09在國家高度重視和業(yè)界共同努力下,我國網絡安全和信息化產業(yè)實現(xiàn)了較快發(fā)展,產品體系逐漸健全,產品種類不斷豐富,產品功能逐步向多樣化、集成化、系統(tǒng)化方向發(fā)展。國內網絡安全和信息化產業(yè)也越來越開放,國有企業(yè)、民營企業(yè)、外資企業(yè)、技術引進等不同類型企業(yè)、產品在市場中充分競爭,都取得了大量的成功案例。
但是,網絡安全和信息化產品還普遍面臨著產品生命周期、供應鏈風險、服務質量、安全漏洞、數(shù)據泄露等問題,特別是我國基礎軟件、芯片、操作系統(tǒng)、數(shù)據庫等產品領域,至今還是主要掌握在國外企業(yè)手中,由于政治、市場、文化、技術等方面的多種因素,國外企業(yè)產品的安全問題總令人隱隱地擔憂。
2000年,美國率先在國家安全系統(tǒng)中對采購的產品進行安全審查,隨后陸續(xù)針對聯(lián)邦政府云計算服務、國防供應鏈等出臺了安全審查政策,實現(xiàn)了對國家安全系統(tǒng)、國防系統(tǒng)、聯(lián)邦政府系統(tǒng)的全面覆蓋。審查對象不僅涉及產品和服務,還會針對產品和服務提供商。隨后,美國等西方國家為保障國家安全、防范供應鏈安全風險,逐步建立了多種形式的網絡安全審查制度。將全方位、綜合性的供應鏈安全審查對策上升至國家戰(zhàn)略高度。
我國也在積極推進網絡安全審查制度,關系國家安全和公共利益的系統(tǒng)使用的重要信息技術產品和服務,應通過網絡安全審查。但審查內容和形式不能僅停留在技術層面上,要進行全方位審查,才能保證國家重要部門和行業(yè)的信息技術產品和服務的信息安全自主可控。
“供應鏈透明機制”是一種有效的達成安全可控性的手段。如果每一個供應商都能夠向網絡安全審查備案機構(或者用戶)提供供應鏈上下游環(huán)節(jié)的情況,進而整個供應鏈就能夠做到一環(huán)一環(huán)的透明化清晰化,通過透明達到兼顧細節(jié)和整體的掌握與可控。
我國的信息安全保障體系建設大多是在等級保護、分級保護等制度基礎上,以滿足合規(guī)為驅動。究其根本原因還在于我國對信息安全的重視沒有提高到“以效果為導向”的程度,或者說還沒有找到更有效的方式來落實效果導向;同時,又伴隨著信息安全領域中“三分技術七分管理” “信息安全沒有100%安全”這種特點和說法,以及政府采購目錄以硬件產品為主、《采購法》以最低價為準繩的制度,交織反復,最終形成我國信息安全保障體系建設目前以合規(guī)為目標,最低價產品主導市場,整體行業(yè)低水平競爭,國家重要信息系統(tǒng)安全保障能力的產業(yè)支撐力不足,國家網絡空間對抗能力不足等系列惡性循環(huán)的現(xiàn)狀。
上一篇:蘇少林:為網絡強國江蘇版筑夢起航
下一篇:信息安全產業(yè)求解三大難題