國家互聯(lián)網(wǎng)信息辦公室近期宣布我國即將推出網(wǎng)絡安全審查制度,將對關(guān)系國家安全和公共利益的系統(tǒng)使用重要信息技術(shù)產(chǎn)品和服務進行網(wǎng)絡安全審查。這是在今年初中央網(wǎng)絡安全和信息化領(lǐng)導小組成立后,我國在網(wǎng)絡安全領(lǐng)域推出的一項戰(zhàn)略性舉措,對于維護國家網(wǎng)絡安全、建設網(wǎng)絡強國具有重大推動作用。
這意味著我國網(wǎng)絡安全管理的視野進一步擴大,更加強調(diào)對形成網(wǎng)絡安全基本要素的技術(shù)和產(chǎn)品的管控與規(guī)制。網(wǎng)絡安全審查制度的出臺對于構(gòu)筑我國全方位、立體、綜合網(wǎng)絡安全保障能力有著十分重大的意義,對于加強我國網(wǎng)絡安全自主創(chuàng)新能力、激發(fā)產(chǎn)業(yè)創(chuàng)新也有著十分積極的推動作用。
互聯(lián)網(wǎng)是現(xiàn)代信息技術(shù)高度發(fā)展的產(chǎn)物,中國在加入網(wǎng)絡大潮、分享到互聯(lián)網(wǎng)絡高速發(fā)展帶來的巨大社會經(jīng)濟效益的同時,也承受著隨之而來的風險。尤其是由于產(chǎn)業(yè)格局不對等,在中國的信息化建設中,大量使用國外產(chǎn)品,特別是美國的“八大金剛”(微軟、思科等8家美國公司)的計算機和網(wǎng)絡設備產(chǎn)品,未經(jīng)審查卻大量部署在我國基礎網(wǎng)絡和重要信息系統(tǒng)中,種種“漏洞”和預置的“后門”給我國的關(guān)鍵信息基礎設施帶來很大威脅。正如“棱鏡門”事件所揭示的,包括我國前領(lǐng)導人在內(nèi)的重要網(wǎng)絡信息均受到美國情報機構(gòu)的監(jiān)控。
為應對這種嚴峻的形勢,國家在制度層面強化對網(wǎng)絡技術(shù)產(chǎn)品的規(guī)制管控,對于加強我國關(guān)鍵信息基礎設施保障能力,無疑十分必要而且勢在必行。縱觀美國、歐盟,在大力發(fā)展ICT(信息通信技術(shù))產(chǎn)業(yè)的同時,均建立了類似的技術(shù)產(chǎn)品審查制度,均規(guī)定凡是政府信息系統(tǒng)中采購的設備必須經(jīng)過相應的技術(shù)審查和產(chǎn)品認證。我國推出這一審查制度,符合國際趨勢及網(wǎng)絡發(fā)展的客觀規(guī)律。
技術(shù)和產(chǎn)品本身的安全是構(gòu)筑網(wǎng)絡安全的基本前提,從技術(shù)和產(chǎn)品層面實施安全審查,可謂是正本清源,抓住了網(wǎng)絡安全治理的要害和關(guān)鍵。其中,相對于產(chǎn)品安全而言,技術(shù)安全還要更為基本。從ICT產(chǎn)業(yè)規(guī)律而言,往往是技術(shù)發(fā)明在先,相應的工程實現(xiàn)和產(chǎn)品開發(fā)在后。計算機、服務器、網(wǎng)絡設備集成了大量事先發(fā)明的技術(shù),才具備計算和聯(lián)網(wǎng)通信的能力。如果說計算機、服務器和網(wǎng)絡設備是“面包”的話,集成在這些產(chǎn)品中的“芯片架構(gòu)”、“網(wǎng)絡協(xié)議”、“安全協(xié)議”等基礎技術(shù)就是 “小麥種子”,由它種出小麥,進而加工成面包。
因此,在我們貫徹實施網(wǎng)絡安全審查制度之時,尤其要重視“種子”層面的審查規(guī)制,在謹防“毒面包”的同時,還要加大力氣解決管控“毒種子”的問題。很多時候,“毒種子”比“毒面包”更可怕,其散播面更廣,隱藏更深,因此危害更大。
就構(gòu)成網(wǎng)絡安全的基本技術(shù)層面而言,我國目前使用的網(wǎng)絡基礎安全技術(shù)都是美國政府和企業(yè)主導開發(fā)的,比如保證網(wǎng)絡安全連接和數(shù)據(jù)安全傳輸?shù)木W(wǎng)絡安全協(xié)議技術(shù);銀行網(wǎng)銀使用的認證技術(shù)和簽名技術(shù)。大量這類未經(jīng)嚴格技術(shù)審查的基礎安全技術(shù),廣泛應用在我國的基礎網(wǎng)絡和重要信息系統(tǒng)中。有些技術(shù)在近些年陸續(xù)被驗證有重大安全漏洞,如近期曝光的“SSL心臟出血漏洞”等,對我國政府、企事業(yè)單位和廣大網(wǎng)民造成極大的網(wǎng)絡威脅和安全隱患;斯諾登披露的文件也顯示出,美國國家安全局等情報機構(gòu)正是利用IPSec、SSL等技術(shù)漏洞設置后門和實施網(wǎng)絡監(jiān)控的。
這些網(wǎng)絡基礎安全技術(shù)在技術(shù)方案本身及其工程實現(xiàn)的軟件代碼層面,均存在嚴重的“漏洞”。這些“漏洞”很大程度上是蓄意為之。這些漏洞不同于普通應用軟件和網(wǎng)絡設備中的“后門”,其影響范圍之廣、危害程度之深超出想象。技術(shù)方案層面的漏洞能夠通過產(chǎn)業(yè)鏈逐級傳遞,好比種子有毒,從麥子到面粉到饅頭,全產(chǎn)業(yè)鏈都受到污染。因此,解決網(wǎng)絡安全核心技術(shù)問題,需從網(wǎng)絡安全協(xié)議等網(wǎng)絡基礎安全技術(shù)這一國家戰(zhàn)略資源抓起。
這一問題的重要性在中美之間圍繞WAPI標準長達十余年的博弈中可見一斑:中國推出自主可控的網(wǎng)絡安全協(xié)議技術(shù)標準WAPI之后,美國3位內(nèi)閣部長聯(lián)名致信我國政府,并連續(xù)在中美貿(mào)易談判中施壓,要求中國放棄WAPI標準,背后深層的原因是美國認識到在產(chǎn)業(yè)鏈源頭掌握基礎安全技術(shù)控制力的重要性及戰(zhàn)略意義。
從技術(shù)源頭保證網(wǎng)絡安全的自主可控,才能從根本上加強我國網(wǎng)絡安全的縱深防御能力。因此,網(wǎng)絡安全審查制度的貫徹落實須從產(chǎn)業(yè)鏈源頭抓起,除了要對計算機、服務器、路由器等計算機網(wǎng)絡設備及其操作系統(tǒng)和應用軟件行審查之外,還要加強對網(wǎng)絡安全協(xié)議等基礎安全技術(shù)的審查規(guī)制。
搜索公眾微信號"考試吧公務員"
相關(guān)推薦: