信息安全保衛戰

策劃、執行｜石菲

信息安全保衛戰剛剛打響，熱點問題、熱點事件未來還會出現，有關戰略規劃還將進一步明晰，有關政策舉措還將形成體系化，自主產業發展還將加快。不管怎樣，為打造一個技術先進、產業領先、自主可控、安全可靠的網絡強國，網絡信息安全一定會成為牽引未來中國信息產業發展和信息化建設的主題和主線。

今年以來，有關網絡信息安全的話題持續升溫，電臺、電視臺、報刊、網絡連篇累牘，驟然形成輿論熱點。尤其是中國國家互聯網應急中心公布，自今年3月19日至5月18日，2077個位于美國的木馬或僵尸網絡控制服務器，直接控制了我國境內約118萬臺主機等相關數據源。中國互聯網信息中心最近編輯出版的《美國是如何監聽中國的——美國全球監聽行動紀錄》一書，觸目驚心，讓國民感覺到，我國網絡與信息安全形勢異常嚴峻。正是在這樣的背景下，新一屆中央網絡與信息安全領導小組宣布成立，習近平主席在領導小組第一次會議上提出了我國的網絡信息安全戰略構想，相關主管部門迅速出臺系列舉措，社會各界普遍響應，表明我國網絡信息安全保衛戰正式打響。

制定國家戰略 明確應對舉措

綜合分析我國網絡與信息安全存在的突出問題，關鍵是要解決“九龍治水”的混亂狀態，做好頂層設計和統籌規劃。為此，習近平主席在中央網絡與信息安全領導小組第一次會議上強調指出，網絡安全和信息化對一個國家很多領域都是牽一發而動全身的，要認清我們面臨的形勢和任務，充分認識做好工作的重要性和緊迫性，因勢而謀，應勢而動，順勢而為。網絡安全和信息化是一體之兩翼、驅動之雙輪，必須統一謀劃、統一部署、統一推進、統一實施。他進而強調，沒有網絡安全就沒有國家安全，沒有信息化就沒有現代化。建設網絡強國，要有自己的技術，有過硬的技術；要有豐富全面的信息服務，繁榮發展的網絡文化；要有良好的信息基礎設施，形成實力雄厚的信息經濟；要有高素質的網絡安全和信息化人才隊伍；要積極開展雙邊、多邊的互聯網國際交流合作。建設網絡強國的戰略部署要與“兩個一百年”奮斗目標同步推進，向著網絡基礎設施基本普及、自主創新能力顯著增強、信息經濟全面發展、網絡安全保障有力的目標不斷前進。

根據習近平的重要講話精神，相關主管部門正在積極制定國家網絡與信息安全發展戰略。在做好頂層設計的同時，有關部門也迅速出臺具體措施：今年5月20日，中國政府采購網發布《中央國家機關政府采購中心重要通知》，明確規定所有計算機類產品不允許安裝Windows 8操作系統；5月22日，國家互聯網信息辦公室宣布，中國即將推出網絡安全審查制度，并指出少數國家政府和企業利用產品“單邊壟斷”和技術“獨霸”優勢，大規模收集敏感數據，對其他國家的網絡空間安全造成巨大威脅。緊接著，5月26日，中國互聯網新聞研究中心發表了《美國全球監聽行動紀錄》，首次系統地以官方出版物形式整理和披露美國對中國的長期監測。這也是“棱鏡門”事件爆發近一年來，中國政府所屬機構首次對涉及中國的監聽竊密問題進行確認和表態。

做好安全審查 發展自主產業

5月22日，國家互聯網信息辦公室發布消息稱，為維護國家網絡安全、保障中國用戶合法利益，我國即將推出網絡安全審查制度。明確對關系國家安全和公共利益的重要技術產品和服務，應通過網絡安全審查。網絡安全審查制度直接針對的對象就是肩負筑起網絡安全框架的網絡信息安全基礎設施建設，此次明確推進網絡安全審查制度瞄準產品和服務，就是原本網絡審查更重內容審查而輕視基礎設施安全審查的終結，取而代之的，則是針對網絡信息基礎設施以及產品內容和服務的全方位審查。

其中，審查的重點在于該產品的安全性和可控性，旨在防止產品提供者利用提供產品之便，非法控制、干擾、中斷用戶系統，非法收集、存儲、處理和利用用戶有關信息，不符合安全要求的產品和服務，將不得在中國境內使用。

中國的網絡審查制度將由國家互聯網信息辦公室主管，全國信息安全標準化技術委員會具體落實，審查過程除要求多個相關部門協助外，還將引入第三方專業的檢測機構和專家組參與。中國政府不僅要對從國外進口的產品進行安全審查，對國內的產品也一樣要進行審查。無論是國內產品還是國外產品，只要符合中國的網絡安全標準，就能夠進入市場自由流通。

“從技術層面看，網絡安全審查要檢查信息安全產品漏洞、后門等情況，但審查內容不能僅停留在技術層面上，還應上升到國家高度，對提供信息安全產品和服務的供應商背景進行調查。該背景包括是否受到外國軍方、情報部門的影響，供應商的高級管理人員及技術研發人員是否曾有反人類言行、是否有犯罪前科等。對于供應商背景的調查，美國在信息安全審查中一直進行，我國的網絡安全審查制度執行時也可以借鑒。只有全方位審查，才能保證國家重要部門和行業的信息技術產品和服務的信息安全。” 中國信息安全認證中心副主任陳曉樺說。

據了解，歐美國家針對信息安全的全鏈條建立了詳盡的審查體系。以美國為例，安全審查不僅局限于產品安全性能指標，還要審查產品的研發過程、程序、步驟、方法、產品的交付方法等。我國的網絡審查制度將借鑒國外的成熟經驗，并結合實際情況作出符合我國信息產業發展現狀的規定。產品的安全性和可控性將成為審查重點。

“網絡安全審查應包括事前審查、事中監測和事后懲處三部分。” 中國信息安全評測中心總工程師王軍表示，在信息產品進入市場前，需對用戶信息安全進行技術審查，同時對該產品是否對國家安全造成影響、是否會產生壟斷等社會經濟安全影響進行評估；已進入市場的信息產品也并非絕對安全，補丁和升級都可能帶來新的安全隱患，因此同樣需要監控。

而中國工程院院士方濱興則指出，根據其他國家的經驗，網絡安全審查制度應針對宏觀戰略和微觀技術兩方面分別采取不同措施。對于進入政府機構、交通、電力、金融等重要領域的產品，需要建立“黑名單”制，不僅對技術也對企業背景進行審查，保障國家信息安全；而對于在市面流通的信息技術產品，需進行“白名單”強制認證，只有符合安全標準的產品才能入市。這種審查只是一種技術評估，普通用戶的利益不會受到影響。

國內信息技術廠商面臨新機遇

審查是確保網絡與信息安全的基本管理手段，研發安全可控技術、發展自主產業是關鍵。工業和信息化部總經濟師周子學認為，我國存在的信息安全問題，核心是產業落后問題。由于發達國家信息技術產業發展較早，技術研發和產業控制能力更強，發展中國家、落后國家應用信息技術，自然受制于人，不管你采取什么管理手段，信息安全都不能完全保障。因此化解信息安全問題，關鍵的是解決產業落后問題。根據信息產業發展規律，我們不能全面開花，幻想在所有領域都趕超人家。但是，利用信息技術更新換代快的特點，結合我國產業積累，在一些關鍵點和核心部門攻關突圍，形成競爭力是有可能的。只有在某些方面形成市場優勢，才能與發達國家進行博弈。由此，在信息安全提升到國家戰略的今天，國內信息技術廠商面臨前所未有的發展機會。

今年第一季度，我國信息產業發展呈現良好的發展態勢。中國商情網2014年一季度中國規模以上工業生產主要數據顯示，計算機、通信和其他電子設備制造業1至3月同比增長11.3%，其中3月同比增長15.3%，顯示出加速增長的趨勢。而與此同時，外資企業在華市場紛紛受到影響。截至2014年3月31日的這一財季，IBM第一季度營收為225億美元，比去年同期的234億美元下滑3.9%;凈利潤為23.84億美元，比去年同期的30.32億美元下滑21.4%。而來自市場研究公司Gartner的數據顯示，2014年第一季度，IBM、HP和戴爾市場份額從2013年同期的49%降至38%，其中IBM x服務器的降幅高達25%。

在國外廠商市場落潮的同時，寶德、浪潮、曙光這樣的國產服務器廠商，開始準備全盤接手外資企業們留下的空白市場。

在工信部的指導下，國產主機系統產業聯盟宣告成立，這也是國內首個面向關鍵應用領域的IT產業聯盟，共有聯盟成員16家，涵蓋了浪潮、中標軟件、金蝶、達夢、銳捷網絡等中國主要的IT軟硬件企業，初步形成了完整的國產主機產業鏈。

對于國家的網絡安全來說，使用本國企業的產品，一定程度上可以避免網絡技術產品中被惡意預留漏洞，危害國家安全。近年來，我國信息產業國產化趨勢已經愈發明顯。市場調查公司IDC 2014年4月份公布中國X86服務器市場數據顯示，2013年中國X86服務器總銷量為1474828臺，同比增長12.6%，國內廠商以61%的市場份額連續第三年超過國外廠商。

在品牌格局方面，戴爾取代IBM奪得銷售額榜首，IBM銷售額退至第二位，惠普位居第三。在國內廠商中，浪潮銷售額位居第一，并保持較大領先優勢，華為和聯想分別位居第二和第三位。以浪潮為代表的國內服務器廠商正在加快搶占惠普、IBM等國際廠商的市場份額，2013年國際廠商市場份額下降4個百分點，且呈連續下降趨勢，在過去4年中由53%下滑到了39%。

浪潮2013年就啟動了針對IBM市場以及營銷體系展開的全面滲透、切入、接管，涉及X86業務、主機系統、云計算大數據、高性能計算產品線，涵蓋行業拓展、優渠開發、項目遷移、人員接納等多項細分計劃，其實質就是蠶食和搶奪IBM的渠道、人才等各方面市場，最終目的是從IBM手中搶下20%中國市場份額。

與往年相比，華為、聯想、浪潮、曙光這4家X86服務器供應商也開始加大其高端產品的銷售力度。以往國內廠商主要占據中低端、國外廠商占據高端的市場格局正在改變。

外企沒有機會了嗎？

基于國家信息安全考慮，中國各行各業關鍵信息系統設備，實現國產替代應是大勢所趨。然而，替代有個過程，盡管國內企業紛紛摩拳擦掌、躍躍欲試。但實際上很多系統對海外公司設備形成依賴，不可能馬上更替。

拿集中式架構來說，采用的多是閉源商用系統。也就是說，程序99%都是運行在1～2臺服務器上，而且由外資軟件服務商提供了應用程序以外的所有的“基礎軟件”，包括操作系統，中間件，數據庫等。這些“基礎軟件”的源代碼一般都是不公開的，且一般經過幾十年的使用，這給替換帶來了很大難度。

而一般互聯網企業使用的是分布式架構加開源系統。也就是說，程序同時運行在數十臺至數萬臺服務器上，而且上面這些“基礎軟件”都是用公開源代碼的軟件修改而成的。

盡管浪潮造勢不小，但其自己也承認接管的是IBM的x系列業務，且不論x系列利潤相對較低，而且已經賣給了聯想，浪潮實際上是要跟聯想搶生意。

此外，很多用戶采購業界最好公司的產品其中一個重要原因是規避責任，而冒然選用并不成熟的國產產品會讓企業負責人們承擔很大壓力。

再看國內企業，聯想目前提供的產品還局限在PC、服務器、工作站等硬件產品。華為雖然除存儲、服務器產品外，還有自己的云服務，但在數據庫中間件這些領域還沒什么積累，要抗起國產化大旗還需在軟件與服務方面加大力度。

此外，針對信息技術產品及其供應商開展不同形式的網絡安全審查，出發點并不是針對國外企業，只要國外企業獨立經營，不承擔美國政府收集信息情報和監聽他國信息的職能，注重客戶的信息安全問題，進一步開放技術合作，國外產品競爭優勢依然存在。因此，“國外產品沒有機會了”是一個偽命題。

信息安全保衛戰剛剛打響，熱點問題、熱點事件未來還會出現，有關戰略規劃還將進一步明晰，有關政策舉措還將形成體系化，自主產業發展還將加快。不管怎樣，為打造一個技術先進、產業領先、自主可控、安全可靠的網絡強國，網絡信息安全一定會成為牽引未來中國信息產業發展和信息化建設的主題和主線。

鏈接

美國如何進行網絡安全審查

2000年，美國率先在國家安全系統中對采購的產品進行安全審查，并陸續實現了對國家安全系統、國防系統、聯邦政府系統的全面覆蓋。審查對象不僅涉及產品和服務，還會針對產品和服務提供商。隨后，美國等西方國家為保障國家安全、防范供應鏈安全風險，逐步建立了多種形式的網絡安全審查制度。將全方位、綜合性的供應鏈安全審查對策上升至國家戰略高度。

美國網絡安全審查標準和過程是不公開的，不披露原因和理由，不接受供應方申訴，且其審查沒有明確的時間限制。

美國安全審查的要害之一是安全審查結果具有強制性。美國國家安全系統委員會2000年1月發布的《國家信息安全保障采購政策》規定，自2002年7月起進入國家安全系統的信息技術產品必須通過審查。2011年12月，美國政府發布《聯邦風險及授權管理計劃》，要求為聯邦政府提供云計算服務的服務商，必須通過安全審查、獲得授權；聯邦政府各部門不得采用未經審查的云計算服務。美國在政府采購招標文件中還進一步規定，向聯邦機構提供云計算服務的基礎設施必須位于美國境內。

從開始建立至今，美國的網絡安全審查范圍不斷延伸。2000年1月，美國國家安全系統委員會發布了《國家信息安全保障采購政策》，對涉及國家安全的信息系統采購的信息技術產品進行安全審查。2002年，美國聯邦政府執行美國國家標準技術研究院制定的信息安全標準，建立了面向聯邦政府的網絡安全審查制度。2013年11月，美國國防部頒布臨時政策，規定國防系統及其合同商采購的產品和服務要經過供應鏈安全審查。

美國網絡安全審查的內容不局限于技術。美國聯邦政府要求，不僅要審查產品安全性能指標，還要審查產品的研發過程、程序、步驟、方法、產品的交付方法等，要求企業自己證明產品已達到了規定的安全強度。

美國要求被審查企業簽署網絡安全協議，協議通常包括：通信基礎設施必須位于美國境內；通信數據、交易數據、用戶信息等僅存儲在美國境內；若外國政府要求訪問通信數據必須獲得美國司法部、國防部、國土安全部的批準；配合美國政府對員工實施背景調查等。

鏈接

歐盟：多舉措加強網絡安全

對于歐盟而言，歐盟委員會2013年11月推出的一項名為“網絡安全戰略”(Cyber Security Strategy)的網絡安全政策為整個歐洲互聯網起到了保駕護航的作用。正如歐盟外交與安全政策高級代表凱瑟琳·阿什頓所言，“網絡安全戰略”是個全面的政策性文件，其內容不僅涵蓋網絡問題所囊括的內部市場、司法領域，還涉及內政與外交問題。

歐盟委員會稱，該安全戰略與歐盟立法議案(指令)統一，其目的只有一個，那就是加強歐盟信息系統的安全性。只有網絡的安全性得到了鞏固與加強，歐盟各成員國民眾才會安心通過網絡購物，才會在各個領域更廣泛地使用互聯網，歐洲經濟也才會因此而得以增長。

歐盟委員會“網絡安全戰略”政策制定者明確表示，歐盟互聯網的安全性是歐盟首先要考慮的問題。“網絡安全戰略”也體現了互聯網時代所具有的自由與開發的核心價值觀。在為廣大網民提供充分民主與自由空間的同時，也兼顧了歐盟各成員國以及全球其他國家網民的民主與自由的權利。

營造一個更安全的網絡空間，這樣一個目標的實現離不開全球信息社會的支持，即：從民眾到各國政府的支持。歐盟對于各成員國所出臺的規范所有利益相關者在網絡空間行為的法案表示支持。因此，歐盟除了出臺一些有關互聯網安全的具體指令外，也鼓勵各成員國按照本國政府的要求，出臺適合本國國情的有關互聯網安全的法律法規。

歐盟方面還認為，在與應用于網絡空間的眾多國際法律文書不沖突的情況下，歐盟各成員國可以根據本國情況提出有關解決自身互聯網安全問題的立法提案。歐盟方面之所以這樣規定主要是出于有些成員國會以網絡安全為借口限制言論自由以及犯罪信息的獲取。例如，《打擊網絡犯罪布達佩斯公約》就規定，歐盟各成員國有協助調查、起訴和解決網絡犯罪的國際合作方面的義務。

2014年2月，歐盟委員會就公布了一項指令，對互聯網安全問題采取了約定俗成的解決辦法，即：歐盟委員會要求歐盟各國政府建立有權對網絡安全進行監管的國家級機構，而涉及的領域則包括技術服務、能源、金融服務、交通運輸與醫療行業。同時，這些國家級機構有權要求各實體采取相應的風險管理措施。

目前，歐盟也在不遺余力地鼓勵產業與學術界共同參與網絡安全的軍用與民用方面的研發課題。同時，歐洲防務局(EDA)也在積極促進軍民之間的對話,并在歐洲層面協調兩者之間有關網絡安全最新經驗的交流，特別是在信息交換與預警、應急響應、風險評估與建立網絡安全文化方面的做法與經驗進行交流與溝通。

鏈接

三維度考量信息安全

杭州華三通信技術有限公司（下簡稱華三）作為一家有外資背景的企業，對信息安全有自己獨到的理解。H3C的前身是華為3COM。由華為和3COM合資成立的公司，華為控股51%，3COM為49%；4年前華為將51%的股份賣給了3COM，成為了3COM的全資子公司。之后HP收購3COM后，H3C成為HP子公司。

華三認為應該從安全能力、安全可控和安全誠信三個維度考量IT供應商的信息安全。其中，安全能力指企業產品本身具備的安全能力。安全可控指的是能力中心是否在中國，包括企業核心人員與研發、生產、制造、服務中心是否位于中國；企業是否需要遵從所在國家的法律法規，包括知識產權和其他法律法規。安全誠信方面則看企業是否誠信坦蕩，積極主動接受國家的安全審查。

華三市場部負責人表示華三主觀上絕不做危害國家信息安全的事情，客觀上積極主動接受國家主管部門的全方位審查，包括源代碼到硬件設計。國家安全審查能力的提升，會進一步促進國內外企業的安全誠信。華三愿意為國家安全審查技術的提升做出自己的貢獻。

《美國是如何監視中國的》

近日，由中央網絡安全和信息化領導小組辦公室、國信辦授權，互聯網新聞研究中心編著的《美國是如何監視中國的——美國全球監聽行動紀錄》一書正式出版，

以下為書中的部分內容。

美國對全球和中國進行秘密監聽的行徑包括：

——每天收集全球各地近50億條移動電話紀錄。

——窺探德國現任總理默克爾手機長達十多年。

——秘密侵入雅虎、谷歌在各國數據中心之間的主要通信網絡，竊取了數以億計的用戶信息。

——多年來一直監控手機應用程序，抓取個人數據。

——針對中國進行大規模網絡進攻，并把中國領導人和華為公司列為目標。

美國的監聽行動，涉及到中國政府和領導人、中資企業、科研機構、普通網民、廣大手機用戶等等。中國堅持走和平發展道路，沒有任何理由成為美國打著“反恐”旗號進行的秘密監聽的目標。

美國必須就其監聽行動作出解釋，必須停止這種嚴重侵犯人權的行為，停止在全球網絡空間制造緊張和敵意。

美國把中國當成秘密監聽的主要目標：

斯諾登曝光的證據證明：中國是美國非法竊聽的主要目標之一，竊聽范圍涵蓋國家領導人、科研機構、大學、企業等等。

斯諾登向德國《明鏡》周刊提供的文件表明：美國針對中國進行大規模網絡進攻，并把中國領導人和華為公司列為目標。攻擊的目標包括商務部、外交部、銀行和電信公司等。《明鏡》周刊稱，美國的監控目標還包括數位中國前任國家領導人和多個政府部門及銀行。

中國的政府機構是美國竊聽的重點關照對象。白宮的一位外交政策助理也曾透露，美國曾在1990年8月落成的中國駐澳大利亞新使館的每間辦公室的混凝土墻里埋設了光纖竊聽器，這種細細的玻璃絲在全面安全檢查中沒有被發現。直到這件事在前些時候被泄露給《悉尼先驅晨報》和其他新聞媒體后，才引起中國的警覺。