关于建立信息安全审查制度的提案

2013-09-05 09:56全国人大代表浪潮集团董事长孙丕恕
中国建设信息化 2013年6期
关键词:源代码信息系统信息安全

全国人大代表、浪潮集团董事长 孙丕恕

近年来,美国以国家信息安全为由,一直在阻止中国企业的IT产品在美国本土参与竞标,同时阻挠中国企业并购美国高科技企业,防止中国企业获取核心技术。特别是在2012年美国众议院指控华为、中兴威胁国家安全,2012年10月8日,在一份有关华为和中兴的调查报告中,美国众议院常设特别情报委员会得出这样一个结论: 华为和中兴对美国国家安全构成威胁,它们制造的设备可以通过遥控向中国发回数据,有间谍嫌疑,应该对其在美开展的业务进行严厉限制。

中国企业在美国频频受阻,反观中国,国家信息系统安全形势严峻。当前,我国的信息安全保护机制还相当薄弱。在许多采购案例中,我们仍可以看到,关键设备使用国外产品,重要系统也采购国外的,这等于把自己的秘密置于别人的眼皮底下,这种现象给我国信息安全带来很大的隐患。

造成这种情况最根本的原因是中国缺乏明确的法律法规,没有完善审核监管体系,而美国是从国家立法层面对信息安全予以重点保障,对信息安全有明确的规定,也有一整套的等级保护体系和评测审查手段,如全球供应链审查、源代码备案、采购目录清单等层层设防。因此建议如下:

一、完善政府采购法,明确信息产品的采购细则

在中国现行的法律、法规、规章中,只有对于信息安全产品(如:防火墙)明确了进行认证、分等级管理,没有明确对于在信息系统构建中起到核心作用的软硬件产品进行安全性审查,实质上诸如服务器、存储、交换机、系统软件、数据库等作为信息系统的支撑,直接影响着数据信息的保密安全。建议进一步的完善信息安全法律法规体系,明确建立信息安全产品、信息安全相关产品实行安全审查制度,为依法开展信息安全审查提供保障。

二、通过对信息产品的分类、分级管理,明确审查范围

按照分类分级管理的原则,对于国防、政府、商业应用不同类别的信息产品实行不同的与之相应安全等级。例如对于进入军事国防信息系统的产品技术要实行强制性安全审查;对于政府信息系统,事关国家公共安全、经济运行、社会稳定的三级以上重要系统(比如金融、电信、能源等领域)都要进行强制性安全审查;一般商用性的可以实行市场化管理。

三、要明确信息产品的审查内容

对信息安全相关产品要根据产品的来源(是否我国自主知识产权)、可靠性(国家是否可控和生产单位是否可控)、可监督性(产品的源代码是否备案、是否经过检查)和安全性(是否具有漏洞、后门、远程控制等功能),进行严格审查,规范其使用范围,进行监督管理。

猜你喜欢
源代码信息系统信息安全
企业信息系统安全防护
基于TXL的源代码插桩技术研究
基于三级等级保护的CBTC信号系统信息安全方案设计
基于区块链的通航维护信息系统研究
计算机网络信息安全及防护策略
信息系统审计中计算机审计的应用
高校信息安全防护
基于语法和语义结合的源代码精确搜索方法
解密别克安全“源代码”
基于ADC法的指挥信息系统效能评估