“去IOE”不应泛化

以浪潮信息为代表的网络安全概念股近期呈现癫狂的状态，在国家强化对网络安全监管的背景下，所谓的“去IOE” （IBM、Oracle、EMC）再次被“国产化替代”的浪潮推波助澜。“去IOE”源起于华为、中兴去年在美国遭遇的不公平对待——美国众议院情报委员会议以“可能威胁美国国家通信安全”为由，建议禁止华为和中兴参与美国市场的电信设备业务。

斯诺登开启的“棱镜门”为中国网络安全隐患敲响了警钟——电信、金融、石油以及政府等中国核心部门大量采用了“IOE”的设备和服务，斯诺登爆料的信息又证实了美国一些高科技公司在美国国家安全局的监听丑闻中扮演了不光彩的角色，进一步推动了中国金融、电信等关键领域加速“去IOE”化。

上个月，中国宣布在政府采购的计算机类产品中禁止安装Win8操作系统，认为该系统通过集成杀毒软件可以定期对用户的电脑进行扫描，从而形成了“不安全”的技术架构——因为一个软件是否能被信任只能由微软说了算，会导致用户对计算机失去控制权。这一举措被外媒解读为中国维护网络安全的措施已经付诸企业层面的行动，是去“IOE”的深化。

且不论外媒如何带着有色眼镜来看待中国加强网络安全防控的措施，但中国部分人怀着强烈的民族主义情结，打着“国产化替代”的旗帜盲目地进行“去IOE”绝非理性。国产设备或系统就一定安全吗？国家信息化专家咨询委员会的汪玉凯教授在不同场合都表达了“国产的未必安全”的观点，他强调“安全”的前提在于“可控”，“可控”的国外公司的产品也可以用。另外，就高端服务器而言，目前暂时没有企业能在高端容错技术和整体架构上完全取代IBM，其他领域也是类似。

“去IOE”纯粹是一个民间说法，至今中国没有哪一级的政府明确表示要“去IOE”。维护国家安全、保护用户的合法利益，本是一个主权国家的应有之义。中国负责网络管理的国家互联网信息办公室上月22日宣布，针对国内使用的信息技术和产品引入安全审查制度，禁止审查不合格的产品和服务在中国境内使用。这是中国首次引进网络安全审查制度的一种尝试。

实施网络安全审查制度是国际惯常的做法，2000年1月，美国发布《国家信息安全保障采购政策》，率先在国家安全系统中对采购的产品进行安全审查。随后陆续针对联邦政府云计算服务、国防供应链等出台了相关安全审查政策，2002年实现了对国家安全系统、国防系统、联邦政府系统的全面覆盖。2013年，美国国防部颁布临时政策，规定国防系统及其合同商系统采购的产品和服务要经过供应链安全审查。

对于中国加强网络安全监察的举措，外媒认为将对思科、IBM、微软等美国高科技公司产生直接影响，因为这一审查制度要求此类公司分享敏感数据和技术。再加上中国国内所谓的“去IOE”浪潮，进一步加剧了国外对中国商业环境的担心，这背后不排除一些国外媒体带着政治目的进行故意曲解。但中国网络安全审查制度绝不是针对特定国家、企业和产品的，更不会针对“IOE”的。如果“IOE”企业愿意与中国用户分享数据或者资料，接受中国网络监管机构的审查，包括金融、电信等关系中国国家安全的部门仍然会继续使用它们的产品。

当然，“IOE”也应该充分理解和尊重中国政府的做法，比如中国政府部门使用的云服务，网络审查部门要求服务器机房以及运行的关键业务和数据的物理设备都应位于中国境内，这种要求有其合理性，云服务提供商应该给予配合和尊重。另外，中国网络安全监管机构除了对产品和服务本身进行安全可控性审查之外，提供该产品和服务的企业自身信誉也是重要考虑指标，很难让中国政府再相信参与了“棱镜门”监控计划的国外公司对安全信誉的承诺。

实际上，很多美国公司已经认识到美国国家安全局的监控计划对他们公司在华业务和信誉构成了伤害，比如思科在中国的销售量下降了8%，IBM连续3个季度下降超过20%；思科董事长钱伯斯发出警告说，美国政府的监控行为正在侵蚀美国科技企业的信心，奥巴马政府应对监控计划设立“行为标准”。endprint