作者 | 程德杰
NSA阴影下的企业信息安全
作者 | 程德杰
近日,华为被曝出的美国NSA监听的新闻引发业内广泛关注,并受到国内诸多媒体及人士的指责。但指责之余,如何防患于未然,才是正解。
史上最有名的爆料者—斯诺登,虽然目前隐身于俄罗斯,但却并没有停止其爆料历程。根据其最新一次爆料:美国国家安全局(National Security Agency,NSA)已经秘密对来自中国的华为公司(HUAWEI)进行了长达数年的监控,其监控行为包括入侵华为的邮件服务器、窃听通话、窃取华为通信设备的核心源代码等。
这并不是中国企业第一次成为有关“信息安全”话题的焦点。与过往西方媒体的喧嚣不同,这一次,华为公司从西方网络信息安全的潜在“威胁者”,逆转成为美国国安局监控行为的“受害者”。
尽管NSA长达数年的监控,并没有能够让NSA获取到华为公司和中国军方部门联系的有力证据,但却让NSA通过窃取华为网络设备的核心代码,借助华为公司这几年在全球通信市场的快速成长,成功地将监控的黑手伸到了华为公司的客户那里。
长期以来,企业信息安全主要由企业自己负责,政府和相关安全保卫部门则主要负责政府机关和要害部门的信息安全工作,大型国有企事业单位虽然也纳入到各级政府的保密安全工作范畴,但不得不承认的是,国家信息安全保卫的重点,仍主要在政府系统和重点军工研究单位。企业信息安全、特别是部分高科技民营企业的信息安全,长久以来并没有受到应有的重视。
事实上,随着中国改革开放进程的加速,企业日益成为国家经济活动的主体。企业的信息安全,尤其是掌握着国家高科技发展资源的企业,其信息安全早已是国家信息安全的重要组成部分,企业的信息安全同样关系着国家安全。
如何确保中国企业的信息安全,让众多像华为那样的中国企业,远离NSA的黑手,个人以为:在此中间政府应扮演重要角色,政府应成为企业信息安全的第一道防火墙。
企业作为经济发展的主体,重点企业、特别是高科技企业,往往承载着国家在某一领域领先突破的希望和未来。但由于历史原因,企业往往缺乏信息安全意识,缺少在信息安全方面的投入,相关国家信息安全部门也缺乏对企业信息安全的重视和关注,导致部分高科技企业的核心技术外泄,使企业利益受损,进而损害国家的经济利益,并可能危害国家经济安全。因此,有必要以加强企业信息安全为着力点,将企业信息安全纳入到整个国家信息安全体系中来,以企业的微观安全来确保国家的宏观安全。
目前,在国家层面已经成立了信息安全领导机构,但在有关企业信息安全方面,仍需探索构建一套既有利于企业发展,又有利于信息安全防范的成熟机制。这就需要做好顶层设计,让企业在关系自身信息安全的工作中,扮演主要角色。
企业信息安全是国家信息安全的重要组成部门,企业防控安全入侵的战场也是国家信息安全战场的一部分。在防控安全入侵方面,不少企业累积了不少有益的经验,而不少企业本身就是信息领域的领导者和标准制订者。因此,国家信息安全部门建立和重点企业的定期沟通机制,通报国际、国内信息安全形势,互通情报,做到信息互通,情报共享,双向业务辅导,共同提升企业和国家信息安全水平,确保企业信息安全。
从根本上来说,国家的信息安全从来都不是构建在别国信息安全设备和技术之上的。靠别国设备和技术搭建起来的国家信息安全,总是会轻易地被戳得千疮百孔。因此,国家有必要进一步加大对自有信息安全设备安全技术的研发支持力度,建立适应现代信息安全环境的中国信息安全标准体系,壮大国内自我掌控的国家信息安全产业。
综上所述,企业信息安全作为国家安全的微观层面,有必要受到政府信息安全部门的高度关注。通过顶层设计和体制建设,构建起企业信息安全的保护伞,使企业远离NSA的魔爪,才能够真正确保国家的战略安全。