信息安全保卫战

策划、执行｜石菲

信息安全保卫战刚刚打响，热点问题、热点事件未来还会出现，有关战略规划还将进一步明晰，有关政策举措还将形成体系化，自主产业发展还将加快。不管怎样，为打造一个技术先进、产业领先、自主可控、安全可靠的网络强国，网络信息安全一定会成为牵引未来中国信息产业发展和信息化建设的主题和主线。

今年以来，有关网络信息安全的话题持续升温，电台、电视台、报刊、网络连篇累牍，骤然形成舆论热点。尤其是中国国家互联网应急中心公布，自今年3月19日至5月18日，2077个位于美国的木马或僵尸网络控制服务器，直接控制了我国境内约118万台主机等相关数据源。中国互联网信息中心最近编辑出版的《美国是如何监听中国的——美国全球监听行动纪录》一书，触目惊心，让国民感觉到，我国网络与信息安全形势异常严峻。正是在这样的背景下，新一届中央网络与信息安全领导小组宣布成立，习近平主席在领导小组第一次会议上提出了我国的网络信息安全战略构想，相关主管部门迅速出台系列举措，社会各界普遍响应，表明我国网络信息安全保卫战正式打响。

制定国家战略 明确应对举措

综合分析我国网络与信息安全存在的突出问题，关键是要解决“九龙治水”的混乱状态，做好顶层设计和统筹规划。为此，习近平主席在中央网络与信息安全领导小组第一次会议上强调指出，网络安全和信息化对一个国家很多领域都是牵一发而动全身的，要认清我们面临的形势和任务，充分认识做好工作的重要性和紧迫性，因势而谋，应势而动，顺势而为。网络安全和信息化是一体之两翼、驱动之双轮，必须统一谋划、统一部署、统一推进、统一实施。他进而强调，没有网络安全就没有国家安全，没有信息化就没有现代化。建设网络强国，要有自己的技术，有过硬的技术；要有丰富全面的信息服务，繁荣发展的网络文化；要有良好的信息基础设施，形成实力雄厚的信息经济；要有高素质的网络安全和信息化人才队伍；要积极开展双边、多边的互联网国际交流合作。建设网络强国的战略部署要与“两个一百年”奋斗目标同步推进，向着网络基础设施基本普及、自主创新能力显著增强、信息经济全面发展、网络安全保障有力的目标不断前进。

根据习近平的重要讲话精神，相关主管部门正在积极制定国家网络与信息安全发展战略。在做好顶层设计的同时，有关部门也迅速出台具体措施：今年5月20日，中国政府采购网发布《中央国家机关政府采购中心重要通知》，明确规定所有计算机类产品不允许安装Windows 8操作系统；5月22日，国家互联网信息办公室宣布，中国即将推出网络安全审查制度，并指出少数国家政府和企业利用产品“单边垄断”和技术“独霸”优势，大规模收集敏感数据，对其他国家的网络空间安全造成巨大威胁。紧接着，5月26日，中国互联网新闻研究中心发表了《美国全球监听行动纪录》，首次系统地以官方出版物形式整理和披露美国对中国的长期监测。这也是“棱镜门”事件爆发近一年来，中国政府所属机构首次对涉及中国的监听窃密问题进行确认和表态。

做好安全审查 发展自主产业

5月22日，国家互联网信息办公室发布消息称，为维护国家网络安全、保障中国用户合法利益，我国即将推出网络安全审查制度。明确对关系国家安全和公共利益的重要技术产品和服务，应通过网络安全审查。网络安全审查制度直接针对的对象就是肩负筑起网络安全框架的网络信息安全基础设施建设，此次明确推进网络安全审查制度瞄准产品和服务，就是原本网络审查更重内容审查而轻视基础设施安全审查的终结，取而代之的，则是针对网络信息基础设施以及产品内容和服务的全方位审查。

其中，审查的重点在于该产品的安全性和可控性，旨在防止产品提供者利用提供产品之便，非法控制、干扰、中断用户系统，非法收集、存储、处理和利用用户有关信息，不符合安全要求的产品和服务，将不得在中国境内使用。

中国的网络审查制度将由国家互联网信息办公室主管，全国信息安全标准化技术委员会具体落实，审查过程除要求多个相关部门协助外，还将引入第三方专业的检测机构和专家组参与。中国政府不仅要对从国外进口的产品进行安全审查，对国内的产品也一样要进行审查。无论是国内产品还是国外产品，只要符合中国的网络安全标准，就能够进入市场自由流通。

“从技术层面看，网络安全审查要检查信息安全产品漏洞、后门等情况，但审查内容不能仅停留在技术层面上，还应上升到国家高度，对提供信息安全产品和服务的供应商背景进行调查。该背景包括是否受到外国军方、情报部门的影响，供应商的高级管理人员及技术研发人员是否曾有反人类言行、是否有犯罪前科等。对于供应商背景的调查，美国在信息安全审查中一直进行，我国的网络安全审查制度执行时也可以借鉴。只有全方位审查，才能保证国家重要部门和行业的信息技术产品和服务的信息安全。” 中国信息安全认证中心副主任陈晓桦说。

据了解，欧美国家针对信息安全的全链条建立了详尽的审查体系。以美国为例，安全审查不仅局限于产品安全性能指标，还要审查产品的研发过程、程序、步骤、方法、产品的交付方法等。我国的网络审查制度将借鉴国外的成熟经验，并结合实际情况作出符合我国信息产业发展现状的规定。产品的安全性和可控性将成为审查重点。

“网络安全审查应包括事前审查、事中监测和事后惩处三部分。” 中国信息安全评测中心总工程师王军表示，在信息产品进入市场前，需对用户信息安全进行技术审查，同时对该产品是否对国家安全造成影响、是否会产生垄断等社会经济安全影响进行评估；已进入市场的信息产品也并非绝对安全，补丁和升级都可能带来新的安全隐患，因此同样需要监控。

而中国工程院院士方滨兴则指出，根据其他国家的经验，网络安全审查制度应针对宏观战略和微观技术两方面分别采取不同措施。对于进入政府机构、交通、电力、金融等重要领域的产品，需要建立“黑名单”制，不仅对技术也对企业背景进行审查，保障国家信息安全；而对于在市面流通的信息技术产品，需进行“白名单”强制认证，只有符合安全标准的产品才能入市。这种审查只是一种技术评估，普通用户的利益不会受到影响。

国内信息技术厂商面临新机遇

审查是确保网络与信息安全的基本管理手段，研发安全可控技术、发展自主产业是关键。工业和信息化部总经济师周子学认为，我国存在的信息安全问题，核心是产业落后问题。由于发达国家信息技术产业发展较早，技术研发和产业控制能力更强，发展中国家、落后国家应用信息技术，自然受制于人，不管你采取什么管理手段，信息安全都不能完全保障。因此化解信息安全问题，关键的是解决产业落后问题。根据信息产业发展规律，我们不能全面开花，幻想在所有领域都赶超人家。但是，利用信息技术更新换代快的特点，结合我国产业积累，在一些关键点和核心部门攻关突围，形成竞争力是有可能的。只有在某些方面形成市场优势，才能与发达国家进行博弈。由此，在信息安全提升到国家战略的今天，国内信息技术厂商面临前所未有的发展机会。

今年第一季度，我国信息产业发展呈现良好的发展态势。中国商情网2014年一季度中国规模以上工业生产主要数据显示，计算机、通信和其他电子设备制造业1至3月同比增长11.3%，其中3月同比增长15.3%，显示出加速增长的趋势。而与此同时，外资企业在华市场纷纷受到影响。截至2014年3月31日的这一财季，IBM第一季度营收为225亿美元，比去年同期的234亿美元下滑3.9%;净利润为23.84亿美元，比去年同期的30.32亿美元下滑21.4%。而来自市场研究公司Gartner的数据显示，2014年第一季度，IBM、HP和戴尔市场份额从2013年同期的49%降至38%，其中IBM x服务器的降幅高达25%。

在国外厂商市场落潮的同时，宝德、浪潮、曙光这样的国产服务器厂商，开始准备全盘接手外资企业们留下的空白市场。

在工信部的指导下，国产主机系统产业联盟宣告成立，这也是国内首个面向关键应用领域的IT产业联盟，共有联盟成员16家，涵盖了浪潮、中标软件、金蝶、达梦、锐捷网络等中国主要的IT软硬件企业，初步形成了完整的国产主机产业链。

对于国家的网络安全来说，使用本国企业的产品，一定程度上可以避免网络技术产品中被恶意预留漏洞，危害国家安全。近年来，我国信息产业国产化趋势已经愈发明显。市场调查公司IDC 2014年4月份公布中国X86服务器市场数据显示，2013年中国X86服务器总销量为1474828台，同比增长12.6%，国内厂商以61%的市场份额连续第三年超过国外厂商。

在品牌格局方面，戴尔取代IBM夺得销售额榜首，IBM销售额退至第二位，惠普位居第三。在国内厂商中，浪潮销售额位居第一，并保持较大领先优势，华为和联想分别位居第二和第三位。以浪潮为代表的国内服务器厂商正在加快抢占惠普、IBM等国际厂商的市场份额，2013年国际厂商市场份额下降4个百分点，且呈连续下降趋势，在过去4年中由53%下滑到了39%。

浪潮2013年就启动了针对IBM市场以及营销体系展开的全面渗透、切入、接管，涉及X86业务、主机系统、云计算大数据、高性能计算产品线，涵盖行业拓展、优渠开发、项目迁移、人员接纳等多项细分计划，其实质就是蚕食和抢夺IBM的渠道、人才等各方面市场，最终目的是从IBM手中抢下20%中国市场份额。

与往年相比，华为、联想、浪潮、曙光这4家X86服务器供应商也开始加大其高端产品的销售力度。以往国内厂商主要占据中低端、国外厂商占据高端的市场格局正在改变。

外企没有机会了吗？

基于国家信息安全考虑，中国各行各业关键信息系统设备，实现国产替代应是大势所趋。然而，替代有个过程，尽管国内企业纷纷摩拳擦掌、跃跃欲试。但实际上很多系统对海外公司设备形成依赖，不可能马上更替。

拿集中式架构来说，采用的多是闭源商用系统。也就是说，程序99%都是运行在1～2台服务器上，而且由外资软件服务商提供了应用程序以外的所有的“基础软件”，包括操作系统，中间件，数据库等。这些“基础软件”的源代码一般都是不公开的，且一般经过几十年的使用，这给替换带来了很大难度。

而一般互联网企业使用的是分布式架构加开源系统。也就是说，程序同时运行在数十台至数万台服务器上，而且上面这些“基础软件”都是用公开源代码的软件修改而成的。

尽管浪潮造势不小，但其自己也承认接管的是IBM的x系列业务，且不论x系列利润相对较低，而且已经卖给了联想，浪潮实际上是要跟联想抢生意。

此外，很多用户采购业界最好公司的产品其中一个重要原因是规避责任，而冒然选用并不成熟的国产产品会让企业负责人们承担很大压力。

再看国内企业，联想目前提供的产品还局限在PC、服务器、工作站等硬件产品。华为虽然除存储、服务器产品外，还有自己的云服务，但在数据库中间件这些领域还没什么积累，要抗起国产化大旗还需在软件与服务方面加大力度。

此外，针对信息技术产品及其供应商开展不同形式的网络安全审查，出发点并不是针对国外企业，只要国外企业独立经营，不承担美国政府收集信息情报和监听他国信息的职能，注重客户的信息安全问题，进一步开放技术合作，国外产品竞争优势依然存在。因此，“国外产品没有机会了”是一个伪命题。

信息安全保卫战刚刚打响，热点问题、热点事件未来还会出现，有关战略规划还将进一步明晰，有关政策举措还将形成体系化，自主产业发展还将加快。不管怎样，为打造一个技术先进、产业领先、自主可控、安全可靠的网络强国，网络信息安全一定会成为牵引未来中国信息产业发展和信息化建设的主题和主线。

链接

美国如何进行网络安全审查

2000年，美国率先在国家安全系统中对采购的产品进行安全审查，并陆续实现了对国家安全系统、国防系统、联邦政府系统的全面覆盖。审查对象不仅涉及产品和服务，还会针对产品和服务提供商。随后，美国等西方国家为保障国家安全、防范供应链安全风险，逐步建立了多种形式的网络安全审查制度。将全方位、综合性的供应链安全审查对策上升至国家战略高度。

美国网络安全审查标准和过程是不公开的，不披露原因和理由，不接受供应方申诉，且其审查没有明确的时间限制。

美国安全审查的要害之一是安全审查结果具有强制性。美国国家安全系统委员会2000年1月发布的《国家信息安全保障采购政策》规定，自2002年7月起进入国家安全系统的信息技术产品必须通过审查。2011年12月，美国政府发布《联邦风险及授权管理计划》，要求为联邦政府提供云计算服务的服务商，必须通过安全审查、获得授权；联邦政府各部门不得采用未经审查的云计算服务。美国在政府采购招标文件中还进一步规定，向联邦机构提供云计算服务的基础设施必须位于美国境内。

从开始建立至今，美国的网络安全审查范围不断延伸。2000年1月，美国国家安全系统委员会发布了《国家信息安全保障采购政策》，对涉及国家安全的信息系统采购的信息技术产品进行安全审查。2002年，美国联邦政府执行美国国家标准技术研究院制定的信息安全标准，建立了面向联邦政府的网络安全审查制度。2013年11月，美国国防部颁布临时政策，规定国防系统及其合同商采购的产品和服务要经过供应链安全审查。

美国网络安全审查的内容不局限于技术。美国联邦政府要求，不仅要审查产品安全性能指标，还要审查产品的研发过程、程序、步骤、方法、产品的交付方法等，要求企业自己证明产品已达到了规定的安全强度。

美国要求被审查企业签署网络安全协议，协议通常包括：通信基础设施必须位于美国境内；通信数据、交易数据、用户信息等仅存储在美国境内；若外国政府要求访问通信数据必须获得美国司法部、国防部、国土安全部的批准；配合美国政府对员工实施背景调查等。

链接

欧盟：多举措加强网络安全

对于欧盟而言，欧盟委员会2013年11月推出的一项名为“网络安全战略”(Cyber Security Strategy)的网络安全政策为整个欧洲互联网起到了保驾护航的作用。正如欧盟外交与安全政策高级代表凯瑟琳·阿什顿所言，“网络安全战略”是个全面的政策性文件，其内容不仅涵盖网络问题所囊括的内部市场、司法领域，还涉及内政与外交问题。

欧盟委员会称，该安全战略与欧盟立法议案(指令)统一，其目的只有一个，那就是加强欧盟信息系统的安全性。只有网络的安全性得到了巩固与加强，欧盟各成员国民众才会安心通过网络购物，才会在各个领域更广泛地使用互联网，欧洲经济也才会因此而得以增长。

欧盟委员会“网络安全战略”政策制定者明确表示，欧盟互联网的安全性是欧盟首先要考虑的问题。“网络安全战略”也体现了互联网时代所具有的自由与开发的核心价值观。在为广大网民提供充分民主与自由空间的同时，也兼顾了欧盟各成员国以及全球其他国家网民的民主与自由的权利。

营造一个更安全的网络空间，这样一个目标的实现离不开全球信息社会的支持，即：从民众到各国政府的支持。欧盟对于各成员国所出台的规范所有利益相关者在网络空间行为的法案表示支持。因此，欧盟除了出台一些有关互联网安全的具体指令外，也鼓励各成员国按照本国政府的要求，出台适合本国国情的有关互联网安全的法律法规。

欧盟方面还认为，在与应用于网络空间的众多国际法律文书不冲突的情况下，欧盟各成员国可以根据本国情况提出有关解决自身互联网安全问题的立法提案。欧盟方面之所以这样规定主要是出于有些成员国会以网络安全为借口限制言论自由以及犯罪信息的获取。例如，《打击网络犯罪布达佩斯公约》就规定，欧盟各成员国有协助调查、起诉和解决网络犯罪的国际合作方面的义务。

2014年2月，欧盟委员会就公布了一项指令，对互联网安全问题采取了约定俗成的解决办法，即：欧盟委员会要求欧盟各国政府建立有权对网络安全进行监管的国家级机构，而涉及的领域则包括技术服务、能源、金融服务、交通运输与医疗行业。同时，这些国家级机构有权要求各实体采取相应的风险管理措施。

目前，欧盟也在不遗余力地鼓励产业与学术界共同参与网络安全的军用与民用方面的研发课题。同时，欧洲防务局(EDA)也在积极促进军民之间的对话,并在欧洲层面协调两者之间有关网络安全最新经验的交流，特别是在信息交换与预警、应急响应、风险评估与建立网络安全文化方面的做法与经验进行交流与沟通。

链接

三维度考量信息安全

杭州华三通信技术有限公司（下简称华三）作为一家有外资背景的企业，对信息安全有自己独到的理解。H3C的前身是华为3COM。由华为和3COM合资成立的公司，华为控股51%，3COM为49%；4年前华为将51%的股份卖给了3COM，成为了3COM的全资子公司。之后HP收购3COM后，H3C成为HP子公司。

华三认为应该从安全能力、安全可控和安全诚信三个维度考量IT供应商的信息安全。其中，安全能力指企业产品本身具备的安全能力。安全可控指的是能力中心是否在中国，包括企业核心人员与研发、生产、制造、服务中心是否位于中国；企业是否需要遵从所在国家的法律法规，包括知识产权和其他法律法规。安全诚信方面则看企业是否诚信坦荡，积极主动接受国家的安全审查。

华三市场部负责人表示华三主观上绝不做危害国家信息安全的事情，客观上积极主动接受国家主管部门的全方位审查，包括源代码到硬件设计。国家安全审查能力的提升，会进一步促进国内外企业的安全诚信。华三愿意为国家安全审查技术的提升做出自己的贡献。

《美国是如何监视中国的》

近日，由中央网络安全和信息化领导小组办公室、国信办授权，互联网新闻研究中心编著的《美国是如何监视中国的——美国全球监听行动纪录》一书正式出版，

以下为书中的部分内容。

美国对全球和中国进行秘密监听的行径包括：

——每天收集全球各地近50亿条移动电话纪录。

——窥探德国现任总理默克尔手机长达十多年。

——秘密侵入雅虎、谷歌在各国数据中心之间的主要通信网络，窃取了数以亿计的用户信息。

——多年来一直监控手机应用程序，抓取个人数据。

——针对中国进行大规模网络进攻，并把中国领导人和华为公司列为目标。

美国的监听行动，涉及到中国政府和领导人、中资企业、科研机构、普通网民、广大手机用户等等。中国坚持走和平发展道路，没有任何理由成为美国打着“反恐”旗号进行的秘密监听的目标。

美国必须就其监听行动作出解释，必须停止这种严重侵犯人权的行为，停止在全球网络空间制造紧张和敌意。

美国把中国当成秘密监听的主要目标：

斯诺登曝光的证据证明：中国是美国非法窃听的主要目标之一，窃听范围涵盖国家领导人、科研机构、大学、企业等等。

斯诺登向德国《明镜》周刊提供的文件表明：美国针对中国进行大规模网络进攻，并把中国领导人和华为公司列为目标。攻击的目标包括商务部、外交部、银行和电信公司等。《明镜》周刊称，美国的监控目标还包括数位中国前任国家领导人和多个政府部门及银行。

中国的政府机构是美国窃听的重点关照对象。白宫的一位外交政策助理也曾透露，美国曾在1990年8月落成的中国驻澳大利亚新使馆的每间办公室的混凝土墙里埋设了光纤窃听器，这种细细的玻璃丝在全面安全检查中没有被发现。直到这件事在前些时候被泄露给《悉尼先驱晨报》和其他新闻媒体后，才引起中国的警觉。