【中培课堂】对国内信息安全问题的反思

在过去的2016年，信息安全成为了频频见诸于媒体的公众话题，“棱镜门”曝光、携程网用户支付信息漏洞、支付宝漏洞、小米用户资料泄露、NSA入侵中国政企……，频发的信息安全事件的背后，信息安全风险严峻性不言而喻。

中培教育《信息安全技术与信息安全管理体系(ISO27001认证)》培训专家高老师指出，在信息安全事件屡发的促动下，我国政府和企业对网络安全的重视提升到了一个全新的高度，中央网络安全和信息化领导小组的成立，就是其中最好的注解。在各方加以重视的同时，我们也需要从技术与实践的角度，来反思网络安全风险的严峻性，以及如何应对的问题。

　　反思一：监管体系不能“流于表面”

NSA事件发生后，大家不仅对美国的行为感到震惊，也对国内相关部门和企业的网络安全防范能力感到担忧。在“亡羊补牢”过程中，我们不要仅仅着眼于加强网络安全保障措施，而是需要对整个网络安全监管体系的完善加以更多的思考。

实际上，我国以往对网络安全已经采取了相关的监管措施，但还有很大的提升空间。目前网络产品和服务逐渐向深层次发展，若继续沿用以前的监管办法，就很可能会出现网络监管漏洞，进而给国家安全和用户安全造成损失。

因此，高老师指出，要更进一步认识到网络安全监管的重要性和必要性，从源头上杜绝网络安全风险隐患，确保公共安全和国家网络空间安全。

　　思二：选择设备不能只看性能指标　　

网络是一个庞大而复杂的体系，其操作系统的代码甚至达到千万行级，在上面不仅运行着六千多个标准协议，还有诸多厂商定义的功能。要保证这一体系的安全可靠，让外界难以攻破，就需要网络系统具备足够安全能力。这种安全能力不仅仅只针对网络安全设备，而是涉及到IT系统的所有硬件和软件。

需要注意的是，IT设备是否安全，很多时候并不体现在具体的性能指标上，而是与整个产品的设计思路、研发生产、服务保障等各个环节息息相关。有些产品在对外宣称的参数、功能貌似很不错，并不能代表其能通过实践的严峻考验。

因此，这就要求企业在选择网络设备时多加以考虑，在关键IT系统的选择时，要把“安全可靠”作为第一原则，选择经过了长期和广泛的实践检验，证明具备足够安全可靠能力的产品，并充分考虑厂商自身的安全技术整体能力。从厂商角度来说，对这一问题也应加以足够重视，并制定具体举措，给用户提供更加安全可靠的产品和方案。

　　反思三：勿要陷入“唯资本论”误区　　

斯诺登曝光的机密文件，将许多知名国际IT企业推到了舆论“风口浪尖”，包括微软、谷歌、苹果等等。与此同时，国内也掀起了一股“国产化”、“去IOE”的话题风潮。许多人认为，通过国产化替代，可以解决“棱镜”笼罩中国的问题。

在这一点上需要注意的是，不要将网络安全的解决方法仅仅寄托在是否“国产”上。一方面来说，在当前的全球化时代，资本的流动性是常态，国内知名IT企业多有外资背景。仅仅用资本属性来衡量，并不能说明企业的能力和诚信。另一方面，国产化设备也没有绝对性，在当前全球供应链模式下，很多零配件的源头也无法真正实现国产化，任何设备都不能保证绝无漏洞，NSA入侵某国内知名网络设备商服务器就是例证。

只有摆脱“国产化”的局限性，在全球化的背景下，推动更多的IT能力中心进入中国，实现安全与技术进步兼顾，在自主可控的基础上，积极发展自己的网络产业，提升自主创新能力，掌握核心技术，才能更好地保障网络安全和国家安全，实现信息化和现代化。

网络安全问题，已经升级到信息化建设中的最核心位置。对未来的网络安全策略加以思考，制定出更加有效的举措，将为今后我国的网络安全保障，寻找到一个更为稳妥的立足点