在过去的2016年,信息安全成为了频频见诸于媒体的公众话题,“棱镜门”曝光、携程网用户支付信息漏洞、支付宝漏洞、小米用户资料泄露、NSA入侵中国政企……,频发的信息安全事件的背后,信息安全风险严峻性不言而喻。
中培教育《信息安全技术与信息安全管理体系(ISO27001认证)》培训专家高老师指出,在信息安全事件屡发的促动下,我国政府和企业对网络安全的重视提升到了一个全新的高度,中央网络安全和信息化领导小组的成立,就是其中最好的注解。在各方加以重视的同时,我们也需要从技术与实践的角度,来反思网络安全风险的严峻性,以及如何应对的问题。
反思一:监管体系不能“流于表面”
NSA事件发生后,大家不仅对美国的行为感到震惊,也对国内相关部门和企业的网络安全防范能力感到担忧。在“亡羊补牢”过程中,我们不要仅仅着眼于加强网络安全保障措施,而是需要对整个网络安全监管体系的完善加以更多的思考。
实际上,我国以往对网络安全已经采取了相关的监管措施,但还有很大的提升空间。目前网络产品和服务逐渐向深层次发展,若继续沿用以前的监管办法,就很可能会出现网络监管漏洞,进而给国家安全和用户安全造成损失。
因此,高老师指出,要更进一步认识到网络安全监管的重要性和必要性,从源头上杜绝网络安全风险隐患,确保公共安全和国家网络空间安全。
思二:选择设备不能只看性能指标
网络是一个庞大而复杂的体系,其操作系统的代码甚至达到千万行级,在上面不仅运行着六千多个标准协议,还有诸多厂商定义的功能。要保证这一体系的安全可靠,让外界难以攻破,就需要网络系统具备足够安全能力。这种安全能力不仅仅只针对网络安全设备,而是涉及到IT系统的所有硬件和软件。
需要注意的是,IT设备是否安全,很多时候并不体现在具体的性能指标上,而是与整个产品的设计思路、研发生产、服务保障等各个环节息息相关。有些产品在对外宣称的参数、功能貌似很不错,并不能代表其能通过实践的严峻考验。
因此,这就要求企业在选择网络设备时多加以考虑,在关键IT系统的选择时,要把“安全可靠”作为第一原则,选择经过了长期和广泛的实践检验,证明具备足够安全可靠能力的产品,并充分考虑厂商自身的安全技术整体能力。从厂商角度来说,对这一问题也应加以足够重视,并制定具体举措,给用户提供更加安全可靠的产品和方案。
反思三:勿要陷入“唯资本论”误区
斯诺登曝光的机密文件,将许多知名国际IT企业推到了舆论“风口浪尖”,包括微软、谷歌、苹果等等。与此同时,国内也掀起了一股“国产化”、“去IOE”的话题风潮。许多人认为,通过国产化替代,可以解决“棱镜”笼罩中国的问题。
在这一点上需要注意的是,不要将网络安全的解决方法仅仅寄托在是否“国产”上。一方面来说,在当前的全球化时代,资本的流动性是常态,国内知名IT企业多有外资背景。仅仅用资本属性来衡量,并不能说明企业的能力和诚信。另一方面,国产化设备也没有绝对性,在当前全球供应链模式下,很多零配件的源头也无法真正实现国产化,任何设备都不能保证绝无漏洞,NSA入侵某国内知名网络设备商服务器就是例证。
只有摆脱“国产化”的局限性,在全球化的背景下,推动更多的IT能力中心进入中国,实现安全与技术进步兼顾,在自主可控的基础上,积极发展自己的网络产业,提升自主创新能力,掌握核心技术,才能更好地保障网络安全和国家安全,实现信息化和现代化。
网络安全问题,已经升级到信息化建设中的最核心位置。对未来的网络安全策略加以思考,制定出更加有效的举措,将为今后我国的网络安全保障,寻找到一个更为稳妥的立足点