一场意料之外的打击,或许能让中国的信息安全评估保障体系获得成长的反思。 10月8日,美国众议院情报委员会发布报告称,总部设在中国深圳的华为和中兴通讯[微博](8.02,-0.09,-1.11%),有可能对美国国家安全构成威胁,并建议美国禁止两家公司在美展开业务。此后1个多月时间里,相关各方展开激烈的论辩冲撞,至今尚未有最终结论。 随着此事的进一步发酵,一场关于中国信息安全的反思也悄然渐起。通过美国立法、政府部门与企业在此事中的种种作为,行业人士认为,中国信息安全亦处于威胁中,且需要从制度、监管等各个环节进行调整。 美国之鉴 “华为中兴在美国受到调查的事件教育了我们,要重新调查技术标准、法律法规,以及监管机构和电信运营商在网络信息安全中的角色和作用,建立起安全的防护墙。”11月14日,电信专家陈金桥向《财经国家周刊》记者表示。 在这一事件爆发后,多个领域的专家,一直对于中美两国公司在对方市场受到的不对等待遇表示不满。外界普遍认为,此次调查的主要推动力并不是美国政府,而更多是在大选年背景下,思科等公司与一些政客假国家信息安全之名,蓄谋打击竞争对手的手段。 但不论如何,在此过程中,美国从调查、立法到政府介入的各个环节,都已经形成一个通畅的体系,这值得中国借鉴。 “比如,美国对中兴与华为的调查,并不是政府进行的,而是众议院下属的情报委员会。”一位深度参与此次事件的设备厂商人士说,“这份报告本身没有任何的法律约束力,但如果报告通过议会,则可能迅速演变为立法,从而形成一个坚固壁垒。” 与之对应的是,中国对外资厂商的信息安全监管却并未在立法层面建立类似的机制。这就导致在面临信息安全威胁或国际摩擦时,政府干预会破坏规则或被人指责,不干预则无法形成有效的防范或对抗,从而陷入两难的困局。 就此,多位接受采访的专家建议,中国应考虑效法美国,在人大下设常态化的外国投资审查委员会,并对相关企业进行审查监督。 与此同时,基础网络建设层面相关法规的缺失,也导致中国网络安全无法得到充分保障。虽然早在2003年,中国就出台第一部信息安全纲领性文件《关于加强信息安全保障工作的意见》(中办发[2003]27号文),但直到现在,信息安全依然缺少一个完整保障信息安全的法律体系。 《财经国家周刊》从工信部获悉,工信部信息安全协调司经过2011年的专项调研,已于2012年上半年曾形成相关报告。报告表示,仅在涉及个人信息保护方面,相关法规条文就已经众多,其中涉及个人信息保护的法律有将近40部、最高人民法院出台10条个人信息保护相关的司法解释、国务院发布的有关个人信息保护的法规约有30部、而各大部委颁布的相关部门条例、管理办法、规定,更是多达近200部,这还不包括各省级以下政府颁布的区域性政策和规定。 然而,这些文件大多是针对具体问题,在总体上,个人信息保护领域的法律法规,却仍然不成体系,对基础网络建设信息安全领域保护,更是缺少明确的、体系化的法律文本。 《财经国家周刊》从工业和信息化部(下称“工信部”)相关部门获得的资料表明,工信部2011年已经启动信息保护立法调研和研究工作,并约谈了包括百度[微博]、腾讯等诸多互联网公司。 监管调整 降了立法层面之外,专家也建议,中国应建立更加立体化的国家网络信息安全评估保障机制。 一位资深行业人士说,中国一直没有真正着手信息安全体系,更多是由于历史原因。 “就最基础的通信设备和网络设备来说,中国最早是没有自己的工业基础的,在上个世纪90年代以前,基本上都是依赖进口,而且在早期我们还处于大发展阶段,每年都需要兴建大量的网络,在那个阶段,对系统设备的要求基本上只有最低的要求:能用就行。”该人士说,虽然当年的信产部及后来的工信部,都设立了入网检测机构与检测程序,但这一程序也更多是对于设备可用性的检测,对信息安全的评估并没有提到最为重要的等级。 但随着时代变化,当各国的信息通信流量爆涨,并全面渗透进入政府、军事、商业、工业与公众服务的各个环节之后,信息安全的作用变得日益重要。 “信息安全关系到国家的政治安全、经济安全、文化安全、国防安全和社会稳定,尤其网络信息安全已经成为事关国家安全的第一安全,信息技术产业的发展也就直接关系对国家安全的基本保障能力。”工信部软件与集成电路促进中心主任邱善勤说,当前,世界各国都将信息技术和信息安全的自主可控能力与维护国家安全的能力紧密联系在一起,控制与反控制的斗争甚至已经对国与国之间的外交、经贸等关系产生了重要影响。 与此同时,信息安全事故的破坏性越来越大,信息安全问题也越来越成为焦点。近两年来,微软[微博]、亚马逊[微博]、谷歌[微博]等企业纷纷发生重大信息安全事故,“震网”病毒更给伊朗造成巨大损失。信息安全事故频发,也引起了各国政府的高度重视。比如在美国,奥巴马将网络安全问题视为最严重的国家经济和国家安全挑战之一,提出将数字基础设施视为国家战略资产予以保护,并组建了网络战司令部。日本则通过了《保护国民信息安全战略》,重点加强铁路、金融系统重要信息基础设施的安全防范。 “这也是为什么利益相关方以信息安全为借口指控中兴华为时,美国各方立刻高度紧张的原因。”前文提及资深行业人士说。 问题在于,由于过去在开放环境下的高速发展,中国过去是既没有行业标准,也没有法律要求,没有合格的检测机构,对于信息安全成体系的评估监管,尤其在设备领域,几乎是一个空白。该人士说,在此过程中,过去政府对行业基本没有做强制性的规范,也缺乏强制手段和检测手段,而是把权放给了基础运营商,但在商业环境下,运营商所进行的检测乃至防范往往会不自觉地放松要求。 “所以,中国现在除了继续开放市场,积极与海外厂商合作外,也要注意保护与捍卫自己的核心利益与国家安全,重新改变政府与企业过去在对信息安全体系中的定位和分工。”陈金桥认为。 据《财经国家周刊》了解,中国从决策层到各个部委,在此之前就已开始意识到相关的风险,并开始考虑如何要进一步强化信息安全领域的管理,包括来自物理网络层面的国家安全和来自互联网传输过程中的个人信息安全。 威胁仍在 《财经国家周刊》获得的一份资料表明,以思科、微软等为主的美国IT公司,仍然占据着中国基础网络核心。 目前,中国市场仍是思科全球范围内唯一没有占据垄断地位的区域市场,但这一市场主要份额,仍被思科和H3C两个美国公司占据。2011年,H3C销售收入14.6亿美元,而思科在华收入略低于H3C,约占思科全球收入3%。但有报道称,思科中国业务的利润高达思科整体利润的30%。 《财经国家周刊》获得的文件表明,思科网络设备广泛应用于中国信息网络关键领域,包括运营商骨干网络、医疗网络、航空和交通网络,乃至金融网络、政府网络,甚至于军队网络。 “值得警惕的是,包括思科、微软等在内的大多数美国公司,在中国占据了庞大的市场份额和商业机会的同时,一直没有向中国政府开放相关源代码,而这些美国公司在中国信息网络的关键领域,同样长期占有较大份额。”中国通信标准化协会理事、迈普通信CEO肖志辉对《财经国家周刊》表示,“中国政府应当为自身安全考虑,未来应对包括思科、微软在内的美国公司予以相应审查,以防范关键信息被窃取的事件继续发生。” 与此同时,正在兴起的云计算业务中也存在类似风险。一位行业人士说,中小企业如果没有主机系统,只有一个服务的平台,大量的经济信息与商业秘密就会成半裸露状态呈现在云服务器上。为此,欧盟此前就有要求,在12到18个月之内,所有入云中小企业的信息都必须全部删除,而且不允许跨境传播。但外国的技术商向中国客户提供这一服务时,却一直在掩盖这一事实。 公益律师董正伟也认为,中国执法机构、国家安全机构包括信息产业机构应尽快对这些产品采取必要的调查措施,“比如思科的产品,应用于我国核心政府以及其他关键领域时,不能保证其是否会通过后门收集情报。思科的设备已被应用在中国的许多关键领域,如果对思科的产品不加以审查或防范,一旦出现重大事故,将对国家和企业造成不可估量的损失。” 这些担忧并非空穴来风。在此之前,《华尔街日报》对中兴华为受调查一事的评论就认为,“美国及其盟友不愿让华为进入美国是因为他们自己的经验告诉他们,进口的电子设备可以成为进行间谍和破坏活动的武器”,并认为美国军方和政府,曾利用其国内公司的产品,达成对他国的信息窃取和攻击,早已成为公开事实,比如美国情报机构就曾和以色列合作,利用微软多版本操作系统底层,创建蠕虫病毒Stuxnet并以此破坏了伊朗核电项目。