信息來(lái)源:比特網(wǎng)
隨著網(wǎng)絡(luò)主權(quán)概念的逐漸明晰�,“自主可控”已經(jīng)成為信息化部署的關(guān)鍵詞。我國(guó)正在大力推動(dòng)政府�、國(guó)防�、金融�、交通等關(guān)鍵領(lǐng)域的信息化產(chǎn)品盡快實(shí)現(xiàn)國(guó)產(chǎn)化,并發(fā)布了多個(gè)重要政策來(lái)保障國(guó)產(chǎn)化實(shí)施�。而除了服務(wù)器、數(shù)據(jù)庫(kù)等核心IT設(shè)備之外�,移動(dòng)信息化系統(tǒng)同樣在中國(guó)信息化整體布局中扮演著越來(lái)越重要的角色�,其發(fā)展必須實(shí)現(xiàn)高度的“自主可控”�。
移動(dòng)信息化系統(tǒng)的“風(fēng)險(xiǎn)”
隨著移動(dòng)互聯(lián)網(wǎng)的快速發(fā)展,越來(lái)越多的移動(dòng)設(shè)備應(yīng)用于政企的業(yè)務(wù)創(chuàng)新與拓展之中�,組織需要搭建移動(dòng)信息化系統(tǒng)來(lái)降低移動(dòng)設(shè)備應(yīng)用的風(fēng)險(xiǎn),提高移動(dòng)信息化能力�。然而,眾多國(guó)外品牌的移動(dòng)信息化系統(tǒng)卻無(wú)法實(shí)現(xiàn)安全可信�、自主可控的要求,這給移動(dòng)信息化系統(tǒng)內(nèi)的重要信息帶來(lái)了重大的風(fēng)險(xiǎn)�。
首先,風(fēng)險(xiǎn)來(lái)在于移動(dòng)信息泄密風(fēng)險(xiǎn)�。由于政企移動(dòng)業(yè)務(wù)的發(fā)展,移動(dòng)信息化系統(tǒng)內(nèi)存儲(chǔ)著大量的機(jī)密信息�,這些信息一旦從不可控的服務(wù)器中泄露到外界,將帶來(lái)重大損失�。而且,無(wú)法滿足自主可控需求的移動(dòng)信息化系統(tǒng)�,可能暗藏著大量的漏洞與后門,攻擊者很容易通過(guò)系統(tǒng)的“缺口”來(lái)盜取信息�。
其次,移動(dòng)信息化系統(tǒng)開始成為政企信息化整體部署的重要組成部分�。其連接包括組織服務(wù)器、PC等信息終端�,攻擊者很有可能以移動(dòng)終端設(shè)備作為跳板,對(duì)組織的其它信息化設(shè)備進(jìn)行攻擊�,散播木馬�、病毒等安全威脅�。更大的威脅在于,攻擊者很可能會(huì)針對(duì)重要的移動(dòng)目標(biāo)實(shí)施高級(jí)可持續(xù)性攻擊�,竊取或破壞組織信息。非自主可控的移動(dòng)信息化系統(tǒng)更可能被特定組織或是國(guó)家利用�,這提高了企業(yè)遭受APT攻擊的危險(xiǎn)性。
有些政企認(rèn)為�,雖然自己采用的是國(guó)外的移動(dòng)信息化系統(tǒng),但是其技術(shù)是安全可信的�,因此就沒(méi)有問(wèn)題。這其實(shí)是混淆了兩個(gè)概念:第一個(gè)概念是可信的安全感覺(jué)�,第二個(gè)是可信的技術(shù)。這是兩個(gè)不同層面的問(wèn)題�,如果操作系統(tǒng)或者安全設(shè)備來(lái)自于西方國(guó)家,其在技術(shù)上實(shí)現(xiàn)了安全可信的標(biāo)準(zhǔn)�,那么其對(duì)于西方國(guó)家是安全的�,但是對(duì)于中國(guó)是不安全的,這是信任感�,也就是信息系統(tǒng)控制權(quán)在誰(shuí)手中的問(wèn)題。
保障移動(dòng)信息化系統(tǒng)“自主可控”
要保證移動(dòng)信息化系統(tǒng)的自主可控�,需要從政策的頂層設(shè)計(jì)與組織的信息化建設(shè)實(shí)踐兩方面入手。從頂層設(shè)計(jì)來(lái)看�,保證移動(dòng)信息化系統(tǒng)的自主可控對(duì)于數(shù)據(jù)的安全非常重要,推進(jìn)關(guān)鍵領(lǐng)域與重要部門的移動(dòng)信息化系統(tǒng)國(guó)產(chǎn)化�,也被納入到國(guó)家的網(wǎng)絡(luò)安全整體規(guī)劃之中�。
從政策來(lái)看�,目前國(guó)家已經(jīng)顯著加大了對(duì)國(guó)產(chǎn)化設(shè)備替代的政策支持。有關(guān)部門正在著手準(zhǔn)備調(diào)研并起草“信息安全裝備國(guó)產(chǎn)化”專項(xiàng)扶持方案�,以保障信息安全,實(shí)現(xiàn)核心軟硬件國(guó)產(chǎn)化自主可控�。來(lái)自國(guó)家互聯(lián)網(wǎng)信息辦公室的消息稱,為維護(hù)國(guó)家網(wǎng)絡(luò)安全�、保障中國(guó)用戶合法利益,我國(guó)即將推出網(wǎng)絡(luò)安全審查制度�,該項(xiàng)制度規(guī)定關(guān)系國(guó)家安全和公共利益的系統(tǒng)使用的重要技術(shù)產(chǎn)品和服務(wù),應(yīng)通過(guò)網(wǎng)絡(luò)安全審查�。
在具體措施上,國(guó)家對(duì)國(guó)產(chǎn)化的推動(dòng)更是緊鑼密鼓�。工信部就明確要求關(guān)鍵軟硬件采購(gòu)在標(biāo)書中明確安全需求。在近期�,中央政府采購(gòu)網(wǎng)還取消了所有國(guó)外安全供應(yīng)商資質(zhì),只保留了國(guó)產(chǎn)安全供應(yīng)商�,這證明信息設(shè)備尤其是信息安全設(shè)備的國(guó)產(chǎn)化,已經(jīng)被提到了戰(zhàn)略高度�。由于移動(dòng)信息化系統(tǒng)涵蓋了移動(dòng)設(shè)備安全管理、移動(dòng)應(yīng)用安全分發(fā)等重要的信息安全子系統(tǒng)�,因此移動(dòng)信息化的國(guó)產(chǎn)化同樣在國(guó)家推動(dòng)的范圍之內(nèi)。
從部署實(shí)踐來(lái)看�,要實(shí)現(xiàn)移動(dòng)信息體系架構(gòu)的整體把控。如果要實(shí)現(xiàn)自主可控的移動(dòng)信息系統(tǒng)部署,各組織應(yīng)該自主設(shè)計(jì)并建立起軟硬件架構(gòu)體系�,著力研究體系中各個(gè)系統(tǒng)端到端的整體設(shè)計(jì)。在不同環(huán)節(jié)應(yīng)用不同技術(shù)�,合理進(jìn)行技術(shù)組合,實(shí)現(xiàn)對(duì)體系架構(gòu)整體的自主可控�,進(jìn)而在信息系統(tǒng)的整體防護(hù)體系架構(gòu)設(shè)計(jì)和各個(gè)系統(tǒng)端到端整體設(shè)計(jì)的過(guò)程中,實(shí)現(xiàn)可管理�、可監(jiān)控和過(guò)程可審計(jì)。
對(duì)于政企組織來(lái)說(shuō)�,移動(dòng)信息化體系的建設(shè)主要涉及到移動(dòng)設(shè)備、移動(dòng)應(yīng)用�、移動(dòng)信息化系統(tǒng)這三個(gè)部分,而建設(shè)重點(diǎn)則是自主可控移動(dòng)信息化系統(tǒng)的建立�,這既是其在移動(dòng)信息化體系中關(guān)鍵角色的體現(xiàn),也是基于移動(dòng)互聯(lián)網(wǎng)應(yīng)用現(xiàn)狀而考量�。
目前組織內(nèi)的移動(dòng)設(shè)備種類繁多,在品牌�、操作系統(tǒng)、硬件配置上存在著巨大的異構(gòu)性�,很難做到統(tǒng)一,實(shí)現(xiàn)完全的國(guó)產(chǎn)化替代還有賴于國(guó)產(chǎn)終端廠商的長(zhǎng)期努力�。但是換個(gè)角度來(lái)看�,既然現(xiàn)在還無(wú)法在所有的環(huán)節(jié)實(shí)現(xiàn)國(guó)產(chǎn)化替代,那么我們可以先從可控的角度入手�,來(lái)通過(guò)“自主可控”的移動(dòng)信息化系統(tǒng)來(lái)管理這些移動(dòng)設(shè)備。
除了信息安全上的考量之外,移動(dòng)信息化系統(tǒng)國(guó)產(chǎn)化的一個(gè)充分條件在于�,國(guó)產(chǎn)的移動(dòng)信息化系統(tǒng)無(wú)論是從技術(shù)上,還是從生態(tài)系統(tǒng)的構(gòu)建上都已經(jīng)比肩國(guó)際先進(jìn)水平�。啟迪國(guó)信等國(guó)內(nèi)企業(yè)在產(chǎn)品研發(fā)上并不遜色于IBM等國(guó)外企業(yè),其產(chǎn)品完全能夠保障移動(dòng)信息化戰(zhàn)略的順利實(shí)施�。
故此,金融�、國(guó)防等事關(guān)國(guó)計(jì)民生的行業(yè)需要在國(guó)家政策的引導(dǎo)下,率先行動(dòng)起來(lái)�,推動(dòng)移動(dòng)信息化系統(tǒng)的國(guó)產(chǎn)化進(jìn)程,并在移動(dòng)信息化系統(tǒng)的選型中�,將安全可信、自主可控作為系統(tǒng)選型的一個(gè)關(guān)鍵標(biāo)準(zhǔn)及原則�。
