云计算与大数据技术的广泛运用与深入渗透在极大地促进我国信息化程度的同时,也给信息安全带来了严重威胁,使我国国家信息安全面临着前所未有的挑战。对此,全国政协委员、湖南省政协副主席张大方在十二届全国政协三次会议上提出建议,构建国家信息安全制度保障体系,控制我国信息安全风险。
张大方委员认为,当前,云计算与大数据在我国的运用已涉及到医疗、科技、教育、体育、商业、经济等几乎社会生活的所有方面,这在很大程度上推动了我国信息化进程。然而,目前云计算、大数据技术及其相关服务大都由国外大型跨国公司掌握与提供,云计算应用形成的数据都存储在云服务提供商的服务器上,其呈现无国界、去国家化的状态。当这些数据信息被泄露、被恶意利用时,可能使在传统管理范式下的国家机密变得透明,将会给国家带来难以挽回的巨大损失。据了解,云计算与大数据技术的广泛运用与深入渗透在极大地促进我国信息化程度的同时,也给信息安全带来了严重威胁,使我国国家信息安全面临着前所未有的挑战。
由于技术上存在的差距,我国在终端、网络、软件、服务器、集成电路芯片等IT基础设施建设上大都采用了国外技术和品牌,存在着诸多的后门,带来了严重的安全隐患。
微软的操作系统和办公软件独霸天下,中国政府部门、军队、武警、军工企业等在内的单位,几乎100%使用微软的操作系统和办公软件。思科是世界云计算市场上最大的IT产品提供商,民航的空中管制骨干网络全部为思科设备。同时,思科还占有中国金融行业70%以上的份额,在铁路的份额达到了60%,在海关、公安、武警、工商、教育等政府机构,思科的市场份额超过了50%。美国IT界的“八大金刚”在中国的信息网络体系层层渗透,长驱直入,全面覆盖。上述美国企业提供的产品很多留有“后门”,为信息安全留下极大的隐患。
张大方委员指出,我国信息系统面临的攻击无时无刻不在发生。2013年1~5月,中国国家信息安全漏洞库监测到新增安全漏洞3116个。与此相反的却是我国安全产业非常薄弱,我国国内的安全生产总值在全球占1%;我国国内的安全厂商的产值和国外的安全厂商的产值比例是0.5%;国内的安全产业与国内的IT产值来比也仅为0.2%。
为此,张大方委员提出建议,针对云计算与大数据的技术特征,适时制定与实施我国信息安全战略,构建信息安全制度保障体系,防范与降低国家信息安全风险,是我国在新一轮国际竞争中获得制胜能力的重要保障。
1、尽快制定并实施信息安全法
我国曾制定、颁布并施行了大量有关信息安全监督与管理的规范性文件以及法律法规。但长期以来,我国习惯于采取规范性文件的方式,进行任务的布置或者国家意志的贯彻与落实,缺乏宏观规划和体系设计,各种规范性文件以及法律、行政法规、部门规章、地方性法规和地方政府规章相互之间的冲突和交叉非常严重。这种制度现状使得云环境下我国面临的信息安全风险难以防范,进而影响国家的信息安全乃至总体安全。因此,我国亟需清理现有与信息安全有关的各类法律、行政法规和部门规章,针对云计算与大数据时代信息安全各种新问题,吸收借鉴各国信息安全立法经验,对现有各类法律、行政法规、部门规章进行法典化编纂和修订,制定《信息安全法》,依此作为上位法依据,分别制定有关单行法,形成上位、下位逻辑结构合理的信息安全法律体系。
2、出台信息安全核心技术产业激励政策
在美国压倒性的优势面前,中国亟需加大对云计算安全保障关键技术研发的倾斜性投入,需要出台积极的产业激励政策,以改变中国技术上受制于人的现状。
一方面要基于专利地图与专利信息分析的视角,寻找信息安全领域核心技术的专利布局与发展态势,寻找技术空白点,绕开国外专利地雷阵和标准封锁线,选择相对安全快捷的技术路线,在此基础上研究我国在信息安全核心技术领域专利战略的制定和实施,为出台积极的产业激励政策提供导向性的决策支持;另一方面要出台积极的产业政策支持信息安全核心技术领域的技术创新活动,譬如在“973”、“863”等国家重大科技专项中,重点支持与大数据、云计算相关的信息安全技术的研发项目,跟踪并持续资助研发效果好的项目,并建立协同创新机制,打造产学研平台,促进其成果转化。
3、对国外信息安全产品与服务实行准入与审查制度
目前国产服务器、存储等网络设备及安全设备,总体上已与当前国际巨头的产品齐头并进。从目前来看,自主设备不一定能够做到百分之百的安全可信,但自主设备没有后门这类安全隐患,这实际上比不可控设备要安全得多。自主可控是安全的起点和基本保证,国产化采购是保障我国信息安全的必经之途。对通过政府采购中涉及国家经济安全、信息安全的产品和服务,要从保护国家安全的立场出发,以不开放为原则,以开放为例外,以最大限度地保障我国的信息安全和经济安全。因此有必要在政府采购流程中嵌入对进口信息产品与服务的安全审查环节。
4、建设与云计算和大数据相关的国家信息安全标准体系
信息安全标准是我国信息安全保障体系的重要组成部分。我国信息安全标准化所存在问题主要体现在三个方面,一是缺乏清晰的体系概念,总体上看来还没有形成清晰的信息安全标准体系,分类不够明确,使用者往往忽视标准使用环境,忽视各个标准之间的互补性;二是我国制定的信息安全管理标准太少,沿用国际标准过多;三是对国际标准的接受忽视知识产权因素,ISO(世界上最大的国际标准化组织)、IEC(国际电工委员会)、ITOT等国际标准化组织基本倾向于不在技术标准中采纳专利。过去信息安全国际标准往往不涉及知识产权,接受国际标准差不多等于无偿享受国际社会提供的公共物品,所以近几十年我国对国际标准的接受非常积极。但云计算时代信息技术以翻江倒海之势推进,信息安全标准的选择不得不与专利结合,新技术环境下对于国际标准的接受,知识产权成为不可忽视的考量因素。
5、积极参与信息安全国际立法与国际合作机制建设
在信息安全领域,国家与国家之间的关系既有竞争也有合作,所以有必要进行推进信息安全国际立法,建立信息安全国际规则,防止信息国际霸权。我国应积极参与建立双边或多边国际合作机制,共同防范与应对云环境下的特殊、非典型的国家信息安全风险。