棱镜折射信息安全危机 专家建议应尽早立法

棱镜门事件爆出以后，国内的信息安全成为大众关注的焦点。“棱镜”不仅仅折射出国内安全行业的隐忧，同时我国信息安全体系的建设应上升到国家层面上来。

吃一堑：棱镜折射信息安全问题

近日，前美国中央情报局（CIA）雇员斯诺登扔出了一颗舆论炸弹——“棱镜”，据了解，“棱镜”项目涉及美国情报机构在互联网上对包括中国在内的多个国家切入微软、谷歌、苹果、雅虎等9大网络巨头，对10类主要信息进行监听，其中有电邮信息、即时消息、视频、照片、存储数据、语音聊天、文件传输、视频会议、登录时间和社交网络资料等细节。

事实上，网络安全已经不是新问题。过去多年间，英特尔、微软、IBM等公司曾经被反复质疑。微软操作系统的后门问题曾被上升到国家安全的角度，IBM的“智慧地球”计划也曾经得出可能会威胁国家信息安全的结论。而今“棱镜”事件的曝光不属于偶然，更像是一个必然。

曾经有人这样形容，中国的信息安全在以思科为代表的美国“八大金刚”（思科、IBM、Google、高通、英特尔、苹果、Oracle、微软）面前形同虚设。

在网络基础设施建设方面，以思科为例，有资料显示，过去十几年间，思科几乎参与了中国所有大型网络项目的建设，涉及政府、海关、邮政、金融、铁路、民航、医疗、军警等重要行业。中国电信、中国联通等电信运营商的网络基础建设思科也参与其中，在承载着中国互联网80%以上流量的中国电信163和中国联通169两个骨干网中，思科占据了70%以上的份额，并占据着所有超级核心节点。而微软、Google和苹果则掌握了中国的操作系统份额，微软是office办公软件领域绝对的老大，在国内也是出于统治地位。

此外，我国用户使用的软硬件设备，大部分来自美国，信息很容易被监听、过滤。这些都让中国的互联网显得脆弱甚至不堪一击，美国监控中国易如反掌。正如中国国家网络信息安全技术研究所所长杜跃进所说，“我国计算机及网络信息系统使用的主要操作系统和芯片、数据库、路由器等核心技术，以及互联网领域的核心基础服务等，也都掌握在美国手中。”

由于中国信息安全自主可控能力不足，在信息安全方面，国内机构的安全体系中的多个环节都很难断掉“舶来品”，从信息系统的生产者，到信息系统的运行维护者，再到服务的提供者，这些“舶来品”被名正言顺的请进来，轻而易举的接触到我们的机密数据。启明星辰首席战略官潘柱廷所说，“棱镜”的曝光应该让我们认识到，主流供应链安全比其他安全问题更具有根本性和彻底性，目前我们对此重视不够，甚至损失供应链安全去换取一些其他东西，这非常危险。

长一智：信息安全应尽早立法

据Gartner最新分析结果，随着企业继续扩大他们用于改善整体安全性的技术，全球安全技术和服务市场的规模预计在2013年将达到672亿美元，相比2012年的618亿美元增长8.7%。预计到2016年该市场将增长到超过860亿美元。

而就中国来说，网络安全市场近年来也在持续快速增长，2010年达到111.74亿元，2011年增长至135.53亿元，2012年市场规模超过了166亿元，连续3年的增长幅度都超过20%，相信未来这一市场仍可以保持高速增长的态势。这也从另一侧面说明我国网络安全产业将迎来巨大的发展机遇。

“棱镜”事件正好可以给国内快速发展的安全产业敲一记警钟，让整个行业沉淀一下，从而认清目前形势，从而做出相应的调整。

事实上，“棱镜”事件充分暴露了中国网络空间的软肋，为了消除这个软肋，中国工程院院士倪光南建议，从根本上提升中国网络空间的防护能力，一个关键举措就是用自主可控的国产软硬件和服务来替代进口。 “如果IT设备是进口的，一般说来是不可控的。我们至少应要求IT设备能自主可控，在此基础上，再努力加强信息安全防护，这样才有可能保障国家信息安全。”

其实按照我国相关规定，政府行业用户应该优先采用本国研发和设计的产品，然而这一点在具体落实上却并不尽如人意。“目前，我国华为、中兴等公司的产品在世界市场上已有很强的竞争力，可是在我国国内市场上，思科仍然占据相当大的市场份额。这种情况是反常的，不符合产品性价比的实际情况。实际上，这也是缺乏民族自信、创新自信的表现。”倪光南说。

我国的信息安全审核机制比较薄弱，过去对进口产品和服务几乎不设防，习以为常，有专家表示，“棱镜”事件在一定程度上会促进国内信息安全立法。该专家指出，“在网络安全基础设施建设中，在软硬件的服务应用过程中，在与国家利益安全相关联的跨境数据流动中，一定要有法律作保障；市场监管方面，对数据流动的安全性、合法性要加强监管；要高度重视公民网络素养培养，并将其纳入到国民教育体系。”

希望“棱镜”事件能让国内的信息安全市场“吃一堑，长一智”，国家信息安全能借此机会及早立法，本土信息设备商也快速成长，慢慢取代“舶来品”，成为国家信息安全的中坚力量。