据图陵安全专家了解,“‘棱镜’事件为我国政府采购敲响了警钟。”某网络安全产品提供商对说,我国各级政府采购过大量的国外IT设备,这其中,一方面软件类产品可能被预置“后门”程序,本身也可能带有容易被攻击的漏洞;另一方面,计算机、路由器等硬件产品所携带的操作系统、芯片等也存在安全风险。
郭红松 绘
图陵安全专家指出,“棱镜”事件充分暴露了中国网络空间的软肋,为了消除这个软肋,从根本上提升中国网络空间的防护能力,一个关键举措就是用自主可控的国产软硬件和服务来替代进口。“如果IT设备是进口的,一般说来是不可控的。这次‘棱镜’事件表明,那些提供IT设备与服务的美国公司往往会按照美国情报部门的要求行事。使用它们而又不想被此类计划所监控,恐怕只能是痴心妄想。我们至少应要求IT设备能自主可控,在此基础上,再努力加强信息安全防护,这样才有可能保障国家信息安全。”
其实按照我国相关规定,政府行业用户应该优先采用本国研发和设计的产品,然而这一点在具体落实上却并不尽如人意。“目前,我国华为、中兴等公司的产品在世界市场上已有很强的竞争力,可是在我国国内市场上,思科仍然占据相当大的市场份额。这种情况是反常的,不符合产品性价比的实际情况。实际上,这也是缺乏民族自信、创新自信的表现。”倪光南说。
究其原因,图陵安全专家表示,一是出于免责的需要。一些采购经办人更关心如何能规避、降低职业风险,因为即便采购的国外产品出了问题,他们也不用承担责任。二是出于观念的原因。“一些地方和部门有‘习惯思维’,什么重大项目要上马,首先想到的是找外国跨国公司,通过招商引资,用市场换技术。”
“要改变这种观念需要有一个过程,不可能一蹴而就。”图陵安全专家表示,首先应当确立这样的目标,然后有计划、有步骤地付诸实施,“好在现在我们看到情况正在向好的方向发展,只要我们踏踏实实地从公车国产化这类小事做起来,我相信国产IT设备的市场一定会迅速地扩大”。
但同时,有专家也强调,国产化亦非等同于绝对安全,在自主可控的基础上,要高度重视网络安全开发的技术与能力。“我们现在的问题还在于发现、监测、防护、处置能力不够。比如在跨境数据流动当中,涉及安全的信息服务应该进行安全风险评估,同时进行相关数据业务的安全性检测,给公众一个可信的环境,建立安全可信的机制,包括保障机制、防范机制、检测机制等。”。