信息來源:比特網
隨著網絡主權概念的逐漸明晰����,“自主可控”已經成為信息化部署的關鍵詞���。我國正在大力推動政府���、國防���、金融、交通等關鍵領域的信息化產品盡快實現國產化��,并發(fā)布了多個重要政策來保障國產化實施��。而除了服務器����、數據庫等核心IT設備之外�,移動信息化系統(tǒng)同樣在中國信息化整體布局中扮演著越來越重要的角色,其發(fā)展必須實現高度的“自主可控”���。
移動信息化系統(tǒng)的“風險”
隨著移動互聯網的快速發(fā)展��,越來越多的移動設備應用于政企的業(yè)務創(chuàng)新與拓展之中��,組織需要搭建移動信息化系統(tǒng)來降低移動設備應用的風險�,提高移動信息化能力。然而��,眾多國外品牌的移動信息化系統(tǒng)卻無法實現安全可信��、自主可控的要求����,這給移動信息化系統(tǒng)內的重要信息帶來了重大的風險。
首先��,風險來在于移動信息泄密風險����。由于政企移動業(yè)務的發(fā)展,移動信息化系統(tǒng)內存儲著大量的機密信息���,這些信息一旦從不可控的服務器中泄露到外界�����,將帶來重大損失�。而且,無法滿足自主可控需求的移動信息化系統(tǒng)����,可能暗藏著大量的漏洞與后門,攻擊者很容易通過系統(tǒng)的“缺口”來盜取信息��。
其次�,移動信息化系統(tǒng)開始成為政企信息化整體部署的重要組成部分。其連接包括組織服務器�����、PC等信息終端�,攻擊者很有可能以移動終端設備作為跳板,對組織的其它信息化設備進行攻擊���,散播木馬、病毒等安全威脅���。更大的威脅在于��,攻擊者很可能會針對重要的移動目標實施高級可持續(xù)性攻擊����,竊取或破壞組織信息。非自主可控的移動信息化系統(tǒng)更可能被特定組織或是國家利用�����,這提高了企業(yè)遭受APT攻擊的危險性����。
有些政企認為,雖然自己采用的是國外的移動信息化系統(tǒng)�,但是其技術是安全可信的,因此就沒有問題�。這其實是混淆了兩個概念:第一個概念是可信的安全感覺,第二個是可信的技術���。這是兩個不同層面的問題����,如果操作系統(tǒng)或者安全設備來自于西方國家��,其在技術上實現了安全可信的標準��,那么其對于西方國家是安全的��,但是對于中國是不安全的�����,這是信任感,也就是信息系統(tǒng)控制權在誰手中的問題�����。
保障移動信息化系統(tǒng)“自主可控”
要保證移動信息化系統(tǒng)的自主可控���,需要從政策的頂層設計與組織的信息化建設實踐兩方面入手��。從頂層設計來看����,保證移動信息化系統(tǒng)的自主可控對于數據的安全非常重要�,推進關鍵領域與重要部門的移動信息化系統(tǒng)國產化,也被納入到國家的網絡安全整體規(guī)劃之中����。
從政策來看,目前國家已經顯著加大了對國產化設備替代的政策支持�����。有關部門正在著手準備調研并起草“信息安全裝備國產化”專項扶持方案���,以保障信息安全����,實現核心軟硬件國產化自主可控�。來自國家互聯網信息辦公室的消息稱,為維護國家網絡安全���、保障中國用戶合法利益�����,我國即將推出網絡安全審查制度�,該項制度規(guī)定關系國家安全和公共利益的系統(tǒng)使用的重要技術產品和服務���,應通過網絡安全審查��。
在具體措施上����,國家對國產化的推動更是緊鑼密鼓�。工信部就明確要求關鍵軟硬件采購在標書中明確安全需求。在近期�����,中央政府采購網還取消了所有國外安全供應商資質,只保留了國產安全供應商�����,這證明信息設備尤其是信息安全設備的國產化�,已經被提到了戰(zhàn)略高度。由于移動信息化系統(tǒng)涵蓋了移動設備安全管理��、移動應用安全分發(fā)等重要的信息安全子系統(tǒng)�����,因此移動信息化的國產化同樣在國家推動的范圍之內�。
從部署實踐來看,要實現移動信息體系架構的整體把控���。如果要實現自主可控的移動信息系統(tǒng)部署�����,各組織應該自主設計并建立起軟硬件架構體系����,著力研究體系中各個系統(tǒng)端到端的整體設計����。在不同環(huán)節(jié)應用不同技術,合理進行技術組合�����,實現對體系架構整體的自主可控�����,進而在信息系統(tǒng)的整體防護體系架構設計和各個系統(tǒng)端到端整體設計的過程中��,實現可管理���、可監(jiān)控和過程可審計�����。
對于政企組織來說�,移動信息化體系的建設主要涉及到移動設備�����、移動應用、移動信息化系統(tǒng)這三個部分���,而建設重點則是自主可控移動信息化系統(tǒng)的建立�����,這既是其在移動信息化體系中關鍵角色的體現����,也是基于移動互聯網應用現狀而考量�。
目前組織內的移動設備種類繁多,在品牌�、操作系統(tǒng)、硬件配置上存在著巨大的異構性��,很難做到統(tǒng)一����,實現完全的國產化替代還有賴于國產終端廠商的長期努力。但是換個角度來看����,既然現在還無法在所有的環(huán)節(jié)實現國產化替代���,那么我們可以先從可控的角度入手,來通過“自主可控”的移動信息化系統(tǒng)來管理這些移動設備���。
除了信息安全上的考量之外,移動信息化系統(tǒng)國產化的一個充分條件在于�,國產的移動信息化系統(tǒng)無論是從技術上,還是從生態(tài)系統(tǒng)的構建上都已經比肩國際先進水平����。啟迪國信等國內企業(yè)在產品研發(fā)上并不遜色于IBM等國外企業(yè),其產品完全能夠保障移動信息化戰(zhàn)略的順利實施��。
故此��,金融�����、國防等事關國計民生的行業(yè)需要在國家政策的引導下���,率先行動起來�����,推動移動信息化系統(tǒng)的國產化進程��,并在移動信息化系統(tǒng)的選型中����,將安全可信、自主可控作為系統(tǒng)選型的一個關鍵標準及原則�����。
