供应链透明机制是一种有效的达成安全可控性的手段。 “ ” |
文·严望佳
■企业连线
在国家高度重视和业界共同努力下,我国网络安全和信息化产业实现了较快发展,产品体系逐渐健全,产品种类不断丰富,产品功能逐步向多样化、集成化、系统化方向发展。国内网络安全和信息化产业也越来越开放,国有企业、民营企业、外资企业、技术引进等不同类型企业、产品在市场中充分竞争,都取得了大量的成功案例。
但是,网络安全和信息化产品还普遍面临着产品生命周期、供应链风险、服务质量、安全漏洞、数据泄露等问题,特别是我国基础软件、芯片、操作系统、数据库等产品领域,至今还是主要掌握在国外企业手中,由于政治、市场、文化、技术等方面的多种因素,国外企业产品的安全问题总令人隐隐地担忧。
2000年,美国率先在国家安全系统中对采购的产品进行安全审查,随后陆续针对联邦政府云计算服务、国防供应链等出台了安全审查政策,实现了对国家安全系统、国防系统、联邦政府系统的全面覆盖。审查对象不仅涉及产品和服务,还会针对产品和服务提供商。随后,美国等西方国家为保障国家安全、防范供应链安全风险,逐步建立了多种形式的网络安全审查制度。将全方位、综合性的供应链安全审查对策上升至国家战略高度。
我国也在积极推进网络安全审查制度,关系国家安全和公共利益的系统使用的重要信息技术产品和服务,应通过网络安全审查。但审查内容和形式不能仅停留在技术层面上,要进行全方位审查,才能保证国家重要部门和行业的信息技术产品和服务的信息安全自主可控。
“供应链透明机制”是一种有效的达成安全可控性的手段。如果每一个供应商都能够向网络安全审查备案机构(或者用户)提供供应链上下游环节的情况,进而整个供应链就能够做到一环一环的透明化清晰化,通过透明达到兼顾细节和整体的掌握与可控。
我国的信息安全保障体系建设大多是在等级保护、分级保护等制度基础上,以满足合规为驱动。究其根本原因还在于我国对信息安全的重视没有提高到“以效果为导向”的程度,或者说还没有找到更有效的方式来落实效果导向;同时,又伴随着信息安全领域中“三分技术七分管理” “信息安全没有100%安全”这种特点和说法,以及政府采购目录以硬件产品为主、《采购法》以最低价为准绳的制度,交织反复,最终形成我国信息安全保障体系建设目前以合规为目标,最低价产品主导市场,整体行业低水平竞争,国家重要信息系统安全保障能力的产业支撑力不足,国家网络空间对抗能力不足等系列恶性循环的现状。
(作者为第十二届全国政协委员、北京启明星辰首席执行官)