首页
社区
课程
招聘
[转帖]浪潮:中国应建立信息安全审查制度
发表于: 2013-3-21 17:29 1978

[转帖]浪潮:中国应建立信息安全审查制度

2013-3-21 17:29
1978
转帖:浪潮:中国应建立信息安全审查制度
http://www.c114.net ( 2013/3/12 16:05 )
http://www.c114.net/persona/498/a751571.html

3月12日消息,全国人大代表、浪潮集团董事长孙丕恕在接受腾讯科技专访时表示,我国应该建立自己的信息安全审查机制,并针对此进行立法,以便从法律层面防范信息安全问题。据悉,他在本届两会上共提出了《建立信息安全审查制度》、《组建国产高端服务器系统产业联盟》、《依托信息化 推动城镇化建设 打造智慧城市》三大议案。

孙丕恕表示,近年来,美国以国家信息安全为由,一直在阻止中国企业的IT产品在美国本土参与竞标,同时阻挠中国企业并购美国高科技企业,防止中国企业获取核心技术。而中国的信息安全保护机制还相当薄弱。长期以来,由于技术、管理、制度等多种因素,使得我国的信息安全保障体系严重的滞后于信息化建设,所以他提议建立信息安全审查制度来完善管理。

他还透露,在服务器领域,由于国外软硬件厂商互相依托、互相支持,结成了垄断联盟,他们不支持国产中间件和数据库,国产基础软件就无法利用国外高端服务器搭建测试环境,因此也无法进入核心应用。所以他建议由国家牵头组建国产高端服务器系统产业联盟,同时他表示,浪潮已经开始在做初期的准备工作。

浪潮孙丕恕:中国应建立信息安全审查制度

以下为孙丕恕两会建议案:

建立信息安全审查制度

近年来,美国以国家信息安全为由,一直在阻止中国企业的IT产品在美国本土参与竞标,同时阻挠中国企业并购美国高科技企业,防止中国企业获取核心技术。特别是在2012年美国众议院指控华为、中兴威胁国家安全,2012年10月8日,在一份有关华为和中兴的调查报告中,美国众议院常设特别情报委员会得出这样一个结论: 华为和中兴对美国国家安全构成威胁,它们制造的设备可以通过遥控向中国发回数据,有间谍嫌疑,应该对其在美开展的业务进行严厉限制。

反观中国,我国的信息安全保护机制还相当薄弱。长期以来,由于技术、管理、制度等多种因素,使得我国的信息安全保障体系严重的滞后于信息化建设。突出的问题是现有已建和在建的信息系统使用的软硬件产品进行了较完备的功能性检测,而对于使用的信息技术产品深层次问题不清楚,对于进口的信息技术产品仅仅是以机电产品完税为目的审查。

造成这种情况最根本的原因是中国缺乏明确的法律法规,没有完善审核监管体系,而美国是从国家立法层面对信息安全予以重点保障,对信息安全有明确的规定,也有一整套的等级保护体系和评测审查手段,如全球供应链审查、源代码备案、采购目录清单等层层设防。

无论从WTO准则还是欧美国家的实践上看,是完全可以基于本国国家安全考虑对国产和进口的产品进行信息安全审查的。如,WTO《技术性贸易壁垒协议》明确在不违反歧视性,原则下主旨是允许一国以维护国家基本安全、保障人类健康和安全、保护生态环境、保证产品质量、防止欺诈行为等合法目的为由,而采取的技术法规、标准、合格评定程序等种种强制性或非强制性的技术性限制措施。WTO《政府采购协议》的主旨也是要求遵循非歧视原则,也明确该协议不能限制为保障安全所需要采取的措施。并明确发展中国家由于处在特定的发展阶段和因为一些非经济的原因,在涉及保护国家安全利益,公共道德、秩序以及安全等方面可以不履行协议规定的一些义务。我们可以在依据WTO准则方面,对于涉及国家、社会安全的国产、进口的信息技术产品实行信息安全审查制度。

美国在信息安全审查方面已经建立了较为完备的法律、法规体系和制度措施。在《保护美国关键基础设施》的总统令(PDD-63)明确了重点保护的范围包括美国政府信息系统和私营部门为保证经济有序运行及提供重要电信、能源、金融和运输的正常服务的信息系统。《国家安全电信与信息系统安全政策#11》中规范了信息安全采购政策,其中对于用在国家安全系统的产品,各部门和机构只能采购业已按照公共准则或经过批准鉴定过的产品;凡是用在与国家重要基础设施运行相关的信息系统产品,可以采购经过鉴定过的现有信息技术产品。信息安全评估认证组织除了属于政府机构性质的“美国信息安全认证机构”,主要负责商用信息技术的认证外,还确定了由国家安全局负责政府用信息技术产品的认证,国家标准和技术研究所负责加密模块的安全性认证。通过一系列的制度措施,来保障美国的信息安全和国家利益。

为此,建议进一步完善信息安全法律法规体系,明确建立信息安全审查制度,对重要信息技术产品实施安全检测。

一、完善政府采购法,明确信息产品的采购细则

在中国现行的法律、法规、规章中,只有对于信息安全产品(如:防火墙)明确了进行认证、分等级管理,没有明确对于在信息系统构建中起到核心作用的软硬件产品进行安全性审查,实质上诸如服务器、存储、交换机、系统软件、数据库等作为信息系统的支撑,直接影响着数据信息的保密安全。建议进一步的完善信息安全法律法规体系,明确建立信息安全产品、信息安全相关产品实行安全审查制度,为依法开展信息安全审查提供保障。

二、通过对信息产品的分类、分级管理,明确审查范围

按照分类分级管理的原则,对于国防、政府、商业应用不同类别的信息产品实行不同的与之相应安全等级。例如对于进入军事国防信息系统的产品技术要实行强制性安全审查;对于政府信息系统,事关国家公共安全、经济运行、社会稳定的三级以上重要系统(比如金融、电信、能源等领域)都要进行强制性安全审查;一般商用性的可以实行市场化管理。

对信息安全相关产品要根据产品的来源(国别)、可靠性(国家是否可控和生产单位是否可控)、可监督性(产品的源代码是否备案、是否经过检查)和安全性(是否具有漏洞、后门、远程控制等功能),进行严格审查,规范其使用范围,进行监督管理。

三、重要信息系统的软硬件产品和服务采购要实行安全准入限制

政府信息产品采购目录的制定要对于不同级别的信息系统来来选择不同安全级别技术产品。非政府系统中三级(包括三级)以上的重要信息系统的软硬件采购,如电信、金融、能源等信息系统的采购也必须采购与之匹配的相应等级的信息技术产品。三级(包括三级)以上信息系统的集成商、服务商要由中国公民、法人投资或国资或者国资控股的主体来担负。对不符合安全等级要求的产品进入原则上要严格限制使用,对于无法避免的要进行风险分析,制定安全机制和应急措施,并要定期进行安全审计,在机制和措施建立的基础上严格审批程序并报相关安全管理机关备案。

依托信息化 推动城镇化建设 打造智慧城市

温总理在政府工作报告中指出,“城镇化是我国现代化建设的历史任务”,要“积极稳妥推动城镇化健康发展”,对此,人大代表、浪潮集团董事长兼CEO孙丕恕谈了两点体会:

一、信息化与城镇化结合的最佳实践是建设智慧城市

中央已经把新型工业化、信息化、城镇化、农业现代化提到国家战略,得到了大家共识。城镇化建设不是简单的建新城,更不是房地产化,而是要以人为本,以提高人民生活水平为目标,不断提升城市服务功能和城市管理水平。要达到这一目标,打造智慧城市是重要举措,信息化是实现这一目标的主要手段。城镇化是信息化的主要载体和依托,信息化是城镇化的提升机和倍增器;城镇是信息化栖身之地,信息化是城市产业升级和城市功能提升的发动机。

我国建设智慧城市应该在城镇化与信息化融合的背景下,围绕改善民生、增强企业竞争力、促进城市可持续发展等关注点,为企业和个人提供智能信息资源及开放式信息应用,为城市运行和资源配置提供智能响应控制,为政府社会管理和公共服务提供智能决策依据及手段。这就需要利用信息平台,整合各种数据和资源,构建起为市民、企业、政府提供服务的平台,满足城市发展的以人为本和可持续创新。

美国第一个建设智慧城市的迪比克市,其模式是在一个有六万居民的社区里将各种城市公用资源(水、电、油、气、交通、公共服务等等)连接起来,监测、分析和整合各种数据以做出智能化的响应,更好的服务市民。韩国的智慧城市建设重在生态、智慧,使得市民可以方便的开展远程教育、医疗、办理税务,还能实现家庭建筑能耗的智能化监控等。这些都为我们城镇如何智慧提供了经验。

中国智慧城市建设首先是从政府开始的,经历了办公自动化、电子政务、智慧政府到智慧城市几个阶段。孙丕恕认为,中国的国情决定要建设好智慧城市,首先要建设好智慧政府,使政府智慧起来。浪潮这些年也积极参与了智慧政府、智慧城市的建设。

比如在百姓关心的医疗卫生领域,浪潮在省里的支持下,利用云计算技术,打造了智慧医疗领域的山东健康云平台,全民电子健康档案、新农合异地结算及各类信息服务等极大的解决了百姓看病贵、看病难的问题。我们建设的食品安全监管平台中的肉菜追溯体系实现了覆盖屠宰、储存、批发、零售等环节的食品全信息链的管理,老百姓通过条码查询就可以了解到食品的全部信息,吃上放心肉菜;类似的还有药品监管平台。近年来在全国推广建设的网上互联审批、有效的解决了老百姓办事难、办事慢等问题,也提升了政府服务法人、个人的水平。

这些智慧民生应用有效提升了政府服务能力,使普通民众更好的感受到智慧城市带来的便捷服务。有了智慧政府,就有了建设智慧城市的基础,智慧地球也就为之不远了。 [责任编辑:honestsun]
[page]***[/page]

二、建设智慧城市需要加快进行商业模式创新

当前,智慧城市建设如火如荼,住建部90个试点城市的公布更是让智慧城市这把火烧得更旺。智慧城市建设最关键的是,通过信息资源整合与应用融合,创造政府与社会共同参与的智慧城市建设模式,充分利用新一代信息技术发展成果有效推动服务型政府建设,提升社会管理和公共服务水平,最终提高人民生活水平。

政府能够提供的服务仅仅是民生服务的一个组成部分,还有大量民众、企业需要的服务,尤其是个性化服务需要调动公众的力量才能实现。在这一过程中,需要广泛吸纳社会力量、建设生态体系、进行模式创新,最终建立起智慧城市。

首先,政府应积极面向社会组织或个人开放一些必要的数据和服务,建立城市级的开放共享平台;吸引、调动广大的第三方组织和力量进行应用的开发,寓管理于服务,建立起提供服务的生态环境和创新体系,把政府服务和社会化服务进行有效的整合,满足公众、企业和社会管理的需要。例如:香港政府将城市交通流量信息进行开放,在半年的时间内,第三方(企业和个人)基于这些数据开发了12个应用,方便了民众的出行和生活;还有我们日常使用航班管家,空管局也是将数据开放,由第三方开发应用面向老百姓提供服务,使用起来十分方便。他们不但为老百姓提供了服务,自己也找到了盈利的商业模式。

目前,浪潮已经和济南、青岛等多个城市在这一方面进行了有益的尝试。比如青岛,通过公众服务平台的建设,目前已经把1000多项的政府服务对公众进行了开放,目前已经有十几家第三方合作伙伴在浪潮的公共服务平台上开发应用,面向公共提供服务。随着应用的逐步丰富,将来老百姓可以享受到足不出户,通过网上提交、网上办理,最后通过物流直接送上门的政府服务,就像在淘宝上购物一样方便。

智慧城市模式创新的关键是政府将数据开放出来,依托一个统一的应用开发平台,由第三方利用这些数据开发各种应用,各自寻找盈利模式。这样不但为众多企业带来了新的发展机遇,促进当地现代服务业的发展,也是政府创新社会管理,惠民、便民的有效手段。

就此,孙丕恕代表提出两点建议:

一、智慧城市建设要注重顶层设计

智慧城市建设对城镇化加速背景下的城市运营发展提供了重要抓手,但智慧城市建设是一个庞大的系统工程。建议我国各地在建设智慧城市过程中首先进行顶层设计和统筹规划。政府要明确需求,明确各阶段的目标、明确各部门和社会各方面的组织协调关系、明确运行模式或商业模式、明确市民的参与方式等。搞好试点,抓好典型。

二、进一步加强政府数据资源的开放、共享

经过多年的信息化建设,政府积累了大量的数据,但是目前大多以数据保密为借口,普遍存在开放程度不够,无法进行共享的问题,同时,民众还需要大量的社会化服务。因此,建议政府联合大型企业组织搭建并运营公众服务开放平台,把政府的数据有步骤、有方法的进行开放,放到平台上进行共享,同时推动社会力量共同开发各类公众服务应用,以有效解决现存的公众服务瓶颈。

组建国产高端服务器系统产业联盟

高端服务器系统是信息化的核心装备,广泛应用于金融、电信、能源、政府、国防、交通等领域,如银行的储蓄业务系统、证券的交易系统、电信领域的通讯网管系统、电力领域的调度系统,民航领域的空管系统等,这些系统的运转一旦出现停顿,会对社会经济生活造成严重的损害,甚至直接威胁到社会安定和国家安全。我国高端服务器系统主要依赖于进口,几乎都是外国品牌。高端服务器产品基本在IBM、HP等美国企业垄断下,操作系统、数据库、中间件也基本在Oracle等美国企业控制下。

人大代表、浪潮集团董事长兼CEO孙丕恕表示,构建满足复杂应用的高效、安全信息系统除了拥有安全可靠的高端服务器装备外,还需要与其配合的数据库、中间件、工具软件和应用软件等具备良好的兼容性和可移植性。

但是,由于国外软硬件厂商互相依托、互相支持,结成了垄断联盟,他们不支持国产中间件和数据库,国产基础软件就无法利用国外高端服务器搭建测试环境,因此也无法进入核心应用。

在高端服务器领域,以浪潮为代表的大型企业具备了高端服务器装备的研制和生产能力,浪潮去年正式发布了中国首台高端服务器浪潮天梭K1,已经在中国建行稳定安全运行2年多,在邮储银行总行、国家进出口银行、大连银行等也实现应用。在基础软件领域,国家核高基重大专项支持了系列操作系统、数据库、中间件等国产软件的开发,东方通、神州通用、达梦、人大金仓等软件厂商成长迅速。

国产高端服务器的成功突破,为国产基础软件提供了很好的开发测试环境,直接带动了国产中间件和数据库等基础软件进入关键领域和关键应用。比如在中国进出口银行,浪潮高端服务器不仅击败了IBM小型机,而且还带动人大金仓的数据库、东方通的中间件等国产基础软件进入金融核心应用领域,创造了银行业首次在关键应用的软硬件系统平台上全面采用全国产产品的历史

但是,由于软硬件研究力量分散、研究内容不系统、用户长期以来的使用习惯等诸多因素,使得我国在产业应用方面仍然没有实现根本性突破,阻碍我国自主信息化发展的需要。为此,孙丕恕建议组建国产高端服务器系统产业联盟,具体如下:

一、建立以高端服务器整机厂商牵头的产业联盟

以整机系统龙头企业为牵头单位,联合国产处理器、部件、操作系统、数据库、中间件、应用软件厂商和科研机构,组建联盟,打造高端服务器良好的生态环境。像支持TD-SCDMA和北斗系统一样,将其上升到国家战略,予以重点支持。

二、国家重大专项高端服务器系统相关的软硬件科技攻关,要委托产业联盟组织实施

在国家“863”计划、核高基重大专项中,要加大力度支持高端服务器核心技术的研发,同时支持围绕国产高端服务器的处理器、芯片组、操作系统、数据库、中间件等研发,要把国家重大专项相关软硬件的科技攻关委托联盟组织实施,形成产业链协同创新。

三、选取重要信息系统关键应用,使用联盟的产品和方案

通过示范引导、政策激励等措施,加大力度推广国产高端服务器系统。在国家重要信息系统范围内选择若干应用领域,由国家政策、资金的支持,搭建国产软硬件示范平台,通过应用示范效应,带动国产信息化装备的推广应用。鼓励和支持重要信息系统承建单位使用国产高端服务器系统,设立成果推广使用专项,对用户采用国产高端服务器系统进行系统迁移等费用予以补贴;对于因业务系统采用国产装备必需的新系统开发、移植产生的新增项目开发给予科研立项和科研经费的支持;对于示范平台承建、首例规模使用单位予以成果推广应用奖励。

通过加强信息系统的安全准入机制,在保证系统安全的同时,支持国产化技术应用。对于重要信息系统的高端服务器系统实行准入限制,通过对相应重要信息产品功能性、安全性、可控性的强制性检测、审查,据此建立政府采购、重要信息系统采购目录。政府采购、重要信息系统采购中在平衡安全价值、经济价值、发展价值中优先考虑安全性原则,要从供应链安全角度,优先使用自主高端服务器、操作系统、数据库等技术产品。对于违背安全性原则,造成重要信息系统安全事故的,要依据国家相关法律、法规,追究相关组织、人员责任。

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
返回
//