作者 | 程德杰

NSA陰影下的企業(yè)信息安全

作者 | 程德杰

近日，華為被曝出的美國NSA監(jiān)聽的新聞引發(fā)業(yè)內(nèi)廣泛關(guān)注，并受到國內(nèi)諸多媒體及人士的指責(zé)。但指責(zé)之余，如何防患于未然，才是正解。

史上最有名的爆料者—斯諾登，雖然目前隱身于俄羅斯，但卻并沒有停止其爆料歷程。根據(jù)其最新一次爆料：美國國家安全局（National Security Agency，NSA）已經(jīng)秘密對來自中國的華為公司（HUAWEI）進(jìn)行了長達(dá)數(shù)年的監(jiān)控，其監(jiān)控行為包括入侵華為的郵件服務(wù)器、竊聽通話、竊取華為通信設(shè)備的核心源代碼等。

這并不是中國企業(yè)第一次成為有關(guān)“信息安全”話題的焦點(diǎn)。與過往西方媒體的喧囂不同，這一次，華為公司從西方網(wǎng)絡(luò)信息安全的潛在“威脅者”，逆轉(zhuǎn)成為美國國安局監(jiān)控行為的“受害者”。

盡管NSA長達(dá)數(shù)年的監(jiān)控，并沒有能夠讓NSA獲取到華為公司和中國軍方部門聯(lián)系的有力證據(jù)，但卻讓NSA通過竊取華為網(wǎng)絡(luò)設(shè)備的核心代碼，借助華為公司這幾年在全球通信市場的快速成長，成功地將監(jiān)控的黑手伸到了華為公司的客戶那里。

長期以來，企業(yè)信息安全主要由企業(yè)自己負(fù)責(zé)，政府和相關(guān)安全保衛(wèi)部門則主要負(fù)責(zé)政府機(jī)關(guān)和要害部門的信息安全工作，大型國有企事業(yè)單位雖然也納入到各級政府的保密安全工作范疇，但不得不承認(rèn)的是，國家信息安全保衛(wèi)的重點(diǎn)，仍主要在政府系統(tǒng)和重點(diǎn)軍工研究單位。企業(yè)信息安全、特別是部分高科技民營企業(yè)的信息安全，長久以來并沒有受到應(yīng)有的重視。

事實(shí)上，隨著中國改革開放進(jìn)程的加速，企業(yè)日益成為國家經(jīng)濟(jì)活動的主體。企業(yè)的信息安全，尤其是掌握著國家高科技發(fā)展資源的企業(yè)，其信息安全早已是國家信息安全的重要組成部分，企業(yè)的信息安全同樣關(guān)系著國家安全。

如何確保中國企業(yè)的信息安全，讓眾多像華為那樣的中國企業(yè)，遠(yuǎn)離NSA的黑手，個人以為：在此中間政府應(yīng)扮演重要角色，政府應(yīng)成為企業(yè)信息安全的第一道防火墻。

首先，國家應(yīng)將企業(yè)信息安全工作，納入到國家信息安全防控體系中來，以企業(yè)的微觀安全來確保國家的宏觀安全。

企業(yè)作為經(jīng)濟(jì)發(fā)展的主體，重點(diǎn)企業(yè)、特別是高科技企業(yè)，往往承載著國家在某一領(lǐng)域領(lǐng)先突破的希望和未來。但由于歷史原因，企業(yè)往往缺乏信息安全意識，缺少在信息安全方面的投入，相關(guān)國家信息安全部門也缺乏對企業(yè)信息安全的重視和關(guān)注，導(dǎo)致部分高科技企業(yè)的核心技術(shù)外泄，使企業(yè)利益受損，進(jìn)而損害國家的經(jīng)濟(jì)利益，并可能危害國家經(jīng)濟(jì)安全。因此，有必要以加強(qiáng)企業(yè)信息安全為著力點(diǎn)，將企業(yè)信息安全納入到整個國家信息安全體系中來，以企業(yè)的微觀安全來確保國家的宏觀安全。

其次，構(gòu)建國家信息安全體系應(yīng)做好頂層設(shè)計，實(shí)現(xiàn)好與企業(yè)信息安全的對接，讓企業(yè)在信息安全中發(fā)揮主導(dǎo)作用。

目前，在國家層面已經(jīng)成立了信息安全領(lǐng)導(dǎo)機(jī)構(gòu)，但在有關(guān)企業(yè)信息安全方面，仍需探索構(gòu)建一套既有利于企業(yè)發(fā)展，又有利于信息安全防范的成熟機(jī)制。這就需要做好頂層設(shè)計，讓企業(yè)在關(guān)系自身信息安全的工作中，扮演主要角色。

再次，國家信息安全部門應(yīng)建立與重點(diǎn)保護(hù)企業(yè)的情報共享、信息通報和業(yè)務(wù)輔導(dǎo)機(jī)制，共同確保企業(yè)信息安全。

企業(yè)信息安全是國家信息安全的重要組成部門，企業(yè)防控安全入侵的戰(zhàn)場也是國家信息安全戰(zhàn)場的一部分。在防控安全入侵方面，不少企業(yè)累積了不少有益的經(jīng)驗(yàn)，而不少企業(yè)本身就是信息領(lǐng)域的領(lǐng)導(dǎo)者和標(biāo)準(zhǔn)制訂者。因此，國家信息安全部門建立和重點(diǎn)企業(yè)的定期溝通機(jī)制，通報國際、國內(nèi)信息安全形勢，互通情報，做到信息互通，情報共享，雙向業(yè)務(wù)輔導(dǎo)，共同提升企業(yè)和國家信息安全水平，確保企業(yè)信息安全。

最后，國家應(yīng)進(jìn)一步加大對信息安全設(shè)備和安全技術(shù)的研發(fā)支持力度，將信息安全的鑰匙掌握在自己手中。

從根本上來說，國家的信息安全從來都不是構(gòu)建在別國信息安全設(shè)備和技術(shù)之上的。靠別國設(shè)備和技術(shù)搭建起來的國家信息安全，總是會輕易地被戳得千瘡百孔。因此，國家有必要進(jìn)一步加大對自有信息安全設(shè)備安全技術(shù)的研發(fā)支持力度，建立適應(yīng)現(xiàn)代信息安全環(huán)境的中國信息安全標(biāo)準(zhǔn)體系，壯大國內(nèi)自我掌控的國家信息安全產(chǎn)業(yè)。

綜上所述，企業(yè)信息安全作為國家安全的微觀層面，有必要受到政府信息安全部門的高度關(guān)注。通過頂層設(shè)計和體制建設(shè)，構(gòu)建起企業(yè)信息安全的保護(hù)傘，使企業(yè)遠(yuǎn)離NSA的魔爪，才能夠真正確保國家的戰(zhàn)略安全。