華為中興在美遭查警示中國(guó)重估國(guó)家信息安全

　　記者 雍忠瑋 王云輝

　　一場(chǎng)意料之外的打擊，或許能讓中國(guó)的信息安全評(píng)估保障體系獲得成長(zhǎng)的反思。

　　10月8日，美國(guó)眾議院情報(bào)委員會(huì)發(fā)布報(bào)告稱，總部設(shè)在中國(guó)深圳的華為和中興通訊，有可能對(duì)美國(guó)國(guó)家安全構(gòu)成威脅，并建議美國(guó)禁止兩家公司在美展開(kāi)業(yè)務(wù)。此后1個(gè)多月時(shí)間里，相關(guān)各方展開(kāi)激烈的論辯沖撞，至今尚未有最終結(jié)論。

　　隨著此事的進(jìn)一步發(fā)酵，一場(chǎng)關(guān)于中國(guó)信息安全的反思也悄然漸起。通過(guò)美國(guó)立法、政府部門與企業(yè)在此事中的種種作為，行業(yè)人士認(rèn)為，中國(guó)信息安全亦處于威脅中，且需要從制度、監(jiān)管等各個(gè)環(huán)節(jié)進(jìn)行調(diào)整。

　　美國(guó)之鑒

　　“華為中興在美國(guó)受到調(diào)查的事件教育了我們，要重新調(diào)查技術(shù)標(biāo)準(zhǔn)、法律法規(guī)，以及監(jiān)管機(jī)構(gòu)和電信運(yùn)營(yíng)商在網(wǎng)絡(luò)信息安全中的角色和作用，建立起安全的防護(hù)墻�！�11月14日，電信專家陳金橋向《財(cái)經(jīng)國(guó)家周刊》記者表示。

　　在這一事件爆發(fā)后，多個(gè)領(lǐng)域的專家，一直對(duì)于中美兩國(guó)公司在對(duì)方市場(chǎng)受到的不對(duì)等待遇表示不滿。外界普遍認(rèn)為，此次調(diào)查的主要推動(dòng)力并不是美國(guó)政府，而更多是在大選年背景下，思科等公司與一些政客假國(guó)家信息安全之名，蓄謀打擊競(jìng)爭(zhēng)對(duì)手的手段。

　　但不論如何，在此過(guò)程中，美國(guó)從調(diào)查、立法到政府介入的各個(gè)環(huán)節(jié)，都已經(jīng)形成一個(gè)通暢的體系，這值得中國(guó)借鑒。

　　“比如，美國(guó)對(duì)中興與華為的調(diào)查，并不是政府進(jìn)行的，而是眾議院下屬的情報(bào)委員會(huì)�！币晃簧疃葏⑴c此次事件的設(shè)備廠商人士說(shuō)，“這份報(bào)告本身沒(méi)有任何的法律約束力，但如果報(bào)告通過(guò)議會(huì)，則可能迅速演變?yōu)榱⒎�，從而形成一個(gè)堅(jiān)固壁壘�！�

　　與之對(duì)應(yīng)的是，中國(guó)對(duì)外資廠商的信息安全監(jiān)管卻并未在立法層面建立類似的機(jī)制。這就導(dǎo)致在面臨信息安全威脅或國(guó)際摩擦?xí)r，政府干預(yù)會(huì)破壞規(guī)則或被人指責(zé)，不干預(yù)則無(wú)法形成有效的防范或?qū)�抗，從而陷入兩難的困局。

　　就此，多位接受采訪的專家建議，中國(guó)應(yīng)考慮效法美國(guó)，在人大下設(shè)常態(tài)化的外國(guó)投資審查委員會(huì)，并對(duì)相關(guān)企業(yè)進(jìn)行審查監(jiān)督。

　　與此同時(shí)，基礎(chǔ)網(wǎng)絡(luò)建設(shè)層面相關(guān)法規(guī)的缺失，也導(dǎo)致中國(guó)網(wǎng)絡(luò)安全無(wú)法得到充分保障。雖然早在2003年，中國(guó)就出臺(tái)第一部信息安全綱領(lǐng)性文件《關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》(中辦發(fā)[2003]27號(hào)文)，但直到現(xiàn)在，信息安全依然缺少一個(gè)完整保障信息安全的法律體系�！敦�(cái)經(jīng)國(guó)家周刊》從工信部獲悉，工信部信息安全協(xié)調(diào)司經(jīng)過(guò)2011年的專項(xiàng)調(diào)研，已于2012年上半年曾形成相關(guān)報(bào)告。報(bào)告表示，僅在涉及個(gè)人信息保護(hù)方面，相關(guān)法規(guī)條文就已經(jīng)眾多，其中涉及個(gè)人信息保護(hù)的法律有將近40部、最高人民法院出臺(tái)10條個(gè)人信息保護(hù)相關(guān)的司法解釋、國(guó)務(wù)院發(fā)布的有關(guān)個(gè)人信息保護(hù)的法規(guī)約有30部、而各大部委頒布的相關(guān)部門條例、管理辦法、規(guī)定，更是多達(dá)近200部，這還不包括各省級(jí)以下政府頒布的區(qū)域性政策和規(guī)定。

　　然而，這些文件大多是針對(duì)具體問(wèn)題，在總體上，個(gè)人信息保護(hù)領(lǐng)域的法律法規(guī)，卻仍然不成體系，對(duì)基礎(chǔ)網(wǎng)絡(luò)建設(shè)信息安全領(lǐng)域保護(hù)，更是缺少明確的、體系化的法律文本。

　　《財(cái)經(jīng)國(guó)家周刊》從工業(yè)和信息化部(下稱“工信部”)相關(guān)部門獲得的資料表明，工信部2011年已經(jīng)啟動(dòng)信息保護(hù)立法調(diào)研和研究工作，并約談了包括百度、騰訊等諸多互聯(lián)網(wǎng)公司。

　　監(jiān)管調(diào)整

　　降了立法層面之外，專家也建議，中國(guó)應(yīng)建立更加立體化的國(guó)家網(wǎng)絡(luò)信息安全評(píng)估保障機(jī)制。

　　一位資深行業(yè)人士說(shuō)，中國(guó)一直沒(méi)有真正著手信息安全體系，更多是由于歷史原因。

　　“就最基礎(chǔ)的通信設(shè)備和網(wǎng)絡(luò)設(shè)備來(lái)說(shuō)，中國(guó)最早是沒(méi)有自己的工業(yè)基礎(chǔ)的，在上個(gè)世紀(jì)90年代以前，基本上都是依賴進(jìn)口，而且在早期我們還處于大發(fā)展階段，每年都需要興建大量的網(wǎng)絡(luò)，在那個(gè)階段，對(duì)系統(tǒng)設(shè)備的要求基本上只有最低的要求：能用就行�！痹撊耸空f(shuō)，雖然當(dāng)年的信產(chǎn)部及后來(lái)的工信部，都設(shè)立了入網(wǎng)檢測(cè)機(jī)構(gòu)與檢測(cè)程序，但這一程序也更多是對(duì)于設(shè)備可用性的檢測(cè)，對(duì)信息安全的評(píng)估并沒(méi)有提到最為重要的等級(jí)。

　　但隨著時(shí)代變化，當(dāng)各國(guó)的信息通信流量爆漲，并全面滲透進(jìn)入政府、軍事、商業(yè)、工業(yè)與公眾服務(wù)的各個(gè)環(huán)節(jié)之后，信息安全的作用變得日益重要。

　　“信息安全關(guān)系到國(guó)家的政治安全、經(jīng)濟(jì)安全、文化安全、國(guó)防安全和社會(huì)穩(wěn)定，尤其網(wǎng)絡(luò)信息安全已經(jīng)成為事關(guān)國(guó)家安全的第一安全，信息技術(shù)產(chǎn)業(yè)的發(fā)展也就直接關(guān)系對(duì)國(guó)家安全的基本保障能力。”工信部軟件與集成電路促進(jìn)中心主任邱善勤說(shuō)，當(dāng)前，世界各國(guó)都將信息技術(shù)和信息安全的自主可控能力與維護(hù)國(guó)家安全的能力緊密聯(lián)系在一起，控制與反控制的斗爭(zhēng)甚至已經(jīng)對(duì)國(guó)與國(guó)之間的外交、經(jīng)貿(mào)等關(guān)系產(chǎn)生了重要影響。

　　與此同時(shí)，信息安全事故的破壞性越來(lái)越大，信息安全問(wèn)題也越來(lái)越成為焦點(diǎn)。近兩年來(lái)，微軟、亞馬遜、谷歌等企業(yè)紛紛發(fā)生重大信息安全事故，“震網(wǎng)”病毒更給伊朗造成巨大損失。信息安全事故頻發(fā)，也引起了各國(guó)政府的高度重視。比如在美國(guó)，奧巴馬將網(wǎng)絡(luò)安全問(wèn)題視為最嚴(yán)重的國(guó)家經(jīng)濟(jì)和國(guó)家安全挑戰(zhàn)之一，提出將數(shù)字基礎(chǔ)設(shè)施視為國(guó)家戰(zhàn)略資產(chǎn)予以保護(hù)，并組建了網(wǎng)絡(luò)戰(zhàn)司令部。日本則通過(guò)了《保護(hù)國(guó)民信息安全戰(zhàn)略》，重點(diǎn)加強(qiáng)鐵路、金融系統(tǒng)重要信息基礎(chǔ)設(shè)施的安全防范。

　　“這也是為什么利益相關(guān)方以信息安全為借口指控中興華為時(shí)，美國(guó)各方立刻高度緊張的原因�！鼻拔奶峒百Y深行業(yè)人士說(shuō)。

　　問(wèn)題在于，由于過(guò)去在開(kāi)放環(huán)境下的高速發(fā)展，中國(guó)過(guò)去是既沒(méi)有行業(yè)標(biāo)準(zhǔn)，也沒(méi)有法律要求，沒(méi)有合格的檢測(cè)機(jī)構(gòu)，對(duì)于信息安全成體系的評(píng)估監(jiān)管，尤其在設(shè)備領(lǐng)域，幾乎是一個(gè)空白。該人士說(shuō)，在此過(guò)程中，過(guò)去政府對(duì)行業(yè)基本沒(méi)有做強(qiáng)制性的規(guī)范，也缺乏強(qiáng)制手段和檢測(cè)手段，而是把權(quán)放給了基礎(chǔ)運(yùn)營(yíng)商，但在商業(yè)環(huán)境下，運(yùn)營(yíng)商所進(jìn)行的檢測(cè)乃至防范往往會(huì)不自覺(jué)地放松要求。

　　“所以，中國(guó)現(xiàn)在除了繼續(xù)開(kāi)放市場(chǎng)，積極與海外廠商合作外，也要注意保護(hù)與捍衛(wèi)自己的核心利益與國(guó)家安全，重新改變政府與企業(yè)過(guò)去在對(duì)信息安全體系中的定位和分工�！标惤饦蛘J(rèn)為。

　　據(jù)《財(cái)經(jīng)國(guó)家周刊》了解，中國(guó)從決策層到各個(gè)部委，在此之前就已開(kāi)始意識(shí)到相關(guān)的風(fēng)險(xiǎn)，并開(kāi)始考慮如何要進(jìn)一步強(qiáng)化信息安全領(lǐng)域的管理，包括來(lái)自物理網(wǎng)絡(luò)層面的國(guó)家安全和來(lái)自互聯(lián)網(wǎng)傳輸過(guò)程中的個(gè)人信息安全。

　　威脅仍在

　　《財(cái)經(jīng)國(guó)家周刊》獲得的一份資料表明，以思科、微軟等為主的美國(guó)IT公司，仍然占據(jù)著中國(guó)基礎(chǔ)網(wǎng)絡(luò)核心。目前，中國(guó)市場(chǎng)仍是思科全球范圍內(nèi)唯一沒(méi)有占據(jù)壟斷地位的區(qū)域市場(chǎng)，但這一市場(chǎng)主要份額，仍被思科和H3C兩個(gè)美國(guó)公司占據(jù)。2011年，H3C銷售收入14.6億美元，而思科在華收入略低于H3C，約占思科全球收入3%。但有報(bào)道稱，思科中國(guó)業(yè)務(wù)的利潤(rùn)高達(dá)思科整體利潤(rùn)的30%。

　　《財(cái)經(jīng)國(guó)家周刊》獲得的文件表明，思科網(wǎng)絡(luò)設(shè)備廣泛應(yīng)用于中國(guó)信息網(wǎng)絡(luò)關(guān)鍵領(lǐng)域，包括運(yùn)營(yíng)商骨干網(wǎng)絡(luò)、醫(yī)療網(wǎng)絡(luò)、航空和交通網(wǎng)絡(luò)，乃至金融網(wǎng)絡(luò)、政府網(wǎng)絡(luò)，甚至于軍隊(duì)網(wǎng)絡(luò)。

　　“值得警惕的是，包括思科、微軟等在內(nèi)的大多數(shù)美國(guó)公司，在中國(guó)占據(jù)了龐大的市場(chǎng)份額和商業(yè)機(jī)會(huì)的同時(shí)，一直沒(méi)有向中國(guó)政府開(kāi)放相關(guān)源代碼，而這些美國(guó)公司在中國(guó)信息網(wǎng)絡(luò)的關(guān)鍵領(lǐng)域，同樣長(zhǎng)期占有較大份額�！敝袊�(guó)通信標(biāo)準(zhǔn)化協(xié)會(huì)理事、邁普通信CEO肖志輝對(duì)《財(cái)經(jīng)國(guó)家周刊》表示，“中國(guó)政府應(yīng)當(dāng)為自身安全考慮，未來(lái)應(yīng)對(duì)包括思科、微軟在內(nèi)的美國(guó)公司予以相應(yīng)審查，以防范關(guān)鍵信息被竊取的事件繼續(xù)發(fā)生�！迸c此同時(shí)，正在興起的云計(jì)算業(yè)務(wù)中也存在類似風(fēng)險(xiǎn)。一位行業(yè)人士說(shuō)，中小企業(yè)如果沒(méi)有主機(jī)系統(tǒng)，只有一個(gè)服務(wù)的平臺(tái)，大量的經(jīng)濟(jì)信息與商業(yè)秘密就會(huì)成半裸露狀態(tài)呈現(xiàn)在云服務(wù)器上。為此，歐盟此前就有要求，在12到18個(gè)月之內(nèi)，所有入云中小企業(yè)的信息都必須全部刪除，而且不允許跨境傳播。但外國(guó)的技術(shù)商向中國(guó)客戶提供這一服務(wù)時(shí)，卻一直在掩蓋這一事實(shí)。公益律師董正偉也認(rèn)為，中國(guó)執(zhí)法機(jī)構(gòu)、國(guó)家安全機(jī)構(gòu)包括信息產(chǎn)業(yè)機(jī)構(gòu)應(yīng)盡快對(duì)這些產(chǎn)品采取必要的調(diào)查措施，“比如思科的產(chǎn)品，應(yīng)用于我國(guó)核心政府以及其他關(guān)鍵領(lǐng)域時(shí)，不能保證其是否會(huì)通過(guò)后門收集情報(bào)。思科的設(shè)備已被應(yīng)用在中國(guó)的許多關(guān)鍵領(lǐng)域，如果對(duì)思科的產(chǎn)品不加以審查或防范，一旦出現(xiàn)重大事故，將對(duì)國(guó)家和企業(yè)造成不可估量的損失�！边@些擔(dān)憂并非空穴來(lái)風(fēng)。在此之前，《華爾街日?qǐng)?bào)》對(duì)中興華為受調(diào)查一事的評(píng)論就認(rèn)為，“美國(guó)及其盟友不愿讓華為進(jìn)入美國(guó)是因?yàn)樗麄冏约旱慕?jīng)驗(yàn)告訴他們，進(jìn)口的電子設(shè)備可以成為進(jìn)行間諜和破壞活動(dòng)的武器”，并認(rèn)為美國(guó)軍方和政府，曾利用其國(guó)內(nèi)公司的產(chǎn)品，達(dá)成對(duì)他國(guó)的信息竊取和攻擊，早已成為公開(kāi)事實(shí)，比如美國(guó)情報(bào)機(jī)構(gòu)就曾和以色列合作，利用微軟多版本操作系統(tǒng)底層，創(chuàng)建蠕蟲(chóng)病毒Stuxnet并以此破壞了伊朗核電項(xiàng)目。