華為中興在美遭查警示中國重估國家信息安全

　　記者 雍忠瑋 王云輝

　　一場意料之外的打擊，或許能讓中國的信息安全評估保障體系獲得成長的反思。

　　10月8日，美國眾議院情報委員會發(fā)布報告稱，總部設在中國深圳的華為和中興通訊，有可能對美國國家安全構成威脅，并建議美國禁止兩家公司在美展開業(yè)務。此后1個多月時間里，相關各方展開激烈的論辯沖撞，至今尚未有最終結論。

　　隨著此事的進一步發(fā)酵，一場關于中國信息安全的反思也悄然漸起。通過美國立法、政府部門與企業(yè)在此事中的種種作為，行業(yè)人士認為，中國信息安全亦處于威脅中，且需要從制度、監(jiān)管等各個環(huán)節(jié)進行調整。

　　美國之鑒

　　“華為中興在美國受到調查的事件教育了我們，要重新調查技術標準、法律法規(guī)，以及監(jiān)管機構和電信運營商在網(wǎng)絡信息安全中的角色和作用，建立起安全的防護墻�！�11月14日，電信專家陳金橋向《財經(jīng)國家周刊》記者表示。

　　在這一事件爆發(fā)后，多個領域的專家，一直對于中美兩國公司在對方市場受到的不對等待遇表示不滿。外界普遍認為，此次調查的主要推動力并不是美國政府，而更多是在大選年背景下，思科等公司與一些政客假國家信息安全之名，蓄謀打擊競爭對手的手段。

　　但不論如何，在此過程中，美國從調查、立法到政府介入的各個環(huán)節(jié)，都已經(jīng)形成一個通暢的體系，這值得中國借鑒。

　　“比如，美國對中興與華為的調查，并不是政府進行的，而是眾議院下屬的情報委員會。”一位深度參與此次事件的設備廠商人士說，“這份報告本身沒有任何的法律約束力，但如果報告通過議會，則可能迅速演變?yōu)榱⒎�，從而形成一個堅固壁壘�！�

　　與之對應的是，中國對外資廠商的信息安全監(jiān)管卻并未在立法層面建立類似的機制。這就導致在面臨信息安全威脅或國際摩擦時，政府干預會破壞規(guī)則或被人指責，不干預則無法形成有效的防范或對抗，從而陷入兩難的困局。

　　就此，多位接受采訪的專家建議，中國應考慮效法美國，在人大下設常態(tài)化的外國投資審查委員會，并對相關企業(yè)進行審查監(jiān)督。

　　與此同時，基礎網(wǎng)絡建設層面相關法規(guī)的缺失，也導致中國網(wǎng)絡安全無法得到充分保障。雖然早在2003年，中國就出臺第一部信息安全綱領性文件《關于加強信息安全保障工作的意見》(中辦發(fā)[2003]27號文)，但直到現(xiàn)在，信息安全依然缺少一個完整保障信息安全的法律體系�！敦斀�(jīng)國家周刊》從工信部獲悉，工信部信息安全協(xié)調司經(jīng)過2011年的專項調研，已于2012年上半年曾形成相關報告。報告表示，僅在涉及個人信息保護方面，相關法規(guī)條文就已經(jīng)眾多，其中涉及個人信息保護的法律有將近40部、最高人民法院出臺10條個人信息保護相關的司法解釋、國務院發(fā)布的有關個人信息保護的法規(guī)約有30部、而各大部委頒布的相關部門條例、管理辦法、規(guī)定，更是多達近200部，這還不包括各省級以下政府頒布的區(qū)域性政策和規(guī)定。

　　然而，這些文件大多是針對具體問題，在總體上，個人信息保護領域的法律法規(guī)，卻仍然不成體系，對基礎網(wǎng)絡建設信息安全領域保護，更是缺少明確的、體系化的法律文本。

　　《財經(jīng)國家周刊》從工業(yè)和信息化部(下稱“工信部”)相關部門獲得的資料表明，工信部2011年已經(jīng)啟動信息保護立法調研和研究工作，并約談了包括百度、騰訊等諸多互聯(lián)網(wǎng)公司。

　　監(jiān)管調整

　　降了立法層面之外，專家也建議，中國應建立更加立體化的國家網(wǎng)絡信息安全評估保障機制。

　　一位資深行業(yè)人士說，中國一直沒有真正著手信息安全體系，更多是由于歷史原因。

　　“就最基礎的通信設備和網(wǎng)絡設備來說，中國最早是沒有自己的工業(yè)基礎的，在上個世紀90年代以前，基本上都是依賴進口，而且在早期我們還處于大發(fā)展階段，每年都需要興建大量的網(wǎng)絡，在那個階段，對系統(tǒng)設備的要求基本上只有最低的要求：能用就行�！痹撊耸空f，雖然當年的信產(chǎn)部及后來的工信部，都設立了入網(wǎng)檢測機構與檢測程序，但這一程序也更多是對于設備可用性的檢測，對信息安全的評估并沒有提到最為重要的等級。

　　但隨著時代變化，當各國的信息通信流量爆漲，并全面滲透進入政府、軍事、商業(yè)、工業(yè)與公眾服務的各個環(huán)節(jié)之后，信息安全的作用變得日益重要。

　　“信息安全關系到國家的政治安全、經(jīng)濟安全、文化安全、國防安全和社會穩(wěn)定，尤其網(wǎng)絡信息安全已經(jīng)成為事關國家安全的第一安全，信息技術產(chǎn)業(yè)的發(fā)展也就直接關系對國家安全的基本保障能力�！惫ば挪寇浖�與集成電路促進中心主任邱善勤說，當前，世界各國都將信息技術和信息安全的自主可控能力與維護國家安全的能力緊密聯(lián)系在一起，控制與反控制的斗爭甚至已經(jīng)對國與國之間的外交、經(jīng)貿等關系產(chǎn)生了重要影響。

　　與此同時，信息安全事故的破壞性越來越大，信息安全問題也越來越成為焦點。近兩年來，微軟、亞馬遜、谷歌等企業(yè)紛紛發(fā)生重大信息安全事故，“震網(wǎng)”病毒更給伊朗造成巨大損失。信息安全事故頻發(fā)，也引起了各國政府的高度重視。比如在美國，奧巴馬將網(wǎng)絡安全問題視為最嚴重的國家經(jīng)濟和國家安全挑戰(zhàn)之一，提出將數(shù)字基礎設施視為國家戰(zhàn)略資產(chǎn)予以保護，并組建了網(wǎng)絡戰(zhàn)司令部。日本則通過了《保護國民信息安全戰(zhàn)略》，重點加強鐵路、金融系統(tǒng)重要信息基礎設施的安全防范。

　　“這也是為什么利益相關方以信息安全為借口指控中興華為時，美國各方立刻高度緊張的原因�！鼻拔奶峒百Y深行業(yè)人士說。

　　問題在于，由于過去在開放環(huán)境下的高速發(fā)展，中國過去是既沒有行業(yè)標準，也沒有法律要求，沒有合格的檢測機構，對于信息安全成體系的評估監(jiān)管，尤其在設備領域，幾乎是一個空白。該人士說，在此過程中，過去政府對行業(yè)基本沒有做強制性的規(guī)范，也缺乏強制手段和檢測手段，而是把權放給了基礎運營商，但在商業(yè)環(huán)境下，運營商所進行的檢測乃至防范往往會不自覺地放松要求。

　　“所以，中國現(xiàn)在除了繼續(xù)開放市場，積極與海外廠商合作外，也要注意保護與捍衛(wèi)自己的核心利益與國家安全，重新改變政府與企業(yè)過去在對信息安全體系中的定位和分工�！标惤饦蛘J為。

　　據(jù)《財經(jīng)國家周刊》了解，中國從決策層到各個部委，在此之前就已開始意識到相關的風險，并開始考慮如何要進一步強化信息安全領域的管理，包括來自物理網(wǎng)絡層面的國家安全和來自互聯(lián)網(wǎng)傳輸過程中的個人信息安全。

　　威脅仍在

　　《財經(jīng)國家周刊》獲得的一份資料表明，以思科、微軟等為主的美國IT公司，仍然占據(jù)著中國基礎網(wǎng)絡核心。目前，中國市場仍是思科全球范圍內唯一沒有占據(jù)壟斷地位的區(qū)域市場，但這一市場主要份額，仍被思科和H3C兩個美國公司占據(jù)。2011年，H3C銷售收入14.6億美元，而思科在華收入略低于H3C，約占思科全球收入3%。但有報道稱，思科中國業(yè)務的利潤高達思科整體利潤的30%。

　　《財經(jīng)國家周刊》獲得的文件表明，思科網(wǎng)絡設備廣泛應用于中國信息網(wǎng)絡關鍵領域，包括運營商骨干網(wǎng)絡、醫(yī)療網(wǎng)絡、航空和交通網(wǎng)絡，乃至金融網(wǎng)絡、政府網(wǎng)絡，甚至于軍隊網(wǎng)絡。

　　“值得警惕的是，包括思科、微軟等在內的大多數(shù)美國公司，在中國占據(jù)了龐大的市場份額和商業(yè)機會的同時，一直沒有向中國政府開放相關源代碼，而這些美國公司在中國信息網(wǎng)絡的關鍵領域，同樣長期占有較大份額�！敝袊�通信標準化協(xié)會理事、邁普通信CEO肖志輝對《財經(jīng)國家周刊》表示，“中國政府應當為自身安全考慮，未來應對包括思科、微軟在內的美國公司予以相應審查，以防范關鍵信息被竊取的事件繼續(xù)發(fā)生�！迸c此同時，正在興起的云計算業(yè)務中也存在類似風險。一位行業(yè)人士說，中小企業(yè)如果沒有主機系統(tǒng)，只有一個服務的平臺，大量的經(jīng)濟信息與商業(yè)秘密就會成半裸露狀態(tài)呈現(xiàn)在云服務器上。為此，歐盟此前就有要求，在12到18個月之內，所有入云中小企業(yè)的信息都必須全部刪除，而且不允許跨境傳播。但外國的技術商向中國客戶提供這一服務時，卻一直在掩蓋這一事實。公益律師董正偉也認為，中國執(zhí)法機構、國家安全機構包括信息產(chǎn)業(yè)機構應盡快對這些產(chǎn)品采取必要的調查措施，“比如思科的產(chǎn)品，應用于我國核心政府以及其他關鍵領域時，不能保證其是否會通過后門收集情報。思科的設備已被應用在中國的許多關鍵領域，如果對思科的產(chǎn)品不加以審查或防范，一旦出現(xiàn)重大事故，將對國家和企業(yè)造成不可估量的損失�！边@些擔憂并非空穴來風。在此之前，《華爾街日報》對中興華為受調查一事的評論就認為，“美國及其盟友不愿讓華為進入美國是因為他們自己的經(jīng)驗告訴他們，進口的電子設備可以成為進行間諜和破壞活動的武器”，并認為美國軍方和政府，曾利用其國內公司的產(chǎn)品，達成對他國的信息竊取和攻擊，早已成為公開事實，比如美國情報機構就曾和以色列合作，利用微軟多版本操作系統(tǒng)底層，創(chuàng)建蠕蟲病毒Stuxnet并以此破壞了伊朗核電項目。