從華為“入侵門”看中國企業(yè)的信息安全

文/冀勇慶

近日，華為受到美國國家安全局（NSA）全面監(jiān)控的消息引發(fā)了一番熱議。根據(jù)NSA前雇員斯諾登爆料，NSA滲透進了華為的內(nèi)網(wǎng)，不僅成功拷貝了華為的客戶名單和訓練工程師的內(nèi)部文件，還截獲了任正非和孫亞芳等華為高管的電子郵件。

即使是華為這樣專業(yè)的網(wǎng)絡設備廠商，仍然無法避免NSA的入侵，這讓我們不寒而栗。我們必須面對殘酷的現(xiàn)實：美國仍然占據(jù)了全球信息戰(zhàn)的制高點。NSA之所以能夠為所欲為，是因為美國掌握了全球網(wǎng)絡基礎設施的核心：全球互聯(lián)網(wǎng)13臺根服務器中的10臺在美國，網(wǎng)絡設備老大思科是美國公司，全球主流PC和手機操作系統(tǒng)廠商微軟、蘋果、谷歌都是美國公司，計算芯片老大英特爾是美國公司，通信芯片老大高通還是美國公司……即使是互聯(lián)網(wǎng)應用層的領(lǐng)導者谷歌、雅虎和Facebook，也統(tǒng)統(tǒng)都是美國公司。因此，只要我們還在使用互聯(lián)網(wǎng)，我們就無法避免美國的監(jiān)控。

我們把互聯(lián)網(wǎng)完全隔斷，行不行？據(jù)說俄羅斯總統(tǒng)普京就從來不用手機，也不用電腦。普京這么干行，因為還有一個團隊專門為他服務。企業(yè)這么做可不行，像華為這種在北極都有基站的全球化企業(yè)，如果沒有互聯(lián)網(wǎng)和IT系統(tǒng)，根本無法運轉(zhuǎn)。

如果我們不“斷網(wǎng)”，而是把所有硬件和軟件全部換成國產(chǎn)的產(chǎn)品，是不是就能夠解決安全的問題呢？還是不行。還以華為為例，這家技術(shù)型公司的IT系統(tǒng)中，大部分的硬件都是自己開發(fā)的，管理軟件也有很大一部分是自己的，仍然無法避免被NSA入侵的結(jié)局。為什么會這樣呢？這是因為整個科技產(chǎn)業(yè)早就全球化了，任何一家企業(yè)想要做出有競爭力的產(chǎn)品，都需要全球采購，而網(wǎng)絡基礎設施的核心還是掌握在美國人的手中。“盒子上寫著華為的名字并不意味著所有的部件都來自華為。”在2013年10月發(fā)布的一份網(wǎng)絡安全白皮書中，華為網(wǎng)絡安全官（CSO）約翰·薩?？伺?，華為技術(shù)組合中高達70%的部件都不是來自華為，而是來自全球供應鏈，其中有32%來自于美國。

那么，企業(yè)怎么樣才能保證自己的信息安全呢？老冀在《中國金融電腦》雜志上看到了中國工商銀行首席信息官林曉軒的一篇文章《信息科技“自主可控”之道》，倒是提供了一個比較好的思路。

林曉軒認為，要保證信息安全，必須堅持“自主可控”的原則，系統(tǒng)性地解決這個問題。他主張要自主研發(fā)核心和關(guān)鍵信息系統(tǒng)，分層異構(gòu)使用外部產(chǎn)品，從而實現(xiàn)對信息科技風險的可監(jiān)控、可管理、過程可審計。

那么，工行是怎么做的呢？老冀簡單地解讀一下：

第一，堅持自主研發(fā)。工行先后啟動實施了四代核心應用系統(tǒng)的開發(fā)和推廣工作，完全依托自身技術(shù)力量，獨立研發(fā)了超大型的核心應用系統(tǒng)，在同業(yè)中率先自主研發(fā)并全面推廣了多幣種、多語言、多時區(qū)的境外核心業(yè)務系統(tǒng)。

第二，通過管理和技術(shù)兩個層面的頂層設計，實現(xiàn)對整體技術(shù)架構(gòu)自上而下的嚴格自主把控。

在管理層面，根據(jù)監(jiān)管部門要求在董事會及高級管理層下設信息科技管理委員會，主要負責信息科技戰(zhàn)略、信息科技重大決策事項等；信息科技管理委員會下設技術(shù)審查委員會，負責重大科技項目規(guī)劃與方案的審批。

在技術(shù)層面，工商銀行在選擇信息技術(shù)產(chǎn)品時，從自身整體架構(gòu)體系出發(fā)，做到了以下幾點：

1. 分層次、分區(qū)域綜合保障。按照“垂直分層、水平分區(qū)”的層次化防護思想進行安全設計，在縱向?qū)哟紊戏譃楹诵膶?、應用層、隔離層和接入層，在橫向區(qū)域上分為電子銀行區(qū)域、自助區(qū)域、柜面區(qū)域等，從整體上保障系統(tǒng)的安全性。

2. 采用不同廠商、不同類型產(chǎn)品實現(xiàn)異構(gòu)防護。在同一層次上，通過不同廠商、不同類型產(chǎn)品的異構(gòu)組合，相互彌補缺陷，避免單一廠商、單一類型的產(chǎn)品存在安全隱患所帶來的風險。

3. 兼顧系統(tǒng)安全性和客戶服務需要。銀行信息系統(tǒng)是面向廣大客戶提供服務的，在保障系統(tǒng)安全性的同時，也必須選擇適當?shù)募夹g(shù)產(chǎn)品保障客戶服務需要，實現(xiàn)系統(tǒng)的客戶便利性、易用性。例如，工商銀行在開展密碼技術(shù)防護體系建設中，在核心層、應用層、隔離層和客戶終端等層面分別部署和選用了不同廠商的軟硬件加密設備和產(chǎn)品，以達到確保系統(tǒng)安全，方便客戶使用的目的。

第三，向外部延伸。2007年工商銀行開始自主研發(fā)金融市場業(yè)務管理平臺，經(jīng)過多年摸索實踐，至2011年已構(gòu)建起金融市場交易管理、風險管理、產(chǎn)品控制、定價估值平臺，不僅提高了工商銀行代客交易的產(chǎn)品創(chuàng)新能力，還實現(xiàn)了為境內(nèi)外機構(gòu)客戶產(chǎn)品推廣和統(tǒng)一報價、集中平盤，逐步建立了自營業(yè)務前臺交易風險控制、中后臺風險聯(lián)動管理的全球一體化處理平臺。

從工行的例子中可以看出，企業(yè)要保證信息安全，還真的不只是設備國產(chǎn)化這么簡單的事情，而是需要從頂層設計開始，實現(xiàn)系統(tǒng)級的自主可控。企業(yè)必須從產(chǎn)品、技術(shù)、運維、管理、規(guī)范、標準等多方面入手，抓住相應的關(guān)鍵控制點，才能最大程度地降低信息泄露所帶來的風險。目前，大部分中國企業(yè)的信息安全意識還停留在用國產(chǎn)設備這個層面，這還遠遠不夠。未來，他們必須建立一個完整的、系統(tǒng)級的信息安全策略。