NSA陰影下的企業(yè)信息安全

史上最有名的爆料者—斯諾登，雖然目前隱身于俄羅斯，但卻并沒有停止其爆料歷程。根據(jù)其最新一次爆料：美國(guó)國(guó)家安全局（National Security Agency，NSA）已經(jīng)秘密對(duì)來(lái)自中國(guó)的華為公司（HUAWEI）進(jìn)行了長(zhǎng)達(dá)數(shù)年的監(jiān)控，其監(jiān)控行為包括入侵華為的郵件服務(wù)器、竊聽通話、竊取華為通信設(shè)備的核心源代碼等。

這并不是中國(guó)企業(yè)第一次成為有關(guān)“信息安全”話題的焦點(diǎn)。與過(guò)往西方媒體的喧囂不同，這一次，華為公司從西方網(wǎng)絡(luò)信息安全的潛在“威脅者”，逆轉(zhuǎn)成為美國(guó)國(guó)安局監(jiān)控行為的“受害者”。

盡管NSA長(zhǎng)達(dá)數(shù)年的監(jiān)控，并沒有能夠讓NSA獲取到華為公司和中國(guó)軍方部門聯(lián)系的有力證據(jù)，但卻讓NSA通過(guò)竊取華為網(wǎng)絡(luò)設(shè)備的核心代碼，借助華為公司這幾年在全球通信市場(chǎng)的快速成長(zhǎng)，成功地將監(jiān)控的黑手伸到了華為公司的客戶那里。

長(zhǎng)期以來(lái)，企業(yè)信息安全主要由企業(yè)自己負(fù)責(zé)，政府和相關(guān)安全保衛(wèi)部門則主要負(fù)責(zé)政府機(jī)關(guān)和要害部門的信息安全工作，大型國(guó)有企事業(yè)單位雖然也納入到各級(jí)政府的保密安全工作范疇，但不得不承認(rèn)的是，國(guó)家信息安全保衛(wèi)的重點(diǎn)，仍主要在政府系統(tǒng)和重點(diǎn)軍工研究單位。企業(yè)信息安全、特別是部分高科技民營(yíng)企業(yè)的信息安全，長(zhǎng)久以來(lái)并沒有受到應(yīng)有的重視。

事實(shí)上，隨著中國(guó)改革開放進(jìn)程的加速，企業(yè)日益成為國(guó)家經(jīng)濟(jì)活動(dòng)的主體。企業(yè)的信息安全，尤其是掌握著國(guó)家高科技發(fā)展資源的企業(yè)，其信息安全早已是國(guó)家信息安全的重要組成部分，企業(yè)的信息安全同樣關(guān)系著國(guó)家安全。

如何確保中國(guó)企業(yè)的信息安全，讓眾多像華為那樣的中國(guó)企業(yè)，遠(yuǎn)離NSA的黑手，個(gè)人以為：在此中間政府應(yīng)扮演重要角色，政府應(yīng)成為企業(yè)信息安全的第一道防火墻。

首先，國(guó)家應(yīng)將企業(yè)信息安全工作，納入到國(guó)家信息安全防控體系中來(lái)，以企業(yè)的微觀安全來(lái)確保國(guó)家的宏觀安全。

企業(yè)作為經(jīng)濟(jì)發(fā)展的主體，重點(diǎn)企業(yè)、特別是高科技企業(yè)，往往承載著國(guó)家在某一領(lǐng)域領(lǐng)先突破的希望和未來(lái)。但由于歷史原因，企業(yè)往往缺乏信息安全意識(shí)，缺少在信息安全方面的投入，相關(guān)國(guó)家信息安全部門也缺乏對(duì)企業(yè)信息安全的重視和關(guān)注，導(dǎo)致部分高科技企業(yè)的核心技術(shù)外泄，使企業(yè)利益受損，進(jìn)而損害國(guó)家的經(jīng)濟(jì)利益，并可能危害國(guó)家經(jīng)濟(jì)安全。因此，有必要以加強(qiáng)企業(yè)信息安全為著力點(diǎn)，將企業(yè)信息安全納入到整個(gè)國(guó)家信息安全體系中來(lái)，以企業(yè)的微觀安全來(lái)確保國(guó)家的宏觀安全。

其次，構(gòu)建國(guó)家信息安全體系應(yīng)做好頂層設(shè)計(jì)，實(shí)現(xiàn)好與企業(yè)信息安全的對(duì)接，讓企業(yè)在信息安全中發(fā)揮主導(dǎo)作用。

目前，在國(guó)家層面已經(jīng)成立了信息安全領(lǐng)導(dǎo)機(jī)構(gòu)，但在有關(guān)企業(yè)信息安全方面，仍需探索構(gòu)建一套既有利于企業(yè)發(fā)展，又有利于信息安全防范的成熟機(jī)制。這就需要做好頂層設(shè)計(jì)，讓企業(yè)在關(guān)系自身信息安全的工作中，扮演主要角色。

再次，國(guó)家信息安全部門應(yīng)建立與重點(diǎn)保護(hù)企業(yè)的情報(bào)共享、信息通報(bào)和業(yè)務(wù)輔導(dǎo)機(jī)制，共同確保企業(yè)信息安全。

企業(yè)信息安全是國(guó)家信息安全的重要組成部門，企業(yè)防控安全入侵的戰(zhàn)場(chǎng)也是國(guó)家信息安全戰(zhàn)場(chǎng)的一部分。在防控安全入侵方面，不少企業(yè)累積了不少有益的經(jīng)驗(yàn)，而不少企業(yè)本身就是信息領(lǐng)域的領(lǐng)導(dǎo)者和標(biāo)準(zhǔn)制訂者。因此，國(guó)家信息安全部門建立和重點(diǎn)企業(yè)的定期溝通機(jī)制，通報(bào)國(guó)際、國(guó)內(nèi)信息安全形勢(shì)，互通情報(bào)，做到信息互通，情報(bào)共享，雙向業(yè)務(wù)輔導(dǎo)，共同提升企業(yè)和國(guó)家信息安全水平，確保企業(yè)信息安全。

最后，國(guó)家應(yīng)進(jìn)一步加大對(duì)信息安全設(shè)備和安全技術(shù)的研發(fā)支持力度，將信息安全的鑰匙掌握在自己手中。

從根本上來(lái)說(shuō)，國(guó)家的信息安全從來(lái)都不是構(gòu)建在別國(guó)信息安全設(shè)備和技術(shù)之上的?？縿e國(guó)設(shè)備和技術(shù)搭建起來(lái)的國(guó)家信息安全，總是會(huì)輕易地被戳得千瘡百孔。因此，國(guó)家有必要進(jìn)一步加大對(duì)自有信息安全設(shè)備安全技術(shù)的研發(fā)支持力度，建立適應(yīng)現(xiàn)代信息安全環(huán)境的中國(guó)信息安全標(biāo)準(zhǔn)體系，壯大國(guó)內(nèi)自我掌控的國(guó)家信息安全產(chǎn)業(yè)。

綜上所述，企業(yè)信息安全作為國(guó)家安全的微觀層面，有必要受到政府信息安全部門的高度關(guān)注。通過(guò)頂層設(shè)計(jì)和體制建設(shè)，構(gòu)建起企業(yè)信息安全的保護(hù)傘，使企業(yè)遠(yuǎn)離NSA的魔爪，才能夠真正確保國(guó)家的戰(zhàn)略安全。