從華為“入侵門”看中國(guó)企業(yè)信息安全

華為“入侵門”看中國(guó)企業(yè)信息安全0' title='從華為“入侵門”看中國(guó)企業(yè)信息安全0' name="image_operate_93101396997176079" />

近日，華為受到美國(guó)國(guó)家安全局（NSA）全面監(jiān)控的消息引發(fā)了一番熱議。根據(jù)NSA前雇員斯諾登爆料，NSA滲透進(jìn)了華為的內(nèi)網(wǎng)，不僅成功拷貝了華為的客戶名單和訓(xùn)練工程師的內(nèi)部文件，還截獲了任正非和孫亞芳等華為高管的電子郵件。

即使是華為這樣專業(yè)的網(wǎng)絡(luò)設(shè)備廠商，仍然無(wú)法避免NSA的入侵，這讓我們不寒而栗。我們必須面對(duì)殘酷的現(xiàn)實(shí)：美國(guó)仍然占據(jù)了全球信息戰(zhàn)的制高點(diǎn)。NSA之所以能夠?yàn)樗麨椋且驗(yàn)槊绹?guó)掌握了全球網(wǎng)絡(luò)基礎(chǔ)設(shè)施的核心：全球互聯(lián)網(wǎng)13臺(tái)根服務(wù)器中的10臺(tái)在美國(guó)，網(wǎng)絡(luò)設(shè)備老大思科是美國(guó)公司，全球主流PC和手機(jī)操作系統(tǒng)廠商微軟、蘋果、谷歌都是美國(guó)公司，計(jì)算芯片老大英特爾是美國(guó)公司，通信芯片老大高通還是美國(guó)公司……即使是互聯(lián)網(wǎng)應(yīng)用層的領(lǐng)導(dǎo)者谷歌、雅虎和Facebook，也統(tǒng)統(tǒng)都是美國(guó)公司。因此，只要我們還在使用互聯(lián)網(wǎng)，我們就無(wú)法避免美國(guó)的監(jiān)控。

我們把互聯(lián)網(wǎng)完全隔斷，行不行？據(jù)說(shuō)俄羅斯總統(tǒng)普京就從來(lái)不用手機(jī)，也不用電腦。普京這么干行，因?yàn)檫€有一個(gè)團(tuán)隊(duì)專門為他服務(wù)。企業(yè)這么做可不行，像華為這種在北極都有基站的全球化企業(yè)，如果沒(méi)有互聯(lián)網(wǎng)和IT系統(tǒng)，根本無(wú)法運(yùn)轉(zhuǎn)。

如果我們不“斷網(wǎng)”，而是把所有硬件和軟件全部換成國(guó)產(chǎn)的產(chǎn)品，是不是就能夠解決安全的問(wèn)題呢？還是不行。還以華為為例，這家技術(shù)型公司的IT系統(tǒng)中，大部分的硬件都是自己開發(fā)的，管理軟件也有很大一部分是自己的，仍然無(wú)法避免被NSA入侵的結(jié)局。為什么會(huì)這樣呢？這是因?yàn)檎麄€(gè)科技產(chǎn)業(yè)早就全球化了，任何一家企業(yè)想要做出有競(jìng)爭(zhēng)力的產(chǎn)品，都需要全球采購(gòu)，而網(wǎng)絡(luò)基礎(chǔ)設(shè)施的核心還是掌握在美國(guó)人的手中。“盒子上寫著華為的名字并不意味著所有的部件都來(lái)自華為。”在2013年10月發(fā)布的一份網(wǎng)絡(luò)安全白皮書中，華為網(wǎng)絡(luò)安全官（CSO）約翰·薩?？伺?，華為技術(shù)組合中高達(dá)70%的部件都不是來(lái)自華為，而是來(lái)自全球供應(yīng)鏈，其中有32%來(lái)自于美國(guó)。

那么，企業(yè)怎么樣才能保證自己的信息安全呢？老冀在《中國(guó)金融電腦》雜志上看到了中國(guó)工商銀行首席信息官林曉軒的一篇文章《信息科技“自主可控”之道》，倒是提供了一個(gè)比較好的思路。

林曉軒認(rèn)為，要保證信息安全，必須堅(jiān)持“自主可控”的原則，系統(tǒng)性地解決這個(gè)問(wèn)題。他主張要自主研發(fā)核心和關(guān)鍵信息系統(tǒng)，分層異構(gòu)使用外部產(chǎn)品，從而實(shí)現(xiàn)對(duì)信息科技風(fēng)險(xiǎn)的可監(jiān)控、可管理、過(guò)程可審計(jì)。

那么，工行是怎么做的呢？老冀簡(jiǎn)單地解讀一下：

第一，堅(jiān)持自主研發(fā)。工行先后啟動(dòng)實(shí)施了四代核心應(yīng)用系統(tǒng)的開發(fā)和推廣工作，完全依托自身技術(shù)力量，獨(dú)立研發(fā)了超大型的核心應(yīng)用系統(tǒng)，在同業(yè)中率先自主研發(fā)并全面推廣了多幣種、多語(yǔ)言、多時(shí)區(qū)的境外核心業(yè)務(wù)系統(tǒng)。

第二，通過(guò)管理和技術(shù)兩個(gè)層面的頂層設(shè)計(jì)，實(shí)現(xiàn)對(duì)整體技術(shù)架構(gòu)自上而下的嚴(yán)格自主把控。

在管理層面，根據(jù)監(jiān)管部門要求在董事會(huì)及高級(jí)管理層下設(shè)信息科技管理委員會(huì)，主要負(fù)責(zé)信息科技戰(zhàn)略、信息科技重大決策事項(xiàng)等；信息科技管理委員會(huì)下設(shè)技術(shù)審查委員會(huì)，負(fù)責(zé)重大科技項(xiàng)目規(guī)劃與方案的審批。

在技術(shù)層面，工商銀行在選擇信息技術(shù)產(chǎn)品時(shí)，從自身整體架構(gòu)體系出發(fā)，做到了以下幾點(diǎn)：

1.分層次、分區(qū)域綜合保障。按照“垂直分層、水平分區(qū)”的層次化防護(hù)思想進(jìn)行安全設(shè)計(jì)，在縱向?qū)哟紊戏譃楹诵膶?、?yīng)用層、隔離層和接入層，在橫向區(qū)域上分為電子銀行區(qū)域、自助區(qū)域、柜面區(qū)域等，從整體上保障系統(tǒng)的安全性。

2.采用不同廠商、不同類型產(chǎn)品實(shí)現(xiàn)異構(gòu)防護(hù)。在同一層次上，通過(guò)不同廠商、不同類型產(chǎn)品的異構(gòu)組合，相互彌補(bǔ)缺陷，避免單一廠商、單一類型的產(chǎn)品存在安全隱患所帶來(lái)的風(fēng)險(xiǎn)。

3.兼顧系統(tǒng)安全性和客戶服務(wù)需要。銀行信息系統(tǒng)是面向廣大客戶提供服務(wù)的，在保障系統(tǒng)安全性的同時(shí)，也必須選擇適當(dāng)?shù)募夹g(shù)產(chǎn)品保障客戶服務(wù)需要，實(shí)現(xiàn)系統(tǒng)的客戶便利性、易用性。例如，工商銀行在開展密碼技術(shù)防護(hù)體系建設(shè)中，在核心層、應(yīng)用層、隔離層和客戶終端等層面分別部署和選用了不同廠商的軟硬件加密設(shè)備和產(chǎn)品，以達(dá)到確保系統(tǒng)安全，方便客戶使用的目的。

第三，向外部延伸。2007年工商銀行開始自主研發(fā)金融市場(chǎng)業(yè)務(wù)管理平臺(tái)，經(jīng)過(guò)多年摸索實(shí)踐，至2011年已構(gòu)建起金融市場(chǎng)交易管理、風(fēng)險(xiǎn)管理、產(chǎn)品控制、定價(jià)估值平臺(tái)，不僅提高了工商銀行代客交易的產(chǎn)品創(chuàng)新能力，還實(shí)現(xiàn)了為境內(nèi)外機(jī)構(gòu)客戶產(chǎn)品推廣和統(tǒng)一報(bào)價(jià)、集中平盤，逐步建立了自營(yíng)業(yè)務(wù)前臺(tái)交易風(fēng)險(xiǎn)控制、中后臺(tái)風(fēng)險(xiǎn)聯(lián)動(dòng)管理的全球一體化處理平臺(tái)。

從工行的例子中可以看出，企業(yè)要保證信息安全，還真的不只是設(shè)備國(guó)產(chǎn)化這么簡(jiǎn)單的事情，而是需要從頂層設(shè)計(jì)開始，實(shí)現(xiàn)系統(tǒng)級(jí)的自主可控。企業(yè)必須從產(chǎn)品、技術(shù)、運(yùn)維、管理、規(guī)范、標(biāo)準(zhǔn)等多方面入手，抓住相應(yīng)的關(guān)鍵控制點(diǎn)，才能最大程度地降低信息泄露所帶來(lái)的風(fēng)險(xiǎn)。目前，大部分中國(guó)企業(yè)的信息安全意識(shí)還停留在用國(guó)產(chǎn)設(shè)備這個(gè)層面，這還遠(yuǎn)遠(yuǎn)不夠。未來(lái)，他們必須建立一個(gè)完整的、系統(tǒng)級(jí)的信息安全策略。