620
“自主可控”移動信息化係統保障“數據安全”
隨著網絡主權概念的逐漸明晰,“自主可控”已經成為信息化部署的關鍵詞。我國正在大力推動政府、國防、金融、交通等關鍵領域的信息化產品盡快實現國產化,並發布了多個重要政策來保障國產化實施。而除了服務器、數據庫等核心IT設備之外,移動信息化係統同樣在中國信息化整體布局中扮演著越來越重要的角色,其發展必須實現高度的“自主可控”。
移動信息化係統的“風險”
隨著移動互聯網的快速發展,越來越多的移動設備應用於政企的業務創新與拓展之中,組織需要搭建移動信息化係統來降低移動設備應用的風險,提高移動信息化能力。然而,眾多國外品牌的移動信息化係統卻無法實現安全可信、自主可控的要求,這給移動信息化係統內的重要信息帶來了重大的風險。
首先,風險來在於移動信息泄密風險。由於政企移動業務的發展,移動信息化係統內存儲著大量的機密信息,這些信息一旦從不可控的服務器中泄露到外界,將帶來重大損失。而且,無法滿足自主可控需求的移動信息化係統,可能暗藏著大量的漏洞與後門,攻擊者很容易通過係統的“缺口”來盜取信息。
其次,移動信息化係統開始成為政企信息化整體部署的重要組成部分。其連接包括組織服務器、PC等信息終端,攻擊者很有可能以移動終端設備作為跳板,對組織的其它信息化設備進行攻擊,散播木馬、病毒等安全威脅。更大的威脅在於,攻擊者很可能會針對重要的移動目標實施高級可持續性攻擊,竊取或破壞組織信息。非自主可控的移動信息化係統更可能被特定組織或是國家利用,這提高了企業遭受APT攻擊的危險性。
有些政企認為,雖然自己采用的是國外的移動信息化係統,但是其技術是安全可信的,因此就沒有問題。這其實是混淆了兩個概念:第一個概念是可信的安全感覺,第二個是可信的技術。這是兩個不同層麵的問題,如果操作係統或者安全設備來自於西方國家,其在技術上實現了安全可信的標準,那麼其對於西方國家是安全的,但是對於中國是不安全的,這是信任感,也就是信息係統控製權在誰手中的問題。
保障移動信息化係統“自主可控”
要保證移動信息化係統的自主可控,需要從政策的頂層設計與組織的信息化建設實踐兩方麵入手。從頂層設計來看,保證移動信息化係統的自主可控對於數據的安全非常重要,推進關鍵領域與重要部門的移動信息化係統國產化,也被納入到國家的網絡安全整體規劃之中。
從政策來看,目前國家已經顯著加大了對國產化設備替代的政策支持。有關部門正在著手準備調研並起草“信息安全裝備國產化”專項扶持方案,以保障信息安全,實現核心軟硬件國產化自主可控。來自國家互聯網信息辦公室的消息稱,為維護國家網絡安全、保障中國用戶合法利益,我國即將推出網絡安全審查製度,該項製度規定關係國家安全和公共利益的係統使用的重要技術產品和服務,應通過網絡安全審查。
在具體措施上,國家對國產化的推動更是緊鑼密鼓。工信部就明確要求關鍵軟硬件采購在標書中明確安全需求。在近期,中央政府采購網還取消了所有國外安全供應商資質,隻保留了國產安全供應商,這證明信息設備尤其是信息安全設備的國產化,已經被提到了戰略高度。由於移動信息化係統涵蓋了移動設備安全管理、移動應用安全分發等重要的信息安全子係統,因此移動信息化的國產化同樣在國家推動的範圍之內。
從部署實踐來看,要實現移動信息體係架構的整體把控。如果要實現自主可控的移動信息係統部署,各組織應該自主設計並建立起軟硬件架構體係,著力研究體係中各個係統端到端的整體設計。在不同環節應用不同技術,合理進行技術組合,實現對體係架構整體的自主可控,進而在信息係統的整體防護體係架構設計和各個係統端到端整體設計的過程中,實現可管理、可監控和過程可審計。
對於政企組織來說,移動信息化體係的建設主要涉及到移動設備、移動應用、移動信息化係統這三個部分,而建設重點則是自主可控移動信息化係統的建立,這既是其在移動信息化體係中關鍵角色的體現,也是基於移動互聯網應用現狀而考量。
目前組織內的移動設備種類繁多,在品牌、操作係統、硬件配置上存在著巨大的異構性,很難做到統一,實現完全的國產化替代還有賴於國產終端廠商的長期努力。但是換個角度來看,既然現在還無法在所有的環節實現國產化替代,那麼我們可以先從可控的角度入手,來通過“自主可控”的移動信息化係統來管理這些移動設備。
除了信息安全上的考量之外,移動信息化係統國產化的一個充分條件在於,國產的移動信息化係統無論是從技術上,還是從生態係統的構建上都已經比肩國際先進水平。啟迪國信等國內企業在產品研發上並不遜色於IBM等國外企業,其產品完全能夠保障移動信息化戰略的順利實施。
故此,金融、國防等事關國計民生的行業需要在國家政策的引導下,率先行動起來,推動移動信息化係統的國產化進程,並在移動信息化係統的選型中,將安全可信、自主可控作為係統選型的一個關鍵標準及原則。
本文轉自d1net(轉載)
最後更新:2017-11-16 16:05:24