新闻媒体

棱镜门事件促国企反思信息安全

棱镜门事件促国企反思信息安全
自“棱镜门”事件被曝光以来,信息安全在全球范围内引发担忧。各国政府担心自己被监控,企业担心核心成果被泄露,个人担心隐私成为相关机构调查的对象。似乎一夜之间,所有的政府、企业及个人都显现出了自己的不安。在这个信息支撑一切的时代,数据窃取与数据防护之间的博弈从来都存在,只是这次有所不同,棱镜计划是美国情报机构直接进入美国网际网路公司的中心服务器里挖掘数据、收集情报,包括微软、雅虎、谷歌、Facebook、PalTalk、YouTube、Skype、AOL、苹果都在内的9家国际网络巨头皆参与其中。这使得美国政府有能力实现对全球几乎所有的国家、企业及个人的数据进行监控。对企业而言,这种监控可能导致核心数据的泄露,从而引发了企业对于信息安全问题的反思。

不论我们愿不愿意接受,我们必须面对这样一个现实:目前,中国在主机、网络设备、安全设备和云计算等方面对国外的依赖度很高。我国关键应用主机系统主要依赖进口,目前已建的重要信息系统几乎均为外国品牌,包括操作系统、数据库、中间件也基本在美国企业控制之下。它们依靠自己的路由器、交换机、主机设备、操作系统等信息系统关键核心部件,几乎控制了中国互联网的咽喉,国内80%以上的信息流量,都经过它的产品计算、传输和存储。微软盗版黑屏事件、赛门铁克误杀事件都表明微软、Intel等美国公司在中国的信息系统内畅通无阻;而今天的棱镜门事件又进一步表明,不光科技公司可以畅通无阻,美国政府也可以通过这些公司的帮助在我们的信息系统中为所欲为。

面对这样一种现实,中国企业该如何应对?对此,业界专家也提出了不同看法。部分专家认为,首先,我们必须在政策和法律上要求这些美国企业在中国必须遵守法律;其次,我们必须对现有的信息基础设施的历史存量的安全问题做出深入、客观、系统的评估;最后,对于基础设施的增量部分,必须通过有效的技术手段和程序,确保增量部分的有效防范与防御。同时,作为与国家安全更加紧密相关的信息行业,加强管理和准入控制显然更为迫切,国家和企事业单位应在以前的基础上进一步加强关键核心设备的国产化步伐。中国也应该进一步加强对国外厂商和设备的管控,提高准入门槛。

个人认为,企业无需过于放大棱镜门事件带来的影响,毕竟棱镜监控计划不是今天才有,从2007年开始该计划就已经秘密存在,但同时企业也必须重视棱镜门事件,因为该计划的确有能力实现对全球企业的监控。因此,对于数据安全等级要求较高的企业,建立与互联网隔绝的企业内部专用网络也是必须的。另一方面,我们也必须认识到,就算是美国情报部门也无法阻止斯诺登拷贝文件,从而最终导致棱镜计划被泄露,由此可见,在这个信息化时代,企业在通过各种手段加强对数据保护的处理的同时,也不要忘记加强对企业自身人员安全意识的培养,要做到从人员、制度以及流程上完善企业的信息安全管理。