重视信息主权 构建自主可控系统安全环境
在信息全球化的今天,信息技术广泛渗透到经济、军事、社会、文化等各个领域,信息安全已成为国家安全的重中之重,“信息主权”逐渐受到很多国家的关注与重视。今年10月份,美国国会发布报告称华为、中兴通信产品“为中国的情报机构将恶意硬件或者软件植入美国关键的通信系统提供了充分的机会”,建议相关美国公司尽量避免与华为、中兴合作,在全球范围内掀起了轩然风波,国家“信息主权”的话题再度被推到了台前。
美国是最早建立和使用计算机网络的国家,一直都很重视信息安全建设,将信息安全提升到国家安全战略的高度。早在十年前,美国就公布了《网络安全国家战略》和《确保信息安全的国家战略》,确定了3个战略目标和5项优先行动,并通过信息安全立法完善保障信息安全法规体系。2011年,美国更是发布了《网络空间国际战略报告》,将网络空间提升到与陆、海、空、天一样的战略高度。此外,英国、法国、韩国等多个国家也在积级组建网络部队,提升本国的网络攻防水平,国际信息安全形势变得日益严峻和复杂多变。
近年来,我国也加强了信息安全保障体系建设,在全国范围内开展信息安全等级保护、信息安全风险评估等工作,并通过“国货优先”政策加快国产软硬件产品在信息化建设中的应用步伐。然而,与欧美发达国家相比,我国在IT产业发展上起步较晚,信息产业链的很多环节都被欧美厂商把控。例如在互联网骨干网方面,思科占据了中国电信163骨干网70%以上的份额和中国联通169骨干网80%以上的份额;在操作系统方面,Windows系列、UNIX系列等国外操作系统更是在个人用户和企业级用户市场上占据了绝对的控制权。此外,在中间件、数据库等关键基础软件领域,国外厂商也把控了大部分市场份额,无形中削弱了我国对“信息主权”的控制力度。
业内安全人士指出,关键软硬件产品依赖国外进口的局面,不利于构建自主可控的信息安全防护体系。2010年,“震网(Stuxnet)”病毒席卷全球工业界,伊朗成为重灾区,病毒利用多个微软操作系统、西门子系统的“零日漏洞”侵入工业控制系统,并对受感染的系统进行破坏,造成部分用于铀浓缩的离心机无法运行。在之后的两年里,“毒区(Duqu)”、“火焰(Flame)”等病毒先后浮出水面,将攻击目标集中在一些国家的命脉行业,严重影响国民经济和社会发展。
事实上,操作系统作为信息化建设中的重要基础软件,承载着大量重要的数据信息和关键的业务系统,一直是病毒、木马及黑客攻击的重点目标。由于现有操作系统自身安全机制的缺陷,加之操作系统漏洞是无法避免的,基于“问题”系统构建的信息系统及网络存在着难以预测的安全风险。特别是对于国内用户来说,在信息化建设中使用的操作系统普遍来自国外,只能通过系统厂商发布安全补丁来填补漏洞。那么,在系统漏洞被发现之后和厂商推出补丁之前的“真空期”内,如何保障操作系统的安全,进而为整个信息网络提供坚实的安全支撑?
为了增强操作系统安全防护能力,一些国内科研机构、信息安全厂商、软件厂商等一直在进行安全操作系统领域的探索和研究工作,并已取得了一系列研究成果。例如椒图科技研发出的JHSE椒图主机安全环境系统,就是严格按照国家标准《信息安全技术操作系统安全技术要求》(GB/T20272-2006)设计的操作系统层安全产品,通过多项国家发明专利和200多项全新技术的使用,重构和扩充操作系统的安全子系统(SSOOS),为用户提供符合三级安全要求的自主访问控制、强制访问控制、入侵防范、敏感标记等安全功能,将操作系统安全控制权牢牢掌握在国人的手中。
此外,椒图科技还将在促进JHSE产品普及性应用的基础上,推进安全操作系统产品与技术的研发,计划在未来几年内开发出我国自主可控的通用型安全操作系统产品,进一步夯实中国信息化建设的安全“地基”。
随着全球经济一体化的深入发展,国与国之间的竞争越来越激烈,信息技术与应用作为促进国民经济和社会发展的重要力量,对国家综合实力具有重要的影响。在国际信息安全形势越来越严峻的今天,政府、行业用户、信息安全厂商等社会各方更需要加强信息安全建设,增强信息安全自主控制权。正如中国工程院院士倪光南所说的:信息主权的概念,政府要提倡信息安全是对的,你的信息给别人掌握了,还有什么主权?