我国缺乏信息安全监管 过多纵容国外设备厂商

       他认为，目前在金融、军工、能源、民航在内的诸多核心敏感领域，大量的使用国外的设备，特别是思科的设备，使得我国在网络信息安全领域存在巨大的安全隐患。在这种情况下，他呼吁政府一方面要加强对国外设备的监管，来防范漏洞和风险，另一方面要提高我们自己的实力，并逐步完善各项制度和法律法规建设。

       以下是演讲实录：

       我想把我所掌握的一些材料和我对这些问题的一些看法，做一个简单的介绍，与各位专家和同行分享。现在我想就安全问题提几个方面：

        一个是我们看信息安全的形势发生变化，我们认为是一个热点，这一年国家连续出台了两个东西，一个是5月8号，国务院常务会议发布了一个关于加快信息发展和加强信息保障的一个意见，然后年底是全国人大通过了关于加强网络信息保护的决议，在一年之内国家出台这样的决定在以往十年之内没有，因此从这个角度来说，去年应该可以称之为我们信息安全年、政策年。另外去年比较多的问题就是个人信息保护，这个应该也是一个热点。我想我们之所以会产生这样一些问题，是因为我们安全形势发生变化。

        这是一个信息高度发达而又高度脆弱的时期，信息的交流使得内容安全空前的严峻，所以去年出台关于信息安全保护的不仅仅针对个人。过去我们讲什么是安全，谁的安全，如何保障，现在是我的安全，我们的安全，从国家的角度，不仅仅是个人，对国家政策，特别是去年、前年中东茉莉花革命以后，政府对政权的稳定网络带来很大的挑战，工业控制领域，这些风险激增，刚才杜博士也讲网络空间，然后网络战，网络攻击，信息安全影响越来越大，范围越来越广，程度越来越重，信息安全从一个专业的技术问题成为一个社会问题，一些我们所认为的非专业的信息安全的媒体，都在频频关注这个事件，本身也是一个说明。我们上一期做过一篇文章，在社评里边就提到美国现在患了网络安全焦虑症，我这个题目今天大概就是信息的焦虑。

        还有一个问题，我觉得值得思考的是安全和发展，过去27号文件确定了一个原则，以安全保发展，在发展中求安全。那么这个原则，当然这个辨证关系很清晰，发展是主导的，就像我们的经济上，以经济建设为中心，坚持两个坚持，那么在网络信息化这个发展中，这个原则仍然是发展优先的原则，安全是一个从属的，那么现在的情况肯定发生了一些变化，你看这个发展如果说安全做不上去了，发展一定会首先影响，马化腾、周鸿祎他们做发展、拉客户，扩大用户的时候，他们肯定在眼里边没有把安全放在眼里，但是现在的3Q和360百度之争，使得大牌互联网企业纷纷卷纬其中，事件无不与安全相关，安全是你们的发展的第一宗旨。

       现在安全已经成为制约发展的一个重要的因素。下面就是华为和中兴的事件，正是为我们上了一堂信息安全的教育课。美国会提供的这个报告提出了5条建议，核心就是中国华为中兴的设备存在安全的威胁，威胁到美国的国家安全，结论是因此建议政府和民营机构拒绝使用华为和中兴的设备，但是他提出这些理由实际上站不住脚，基本上都是可能的，莫须有的这样一些东西，实际上不仅仅我们中国的媒体，包括大量的西方媒体路透社都有点看不过去，美国以这样一种方式发布了一个不科学不严谨的报告。这个报告虽然没有法律效益，但是有很强的指导性，对于美国政府，美国国会，美国的其他机构，有很强的影响力。这个对华为和中兴打击非常大，任正非把安全作为头等重要的大事。有人说美国这是一个阴谋，我觉得美国一定是阳谋，美国加强信息安全这是公告于天下的，从克林顿建立信息高速公路，到布什总统以致到奥巴马总统，这条线非常清晰，出台了很多很多相关的规定，成立相关的机构，从布什设克拉克作为他们的安全顾问，美国把安全放为国家利益高于一切的。这不是所谓的阴谋，一定是阳谋，从911事件以后，美国保护他们的网络空间的战略是一脉相承的。

        那么这里面有一个很重要的问题，就是网络的基础设施，美国叫关键基础设施，我们叫重要信息系统，这个都是关系到民生和信息安全的重要领域，所以美国对华为、中兴，宁可拒绝不用价格低、服务好的设备，以安全来左右发展，而我们现在没有这个意识。

        从思科在我国的情况来看，我们的核心技术设备大量使用国外的设备，使用思科、微软的这些设备，这些东西左右着我们的网络命脉。有一些数据，刚才孟老师提到这样一些数据，这个里边大概90%、80%、70%这样的数据，这个东西是很可怕的，可怕在什么地方?里面的安全问题存在这些，原代码不公布，思科原代码自己弄的，这些操作系统存在后门，漏洞可能所有的设备都有，后门就是人为设置的一种通道，这里面有很多安全的隐患，你们提的这个题目叫形同虚设，所谓形同虚设我想这是他们的建议。

       那么我想就是说在大量的使用国外的这种设备，特别是思科的设备，在网络基础设施方面，使用了这样一些设备，我们的风险是非常大，另外还有一个报告，这是国内的一家机构，反映的数据是这样，我们大概在政府采购里边，对于安全产品，特别是防火墙等等，大概是国产的，在安全产品方面，我们的国产化做得还可以，特别是在重要的部门，但是在网络基础设施、设备这方面，确实做得不够，正是因为如此，刚才才有7、80%的比例氛围在里边，在和平时期，大量的使用了这些，关键的节点、系统被他们控制，至少他们有能力操纵你，影响你，如果非正常时期，非和平时期，这些设备会发生很大的作用。

        我们监管不够，对国外设备纵容过多，制度不完善，国家力量的介入比较薄弱，美国将网络安全称为举国一致的力量。昨天中国新闻社开了一个论坛，我看陈宝国说，我们还要恢复统一部门主管信息安全事务，关于顶层设计，国家成立相关的机构，级别比较低，原来经常会协调各部委统一发文做一些活动，但是现在这几年安全没有跟上去，显得比较薄弱。

        所以说我们通过华为中兴的事件，这是一个很好的契机，这件事确实影响很大，这是一个很好的节点。中国的企业，世界500强的企业，因为这些莫须有的东西，美国人竟然不用你的东西。刚才提到自主可控，原来有一个安全可控，我们谈自主可控可能好一些，因为安全程度很宽，自主可控我们自己生产自己控制，自主可控是加强安全重要的契机和必由之路。一个是强化我们自己的民族的信息安全产业，特别加强监管，制度上理直气壮去学习国外的东西，美国人西方国家，美国是世界上第一个在军事和网络上采取竞争行为的战略，很多的制度值得我们学习和借鉴。在中兴华为事件以后，我们看到任正非提到“为有牺牲多壮志,敢教日月换新天,喜看稻菽千重浪,遍地英雄下夕烟”。谢谢大家!