从华为“入侵门”看中国企业的信息安全

文/冀勇庆

近日，华为受到美国国家安全局（NSA）全面监控的消息引发了一番热议。根据NSA前雇员斯诺登爆料，NSA渗透进了华为的内网，不仅成功拷贝了华为的客户名单和训练工程师的内部文件，还截获了任正非和孙亚芳等华为高管的电子邮件。

即使是华为这样专业的网络设备厂商，仍然无法避免NSA的入侵，这让我们不寒而栗。我们必须面对残酷的现实：美国仍然占据了全球信息战的制高点。NSA之所以能够为所欲为，是因为美国掌握了全球网络基础设施的核心：全球互联网13台根服务器中的10台在美国，网络设备老大思科是美国公司，全球主流PC和手机操作系统厂商微软、苹果、谷歌都是美国公司，计算芯片老大英特尔是美国公司，通信芯片老大高通还是美国公司……即使是互联网应用层的领导者谷歌、雅虎和Facebook，也统统都是美国公司。因此，只要我们还在使用互联网，我们就无法避免美国的监控。

我们把互联网完全隔断，行不行？据说俄罗斯总统普京就从来不用手机，也不用电脑。普京这么干行，因为还有一个团队专门为他服务。企业这么做可不行，像华为这种在北极都有基站的全球化企业，如果没有互联网和IT系统，根本无法运转。

如果我们不“断网”，而是把所有硬件和软件全部换成国产的产品，是不是就能够解决安全的问题呢？还是不行。还以华为为例，这家技术型公司的IT系统中，大部分的硬件都是自己开发的，管理软件也有很大一部分是自己的，仍然无法避免被NSA入侵的结局。为什么会这样呢？这是因为整个科技产业早就全球化了，任何一家企业想要做出有竞争力的产品，都需要全球采购，而网络基础设施的核心还是掌握在美国人的手中。“盒子上写着华为的名字并不意味着所有的部件都来自华为。”在2013年10月发布的一份网络安全白皮书中，华为网络安全官（CSO）约翰·萨福克披露，华为技术组合中高达70%的部件都不是来自华为，而是来自全球供应链，其中有32%来自于美国。

那么，企业怎么样才能保证自己的信息安全呢？老冀在《中国金融电脑》杂志上看到了中国工商银行首席信息官林晓轩的一篇文章《信息科技“自主可控”之道》，倒是提供了一个比较好的思路。

林晓轩认为，要保证信息安全，必须坚持“自主可控”的原则，系统性地解决这个问题。他主张要自主研发核心和关键信息系统，分层异构使用外部产品，从而实现对信息科技风险的可监控、可管理、过程可审计。

那么，工行是怎么做的呢？老冀简单地解读一下：

第一，坚持自主研发。工行先后启动实施了四代核心应用系统的开发和推广工作，完全依托自身技术力量，独立研发了超大型的核心应用系统，在同业中率先自主研发并全面推广了多币种、多语言、多时区的境外核心业务系统。

第二，通过管理和技术两个层面的顶层设计，实现对整体技术架构自上而下的严格自主把控。

在管理层面，根据监管部门要求在董事会及高级管理层下设信息科技管理委员会，主要负责信息科技战略、信息科技重大决策事项等；信息科技管理委员会下设技术审查委员会，负责重大科技项目规划与方案的审批。

在技术层面，工商银行在选择信息技术产品时，从自身整体架构体系出发，做到了以下几点：

1. 分层次、分区域综合保障。按照“垂直分层、水平分区”的层次化防护思想进行安全设计，在纵向层次上分为核心层、应用层、隔离层和接入层，在横向区域上分为电子银行区域、自助区域、柜面区域等，从整体上保障系统的安全性。

2. 采用不同厂商、不同类型产品实现异构防护。在同一层次上，通过不同厂商、不同类型产品的异构组合，相互弥补缺陷，避免单一厂商、单一类型的产品存在安全隐患所带来的风险。

3. 兼顾系统安全性和客户服务需要。银行信息系统是面向广大客户提供服务的，在保障系统安全性的同时，也必须选择适当的技术产品保障客户服务需要，实现系统的客户便利性、易用性。例如，工商银行在开展密码技术防护体系建设中，在核心层、应用层、隔离层和客户终端等层面分别部署和选用了不同厂商的软硬件加密设备和产品，以达到确保系统安全，方便客户使用的目的。

第三，向外部延伸。2007年工商银行开始自主研发金融市场业务管理平台，经过多年摸索实践，至2011年已构建起金融市场交易管理、风险管理、产品控制、定价估值平台，不仅提高了工商银行代客交易的产品创新能力，还实现了为境内外机构客户产品推广和统一报价、集中平盘，逐步建立了自营业务前台交易风险控制、中后台风险联动管理的全球一体化处理平台。

从工行的例子中可以看出，企业要保证信息安全，还真的不只是设备国产化这么简单的事情，而是需要从顶层设计开始，实现系统级的自主可控。企业必须从产品、技术、运维、管理、规范、标准等多方面入手，抓住相应的关键控制点，才能最大程度地降低信息泄露所带来的风险。目前，大部分中国企业的信息安全意识还停留在用国产设备这个层面，这还远远不够。未来，他们必须建立一个完整的、系统级的信息安全策略。