在上周举办的2014信息安全技能竞赛“中认杯”管理运维赛上,中国人民银行科技司司长王永红现场担任银行组评委,并就近期甚嚣尘上的同时也是银行一组决赛答辩话题——“去IOE”,与现场从事金融业信息安全管理运维的选手进行了讨论,并且从行业主管的角度帮助从业人员厘清其中的一些基本概念。
“IOE是一个技术体系,也是一个技术环境的生态圈,因此去IOE化是个非常复杂概念和过程。去IOE仅仅是一个形象、通俗的说法,并非消灭IOE,也不是完全不使用国外信息技术和产品,而是在信息化建设过程中同步提高信息安全自主可控能力。”
理解为什么要“去IOE”,是提高信息安全自主可控能力的起点,王永红司长对此提供了三个思考点。
“首先,是为了国家安全,防止外部攻击”。王永红司长表示,很多时候我们并不知道进口的软硬件产品中是否留有漏洞、后门,留有何种漏洞、后门,这是不安全的根源之一。正如习总书记所说,网络安全就是国家安全。因此,要保障国家安全必须保障网络安全,提高防范能力,需要尽可能减少这种不安全隐患,抵御可能存在的外部攻击。
“第二是降低供应链风险。现在的外国企业与政府关系密切,配合默契。这种情况会带来的隐患在于,国际间一旦发生政治、经济冲突,外国政府一旦要求企业不提供信息产品和服务了,企业就会唯马首是瞻。若真面临此情此景我们应该怎么应对?供应链风险由此产生。这种潜在的危机现在尚未爆发,但不能不提防。要降低这种风险就必须提高应对能力,需要扩大信息产品和服务供应来源的范围。
“第三则是拉动促进国内IT企业的发展。网络安全、国家安全的能力和水平,其实是建立在IT企业的能力和水平基础上。国内IT企业的弱小,客观上削弱了我们的攻防能力。”
如何提高信息安全自主可控能力,王永红司长给出了可操作性的具体思路。
他强调:“提高信息安全自主可控能力是一个长期的工作,不可能一蹴而就。因此银行等企业需要建立一个模型,用模型的概念来思考问题。”王司长举例说,每个企业的技术体系结构并不相同,有的是用IBM大型机,有的其实已经使用开放架构的服务器,同样是防火墙,摆放位置也会不同等等,各家都不会一样。对此,专家们提出自主设计的概念,具备一定可行性。而且自主可控的概念某种程度上也意味着自主设计。建立了本机构的信息安全模型,才能逐步有序提高自主可控能力。
就具体工作安排,王司长提出三基本路径:
一是替换。国内外均有的产品,以及技术生态环境中比较独立的部分,可以选择替换的方式。
二是围绕网络和安全系统下功夫。通过自主设计,大量采用自主可控的网络产品和安全类系统,可以提高阻断外部攻击路径的能力。
三是改变技术路线。原先使用一种信息技术和服务,将以之为基础的业务直接迁移到另外一种信息技术和服务,还是隐含了使用原来产品和技术的某些功能,迁移过程中会遇到很多技术问题,因此需要改变技术路线甚至另起炉灶。
最后,王永红司长表示,本次管理运维赛虽然是比赛,但更是学术研究和实践的突破口。从竞赛中看到参赛年轻队员身上的朝气,很具感染力,同时也看到从事信息安全工作的年轻人才成长的缩影和路径。而竞赛作为一个窗口,展示了信息安全行业的未来。
|