在上周举办的2014信息安全技能竞赛“中认杯”管理运维赛上，中国人民银行科技司司长王永红现场担任银行组评委，并就近期甚嚣尘上的同时也是银行一组决赛答辩话题——“去IOE”，与现场从事金融业信息安全管理运维的选手进行了讨论，并且从行业主管的角度帮助从业人员厘清其中的一些基本概念。

    “IOE是一个技术体系，也是一个技术环境的生态圈，因此去IOE化是个非常复杂概念和过程。去IOE仅仅是一个形象、通俗的说法，并非消灭IOE，也不是完全不使用国外信息技术和产品，而是在信息化建设过程中同步提高信息安全自主可控能力。”

    理解为什么要“去IOE”，是提高信息安全自主可控能力的起点，王永红司长对此提供了三个思考点。

    “首先，是为了国家安全，防止外部攻击”。王永红司长表示，很多时候我们并不知道进口的软硬件产品中是否留有漏洞、后门，留有何种漏洞、后门，这是不安全的根源之一。正如习总书记所说，网络安全就是国家安全。因此，要保障国家安全必须保障网络安全，提高防范能力，需要尽可能减少这种不安全隐患，抵御可能存在的外部攻击。

    “第二是降低供应链风险。现在的外国企业与政府关系密切，配合默契。这种情况会带来的隐患在于，国际间一旦发生政治、经济冲突，外国政府一旦要求企业不提供信息产品和服务了，企业就会唯马首是瞻。若真面临此情此景我们应该怎么应对？供应链风险由此产生。这种潜在的危机现在尚未爆发，但不能不提防。要降低这种风险就必须提高应对能力，需要扩大信息产品和服务供应来源的范围。

    “第三则是拉动促进国内IT企业的发展。网络安全、国家安全的能力和水平，其实是建立在IT企业的能力和水平基础上。国内IT企业的弱小，客观上削弱了我们的攻防能力。”

    如何提高信息安全自主可控能力，王永红司长给出了可操作性的具体思路。

    他强调：“提高信息安全自主可控能力是一个长期的工作，不可能一蹴而就。因此银行等企业需要建立一个模型，用模型的概念来思考问题。”王司长举例说，每个企业的技术体系结构并不相同，有的是用IBM大型机，有的其实已经使用开放架构的服务器，同样是防火墙，摆放位置也会不同等等，各家都不会一样。对此，专家们提出自主设计的概念，具备一定可行性。而且自主可控的概念某种程度上也意味着自主设计。建立了本机构的信息安全模型，才能逐步有序提高自主可控能力。

    就具体工作安排，王司长提出三基本路径：

    一是替换。国内外均有的产品，以及技术生态环境中比较独立的部分，可以选择替换的方式。

    二是围绕网络和安全系统下功夫。通过自主设计，大量采用自主可控的网络产品和安全类系统，可以提高阻断外部攻击路径的能力。

    三是改变技术路线。原先使用一种信息技术和服务，将以之为基础的业务直接迁移到另外一种信息技术和服务，还是隐含了使用原来产品和技术的某些功能，迁移过程中会遇到很多技术问题，因此需要改变技术路线甚至另起炉灶。

    最后，王永红司长表示，本次管理运维赛虽然是比赛，但更是学术研究和实践的突破口。从竞赛中看到参赛年轻队员身上的朝气，很具感染力，同时也看到从事信息安全工作的年轻人才成长的缩影和路径。而竞赛作为一个窗口，展示了信息安全行业的未来。