在過(guò)去的2016年，信息安全成為了頻頻見(jiàn)諸于媒體的公眾話題，“棱鏡門(mén)”曝光、攜程網(wǎng)用戶(hù)支付信息漏洞、支付寶漏洞、小米用戶(hù)資料泄露、NSA入侵中國(guó)政企……，頻發(fā)的信息安全事件的背后，信息安全風(fēng)險(xiǎn)嚴(yán)峻性不言而喻。

中培偉業(yè)《信息安全技術(shù)與信息安全管理體系(ISO27001認(rèn)證)》培訓(xùn)專(zhuān)家高老師指出，在信息安全事件屢發(fā)的促動(dòng)下，我國(guó)政府和企業(yè)對(duì)網(wǎng)絡(luò)安全的重視提升到了一個(gè)全新的高度，中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組的成立，就是其中最好的注解。在各方加以重視的同時(shí)，我們也需要從技術(shù)與實(shí)踐的角度，來(lái)反思網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的嚴(yán)峻性，以及如何應(yīng)對(duì)的問(wèn)題。

　　反思一：監(jiān)管體系不能“流于表面”

NSA事件發(fā)生后，大家不僅對(duì)美國(guó)的行為感到震驚，也對(duì)國(guó)內(nèi)相關(guān)部門(mén)和企業(yè)的網(wǎng)絡(luò)安全防范能力感到擔(dān)憂。在“亡羊補(bǔ)牢”過(guò)程中，我們不要僅僅著眼于加強(qiáng)網(wǎng)絡(luò)安全保障措施，而是需要對(duì)整個(gè)網(wǎng)絡(luò)安全監(jiān)管體系的完善加以更多的思考。

實(shí)際上，我國(guó)以往對(duì)網(wǎng)絡(luò)安全已經(jīng)采取了相關(guān)的監(jiān)管措施，但還有很大的提升空間。目前網(wǎng)絡(luò)產(chǎn)品和服務(wù)逐漸向深層次發(fā)展，若繼續(xù)沿用以前的監(jiān)管辦法，就很可能會(huì)出現(xiàn)網(wǎng)絡(luò)監(jiān)管漏洞，進(jìn)而給國(guó)家安全和用戶(hù)安全造成損失。

因此，高老師指出，要更進(jìn)一步認(rèn)識(shí)到網(wǎng)絡(luò)安全監(jiān)管的重要性和必要性，從源頭上杜絕網(wǎng)絡(luò)安全風(fēng)險(xiǎn)隱患，確保公共安全和國(guó)家網(wǎng)絡(luò)空間安全。

　　思二：選擇設(shè)備不能只看性能指標(biāo)　　

網(wǎng)絡(luò)是一個(gè)龐大而復(fù)雜的體系，其操作系統(tǒng)的代碼甚至達(dá)到千萬(wàn)行級(jí)，在上面不僅運(yùn)行著六千多個(gè)標(biāo)準(zhǔn)協(xié)議，還有諸多廠商定義的功能。要保證這一體系的安全可靠，讓外界難以攻破，就需要網(wǎng)絡(luò)系統(tǒng)具備足夠安全能力。這種安全能力不僅僅只針對(duì)網(wǎng)絡(luò)安全設(shè)備，而是涉及到IT系統(tǒng)的所有硬件和軟件。

需要注意的是，IT設(shè)備是否安全，很多時(shí)候并不體現(xiàn)在具體的性能指標(biāo)上，而是與整個(gè)產(chǎn)品的設(shè)計(jì)思路、研發(fā)生產(chǎn)、服務(wù)保障等各個(gè)環(huán)節(jié)息息相關(guān)。有些產(chǎn)品在對(duì)外宣稱(chēng)的參數(shù)、功能貌似很不錯(cuò)，并不能代表其能通過(guò)實(shí)踐的嚴(yán)峻考驗(yàn)。

因此，這就要求企業(yè)在選擇網(wǎng)絡(luò)設(shè)備時(shí)多加以考慮，在關(guān)鍵IT系統(tǒng)的選擇時(shí)，要把“安全可靠”作為第一原則，選擇經(jīng)過(guò)了長(zhǎng)期和廣泛的實(shí)踐檢驗(yàn)，證明具備足夠安全可靠能力的產(chǎn)品，并充分考慮廠商自身的安全技術(shù)整體能力。從廠商角度來(lái)說(shuō)，對(duì)這一問(wèn)題也應(yīng)加以足夠重視，并制定具體舉措，給用戶(hù)提供更加安全可靠的產(chǎn)品和方案。

　　反思三：勿要陷入“唯資本論”誤區(qū)　　

斯諾登曝光的機(jī)密文件，將許多知名國(guó)際IT企業(yè)推到了輿論“風(fēng)口浪尖”，包括微軟、谷歌、蘋(píng)果等等。與此同時(shí)，國(guó)內(nèi)也掀起了一股“國(guó)產(chǎn)化”、“去IOE”的話題風(fēng)潮。許多人認(rèn)為，通過(guò)國(guó)產(chǎn)化替代，可以解決“棱鏡”籠罩中國(guó)的問(wèn)題。

在這一點(diǎn)上需要注意的是，不要將網(wǎng)絡(luò)安全的解決方法僅僅寄托在是否“國(guó)產(chǎn)”上。一方面來(lái)說(shuō)，在當(dāng)前的全球化時(shí)代，資本的流動(dòng)性是常態(tài)，國(guó)內(nèi)知名IT企業(yè)多有外資背景。僅僅用資本屬性來(lái)衡量，并不能說(shuō)明企業(yè)的能力和誠(chéng)信。另一方面，國(guó)產(chǎn)化設(shè)備也沒(méi)有絕對(duì)性，在當(dāng)前全球供應(yīng)鏈模式下，很多零配件的源頭也無(wú)法真正實(shí)現(xiàn)國(guó)產(chǎn)化，任何設(shè)備都不能保證絕無(wú)漏洞，NSA入侵某國(guó)內(nèi)知名網(wǎng)絡(luò)設(shè)備商服務(wù)器就是例證。

只有擺脫“國(guó)產(chǎn)化”的局限性，在全球化的背景下，推動(dòng)更多的IT能力中心進(jìn)入中國(guó)，實(shí)現(xiàn)安全與技術(shù)進(jìn)步兼顧，在自主可控的基礎(chǔ)上，積極發(fā)展自己的網(wǎng)絡(luò)產(chǎn)業(yè)，提升自主創(chuàng)新能力，掌握核心技術(shù)，才能更好地保障網(wǎng)絡(luò)安全和國(guó)家安全，實(shí)現(xiàn)信息化和現(xiàn)代化。

網(wǎng)絡(luò)安全問(wèn)題，已經(jīng)升級(jí)到信息化建設(shè)中的最核心位置。對(duì)未來(lái)的網(wǎng)絡(luò)安全策略加以思考，制定出更加有效的舉措，將為今后我國(guó)的網(wǎng)絡(luò)安全保障，尋找到一個(gè)更為穩(wěn)妥的立足點(diǎn)