金融信息与网络安全,事关金融稳定和国家经济安全。在2月28日由人民网、证券时报联合主办的"2013年国家金融信息安全"研讨会上,针对当前我国金融业信息网络基础设施薄弱、外资设备厂商技术漏洞所带来的潜在安全威胁等多重挑战,专家们普遍建议应将其上升到国家法律层面进行立法支持,并对进口网络设备与软件进行安全审查并制定贸易管制措施。
我国金融业信息安全面临"思科"等严重威胁
去年10月9日美国众议院情报委员会发布调查报告,以华为、中兴等中国电信设备企业可能对美国带来安全威胁为由,要求政府机构及企业免购其设备。美国封杀华为事件在国际上引发了掀然大波,同时也无疑为我国敲响了"国家信息安全"的警钟。
1997年,美国乔治·华盛顿大学网域空间政策研究所的学者Reto E. Haeni在《信息战导论》一书中写道:由于美国在软件上的绝对优势(如windows、UNIX操作系统),美国政府就能够决定所有软件如不设有特洛伊木马程序则禁止出口。只要与美国国家核心利益发生冲突,这些隐藏的程序就可能被激活并发给美国中央情报局。据有关资料披露,美国情报机构就曾与以色列合作,凭借对微软Windows操作系统各种版本的深入了解以及对工业控制系统的专业知识,创造了蠕虫病毒震网(Stuxnet),并利用这种病毒破坏了伊朗的核研究项目。
除直接为美国政府获取情报信息提供便利外,思科等不少外资设备厂商其产品本身还不同程度上存在技术安全漏洞。在哥伦比亚大学所做的一项由美国国防部和国土安全部共同资助的研究就发现,思科的VoIP电话(网络电话)存在严重安全漏洞,黑客通过植入恶意代码可窃取到思科VoIP电话的通话内容。
据中国上市公司协会副会长安青松介绍,当前包括金融、军工、能源、民航在内的很多涉及国计民生的领域越来越依赖信息网络系统。其中,从金融业情况来看,中国四大银行及各城市商业银行的数据中心全部采用思科设备,思科所占有的中国金融行业市场份额竟然高达70%以上。这一触目惊心的数据背后,在反思之余更显示出中国金融业信息安全的脆弱现状。
而中国国家互联网应急中心抽样监测则显示,2011年有近5万个境外IP地址作为木马或僵尸网络控制服务器,参与控制了我国境内近890万台主机,其中有超过99.4%的被控主机,源头在美国。而仿冒我国境内银行网站站点的IP也有将近四分之三来自美国。这些潜在的安全隐患,一旦变成事实,将给中国金融系统乃至国家安全带来不可想象的损害。
专家敦促出台国家金融信息安全法规及审查机制
以思科为代表的外资设备厂商之所以能够得以长驱直入,正得益于中国各级政府的"不设防"态度,甚至是"无法可依"的尴尬现状。由于缺乏清晰的信息安全意识和相应的机制,中国目前还没有出台对进口网络设备与软件进行安全审查并制定相关贸易管制的措施,更谈不上设置市场准入门槛。
思科于1994年进入中国市场,如今其广泛涉及中国的政府公共事业、金融、石油化工乃至军工等敏感领域。据相关数据显示,2011年,思科在中国的收入占其全球收入的16%。2011财年,思科全球净收入为65亿美元。
事实上,在当前中国,对于外资网络设备产品及软件应用的领域范畴、什么领域必须使用国产等诸多问题,国内还没有出台相关规定。研讨会上,与会的嘉宾及专家学者普遍认为,美国政府在维护国家网络安全方面的做法,非常值得中国政府借鉴。
十多年来,美国先后制定了《美国爱国者法案》、《网络空间国际战略》、《网络空间可信身份标识国家战略》、《网络空间安全国家战略》、《网络情报共享与保护法》等系列法律法规,并组建了网络战司令部等机构,作为独霸网络空间的保障。
对此,专家现场呼吁中国应立即展对思科等外资通信系统安全的调查,应将其上升到国家法律层面进行立法支持并出台国家金融信息安全法规及审查机制。金融行业更应当率先警惕使用思科等产品带来的潜在安全威胁。
加强国家金融信息安全宣贯
事实上,早在去年6月份国务院就出台了《关于大力推进信息化发展和切实保障信息安全的若干意见》,而在随后11月份召开的党的"十八大"就健全信息安全保障体系明确指出,要进一步提高风险认识,扎实做好安全防控工作。
专家们讨论认为,除加快立法支持外,国家金融信息安全最终还是要依靠众多崛起的本土厂商,唯有如此,我们才完全有能力构建一套国内自主的金融信息安全防御体系,真正将国家信息安全战略落实到位。
国内知名电信专家项立刚则表示,对于思科等外资企业安全性存在问题的产品设备,首先应该限制使用并进行安全审查管制,其次要逐步采取安全性高的产品进行代替。而从产品替代性来看,中国经过10多年大力自主创新,华为等国内很多厂商的产品设备可以替代思科产品,无论是技术、质量,还是在价格上。
而来自工业和信息化部信息安全协调司的最新消息显示,积极推进国家信息安全战略出台和宣传贯彻,已经成为该司局2013年的首要工作。由此我们可以推断,中国的国家信息安全问题将进一步得到重视,越来越多的国字号信息安全技术、产品将为包括金融行业在内的国家各行业信息安全保驾护航。
文章来源:TOM新闻