无障碍说明
腾讯科技科技 > 要闻 > 专题活动 > 聚焦两会科技大佬 > 正文

浪潮孙丕恕:中国应建立信息安全审查制度

腾讯科技[微博]娄池2013年03月12日11:29

[导读]孙丕恕建议由国家牵头,组建国产高端服务器系统产业联盟。目前,浪潮已经开始在做初期的准备工作。

浪潮孙丕恕:中国应建立信息安全审查制度

腾讯科技讯 3月12日消息,全国人大代表、浪潮集团董事长孙丕恕在接受腾讯科技专访时表示,我国应该建立自己的信息安全审查机制,并针对此进行立法,以便从法律层面防范信息安全问题。据悉,他在本届两会上共提出了《建立信息安全审查制度》、《组建国产高端服务器系统产业联盟》、《依托信息化 推动城镇化建设 打造智慧城市》三大议案。

孙丕恕表示,近年来,美国以国家信息安全为由,一直在阻止中国企业的IT产品在美国本土参与竞标,同时阻挠中国企业并购美国高科技企业,防止中国企业获取核心技术。而中国的信息安全保护机制还相当薄弱。长期以来,由于技术、管理、制度等多种因素,使得我国的信息安全保障体系严重的滞后于信息化建设,所以他提议建立信息安全审查制度来完善管理。

他还透露,在服务器领域,由于国外软硬件厂商互相依托、互相支持,结成了垄断联盟,他们不支持国产中间件和数据库,国产基础软件就无法利用国外高端服务器搭建测试环境,因此也无法进入核心应用。所以他建议由国家牵头组建国产高端服务器系统产业联盟,同时他表示,浪潮已经开始在做初期的准备工作。

以下为孙丕恕两会建议案:

建立信息安全审查制度

近年来,美国以国家信息安全为由,一直在阻止中国企业的IT产品在美国本土参与竞标,同时阻挠中国企业并购美国高科技企业,防止中国企业获取核心技术。特别是在2012年美国众议院指控华为、中兴威胁国家安全,2012年10月8日,在一份有关华为和中兴的调查报告中,美国众议院常设特别情报委员会得出这样一个结论: 华为和中兴对美国国家安全构成威胁,它们制造的设备可以通过遥控向中国发回数据,有间谍嫌疑,应该对其在美开展的业务进行严厉限制。

反观中国,我国的信息安全保护机制还相当薄弱。长期以来,由于技术、管理、制度等多种因素,使得我国的信息安全保障体系严重的滞后于信息化建设。突出的问题是现有已建和在建的信息系统使用的软硬件产品进行了较完备的功能性检测,而对于使用的信息技术产品深层次问题不清楚,对于进口的信息技术产品仅仅是以机电产品完税为目的审查。

造成这种情况最根本的原因是中国缺乏明确的法律法规,没有完善审核监管体系,而美国是从国家立法层面对信息安全予以重点保障,对信息安全有明确的规定,也有一整套的等级保护体系和评测审查手段,如全球供应链审查、源代码备案、采购目录清单等层层设防。

无论从WTO准则还是欧美国家的实践上看,是完全可以基于本国国家安全考虑对国产和进口的产品进行信息安全审查的。如,WTO《技术性贸易壁垒协议》明确在不违反歧视性,原则下主旨是允许一国以维护国家基本安全、保障人类健康和安全、保护生态环境、保证产品质量、防止欺诈行为等合法目的为由,而采取的技术法规、标准、合格评定程序等种种强制性或非强制性的技术性限制措施。WTO《政府采购协议》的主旨也是要求遵循非歧视原则,也明确该协议不能限制为保障安全所需要采取的措施。并明确发展中国家由于处在特定的发展阶段和因为一些非经济的原因,在涉及保护国家安全利益,公共道德、秩序以及安全等方面可以不履行协议规定的一些义务。我们可以在依据WTO准则方面,对于涉及国家、社会安全的国产、进口的信息技术产品实行信息安全审查制度。

美国在信息安全审查方面已经建立了较为完备的法律、法规体系和制度措施。在《保护美国关键基础设施》的总统令(PDD-63)明确了重点保护的范围包括美国政府信息系统和私营部门为保证经济有序运行及提供重要电信、能源、金融和运输的正常服务的信息系统。《国家安全电信与信息系统安全政策#11》中规范了信息安全采购政策,其中对于用在国家安全系统的产品,各部门和机构只能采购业已按照公共准则或经过批准鉴定过的产品;凡是用在与国家重要基础设施运行相关的信息系统产品,可以采购经过鉴定过的现有信息技术产品。信息安全评估认证组织除了属于政府机构性质的“美国信息安全认证机构”,主要负责商用信息技术的认证外,还确定了由国家安全局负责政府用信息技术产品的认证,国家标准和技术研究所负责加密模块的安全性认证。通过一系列的制度措施,来保障美国的信息安全和国家利益。

为此,建议进一步完善信息安全法律法规体系,明确建立信息安全审查制度,对重要信息技术产品实施安全检测。

一、完善政府采购法,明确信息产品的采购细则

在中国现行的法律、法规、规章中,只有对于信息安全产品(如:防火墙)明确了进行认证、分等级管理,没有明确对于在信息系统构建中起到核心作用的软硬件产品进行安全性审查,实质上诸如服务器、存储、交换机、系统软件、数据库等作为信息系统的支撑,直接影响着数据信息的保密安全。建议进一步的完善信息安全法律法规体系,明确建立信息安全产品、信息安全相关产品实行安全审查制度,为依法开展信息安全审查提供保障。

二、通过对信息产品的分类、分级管理,明确审查范围

按照分类分级管理的原则,对于国防、政府、商业应用不同类别的信息产品实行不同的与之相应安全等级。例如对于进入军事国防信息系统的产品技术要实行强制性安全审查;对于政府信息系统,事关国家公共安全、经济运行、社会稳定的三级以上重要系统(比如金融、电信、能源等领域)都要进行强制性安全审查;一般商用性的可以实行市场化管理。

对信息安全相关产品要根据产品的来源(国别)、可靠性(国家是否可控和生产单位是否可控)、可监督性(产品的源代码是否备案、是否经过检查)和安全性(是否具有漏洞、后门、远程控制等功能),进行严格审查,规范其使用范围,进行监督管理。

三、重要信息系统的软硬件产品和服务采购要实行安全准入限制

政府信息产品采购目录的制定要对于不同级别的信息系统来来选择不同安全级别技术产品。非政府系统中三级(包括三级)以上的重要信息系统的软硬件采购,如电信、金融、能源等信息系统的采购也必须采购与之匹配的相应等级的信息技术产品。三级(包括三级)以上信息系统的集成商、服务商要由中国公民、法人投资或国资或者国资控股的主体来担负。对不符合安全等级要求的产品进入原则上要严格限制使用,对于无法避免的要进行风险分析,制定安全机制和应急措施,并要定期进行安全审计,在机制和措施建立的基础上严格审批程序并报相关安全管理机关备案。

依托信息化 推动城镇化建设 打造智慧城市

温总理在政府工作报告中指出,“城镇化是我国现代化建设的历史任务”,要“积极稳妥推动城镇化健康发展”,对此,人大代表、浪潮集团董事长兼CEO孙丕恕谈了两点体会:

一、信息化与城镇化结合的最佳实践是建设智慧城市

中央已经把新型工业化、信息化、城镇化、农业现代化提到国家战略,得到了大家共识。城镇化建设不是简单的建新城,更不是房地产化,而是要以人为本,以提高人民生活水平为目标,不断提升城市服务功能和城市管理水平。要达到这一目标,打造智慧城市是重要举措,信息化是实现这一目标的主要手段。城镇化是信息化的主要载体和依托,信息化是城镇化的提升机和倍增器;城镇是信息化栖身之地,信息化是城市产业升级和城市功能提升的发动机。

我国建设智慧城市应该在城镇化与信息化融合的背景下,围绕改善民生、增强企业竞争力、促进城市可持续发展等关注点,为企业和个人提供智能信息资源及开放式信息应用,为城市运行和资源配置提供智能响应控制,为政府社会管理和公共服务提供智能决策依据及手段。这就需要利用信息平台,整合各种数据和资源,构建起为市民、企业、政府提供服务的平台,满足城市发展的以人为本和可持续创新。

美国第一个建设智慧城市的迪比克市,其模式是在一个有六万居民的社区里将各种城市公用资源(水、电、油、气、交通、公共服务等等)连接起来,监测、分析和整合各种数据以做出智能化的响应,更好的服务市民。韩国的智慧城市建设重在生态、智慧,使得市民可以方便的开展远程教育、医疗、办理税务,还能实现家庭建筑能耗的智能化监控等。这些都为我们城镇如何智慧提供了经验。

中国智慧城市建设首先是从政府开始的,经历了办公自动化、电子政务、智慧政府到智慧城市几个阶段。孙丕恕认为,中国的国情决定要建设好智慧城市,首先要建设好智慧政府,使政府智慧起来。浪潮这些年也积极参与了智慧政府、智慧城市的建设。

比如在百姓关心的医疗卫生领域,浪潮在省里的支持下,利用云计算技术,打造了智慧医疗领域的山东健康云平台,全民电子健康档案、新农合异地结算及各类信息服务等极大的解决了百姓看病贵、看病难的问题。我们建设的食品安全监管平台中的肉菜追溯体系实现了覆盖屠宰、储存、批发、零售等环节的食品全信息链的管理,老百姓通过条码查询就可以了解到食品的全部信息,吃上放心肉菜;类似的还有药品监管平台。近年来在全国推广建设的网上互联审批、有效的解决了老百姓办事难、办事慢等问题,也提升了政府服务法人、个人的水平。

这些智慧民生应用有效提升了政府服务能力,使普通民众更好的感受到智慧城市带来的便捷服务。有了智慧政府,就有了建设智慧城市的基础,智慧地球也就为之不远了。

[责任编辑:honestsun]

相关专题:

  • ·聚焦两会科技大佬订阅
您认为这篇文章与"新一网(08008.HK)"相关度高吗?

网友评论

热门评论

最新评论