信息安全保护：去IOE是自然而然的事情

去IOE只是开源的一个现象。更多的大企业也在走软硬件开放和开源的路子。例如英特尔，在芯片领域受到了ARM的冲击，也开始走开源路线，在企业内部建立更加开放的管理机制，鼓励团队去创新。在生态环境上更加开放协同，通过开源竞赛等方式鼓励硬件开放创新。

遵循国际规则，立法要迎头赶上

类似谷歌的企业在美国都也是极品端的，广大客户需要的是好的软硬件产品来支撑信息系统。站在中国人的角度，我们的期望是去IOE，做国产的产品，但是市场有市场的规则，不可能宁愿用国内坏差的东西也不用国外的好的东西。而且中国作为WTO成员国还应该遵守WTO规则。市场规则是谁好用谁的，所以，政府需要很好地利用国际规则、市场规则鼓励国产化，而不是和国际规则对抗。例如美国就很好地利用了国家安全这张牌，判定华为的产品进入美国需要审核。中国过去没有这种制度，现在就需要赶紧建抓紧补上。

法律可以规范市场，而中国的立法落后是一大问题。例如个人身份证的管理等，第一代身份证仅仅是依据公安部的一个《条例》，直到2005年第二代身份证才上升为法律，而且不到十年就看到立法时考虑不周，技术上和管理上也有许多不完善，很长时间我国没有关于作废身份证的如何处理的机制，造成伪造身份证、个人信息泄露问题严重，诈骗、造假猖獗。中国的个人隐保护私立法迟迟不能完成，根本原因是在中国，公民最基本的权利尚未完成没有法律定义，而隐私权作为人权的一部分，想获得法律上的认可就很困难。

现在国家支持企业技术研发和创新的资金比过去多，但是创新的精神比过去少了。首先，整体环境不能宽容失败，弄虚作假就成了必然趋势;其次，政府的决策的失误没有责任，无人追究。政府设立的各类支持产业和技术发展的专项和基金主旨是好的，但是从投入产出的效益来看，的确还有不如人意的地方。长远来看，政府不应过多直接干预企业的技术与产品研发行为，政府的资助可以以资本金、风险投资的角度注入，在企业的管理、技术研发等具体事务上应减少干预。而应以政策、税收等多这种方式引导和鼓励产业发展可能更为有效。

信息安全需要持之以恒

Windows XP系统是微软2002年之前研发的产品，在2002年，微软开始高度重视安全，原美国反网络犯罪局官员斯科特 查理加入微软成为首席安全官，所以XP之后的windows vista, windows 7, windows 8，在产品安全性上做了大量改进，这意味着XP的漏洞远远多于这几个系统。所以XP退出市场，对用户和微软公司来讲是一件很正常的事情。但是XP系统从投入市场到退出有12年，在中国还有数以亿计的用户。在市场、公司来讲很正常的事情。

前段时间，我国多名院士联名称，XP事件是国家信息安全事件，涉及信息系统的控制权问题。微软希望用户将XP系统换成现在的新系统，从用户角度讲是安全性得到了提升，但是院士们认为，如果继续采用微软产品升级，控制权将失去，那么如何应对?就又回到了自主、可控的老问题。但是，国产的产品，能比win 7、win 8还好吗?能做到安全、自主可控吗?反过来讲，做了国产替代，并不等于安全，这取决于国产厂商在安全上做到什么程度。

安全需要持之以恒地努力。安全涉及网络、系统、人的工程。安全问题是很广泛、很复杂，无论是单品、还是集中管控，还是各种手段的综合运用，都要有大的提升。人的社会工程做好了，比从技术上做好安全要有效得多。当前，来自网络的威胁多种多样，小到个人的小额金钱被盗、隐私泄露，大到企业要害部门遭受的APT攻击，很难说在一个点上做好信息年前安全就能万事大吉。不过微软宣布停止对XP的服务给我们的企业和用户带来一个契机，是我们可以做出替代选择的一个重要的时间点。

另外一个例子，互联网金融的安全，只要产品的风险在可控范围之内就是可行的。例如财付通微信支付，眼下并没有机构审核微信支付是否有漏洞、是否安全。在陈钟看来，就算给微信支付的安全性打个分又有什么用?财付通、支付宝等的运作模式很简单，引入保险公司赔保，有效冲抵风险，就开始推向市场，后续再慢慢完善系统。这说明，安全本身没有绝对的安全，只有平衡风险和防护、获得的利益三者之间的关系。从经济角度看，互联网带动的经济发展是遵循的适度的安全管控。总体上，不可能追求绝对的安全，只要相对风险可控，就是可行的。

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友