“棱镜”事件：折射我国信息安全隐忧

自主可控的信息安全建设刻不容缓

“‘棱镜’事件为我国政府采购敲响了警钟。”某网络安全产品提供商对记者说，我国各级政府采购过大量的国外IT设备，这其中，一方面软件类产品可能被预置“后门”程序，本身也可能带有容易被攻击的漏洞；另一方面，计算机、路由器等硬件产品所携带的操作系统、芯片等也存在安全风险。

倪光南指出，“棱镜”事件充分暴露了中国网络空间的软肋，为了消除这个软肋，从根本上提升中国网络空间的防护能力，一个关键举措就是用自主可控的国产软硬件和服务来替代进口。“如果IT设备是进口的，一般说来是不可控的。这次‘棱镜’事件表明，那些提供IT设备与服务的美国公司往往会按照美国情报部门的要求行事。使用它们而又不想被此类计划所监控，恐怕只能是痴心妄想。我们至少应要求IT设备能自主可控，在此基础上，再努力加强信息安全防护，这样才有可能保障国家信息安全。”

其实按照我国相关规定，政府行业用户应该优先采用本国研发和设计的产品，然而这一点在具体落实上却并不尽如人意。“目前，我国华为、中兴等公司的产品在世界市场上已有很强的竞争力，可是在我国国内市场上，思科仍然占据相当大的市场份额。这种情况是反常的，不符合产品性价比的实际情况。实际上，这也是缺乏民族自信、创新自信的表现。”倪光南说。

究其原因，业内专家表示，一是出于免责的需要。一些采购经办人更关心如何能规避、降低职业风险，因为即便采购的国外产品出了问题，他们也不用承担责任。二是出于观念的原因。“一些地方和部门有‘习惯思维’，什么重大项目要上马，首先想到的是找外国跨国公司，通过招商引资，用市场换技术。”

“要改变这种观念需要有一个过程，不可能一蹴而就。”倪光南表示，首先应当确立这样的目标，然后有计划、有步骤地付诸实施，“好在现在我们看到情况正在向好的方向发展，只要我们踏踏实实地从公车国产化这类小事做起来，我相信国产IT设备的市场一定会迅速地扩大”。

但同时，有专家也强调，国产化亦非等同于绝对安全，在自主可控的基础上，要高度重视网络安全开发的技术与能力。“我们现在的问题还在于发现、监测、防护、处置能力不够。比如在跨境数据流动当中，涉及安全的信息服务应该进行安全风险评估，同时进行相关数据业务的安全性检测，给公众一个可信的环境，建立安全可信的机制，包括保障机制、防范机制、检测机制等。”李欲晓说。