华为入侵门：自主可控是企业维护信息安全的关键

　　根据NSA前雇员斯诺登爆料，NSA渗透进了华为的内网，不仅成功拷贝了华为的客户名单和训练工程师的内部文件，还截获了任正非和孙亚芳等华为高管的电子邮件。即使是华为这样专业的网络设备厂商，仍然无法避免NSA的入侵，这让我们不寒而栗。　　近日，华为受到美国国家安全局(NSA)全面监控的消息引发了一番热议。根据NSA前雇员斯诺登爆料，NSA渗透进了华为的内网，不仅成功拷贝了华为的客户名单和训练工程师的内部文件，还截获了任正非和孙亚芳等华为高管的电子邮件。

　　即使是华为这样专业的网络设备厂商，仍然无法避免NSA的入侵，这让我们不寒而栗。我们必须面对残酷的现实：美国仍然占据了全球信息战的制高点。NSA之所以能够为所欲为，是因为美国掌握了全球网络基础设施的核心：全球互联网13台根服务器中的10台在美国，网络设备老大思科是美国公司，全球主流PC和手机操作系统厂商微软[微博]、苹果、谷歌[微博]都是美国公司，计算芯片老大英特尔[微博]是美国公司，通信芯片老大高通[微博]还是美国公司……即使是互联网应用层的领导者谷歌、雅虎和Facebook，也统统都是美国公司。因此，只要我们还在使用互联网，我们就无法避免美国的监控。

　　我们把互联网完全隔断，行不行?据说俄罗斯总统普京就从来不用手机，也不用电脑。普京这么干行，因为还有一个团队专门为他服务。企业这么做可不行，像华为这种在北极都有基站的全球化企业，如果没有互联网和IT系统，根本无法运转。

　　如果我们不“断网”，而是把所有硬件和软件全部换成国产的产品，是不是就能够解决安全的问题呢?还是不行。还以华为为例，这家技术型公司的IT系统中，大部分的硬件都是自己开发的，管理软件也有很大一部分是自己的，仍然无法避免被NSA入侵的结局。为什么会这样呢?这是因为整个科技产业早就全球化了，任何一家企业想要做出有竞争力的产品，都需要全球采购，而网络基础设施的核心还是掌握在美国人的手中。“盒子上写着华为的名字并不意味着所有的部件都来自华为。”在2013年10月发布的一份网络安全白皮书中，华为网络安全官(CSO)约翰·萨福克披露，华为技术组合中高达70%的部件都不是来自华为，而是来自全球供应链，其中有32%来自于美国。

　　那么，企业怎么样才能保证自己的信息安全呢?老冀在《中国金融电脑》杂志上看到了中国工商银行(3.55, 0.07, 2.01%)首席信息官林晓轩的一篇文章《信息科技“自主可控”之道》，倒是提供了一个比较好的思路。

　　林晓轩认为，要保证信息安全，必须坚持“自主可控”的原则，系统性地解决这个问题。他主张要自主研发核心和关键信息系统，分层异构使用外部产品，从而实现对信息科技风险的可监控、可管理、过程可审计。

　　那么，工行是怎么做的呢?老冀简单地解读一下：

　　第一，坚持自主研发。工行先后启动实施了四代核心应用系统的开发和推广工作，完全依托自身技术力量，独立研发了超大型的核心应用系统，在同业中率先自主研发并全面推广了多币种、多语言、多时区的境外核心业务系统。

　　第二，通过管理和技术两个层面的顶层设计，实现对整体技术架构自上而下的严格自主把控。

　　在管理层面，根据监管部门要求在董事会及高级管理层下设信息科技管理委员会，主要负责信息科技战略、信息科技重大决策事项等;信息科技管理委员会下设技术审查委员会，负责重大科技项目规划与方案的审批。

在技术层面，工商银行在选择信息技术产品时，从自身整体架构体系出发