银行业信息新规实施之后,中美基于网络及信息安全的较量再度升级—— 中国金融IT业:你准备好了吗 ■本报记者 倪思洁 对于银行业来说,3月份不太平静。按中国银监会的“新规”,国外金融IT系统生产商到了向监管机构提交IT系统源代码的最后时限。 所谓的“新规”,指的是去年9月中国银监会、国家发展改革委、科技部、工信部联合发布的《关于应用安全可控信息技术加强银行业网络安全和信息化建设的指导意见》以及此后发布的“推进细则”。其中,指导意见提出,到2019年,安全可控信息技术在银行业总体达到75%左右的使用率。 随着最后期限的到来,银行业信息安全新规的争论也被推至一个小高峰,中美网络及信息安全的较量再度升级。 专家表示,要求银行IT业提供源代码有国际惯例依据,在我国具备完全国产替代之前,银行业加强网络安全和信息化建设的工作应该进行精细严密的组织和科学的论证,同时还要切实提高第三方的评测能力,注意保护被评测者的知识产权。 国内做法有国际依据 新规的实施,引来了强烈的国际反响。据报道,新规要求金融IT系统生产商提交自主产权源代码(源代码是软件的秘密成分)和保护敏感数据的密匙,使用中国的密匙,并接受高强度的测试。 2月27日,《参考消息》转引《华尔街日报》网站报道称,美国贸易代表迈克尔·弗罗曼对中国最高银行业监管机构新规提出批评,认为这些规定违反了中国的贸易承诺。国外科技公司也转向美国和欧洲的行业组织寻求帮助,希望抵制银行安全新规以及反恐法草案。 “要求提供源代码是合乎国际惯例的,而且这也并非仅针对国外企业,不存在国别差异。”国家信息中心原总工程师宁家骏在接受《中国科学报》记者采访时说。他表示,国际上的信息技术安全性评估通用准则(CC)定义了7个按级排序的评估保证级,其中1到3级是低级别,4到7级是中高级别。按照这种划分,银行系统所属级别很高。 按照评估准则,为了保障中高级别的系统安全,供应商要把能够代表产品实现细节的证据提交给第三方评估机构进行安全检测。“过去我们跟国际惯例靠拢得不够,现在国际信息安全的形势相对来说比较严峻,所以我们现在提出了新的要求。”宁家骏说。 争端究竟是为什么 既然有国际准则的依据,为什么新规引发了大范围的舆论争议? 一位不愿透露姓名的专家告诉记者,国外企业之所以会“抵制”新规,可能有两方面的原因:一是国内对知识产权的保护力度有限,在一定程度上造成国外企业对知识产权泄露的担忧;二是国内第三方检测机构还不够成熟,这也影响到国外企业对中国的信任度。 但在中科院信息安全国家重点实验室教授吕述望看来,这并非是问题的症结。早在2003年,微软就与中国政府签署了“源代码备案计划协议”,其所有软件源代码全面开放。 吕述望认为,现在要求国外银行IT业提供源代码之所以会受到如此的阻力,是因为提交源代码使得国外企业在安全性方面没有了“夹带”的可能。 “中国政府购买了服务商为银行提供的服务,因此提出什么条件都是不过分的。银行使用哪个服务商的设备,就有权利向服务商提出要求,特别是安全方面的要求,否则我不知道能不能用你的网络,你的服务是不是真的安全。”吕述望说。 因此,有媒体报道称,中国银行业新规是中国政府反间谍大战略的组成部分。 国产替代“撑”得起来吗 “现在不是国外企业想不想这样做的问题,而是我们从国家层面、银监会规划层面都有了目标和要求,国外企业必须跟着这么做。”国家银行业科技信息安全产业技术创新战略联盟的相关负责人告诉《中国科学报》记者。 “如果国外企业拒不提供源代码,那么我们的银行究竟是用还是不用?已经用了的技术该怎么办?”宁家骏反问。他建议,在我国企业能做到国产替代之前,新规的实施可以采取分期分批的方式,有步骤、有计划、有策略地进行,同时要配合精细严密的组织和科学的论证。 那么,当下我国企业有能力做到国产替代,能支撑起银行业的信息安全需求吗?“完全没问题。不管软硬件上,我们都具备这样的能力。”国家银行业上述负责人说。 然而,国内自主生产的一些信息设备漏洞却让人“防不胜防”。今年2月27日中午,江苏省公安厅就曾发布特急通知称,作为国内最大的综合安防监控企业,海康威视生产的监控设备存在严重安全隐患,部分设备已经被境外IP地址控制。 面对严峻的信息安全形势,吕述望建议,我国金融行业不要接入因特网,而要建立中国金融行业的专业网。“只要给予一定时间,我国银行做到自主可控的系统完全没有问题。”吕述望说。 《中国科学报》 (2015-04-08 第4版 综合) |