“自主可控”移動資訊化系統保障“資料安全”

隨著網路主權概念的逐漸明晰，“自主可控”已經成為資訊化部署的關鍵詞。我國正在大力推動政府、國防、金融、交通等關鍵領域的資訊化產品儘快實現國產化，併發布了多個重要政策來保障國產化實施。而除了伺服器、資料庫等核心IT裝置之外，移動資訊化系統同樣在中國資訊化整體佈局中扮演著越來越重要的角色，其發展必須實現高度的“自主可控”。

移動資訊化系統的“風險”

隨著移動網際網路的快速發展，越來越多的移動裝置應用於政企的業務創新與擴充之中，組織需要搭建移動資訊化系統來降低移動裝置應用的風險，提高移動資訊化能力。然而，眾多國外品牌的移動資訊化系統卻無法實現安全可信、自主可控的要求，這給移動資訊化系統內的重要資訊帶來了重大的風險。

首先，風險來在於移動資訊洩密風險。由於政企移動業務的發展，移動資訊化系統記憶體儲著大量的機密資訊，這些資訊一旦從不可控的伺服器中洩露到外界，將帶來重大損失。而且，無法滿足自主可控需求的移動資訊化系統，可能暗藏著大量的漏洞與後門，攻擊者很容易通過系統的“缺口”來盜取資訊。

其次，移動資訊化系統開始成為政企資訊化整體部署的重要組成部分。其連線包括組織伺服器、PC等資訊終端，攻擊者很有可能以移動終端裝置作為跳板，對組織的其它資訊化裝置進行攻擊，散播木馬、病毒等安全威脅。更大的威脅在於，攻擊者很可能會針對重要的移動目標實施高階可持續性攻擊，竊取或破壞組織資訊。非自主可控的移動資訊化系統更可能被特定組織或是國家利用，這提高了企業遭受APT攻擊的危險性。

有些政企認為，雖然自己採用的是國外的移動資訊化系統，但是其技術是安全可信的，因此就沒有問題。這其實是混淆了兩個概念：第一個概念是可信的安全感覺，第二個是可信的技術。這是兩個不同層面的問題，如果作業系統或者安全裝置來自於西方國家，其在技術上實現了安全可信的標準，那麼其對於西方國家是安全的，但是對於中國是不安全的，這是信任感，也就是資訊系統控制權在誰手中的問題。

保障移動資訊化系統“自主可控”

要保證移動資訊化系統的自主可控，需要從政策的頂層設計與組織的資訊化建設實踐兩方面入手。從頂層設計來看，保證移動資訊化系統的自主可控對於資料的安全非常重要，推進關鍵領域與重要部門的移動資訊化系統國產化，也被納入到國家的網路安全整體規劃之中。

從政策來看，目前國家已經顯著加大了對國產化裝置替代的政策支援。有關部門正在著手準備調研並起草“資訊保安裝備國產化”專項扶持方案，以保障資訊保安，實現核心軟硬體國產化自主可控。來自國家網際網路資訊辦公室的訊息稱，為維護國家網路安全、保障中國使用者合法利益，我國即將推出網路安全審查制度，該項制度規定關係國家安全和公共利益的系統使用的重要技術產品和服務，應通過網路安全審查。

在具體措施上，國家對國產化的推動更是緊鑼密鼓。工信部就明確要求關鍵軟硬體採購在標書中明確安全需求。在近期，中央政府採購網還取消了所有國外安全供應商資質，只保留了國產安全供應商，這證明資訊裝置尤其是資訊保安裝置的國產化，已經被提到了戰略高度。由於移動資訊化系統涵蓋了移動裝置安全管理、移動應用安全分發等重要的資訊保安子系統，因此移動資訊化的國產化同樣在國家推動的範圍之內。

從部署實踐來看，要實現移動資訊體系架構的整體把控。如果要實現自主可控的移動資訊系統部署，各組織應該自主設計並建立起軟硬體架構體系，著力研究體系中各個系統端到端的整體設計。在不同環節應用不同技術，合理進行技術組合，實現對體系架構整體的自主可控，進而在資訊系統的整體防護體系架構設計和各個系統端到端整體設計的過程中，實現可管理、可監控和過程可審計。

對於政企組織來說，移動資訊化體系的建設主要涉及到移動裝置、移動應用、移動資訊化系統這三個部分，而建設重點則是自主可控移動資訊化系統的建立，這既是其在移動資訊化體系中關鍵角色的體現，也是基於移動網際網路應用現狀而考量。

目前組織內的移動裝置種類繁多，在品牌、作業系統、硬體配置上存在著巨大的異構性，很難做到統一，實現完全的國產化替代還有賴於國產終端廠商的長期努力。但是換個角度來看，既然現在還無法在所有的環節實現國產化替代，那麼我們可以先從可控的角度入手，來通過“自主可控”的移動資訊化系統來管理這些移動裝置。

除了資訊保安上的考量之外，移動資訊化系統國產化的一個充分條件在於，國產的移動資訊化系統無論是從技術上，還是從生態系統的構建上都已經比肩國際先進水平。啟迪國信等國內企業在產品研發上並不遜色於IBM等國外企業，其產品完全能夠保障移動資訊化戰略的順利實施。

故此，金融、國防等事關國計民生的行業需要在國家政策的引導下，率先行動起來，推動移動資訊化系統的國產化程式，並在移動資訊化系統的選型中，將安全可信、自主可控作為系統選型的一個關鍵標準及原則。

本文轉自d1net（轉載）