即便是有如此嚴重的安全隱患�,思科仍能在中國眾多關(guān)鍵領(lǐng)域獲取如此多得市場份額,除了思科近20年來在中國的企業(yè)經(jīng)營之外����,另外一個原因則是中國相關(guān)法律法規(guī)還不夠健全。
中歐陸家嘴國際金融研究院副院長劉勝軍認為��,由于GDP至上的發(fā)展思路���,地方政府日益“公司化”,熱衷于招商引資��,大搞基礎設施建設����,甚至涉足投資等領(lǐng)域�����。顯而易見跨國公司因為先天的優(yōu)勢能為地方政府提供其所需要的拉動GDP的必然動力��,所以在招商引資時其難免會向跨國公司傾斜����,甚至不計后果地給予更多的照顧�。
中國工程院院士倪光南表示,在政府采購�����、公共采購上��,現(xiàn)階段可以參考的法律是2001年的《政府采購法》和《招標投標法》�,但是兩部法律對政府采購國產(chǎn)化產(chǎn)品的界定比較模糊。
倪光南認為�,在過去的時間里,國內(nèi)對網(wǎng)絡安全問題重視的高度不夠�,這也造成了在基礎設備采購上,思科在國家的系統(tǒng)��,央企的系統(tǒng)中占了太多的份額���。要約束思科����,就要在公共采購時增強信息主權(quán)的意識,有效地保障信息主權(quán)�。
一位不愿具名的行業(yè)人士分析,目前國內(nèi)相關(guān)領(lǐng)域技術(shù)人才缺乏�����,一些工作人員并不是十分精通思科的設備以及軟件����,即使思科對中國的信息安全造成了損害,相關(guān)工作人員也只能像一個未帶測速儀的交警一樣��,對這種超速行為渾然不覺�����。
該人士還從技術(shù)角度剖析了思科產(chǎn)品的危險系數(shù)����。在思科網(wǎng)絡產(chǎn)品中����,其鏡像功能(僅僅需要管理員就可以操作����,沒有任何政府管控)����、合法監(jiān)聽(僅僅是用SNMP v3協(xié)議進行管理,而這個協(xié)議本身并不安全�,政府機構(gòu)無法了解這些功能是否被濫用)、DPI內(nèi)容安全審計(無法區(qū)分流量統(tǒng)計分析和內(nèi)容審計功能����,SCE產(chǎn)品可以對包括電子郵件、語音RTP流�、網(wǎng)頁、文件等數(shù)據(jù)進行還原操作�����,在機要部門網(wǎng)絡中一旦部署����,能夠非常方便地實現(xiàn)對機密信息的“竊取”)等功能,都是在沒有政府授權(quán)的情況下就能夠開啟���、配置��、生效���,因此�,在關(guān)系到國計民生的關(guān)鍵部門�����,一旦選擇思科的產(chǎn)品����,幾乎就等于選擇了安全隱患。
方興東則認為政府必須要出臺真正有效的措施�。他說:“必須要搞清楚思科的安全問題到底出在哪兒?���!?/font>
在方興東看來,對于安全性存在問題的設備�����,可采取的對策有兩個����,第一,應該限制使用�;第二,逐步采取安全性高的產(chǎn)品進行代替�����?�!爸袊?jīng)過十多年大力自主創(chuàng)新���,國內(nèi)廠商生產(chǎn)的設備�,無論是技術(shù)�����、質(zhì)量還是價格��,基本可以替代思科��。從產(chǎn)品替代性來看����,國內(nèi)很多廠商的產(chǎn)品可以替代思科產(chǎn)品���。”
項立剛認為應該對思科進行一些合理的反制���,他認為中國應盡快建立及完善信息安全審查制度�?���!白詈唵蔚霓k法就是政府多出臺一些指導性的意見,比如不允許在骨干網(wǎng)以及涉及國家安全的重要領(lǐng)域采用國外產(chǎn)品等�����?���!?他說,美國會將中國高技術(shù)值�����、高附加值的產(chǎn)品擋在國門之外�,比較常見的辦法為專利控制�、反傾銷和國家安全三種辦法�。
在制度上,方興東則建議可以采用源代碼托管和首席安全官制度���。“首先可以采用的辦法是源代碼托管�����,很多國家在采用這種辦法對信息安全方面進行監(jiān)管���。但在中國更方便借鑒的是首席安全官制度�,在歐美很多國家的大企業(yè)都有這樣一個職位���,首席安全官既是公司的員工�����,也受國家安全部門直接管理�,在涉及到安全領(lǐng)域的大量采購時他擁有一票否決權(quán)���。國內(nèi)的一些央企或者大型企業(yè)也有必要設立這樣一個職位�。”
