一、 采用国产软硬件是保障信息安全的要求
(一) 自主开发才能保证信息可控
目前,我国信息系统中采用的软硬件大多来自国外,据有关机构统计,国内经济部门70%的信息设备来自国外,特别是信息系统和网络设备使用的关键芯片、核心软件和部件绝大部分依赖进口,存在重大安全隐患。
现代的CPU芯片包含上亿个晶体管,操作系统等基础软件包含数千万行源代码,都是复杂系统。对于这样规模的复杂系统,如果不是自主开发的,仅依靠“黑箱测试”,则现有的测试手段和方法不能确保其没有“后门”和“漏洞”。
在这个意义上,复杂信息产品如果不是“自主”的,就做不到“可控”,“自主”是“可控”的必要条件。换言之,复杂信息产品只有在“自主”的前提下才能达到“可控”。
芯片、操作系统等处于信息系统的底层,处于上层的安全设备或安全软件无法对它们的行为进行控制。例如,去年发生的“黑屏”事件是由操作系统控制的,虽然其表现形式类似于病毒,但一般杀毒软件、防火墙等对此都无能为力。
微软曾与我国政府签订了“政府安全计划”,也称“政府源代码备案计划”,允许在它的实验室里“观看”约97%的源代码,但不能下载研究、不能重构验证,还有核心的3%源代码连“观看”也不允许。就保障安全而言,“观看”部分源代码没有什么用处,实践也证明这样做无助于改进信息安全。
信息设备和软件的使用离不开系统维护,维护者可以确知每个设备和软件的具体使用信息,在他们面前,信息系统根本无密可保,已发生过因更换设备或远程维护导致的失密案例。
(二) 采用国产软硬件是贯彻执行《信息安全等级保护管理办法》的要求
《信息安全等级保护管理办法》第二十一条规定第三级以上信息系统应当选择使用符合以下条件的信息安全产品:(1)产品研制、生产单位是由中国公民、法人投资或者国家投资或者控股的,在中华人民共和国境内具有独立的法人资格;(2)产品的核心技术、关键部件具有我国自主知识产权。显然,第三级以上信息系统应当采用国产软硬件。