第PAGE\*Arabic\*MERGEFORMAT6页共NUMPAGES\*MERGEFORMAT6页信息安全自主可控之路自主可控信息安全论坛信息安全自主可控听起来很美，具体如何实现。让我们从烟草行业的具体情况出发，进行一下分析、探讨吧。信息安全自主可控的涵义是：信息安全领域的技术和产品，能自主的就要尽最大可能实现自主;不能自主的，必须保证它是可控可知的，即要对信息安全技术与产品的风险、隐患、漏洞、潜在问题做到“心中有底、手中有招、控制有道”。目前，烟草行业的核心应用系统（如“一号工程”、卷烟营销、专卖管理、财务管理系统、人力资源系统等）的软、硬件设备几乎全套采用了国外主流、成熟的产品技术，从整体上来说，行业信息化核心应用基础设施的选型、配置起点较高，但从另一方面讲，信息安全系统的可控性、可知性、可预防性水平较低。不可否认，国内当前的采购政策、市场环境、it发展现状等因素在一定程度上制约了自主知识产权的it产品技术进入高端、核心设备的市场采购范围，但这绝不仅仅是一个技术问题，还有更深层次的长远战略、规划管理问题。信息安全自主可控的意义在烟草行业大力推行信息安全自主可控，具有以下重要意义：1.可避免分发式安全威胁。it产品的整个生命周期包括研发、设计、制造、销售、安装、维护、升级等过程，如果有人在其中任何一个环节上植入恶意代码、开通恶意后门、加入隐蔽指令等，都将给信息系统造成一定安全隐患，即it产品的分发式安全威胁。非自主的it产品存在分发式安全威胁的概率很大，这类威胁往往不易被用户发觉，但却可能给用户造成重大的损失、破坏。对非自主的it产品增强防范意识、加强控制管理、制订风险应对措施，可以大大避免分发式安全威胁。2.可封堵信息安全“漏洞”。国外的it厂商通常不会向中国用户提供核心技术和专利，因此国内用户很难对设备的整体可信性、可靠性、可控性进行全面检测，分析判断出设备中是否存在“后门”、“陷阱”、“漏洞”、“软件炸弹”、“隐蔽指令”等安全威胁，一旦这些“漏洞”被利用，实施攻击、入侵、修改、恶意破坏或者窃取机密数据信息，其后果不堪设想。据公安部有关资料显示，近年来国内大量网络泄密案件、窃密案件、信息安全事件均与“漏洞”有关。实施信息安全系统自主可控，可以在一定程度上起到堵塞信息安全漏洞，防患于未然的效果。3.是行业信息化发展的长远战略需要。烟草行业核心应用信息化硬件设施投资规模巨大，处于高位运行状态，很多企业基础网络平台、服务系统平台、应用平台、安全支撑平台基本上被国外产品垄断，这些非自主it产品本身封闭性强、操作复杂、技术资料短缺，国内用户很难定制二次研发或者组装生产。烟草企业在高端it产品采购上几乎没有可选择的空间，对ibm、微软、戴尔等it巨头的依赖程度过大，信息系统运行后每年仅硬件维修保养一项就产生高额的附加成本费用，这些都不利于烟草信息化的长远发展。信息化的平稳健康发展需要一个广阔、开放、成熟、多元化的产品市场空间，在允许的情况下实施信息安全自主可控可以降低信息系统设备采购、开发、运维成本，满足行业信息化发展的长远战略需要。四项措施实践自主可控“自主可控”从概念上分析，首先是“自主”，而后才能达到真正“可控”，“自主”是“可控”的必要条件。自主化不能简单地理解成国产化，目前很多产品的国产化还是停留在对国外核心技术进行组装式开发的基础上，由于核心技术并不掌握在自己手中，因此这只能是一种准自主化或伪自主化，仍然存在一定的不可控因素、安全隐患。要实现信息安全系统的自主可控，就必须要求信息安全产品真正自主化。从狭义上讲，使用国产自主化的软硬件产品、技术和服务，是信息安全体系自主可控的基础;从广义上讲，自主可控应该涵盖信息化发展的全过程，各个环节都实现自主可控，这样才能构建完整的、自主可控的信息安全体系。具体来说，可以采取以下几项措施：1.加强重视，应用系统建设与信息安全建设并重。我们迫切需要紧跟形势、转变观念、与时俱进，加强对信息安全的重视支持，应用系统建设与信息安全建设必须“两手抓、两手硬”，在信息化建设过程中，继续坚持应用系统建设与信息安全建设同步规划、同步实施、协调发展、均衡发展的原则，将信息系统安全体系建设融入到烟草信息化建设的全过程之中。2.加强政策引导，为信息安全设备的采购提供政策导向、标准体系。烟草行业迫切需要在信息安全设备、产品、服务的选型上遵循以下原则：（1）对于信息安全设备、产品、技术、服务的选型，能自主的应该自主，不能自主的必须实现可知、可控、可检测;（2）原则上使用国产设备，只有在无相应国产设备时方可使用已通过国家相关主管部门批准、指定、测评、鉴定、认证的国外设备，绝不使用未经国家相关主管部门测评审核通过的设备;（3）烟草企业必须和非自主的厂商（国产、非国产）签署明确的安全保