國家信息技術安全研究中心 周季禮 91731部隊 李軍

國外去“IOE”信息技術體系的主要做法及啟示

國家信息技術安全研究中心 周季禮 91731部隊 李軍

以美國IBM公司的小型機、Oracle公司的數據庫軟件和EMC公司的高端存儲設備構建的信息系統(tǒng)，被業(yè)界稱為“IOE”信息技術體系。“IOE”一直是金融、電信等關鍵信息基礎設施的重要信息系統(tǒng)，已成為包括中國在內的全球企業(yè)、政府內關鍵信息系統(tǒng)的主要組成部分，并在不斷的增長和擴張。斯諾登事件表明，美國情報機構與包括IBM、Oracle公司在內的美國信息企業(yè)密切合作，對全球通信系統(tǒng)和網絡進行監(jiān)控，并在存儲設備廠商的產品中設置后門，瘋狂竊取計算機用戶信息，引發(fā)世界各國的信息安全危機。俄羅斯、印度、巴西、韓國、澳大利亞、歐盟等世界主要國家和地區(qū)，采取了一系列去“IOE”的行動，減少美國信息產品在本國的使用率。并通過完善信息安全法規(guī)、加強網絡安全審查、健全信息產品準入機制、扶持本國信息技術產業(yè)等措施，確保去“IOE”行動的效果，打造自主可控的信息安全保障體系。其中，一些做法具有借鑒意義。

一、“IOE”發(fā)展現狀

“IOE”中的“I”代表的是IBM國際商用機器公司及其產品。IBM公司創(chuàng)建于1911年，是一家擁有40萬中層干部，520億美元資產的大型企業(yè)，年銷售額達到500多億美元。在世界132個國家和地區(qū)設有子公司和營業(yè)點，擁有39個生產廠、3個基礎研究部、22個產品研究所和13個科學中心，是美國也是世界知名的電子計算機制造商。多年來，在《幸?！冯s志評選出的美國前500家公司中一直名列榜首。1981年8月12日，IBM發(fā)布了第一臺PC機，從此進入了個人電腦領域。長久以來，IBM在小型機領域一直占據著絕對的優(yōu)勢，是全球金融、電信、醫(yī)療等行業(yè)的首選服務器產品。獨立咨詢公司Gartner的數據顯示，2009年第三季度IBM占據了42%的全球小型機收入市場份額，IDC的數據則是IBM占據了39.5%的份額。2011年9月，IDC發(fā)布的第二季度數據顯示，IBM Power系統(tǒng)占據了59.2%全球小型機市場份額，比2010年同期增長了近10個百分點。2013年3月，IDC數據顯示，IBM Power Systems在中國小型機服務器市場份額連續(xù)15年穩(wěn)居第一，截至2012年第四季度，已達到76%。

“IOE”中的“O”代表的是Oracle甲骨文軟件系統(tǒng)有限公司及其產品。Oracle公司成立于1977年，是全球最大的信息管理軟件及服務供應商，總部位于美國加利福尼亞州的紅木灘。1999年12月，獨立咨詢公司Gartner的全球數據庫軟件市場調查報告顯示， Oracle數據庫以高達80億美元的銷售額連續(xù)第三年名列榜首。其中，1999年Oracle數據庫的銷售額比1998年增長了18%，在UNIX市場的份額高達63%，在NT市場占據了40%的份額。在UNIX和NT這兩個最大的數據庫市場，Oracle的市場份額已達50%以上。2000年4月，Techtel公司的第一季度數據庫市場調查報告顯示，在大型商用市場，用戶購買Oracle數據庫的意向已超過了IBM的DB2，比例達到2∶1；在中小企業(yè)市場，用戶購買Oracle數據庫的也超過了微軟的SQLServer。2005年底，Oracle公司正式收購Siebel系統(tǒng)公司，成為全球最大的客戶關系管理軟件（CRM）廠商。 2007年5月，Gartner的報告指出，Oracle公司的數據庫產品在整個RDBMS市場上繼續(xù)維持優(yōu)勢，從2005年的31.4%上升到2006年的33.8%。2013年，多項統(tǒng)計數據顯示，Oracle公司超越 IBM公司，成為繼微軟后全球第二大軟件公司，世界上的所有行業(yè)幾乎都在應用Oracle數據庫技術，《財富》100強中的98家公司都采用Oracle數據庫。2014年3月，Gartner的調查報告顯示，Oracle數據庫的市場份額在2013年再次占據全球第一的位置，以47.4%超過了緊隨其后的4個廠商總和。此前，2012年Oracle的占有率為48.3%，2011年Oracle的占有率是48.8%，2010年Oracle的占有率是48.1%。2014年11月，IDC報告顯示，第二季度全球集成平臺市場規(guī)模達到10億美元，同比增長11.1%，其中，Oracle公司在該季度獲得了55%的集成系統(tǒng)市場份額，進一步擴大領先優(yōu)勢。

“IOE”中的“E”代表的是EMC美國易安信公司及其產品。EMC公司創(chuàng)建于1979年，是一家美國信息存儲資訊科技公司，主要業(yè)務為信息存儲及管理產品、服務和解決方案，總部設在美國的馬薩諸塞州霍普金頓市。2001年6月，獨立咨詢公司Gartner的報告顯示， EMC公司在信息存儲器系統(tǒng)的市場中不僅居于第一的位置，并且份額擴大到了34.6%，比其它任何一家供應商所占的市場份額多了近3倍，連續(xù)第二年在外部RAID存儲器市場的收入遠遠的超過了競爭對手的收入，并于2000年超過四大競爭對手之和。2006年，EMC公司的綜合收益達到了112億美元，連續(xù)三年半實現了收益的兩位數強勁增長，在《財富》雜志評選的美國財富500強中位列第224名。2010年，EMC公司的綜合收入達到170億美元。2011年，EMC名列美國《財富》計算機行業(yè)最受尊敬公司第二位、美國《財富》500強企業(yè)152位。2011年6月，市場研究公司IDC發(fā)布的全球每半年存儲軟件跟蹤報告稱，2011年全球存儲軟件市場銷售收入預計將達到138億美元，同比增長7.8%，其中，EMC和賽門鐵克在2010年下半年排在前兩位，占全球市場份額的將近41%。2012年5月18日，EMC公司宣布，在Gartner的 2011年全球網絡附加存儲/統(tǒng)一存儲市場研究報告中，EMC市場份額名列第一，與上年相比增加近一倍，達到28億美元，成為增長最快的NAS/統(tǒng)一存儲廠商。2013年3月12日，IDC的報告顯示，EMC的存儲業(yè)務持續(xù)增長，把其它對手遠遠甩在后面，繼續(xù)維持其在存儲市場的霸主地位，在外部磁盤和整個磁盤存儲市場中主流供應商的收入市場份額均占主導地位。

二、“IOE”對信息安全帶來的風險

1.“IOE”產品本身存在致命漏洞

IBM公司服務器軟件漏洞頻發(fā)。2003年2月17日，NGS公司公布了IBM 服務器程序的三個安全漏洞。遠程攻擊者可以通過向Web郵件服務請求發(fā)送一個超長的數值導致iNotes緩沖區(qū)溢出，從而攻擊者可以利用運行Domino Web服務的特許帳戶來執(zhí)行惡意代碼。NGS公司把這一缺陷定為“重大危險”級別。2010年9月1日，信息安全研究小組公布的一份各大軟件廠商對自家軟件的安全漏洞修復情況的報告顯示， IBM軟件有29%“關鍵”和“高?！甭┒次幢恍迯?，為各大軟件廠商中表現最差。2014年5月，國外信息安全研究人員發(fā)現IBM服務器產品存在致命漏洞，該漏洞可被黑客利用以獲取對受害用戶設備系統(tǒng)的控制權限。

Oracle公司數據庫漏洞多年未解決。2012年5月，Oracle 緊急發(fā)布了一個安全公告稱，在其數據庫服務器產品中，發(fā)現“0-day”安全漏洞，該漏洞允許攻擊者劫持客戶端和數據庫之間的交流信息，直接威脅目標數據庫安全。早在2008年，這個漏洞最先由研究員Joxean Koret提交給Oracle公司，本來他以為甲骨文已經修復了這個漏洞，但是當他在甲骨文最近的關鍵補丁更新里再次看到這個漏洞時，才知道該漏洞存在長達4年，一直沒有被修復。

EMC公司安全漏洞導致重大損失。2011年6月9日，Gartner的分析師稱，EMC公司RSA存儲系統(tǒng)的安全標牌發(fā)現安全漏洞，使美國約80%的銀行和Northwest Bancshares、洛克希德·馬丁等國防公司的信息認證系統(tǒng)處于風險之中。如果更換這些安全設備，將花費5000萬到1億美元。2013年5月，安全公司稱，在EMC磁盤陣列中發(fā)展致命漏洞，可允許任何人登錄到存儲系統(tǒng)上面，不受限制的操作，如不及時處理將造成重大損失。

2.“IOE”企業(yè)與美國情報機構關系曖昧

一直以來，“IOE”企業(yè)與美國政軍兩界合作密切、關系復雜。2001年10月26日，美國頒布了《美國愛國者法案》。根據法案的內容，警察機關有權搜索電話、電子郵件通訊、醫(yī)療、財務和其他種類的記錄，減少了對美國本土情報機構的限制。在此法案下，“IOE”企業(yè)都有可能無法保護客戶資料不受到情報機構的檢查。2010年，美國利用“震網”病毒，通過伊朗計算機安裝的微軟Windows操作系統(tǒng)，對伊朗核設施進行攻擊，導致伊朗核設施1000多臺離心機癱瘓。2013年9月22日，英國衛(wèi)報引述斯諾登泄漏的文件稱，EMC旗下的RSA加密算法被美國國家安全局(NSA)設置了“后門”。2013年12月，路透社披露，美國國家安全局（NSA）曾向EMC旗下安全公司RSA付費1000萬美元，令其在BSafe軟件中將一種有缺陷的隨機數生成技術作為“優(yōu)先”選項，以增強這項技術的受歡迎程度。2014年3月，根據斯諾登的爆料，多數信息安全研究人員懷疑IBM公司向美國安全局和其他政府機構提供了軟件源代碼、加密密鑰和客戶信息，盡管此后IBM發(fā)表聲明，進行了否認，但這種疑慮仍未消除。2015年2月17日，斯諾登表示，美國國家安全局已在IBM等公司生產的硬盤中隱藏間諜軟件，用于竊聽全世界的大部分計算機?？ò退够C實稱，發(fā)現在30多個國家的計算機都被安裝了1個或更多的間諜程序，其中感染最嚴重的國家為伊朗、俄羅斯、巴基斯坦、阿富汗、中國、馬里、敘利亞、也門和阿爾及利亞。病毒攻擊的目標包括政府和軍事機構、電信公司、銀行、能源公司、核能研究機構、媒體和伊斯蘭激進分子?？ò退够硎?，該病毒與美國安全局開發(fā)的曾用于攻擊伊朗鈾濃縮工廠的Stuxnet(震網病毒)有關。另外，Oracle公司的名稱就來自于公司CEO埃里森在Ampex工作時參加的一個由中央情報局創(chuàng)建的項目代碼名稱, Oracle數據庫的頭兩個用戶是美國中央情報局和海軍情報機構，足見Oracle公司與美國情報機構的關系不一般。

三、國外去“IOE”的主要做法

針對“IOE”產品存在的信息漏洞和風險威脅，特別是擔心美國政府及其情報機構利用“IOE”等美國信息產品對本國信息網絡進行監(jiān)控和竊取情報。俄羅斯、印度、巴西、澳大利亞、韓國、歐盟等國家和地區(qū)，積極實施去“IOE”行動，并采取一系列舉措，促進去“IOE”行動的效果，以確保網絡主權和信息安全。

1.實施去“IOE”行動，消除隱患

為了消除“IOE”帶來的信息安全隱患，擺脫美國對本國或本地區(qū)信息網絡的監(jiān)控，俄羅斯、韓國、歐盟等積極實施去“IOE”行動。

俄羅斯方面。2006年12月，俄羅斯警方對IBM莫斯科總部進行了突擊檢查，調查IBM公司在進行政府采購中采用的不正當手段，并對其高管做出了制裁。2013年3月，俄羅斯反壟斷監(jiān)管局表示，對Oracle公司以70億美元價格收購Sun的交易進行了審查，在符合俄羅斯相關法規(guī)后，批準了該交易。但只有在Oracle滿足該局有關要求時，這項批準才會生效。如果Oracle不遵循這一要求，則該局將依法宣布交易無效。2014年5月，為了消除美國信息技術帶來的風險威脅，俄羅斯下議院戰(zhàn)略信息系統(tǒng)委員會秘書建議，在俄羅斯國家銀行領域，用中國的服務器代替IBM產的美國服務器。7月22日，在美國針對俄羅斯部分大型企業(yè)出臺制裁措施后，俄羅斯戰(zhàn)略信息系統(tǒng)委員會發(fā)布的文件稱，美國的信息產品可能隱藏著“漏洞”或“后門”，可獲取俄羅斯的機密信息，要求政府機關和國有企業(yè)優(yōu)先使用本土供應商提供的軟件和硬件，并詳細規(guī)定了招標原則，以降低對IBM、Oracle等美國信息技術產品的依賴。此前，俄羅斯總統(tǒng)普京反復呼吁用本土信息產品替代進口產品，以降低國外信息技術的影響。

韓國方面。2004年1月，韓國反壟斷監(jiān)察機構――韓國公平貿易委員會表示，正在對IBM在韓國的行賄行為進行調查，一旦腐敗指控成立，IBM將不能投標參與政府部門的服務器和個人電腦采購合同。根據韓國的道德規(guī)范和相關法規(guī)，韓國政府最終可能會禁止IBM在未來兩年內參與部分韓國政府合約的競標。

歐盟方面。2003年10月，歐盟競爭委員會宣布，將對Oracle公司花費73億美元收購競爭對手PeopleSoft軟件公司一事進行一個月的初步檢查，11月17日后，將開展為期4個月的深度調查。Oracle公司表示，歐盟的深度調查將嚴重影響公司的業(yè)務進程。2008年6月3日，歐盟表示，經過依法嚴格審查后，批準了美國的EMC公司收購另一家數據存儲設備制造商Iomega。2009年9月3日，歐盟反壟斷委員會表示，擔心對數據庫市場競爭造成嚴重影響，決定對Oracle斥資74億美元收購Sun的交易進行深入審查，將于2010年1月19日做出是否批準的裁定，以保護消費者和歐盟企業(yè)的利益。11月2 日，歐盟反壟斷委員會批評Oracle說，Oracle沒有積極配合調查，未能提供足夠的相關交易證據。12月15日，Oracle公司向歐盟做出10項承諾，將全面配合歐盟的審查工作，期盼歐盟盡早批準收購Sun交易。2010年3月23日，法國公司向歐盟委員會起訴IBM壟斷市場，歐洲委員會競爭局進行了受理，要求IBM提出答復，并視情開展審查。7月26日，歐盟委員會宣布，將對IBM發(fā)起兩項反壟斷“重點”調查，第一項調查涉及IBM可能將其大型機硬件設備與其占據市場優(yōu)勢的大型機操作系統(tǒng)軟件綁定在一起。第二項調查涉及IBM對大型機維護服務提供商存在歧視性做法，包括限制或拒絕提供獨家擁有的零配件。

2.完善網絡安全法規(guī)，確保效果

為了使去“IOE”行動有法可依、確保效果，俄羅斯、巴西、印度、歐盟等國家或地區(qū)大力健全完善法律規(guī)范，為去“IOE”行動提供立法保障。

俄羅斯方面。2014年4月4日，俄羅斯出臺國家支付系統(tǒng)發(fā)展法案，以對抗美國因經濟制裁而停止對俄羅斯銀行系統(tǒng)提供的信息技術支持。2014年7月4日，俄羅斯通過《信息法》修正案，規(guī)定凡收集俄羅斯公民信息的互聯(lián)網企業(yè)必須將數據存儲在俄羅斯境內的服務器上，法案將于2015年9月1日生效，旨在有效防止俄羅斯信息數據被傳至海外，特別是美國境內。

巴西方面。1984年10月，通過《信息保護法》，1991年10月，將其修訂為《信息法》。新法規(guī)定：國家任何部門不得批準從國外進口與巴西國內有能力生產的同類型的信息產品；對國內尚在開發(fā)或者雖已具生產能力但無國際競爭能力的本民族信息產品和技術，國家以市場保護政策予以保護和管制等。2014年3月27日，巴西通過《網絡民法》，規(guī)定在巴西提供社交網絡、電子郵箱及搜索引擎等服務的外國互聯(lián)網公司，都必須在巴西本土建立數據中心，以確保該國民眾隱私權不被類似美國“棱鏡”等監(jiān)控計劃侵犯。

印度方面。2012年，印度頒布了《國家電信政策》，明確提出，要在印度營造一個適合本土制造電子產品的生態(tài)系統(tǒng)，促進印度自行設計和制造芯片，為印度創(chuàng)造一個更好的網絡安全生態(tài)系統(tǒng)，增強抵抗信息安全風險能力，以減低引進國外信息技術產品或服務帶來的信息安全威脅。2013年7月2日，正式發(fā)布《2013年國家網絡安全政策》，要求發(fā)展本土信息技術產品，并加強對進口信息技術的監(jiān)管，以應對國外信息技術產品潛在的安全威脅風險。

歐盟方面。1995年，通過《數據保護指令》；2001年，通過《關于向在第三國的處理者傳輸個人數據的標準合同條款的委員會決定》，要求在特殊情況下審查第三國的數據接收者。同年2月15日，歐盟與美國商務部就一系列數據保護原則和常見問題（“安全港原則”）達成共識，使美國公司能夠滿足歐盟法律關于充分保護個人信息從歐盟向美國轉移的要求。2011年，通過《保護RFID個人信息安全的協(xié)議》，是全球第一個將物聯(lián)網的個人數據安全納入保護范圍的法律。2012年11月，通過《一般數據保護條例》，為歐盟成員國立法保護個人數據設立了最低標準。

3.開展網絡安全審查，抑制擴張

對他國信息技術或服務實行網絡安全審查，是國外抑制“IOE”的一個慣用手段，也是一個國家確保自主可控信息安全的通行做法，俄羅斯、印度、澳大利亞在這方面都具有豐富的經驗。

俄羅斯方面。俄羅斯的網絡安全審查側重于產業(yè)，確立了一套對外資進入其戰(zhàn)略性產業(yè)的安全審查制度，由俄羅斯工業(yè)和貿易部接受申請，并征詢俄聯(lián)邦安全局和國家保密委員會的審核評估意見，從而確定交易是否存在風險。2008年5月，頒布《俄羅斯聯(lián)邦有關外資進入對保障俄羅斯國防和國家安全具有戰(zhàn)略意義的經營公司的程序法》，明確將密碼加密設備、電信固定線路列為42個俄羅斯戰(zhàn)略性行業(yè)之中，規(guī)定外國投資除需符合程序法有關要求外，還應遵守相關行業(yè)規(guī)范。

印度方面。印度的網絡安全審查側重于信息通信產品，對電信設備的采購進行嚴格的安全審查，要求國外企業(yè)向第三方檢查機構提交設備和網絡源代碼，并要求運營商制定明確的安全政策和網絡安全管理措施，對整個網絡安全負責。在外商投資方面，印度采用國家安全審查制度，沒有成文的規(guī)定，而是采取一事一議的“做法”，并且不對外公開。外交審查主要考慮三個方面內容：“敏感投資者”、“敏感行業(yè)”、“敏感地點”。印度正在考慮制定《國家安全例外法》，以規(guī)范對外資的安全審查，并對外國投資、敏感領域、兼并與收購等做出界定，制定打擊危害國家安全行為的相關措施。

澳大利亞方面。澳大利亞的網絡安全審查重點關注國家安全和經濟利益，并制定了專門的《外資收購法》《外資收購規(guī)定》等法律法案，對外資進行審查的核心標準是“是否與國家利益相?！?。對并購規(guī)模的控制不僅考慮控制力度的大小，即并購后所占總權益的比例，還同時考察用貨幣折算后的價值大小，以雙重標準嚴格控制外資的并購。

4.健全產品認證機制，把好關口

為了防范“IOE”產品帶來的信息安全風險，印度、澳大利亞、巴西和歐盟地區(qū)健全信息產品認證機制，從源頭限制國外有風險威脅的信息產品進入國內市場。

印度方面。2012年，印度出臺《電信設備認證指南》，規(guī)定任何電信設備制造商、進口商或經銷商在銷售或使用電信設備之前，必須首先取得印度官方電信工程技術中心的認證。如果向公網運營商銷售電信設備還必須獲得由中心認證通過的技術規(guī)范評估證書（TEC）?！峨娦旁O備認證指南》還對客戶端設備、終端設備、無線電通信設備及電磁兼容性制定了明確的技術規(guī)范，每類設備須通過與之相對應的多項接口標準，才能進入市場銷售或使用。

澳大利亞方面。澳大利亞信息產品認證機制一般采取自認證方式，即依產品標準執(zhí)行且通過測試后，簽署自我宣告書。但宣告書必須由澳大利亞境內的進口商、供貨商或制造商簽署，并且，針對一些特定的設備產品，要求其測試或認證必須由政府制定機構完成。

巴西方面。巴西政府建成了全國統(tǒng)一的電子政務認證系統(tǒng)，并形成一套比較完整的法律法規(guī)和管理制度。其中巴西電子政務認證中心（CA）負責全國電子證書的發(fā)放和管理，每個部和州都建立相應的分中心（RA），負責本部門和地區(qū)證書的審核、發(fā)放，在全國范圍形成了一個權威的證書體系。

歐盟方面。歐盟的信息產品準入制度強調環(huán)境和隱私保護，適用于包括通信設備在內的所有在歐盟境內銷售的產品，出臺了《關于限制在電子電器設備中使用某些有害成分的指令》（ROHS）、《關于報廢電子電氣設備指令》（WEEE）、《無線與電信終端設備指令》（R&TTE）、“歐洲隱私認證”等認證規(guī)定。歐盟重點關注信息產品交易的事后監(jiān)管，如果執(zhí)法機構發(fā)現產品不滿足相關法規(guī)的要求，會對其制造商采取罰款、市場禁入、甚至入刑等處罰措施。

5.扶持信息技術產業(yè)，自主可控

印度、俄羅斯、巴西等國家在去“IOE”的同時，大力扶持本國或本地區(qū)的信息技術產業(yè)發(fā)展，加速“IOE”產品的本土化水平，以替代“IOE”產品，確保本國網絡安全的自主可控。

印度方面。印度政府針對信息技術系統(tǒng)或服務多是從國外引進，造成網絡安全受制于人的局面，高度重視發(fā)展本國的信息技術產業(yè)，強制要求電信運營商必須采購一定比例的本土生產的信息設備、對本地通信設備企業(yè)在采購價格和融資方面給予優(yōu)惠，同時規(guī)定了逐步提高本地生產通訊設備的本地含量要求。2012年9月，印度啟動本國的計算機操作系統(tǒng)研發(fā)工程，預計2015年完成。該操作系統(tǒng)沒有利用任何來自國外的幫助，完全是由印度人獨立自主開發(fā)出來的。2012年10月，印度推出電子產品本土制造政策，列出了56款“安全敏感”電信產品名單，要求逐步實現本國制造，并規(guī)定80%的產品本土化必須在2020年前完成。同時，還擴大產品本土化的范圍，將所有政府部門、事業(yè)單位、政府控股企業(yè)所使用的網絡設備均納入本土制造名單。

俄羅斯方面。一是出臺扶持本國信息技術產業(yè)的政策規(guī)劃。2000年6月，出臺《俄羅斯聯(lián)邦信息安全學說》，提出發(fā)展本國的信息通訊技術，保證本國信息產品打入國際市場，并要求相關機構為本國軟件開發(fā)人員提供支持。2014年1月10日，頒布《俄羅斯聯(lián)邦網絡安全戰(zhàn)略構想》（草案），明確提出要為研發(fā)、生產和使用本國的網絡安全設備提供條件。二是提高外國投資本國信息技術產業(yè)的門檻。2008年，制定《外國投資俄羅斯國防和國家安全戰(zhàn)略意義的企業(yè)的管理辦法》。2012年5月，對其進行了修訂，規(guī)定外國投資者控股10%以上，需要俄聯(lián)邦反壟斷總署的預審，其審查時間為44天。三是限制外國信息產品或服務在本國的發(fā)展。2011年7月，由于涉及安全因素，俄羅斯考慮在政府機關內禁用蘋果iPad，同時還在積極考察iPad的國內替代產品。2014年7月，俄羅斯要求蘋果公司必須向俄羅斯政府公開產品源代碼，證明其產品沒有后門供美國情報部門使用。四是政府用計算機使用本國自主研發(fā)的處理器。2014年6月25日，俄羅斯工業(yè)和貿易部宣布，未來該國的政府機構和國營企業(yè)，將不再采購以Intel或AMD為處理器的計算機，而將采用俄羅斯本國生產的Baikal處理器芯片為核心的計算機。五是開發(fā)計算機自主操作系統(tǒng)，減少對Windows依賴。2010年12月，時任俄羅斯政府總理的普京簽署命令，開發(fā)一款基于Linux的國產操作系統(tǒng)，以減輕對微軟Windows系統(tǒng)的依賴，更好地監(jiān)控計算機安全。六是打造本國金融支付系統(tǒng)。2014年4月3日，普京要求建立國家支付系統(tǒng)，責成政府和中央銀行在一個月內制定可行性計劃，并于2015年建成，意在減少對美國“IOE”金融信息產品的依賴，維護國家安全。七是研發(fā)本國存儲系統(tǒng)。2011年，俄羅斯推出本國的存儲系統(tǒng)Bitblaze，以替代EMC公司的存儲產品。

巴西方面。一是構建自主信息網絡系統(tǒng)。2013年9月18日，巴西總統(tǒng)羅塞夫表示，為了躲避美國無孔不入的網絡監(jiān)視行為，減少巴西互聯(lián)網流經美國的數量，計劃鋪設直通歐洲的海底光纜，連結所有南美洲國家，建立自主可控的本國信息系統(tǒng)網絡，增強網絡獨立性和安全性。11月13日，巴西表示，正在推進一項將民眾的信息儲存在國內信息儲存中心的計劃。二是開發(fā)基于開放源代碼的信息系統(tǒng)和產品。2007年，為了技術上不受制于國外，巴西政府把推廣開放源代碼的應用作為推進電子政務、促進本國信息產業(yè)發(fā)展的一項基本政策，大力提倡應用基于開放源代碼技術的信息系統(tǒng)和產品。2007年內，巴西共有13個政府部門、16所大學、11個大型企業(yè)參與了這項開放源代碼工作計劃。1300多個政府機構、1900多家企業(yè)以及巴西中央銀行和全國4800多家支行基本使用基于開放源代碼的操作系統(tǒng)，而不再使用Windows產品，其它少數非開放源代碼的應用系統(tǒng)也在逐步向開放源代碼系統(tǒng)轉化。

四、啟示與思考

當前，以IBM、ORACLE和EMC公司的產品構建的“IOE”信息技術體系已成為我國金融、電信等基礎設施的主要信息體系。美國的思科、IBM、谷歌、高通、英特爾、蘋果、ORACLE和微軟等“八大金剛”信息產品，在中國長驅直入，占據了政府、海關、郵政、鐵路、民航、醫(yī)療、軍警等眾多關鍵領域。斯諾登事件表明，美國情報機構正在利用其信息技術優(yōu)勢，加強與“IOE”及“八大金剛”企業(yè)的合作，對中國政府和重要民用信息系統(tǒng)進行嚴密監(jiān)控，給我國信息安全帶來巨大威脅和安全風險。為此，我國要借鑒俄羅斯、印度、歐盟等國家或地區(qū)的實踐經驗，積極采取去“IOE”行動，大力構筑自主可控的信息安全環(huán)境。

一是積極采取去“IOE”行動。加快研制小型機、專業(yè)數據庫、高效存儲系統(tǒng)，推進去“IOE”信息技術體系后的國產化產品替代，逐步減少對IBM、ORACLE、EMC等產品的依賴。

二是完善網絡和信息安全法規(guī)。適應新形勢變化，制定新的信息安全法律，來規(guī)范網絡空間主體的權利和義務，尤其在網絡安全審查、扶持本國信息產業(yè)、推進信息產品認證和市場準入，以及數據資源的保護使用和跨國流動等方面加強立法，明確相關主體應當承擔的法律責任和義務，逐步構建起信息安全立法框架，為去“IOE”行動提供法律保障。

三是高度重視網絡安全審查工作。加快出臺我國的網絡安全審查制度，對進入我國市場的重要信息技術產品及提供者進行全面的安全審查，確保信息產品的安全性和可控性，防止產品提供者借助提供產品之便，非法控制、干擾、中斷用戶系統(tǒng)，非法收集、存儲、處理和利用用戶有關信息。

四是大力發(fā)展本國信息技術產業(yè)。加大對信息技術產業(yè)的投資，特別是對于基礎性研究工作要給予稅收、貸款、融資、價格、貿易、政府補貼等政策優(yōu)惠；加強高端通用芯片、操作系統(tǒng)、數據庫、中間件等關鍵技術攻關，提高信息安全技術產品水平。采取各種舉措大力推進“IOE”軟硬件國產化，在同等可替代條件下，優(yōu)先選用國產設備和服務，從而促進國內信息技術產業(yè)的發(fā)展，構建自主、可信、可控的信息安全保障體系。