笔者就此话题和3家大型企业的CIO进行了深入交流,对信息化和信息安全都有深刻的了解与认知,也在使用国外的管理软件产品。综合分析,笔者形成了三个核心观点。第一,管理软件在理论上也可能被“监听”。这是因为管理软件也可能存在后门,监听者可以通过“后门程序”进行监听。另一方面,管理软件也越来越多地采用在线升级和在线服务等手段,这种“在线”也可以用来“监听”。
第二,管理软件被监听带来的危害比想象中的要大。管理软件所运行的都企业日常的财务和运营等经济数据,如果被监听,会带来两个方面的危害。一方面,这些数据可能被国外的同行或竞争对手所获取并利用;另一方面,可能会被他国政府获取并用来发动“双反”等贸易战争。这主要是因为,管理软件的应用中有一个聚集效应,即行业中的几个巨头或代表企业往往都会采用相同或类似的管理软件。现在国内有很多行业中的领头羊都应用了国外的管理软件。当他国政府利用国外管理软件对这些行业代表企业都进行统一监听时,他们就能获取整个行业的经济运行情况。这些宏观的行业经济数据对于该行业在全球市场中竞争与发展会带来极大的影响。一旦由此而开始贸易争端,所有企业都将不可避免地受到影响。这方面的影响,很多CIO都没有认识到。
第三,应尽可能地将国外管理软件替换成国内品牌。这主要是因为应用国外管理软件确实存在上述危害,不加以替换,始终是一个无法根除的信息安全隐患。另一方面,国内大型企业一旦应用国外管理软件之后,基本就被国外厂商所绑架。企业很难按照自己的意愿对管理软件进行调整和修改。这对于企业的未来发展会带来很多意想不到的困难。同时,企业也必须因此而付出越来越高的服务成本。
在以前的认知中,绝大多数人都认为棱镜门和管理软件没有关系,监听也和管理软件没有关系,这只是芯片和操作系统相关的事情。CIO们的观点表明,这是认知误区。