国外去“IOE”信息技术体系的主要做法及启示

2015-08-07国家信息技术安全研究中心周季礼91731部队李军

信息安全与通信保密 2015年5期

国家信息技术安全研究中心周季礼 91731部队李军

国家信息技术安全研究中心周季礼 91731部队李军

以美国IBM公司的小型机、Oracle公司的数据库软件和EMC公司的高端存储设备构建的信息系统，被业界称为“IOE”信息技术体系。“IOE”一直是金融、电信等关键信息基础设施的重要信息系统，已成为包括中国在内的全球企业、政府内关键信息系统的主要组成部分，并在不断的增长和扩张。斯诺登事件表明，美国情报机构与包括IBM、Oracle公司在内的美国信息企业密切合作，对全球通信系统和网络进行监控，并在存储设备厂商的产品中设置后门，疯狂窃取计算机用户信息，引发世界各国的信息安全危机。俄罗斯、印度、巴西、韩国、澳大利亚、欧盟等世界主要国家和地区，采取了一系列去“IOE”的行动，减少美国信息产品在本国的使用率。并通过完善信息安全法规、加强网络安全审查、健全信息产品准入机制、扶持本国信息技术产业等措施，确保去“IOE”行动的效果，打造自主可控的信息安全保障体系。其中，一些做法具有借鉴意义。

一、“IOE”发展现状

“IOE”中的“I”代表的是IBM国际商用机器公司及其产品。IBM公司创建于1911年，是一家拥有40万中层干部，520亿美元资产的大型企业，年销售额达到500多亿美元。在世界132个国家和地区设有子公司和营业点，拥有39个生产厂、3个基础研究部、22个产品研究所和13个科学中心，是美国也是世界知名的电子计算机制造商。多年来，在《幸福》杂志评选出的美国前500家公司中一直名列榜首。1981年8月12日，IBM发布了第一台PC机，从此进入了个人电脑领域。长久以来，IBM在小型机领域一直占据着绝对的优势，是全球金融、电信、医疗等行业的首选服务器产品。独立咨询公司Gartner的数据显示，2009年第三季度IBM占据了42%的全球小型机收入市场份额，IDC的数据则是IBM占据了39.5%的份额。2011年9月，IDC发布的第二季度数据显示，IBM Power系统占据了59.2%全球小型机市场份额，比2010年同期增长了近10个百分点。2013年3月，IDC数据显示，IBM Power Systems在中国小型机服务器市场份额连续15年稳居第一，截至2012年第四季度，已达到76%。

“IOE”中的“O”代表的是Oracle甲骨文软件系统有限公司及其产品。Oracle公司成立于1977年，是全球最大的信息管理软件及服务供应商，总部位于美国加利福尼亚州的红木滩。1999年12月，独立咨询公司Gartner的全球数据库软件市场调查报告显示， Oracle数据库以高达80亿美元的销售额连续第三年名列榜首。其中，1999年Oracle数据库的销售额比1998年增长了18%，在UNIX市场的份额高达63%，在NT市场占据了40%的份额。在UNIX和NT这两个最大的数据库市场，Oracle的市场份额已达50%以上。2000年4月，Techtel公司的第一季度数据库市场调查报告显示，在大型商用市场，用户购买Oracle数据库的意向已超过了IBM的DB2，比例达到2∶1；在中小企业市场，用户购买Oracle数据库的也超过了微软的SQLServer。2005年底，Oracle公司正式收购Siebel系统公司，成为全球最大的客户关系管理软件（CRM）厂商。 2007年5月，Gartner的报告指出，Oracle公司的数据库产品在整个RDBMS市场上继续维持优势，从2005年的31.4%上升到2006年的33.8%。2013年，多项统计数据显示，Oracle公司超越 IBM公司，成为继微软后全球第二大软件公司，世界上的所有行业几乎都在应用Oracle数据库技术，《财富》100强中的98家公司都采用Oracle数据库。2014年3月，Gartner的调查报告显示，Oracle数据库的市场份额在2013年再次占据全球第一的位置，以47.4%超过了紧随其后的4个厂商总和。此前，2012年Oracle的占有率为48.3%，2011年Oracle的占有率是48.8%，2010年Oracle的占有率是48.1%。2014年11月，IDC报告显示，第二季度全球集成平台市场规模达到10亿美元，同比增长11.1%，其中，Oracle公司在该季度获得了55%的集成系统市场份额，进一步扩大领先优势。

“IOE”中的“E”代表的是EMC美国易安信公司及其产品。EMC公司创建于1979年，是一家美国信息存储资讯科技公司，主要业务为信息存储及管理产品、服务和解决方案，总部设在美国的马萨诸塞州霍普金顿市。2001年6月，独立咨询公司Gartner的报告显示， EMC公司在信息存储器系统的市场中不仅居于第一的位置，并且份额扩大到了34.6%，比其它任何一家供应商所占的市场份额多了近3倍，连续第二年在外部RAID存储器市场的收入远远的超过了竞争对手的收入，并于2000年超过四大竞争对手之和。2006年，EMC公司的综合收益达到了112亿美元，连续三年半实现了收益的两位数强劲增长，在《财富》杂志评选的美国财富500强中位列第224名。2010年，EMC公司的综合收入达到170亿美元。2011年，EMC名列美国《财富》计算机行业最受尊敬公司第二位、美国《财富》500强企业152位。2011年6月，市场研究公司IDC发布的全球每半年存储软件跟踪报告称，2011年全球存储软件市场销售收入预计将达到138亿美元，同比增长7.8%，其中，EMC和赛门铁克在2010年下半年排在前两位，占全球市场份额的将近41%。2012年5月18日，EMC公司宣布，在Gartner的 2011年全球网络附加存储/统一存储市场研究报告中，EMC市场份额名列第一，与上年相比增加近一倍，达到28亿美元，成为增长最快的NAS/统一存储厂商。2013年3月12日，IDC的报告显示，EMC的存储业务持续增长，把其它对手远远甩在后面，继续维持其在存储市场的霸主地位，在外部磁盘和整个磁盘存储市场中主流供应商的收入市场份额均占主导地位。

二、“IOE”对信息安全带来的风险

1.“IOE”产品本身存在致命漏洞

IBM公司服务器软件漏洞频发。2003年2月17日，NGS公司公布了IBM 服务器程序的三个安全漏洞。远程攻击者可以通过向Web邮件服务请求发送一个超长的数值导致iNotes缓冲区溢出，从而攻击者可以利用运行Domino Web服务的特许帐户来执行恶意代码。NGS公司把这一缺陷定为“重大危险”级别。2010年9月1日，信息安全研究小组公布的一份各大软件厂商对自家软件的安全漏洞修复情况的报告显示， IBM软件有29%“关键”和“高危”漏洞未被修复，为各大软件厂商中表现最差。2014年5月，国外信息安全研究人员发现IBM服务器产品存在致命漏洞，该漏洞可被黑客利用以获取对受害用户设备系统的控制权限。

Oracle公司数据库漏洞多年未解决。2012年5月，Oracle 紧急发布了一个安全公告称，在其数据库服务器产品中，发现“0-day”安全漏洞，该漏洞允许攻击者劫持客户端和数据库之间的交流信息，直接威胁目标数据库安全。早在2008年，这个漏洞最先由研究员Joxean Koret提交给Oracle公司，本来他以为甲骨文已经修复了这个漏洞，但是当他在甲骨文最近的关键补丁更新里再次看到这个漏洞时，才知道该漏洞存在长达4年，一直没有被修复。

EMC公司安全漏洞导致重大损失。2011年6月9日，Gartner的分析师称，EMC公司RSA存储系统的安全标牌发现安全漏洞，使美国约80%的银行和Northwest Bancshares、洛克希德·马丁等国防公司的信息认证系统处于风险之中。如果更换这些安全设备，将花费5000万到1亿美元。2013年5月，安全公司称，在EMC磁盘阵列中发展致命漏洞，可允许任何人登录到存储系统上面，不受限制的操作，如不及时处理将造成重大损失。

2.“IOE”企业与美国情报机构关系暧昧

一直以来，“IOE”企业与美国政军两界合作密切、关系复杂。2001年10月26日，美国颁布了《美国爱国者法案》。根据法案的内容，警察机关有权搜索电话、电子邮件通讯、医疗、财务和其他种类的记录，减少了对美国本土情报机构的限制。在此法案下，“IOE”企业都有可能无法保护客户资料不受到情报机构的检查。2010年，美国利用“震网”病毒，通过伊朗计算机安装的微软Windows操作系统，对伊朗核设施进行攻击，导致伊朗核设施1000多台离心机瘫痪。2013年9月22日，英国卫报引述斯诺登泄漏的文件称，EMC旗下的RSA加密算法被美国国家安全局(NSA)设置了“后门”。2013年12月，路透社披露，美国国家安全局（NSA）曾向EMC旗下安全公司RSA付费1000万美元，令其在BSafe软件中将一种有缺陷的随机数生成技术作为“优先”选项，以增强这项技术的受欢迎程度。2014年3月，根据斯诺登的爆料，多数信息安全研究人员怀疑IBM公司向美国安全局和其他政府机构提供了软件源代码、加密密钥和客户信息，尽管此后IBM发表声明，进行了否认，但这种疑虑仍未消除。2015年2月17日，斯诺登表示，美国国家安全局已在IBM等公司生产的硬盘中隐藏间谍软件，用于窃听全世界的大部分计算机。卡巴斯基证实称，发现在30多个国家的计算机都被安装了1个或更多的间谍程序，其中感染最严重的国家为伊朗、俄罗斯、巴基斯坦、阿富汗、中国、马里、叙利亚、也门和阿尔及利亚。病毒攻击的目标包括政府和军事机构、电信公司、银行、能源公司、核能研究机构、媒体和伊斯兰激进分子。卡巴斯基表示，该病毒与美国安全局开发的曾用于攻击伊朗铀浓缩工厂的Stuxnet(震网病毒)有关。另外，Oracle公司的名称就来自于公司CEO埃里森在Ampex工作时参加的一个由中央情报局创建的项目代码名称, Oracle数据库的头两个用户是美国中央情报局和海军情报机构，足见Oracle公司与美国情报机构的关系不一般。

三、国外去“IOE”的主要做法

针对“IOE”产品存在的信息漏洞和风险威胁，特别是担心美国政府及其情报机构利用“IOE”等美国信息产品对本国信息网络进行监控和窃取情报。俄罗斯、印度、巴西、澳大利亚、韩国、欧盟等国家和地区，积极实施去“IOE”行动，并采取一系列举措，促进去“IOE”行动的效果，以确保网络主权和信息安全。

1.实施去“IOE”行动，消除隐患

为了消除“IOE”带来的信息安全隐患，摆脱美国对本国或本地区信息网络的监控，俄罗斯、韩国、欧盟等积极实施去“IOE”行动。

俄罗斯方面。2006年12月，俄罗斯警方对IBM莫斯科总部进行了突击检查，调查IBM公司在进行政府采购中采用的不正当手段，并对其高管做出了制裁。2013年3月，俄罗斯反垄断监管局表示，对Oracle公司以70亿美元价格收购Sun的交易进行了审查，在符合俄罗斯相关法规后，批准了该交易。但只有在Oracle满足该局有关要求时，这项批准才会生效。如果Oracle不遵循这一要求，则该局将依法宣布交易无效。2014年5月，为了消除美国信息技术带来的风险威胁，俄罗斯下议院战略信息系统委员会秘书建议，在俄罗斯国家银行领域，用中国的服务器代替IBM产的美国服务器。7月22日，在美国针对俄罗斯部分大型企业出台制裁措施后，俄罗斯战略信息系统委员会发布的文件称，美国的信息产品可能隐藏着“漏洞”或“后门”，可获取俄罗斯的机密信息，要求政府机关和国有企业优先使用本土供应商提供的软件和硬件，并详细规定了招标原则，以降低对IBM、Oracle等美国信息技术产品的依赖。此前，俄罗斯总统普京反复呼吁用本土信息产品替代进口产品，以降低国外信息技术的影响。

韩国方面。2004年1月，韩国反垄断监察机构――韩国公平贸易委员会表示，正在对IBM在韩国的行贿行为进行调查，一旦腐败指控成立，IBM将不能投标参与政府部门的服务器和个人电脑采购合同。根据韩国的道德规范和相关法规，韩国政府最终可能会禁止IBM在未来两年内参与部分韩国政府合约的竞标。

欧盟方面。2003年10月，欧盟竞争委员会宣布，将对Oracle公司花费73亿美元收购竞争对手PeopleSoft软件公司一事进行一个月的初步检查，11月17日后，将开展为期4个月的深度调查。Oracle公司表示，欧盟的深度调查将严重影响公司的业务进程。2008年6月3日，欧盟表示，经过依法严格审查后，批准了美国的EMC公司收购另一家数据存储设备制造商Iomega。2009年9月3日，欧盟反垄断委员会表示，担心对数据库市场竞争造成严重影响，决定对Oracle斥资74亿美元收购Sun的交易进行深入审查，将于2010年1月19日做出是否批准的裁定，以保护消费者和欧盟企业的利益。11月2 日，欧盟反垄断委员会批评Oracle说，Oracle没有积极配合调查，未能提供足够的相关交易证据。12月15日，Oracle公司向欧盟做出10项承诺，将全面配合欧盟的审查工作，期盼欧盟尽早批准收购Sun交易。2010年3月23日，法国公司向欧盟委员会起诉IBM垄断市场，欧洲委员会竞争局进行了受理，要求IBM提出答复，并视情开展审查。7月26日，欧盟委员会宣布，将对IBM发起两项反垄断“重点”调查，第一项调查涉及IBM可能将其大型机硬件设备与其占据市场优势的大型机操作系统软件绑定在一起。第二项调查涉及IBM对大型机维护服务提供商存在歧视性做法，包括限制或拒绝提供独家拥有的零配件。

2.完善网络安全法规，确保效果

为了使去“IOE”行动有法可依、确保效果，俄罗斯、巴西、印度、欧盟等国家或地区大力健全完善法律规范，为去“IOE”行动提供立法保障。

俄罗斯方面。2014年4月4日，俄罗斯出台国家支付系统发展法案，以对抗美国因经济制裁而停止对俄罗斯银行系统提供的信息技术支持。2014年7月4日，俄罗斯通过《信息法》修正案，规定凡收集俄罗斯公民信息的互联网企业必须将数据存储在俄罗斯境内的服务器上，法案将于2015年9月1日生效，旨在有效防止俄罗斯信息数据被传至海外，特别是美国境内。

巴西方面。1984年10月，通过《信息保护法》，1991年10月，将其修订为《信息法》。新法规定：国家任何部门不得批准从国外进口与巴西国内有能力生产的同类型的信息产品；对国内尚在开发或者虽已具生产能力但无国际竞争能力的本民族信息产品和技术，国家以市场保护政策予以保护和管制等。2014年3月27日，巴西通过《网络民法》，规定在巴西提供社交网络、电子邮箱及搜索引擎等服务的外国互联网公司，都必须在巴西本土建立数据中心，以确保该国民众隐私权不被类似美国“棱镜”等监控计划侵犯。

印度方面。2012年，印度颁布了《国家电信政策》，明确提出，要在印度营造一个适合本土制造电子产品的生态系统，促进印度自行设计和制造芯片，为印度创造一个更好的网络安全生态系统，增强抵抗信息安全风险能力，以减低引进国外信息技术产品或服务带来的信息安全威胁。2013年7月2日，正式发布《2013年国家网络安全政策》，要求发展本土信息技术产品，并加强对进口信息技术的监管，以应对国外信息技术产品潜在的安全威胁风险。

欧盟方面。1995年，通过《数据保护指令》；2001年，通过《关于向在第三国的处理者传输个人数据的标准合同条款的委员会决定》，要求在特殊情况下审查第三国的数据接收者。同年2月15日，欧盟与美国商务部就一系列数据保护原则和常见问题（“安全港原则”）达成共识，使美国公司能够满足欧盟法律关于充分保护个人信息从欧盟向美国转移的要求。2011年，通过《保护RFID个人信息安全的协议》，是全球第一个将物联网的个人数据安全纳入保护范围的法律。2012年11月，通过《一般数据保护条例》，为欧盟成员国立法保护个人数据设立了最低标准。

3.开展网络安全审查，抑制扩张

对他国信息技术或服务实行网络安全审查，是国外抑制“IOE”的一个惯用手段，也是一个国家确保自主可控信息安全的通行做法，俄罗斯、印度、澳大利亚在这方面都具有丰富的经验。

俄罗斯方面。俄罗斯的网络安全审查侧重于产业，确立了一套对外资进入其战略性产业的安全审查制度，由俄罗斯工业和贸易部接受申请，并征询俄联邦安全局和国家保密委员会的审核评估意见，从而确定交易是否存在风险。2008年5月，颁布《俄罗斯联邦有关外资进入对保障俄罗斯国防和国家安全具有战略意义的经营公司的程序法》，明确将密码加密设备、电信固定线路列为42个俄罗斯战略性行业之中，规定外国投资除需符合程序法有关要求外，还应遵守相关行业规范。

印度方面。印度的网络安全审查侧重于信息通信产品，对电信设备的采购进行严格的安全审查，要求国外企业向第三方检查机构提交设备和网络源代码，并要求运营商制定明确的安全政策和网络安全管理措施，对整个网络安全负责。在外商投资方面，印度采用国家安全审查制度，没有成文的规定，而是采取一事一议的“做法”，并且不对外公开。外交审查主要考虑三个方面内容：“敏感投资者”、“敏感行业”、“敏感地点”。印度正在考虑制定《国家安全例外法》，以规范对外资的安全审查，并对外国投资、敏感领域、兼并与收购等做出界定，制定打击危害国家安全行为的相关措施。

澳大利亚方面。澳大利亚的网络安全审查重点关注国家安全和经济利益，并制定了专门的《外资收购法》《外资收购规定》等法律法案，对外资进行审查的核心标准是“是否与国家利益相悖”。对并购规模的控制不仅考虑控制力度的大小，即并购后所占总权益的比例，还同时考察用货币折算后的价值大小，以双重标准严格控制外资的并购。

4.健全产品认证机制，把好关口

为了防范“IOE”产品带来的信息安全风险，印度、澳大利亚、巴西和欧盟地区健全信息产品认证机制，从源头限制国外有风险威胁的信息产品进入国内市场。

印度方面。2012年，印度出台《电信设备认证指南》，规定任何电信设备制造商、进口商或经销商在销售或使用电信设备之前，必须首先取得印度官方电信工程技术中心的认证。如果向公网运营商销售电信设备还必须获得由中心认证通过的技术规范评估证书（TEC）。《电信设备认证指南》还对客户端设备、终端设备、无线电通信设备及电磁兼容性制定了明确的技术规范，每类设备须通过与之相对应的多项接口标准，才能进入市场销售或使用。

澳大利亚方面。澳大利亚信息产品认证机制一般采取自认证方式，即依产品标准执行且通过测试后，签署自我宣告书。但宣告书必须由澳大利亚境内的进口商、供货商或制造商签署，并且，针对一些特定的设备产品，要求其测试或认证必须由政府制定机构完成。

巴西方面。巴西政府建成了全国统一的电子政务认证系统，并形成一套比较完整的法律法规和管理制度。其中巴西电子政务认证中心（CA）负责全国电子证书的发放和管理，每个部和州都建立相应的分中心（RA），负责本部门和地区证书的审核、发放，在全国范围形成了一个权威的证书体系。

欧盟方面。欧盟的信息产品准入制度强调环境和隐私保护，适用于包括通信设备在内的所有在欧盟境内销售的产品，出台了《关于限制在电子电器设备中使用某些有害成分的指令》（ROHS）、《关于报废电子电气设备指令》（WEEE）、《无线与电信终端设备指令》（R&TTE）、“欧洲隐私认证”等认证规定。欧盟重点关注信息产品交易的事后监管，如果执法机构发现产品不满足相关法规的要求，会对其制造商采取罚款、市场禁入、甚至入刑等处罚措施。

5.扶持信息技术产业，自主可控

印度、俄罗斯、巴西等国家在去“IOE”的同时，大力扶持本国或本地区的信息技术产业发展，加速“IOE”产品的本土化水平，以替代“IOE”产品，确保本国网络安全的自主可控。

印度方面。印度政府针对信息技术系统或服务多是从国外引进，造成网络安全受制于人的局面，高度重视发展本国的信息技术产业，强制要求电信运营商必须采购一定比例的本土生产的信息设备、对本地通信设备企业在采购价格和融资方面给予优惠，同时规定了逐步提高本地生产通讯设备的本地含量要求。2012年9月，印度启动本国的计算机操作系统研发工程，预计2015年完成。该操作系统没有利用任何来自国外的帮助，完全是由印度人独立自主开发出来的。2012年10月，印度推出电子产品本土制造政策，列出了56款“安全敏感”电信产品名单，要求逐步实现本国制造，并规定80%的产品本土化必须在2020年前完成。同时，还扩大产品本土化的范围，将所有政府部门、事业单位、政府控股企业所使用的网络设备均纳入本土制造名单。

俄罗斯方面。一是出台扶持本国信息技术产业的政策规划。2000年6月，出台《俄罗斯联邦信息安全学说》，提出发展本国的信息通讯技术，保证本国信息产品打入国际市场，并要求相关机构为本国软件开发人员提供支持。2014年1月10日，颁布《俄罗斯联邦网络安全战略构想》（草案），明确提出要为研发、生产和使用本国的网络安全设备提供条件。二是提高外国投资本国信息技术产业的门槛。2008年，制定《外国投资俄罗斯国防和国家安全战略意义的企业的管理办法》。2012年5月，对其进行了修订，规定外国投资者控股10%以上，需要俄联邦反垄断总署的预审，其审查时间为44天。三是限制外国信息产品或服务在本国的发展。2011年7月，由于涉及安全因素，俄罗斯考虑在政府机关内禁用苹果iPad，同时还在积极考察iPad的国内替代产品。2014年7月，俄罗斯要求苹果公司必须向俄罗斯政府公开产品源代码，证明其产品没有后门供美国情报部门使用。四是政府用计算机使用本国自主研发的处理器。2014年6月25日，俄罗斯工业和贸易部宣布，未来该国的政府机构和国营企业，将不再采购以Intel或AMD为处理器的计算机，而将采用俄罗斯本国生产的Baikal处理器芯片为核心的计算机。五是开发计算机自主操作系统，减少对Windows依赖。2010年12月，时任俄罗斯政府总理的普京签署命令，开发一款基于Linux的国产操作系统，以减轻对微软Windows系统的依赖，更好地监控计算机安全。六是打造本国金融支付系统。2014年4月3日，普京要求建立国家支付系统，责成政府和中央银行在一个月内制定可行性计划，并于2015年建成，意在减少对美国“IOE”金融信息产品的依赖，维护国家安全。七是研发本国存储系统。2011年，俄罗斯推出本国的存储系统Bitblaze，以替代EMC公司的存储产品。

巴西方面。一是构建自主信息网络系统。2013年9月18日，巴西总统罗塞夫表示，为了躲避美国无孔不入的网络监视行为，减少巴西互联网流经美国的数量，计划铺设直通欧洲的海底光缆，连结所有南美洲国家，建立自主可控的本国信息系统网络，增强网络独立性和安全性。11月13日，巴西表示，正在推进一项将民众的信息储存在国内信息储存中心的计划。二是开发基于开放源代码的信息系统和产品。2007年，为了技术上不受制于国外，巴西政府把推广开放源代码的应用作为推进电子政务、促进本国信息产业发展的一项基本政策，大力提倡应用基于开放源代码技术的信息系统和产品。2007年内，巴西共有13个政府部门、16所大学、11个大型企业参与了这项开放源代码工作计划。1300多个政府机构、1900多家企业以及巴西中央银行和全国4800多家支行基本使用基于开放源代码的操作系统，而不再使用Windows产品，其它少数非开放源代码的应用系统也在逐步向开放源代码系统转化。

四、启示与思考

当前，以IBM、ORACLE和EMC公司的产品构建的“IOE”信息技术体系已成为我国金融、电信等基础设施的主要信息体系。美国的思科、IBM、谷歌、高通、英特尔、苹果、ORACLE和微软等“八大金刚”信息产品，在中国长驱直入，占据了政府、海关、邮政、铁路、民航、医疗、军警等众多关键领域。斯诺登事件表明，美国情报机构正在利用其信息技术优势，加强与“IOE”及“八大金刚”企业的合作，对中国政府和重要民用信息系统进行严密监控，给我国信息安全带来巨大威胁和安全风险。为此，我国要借鉴俄罗斯、印度、欧盟等国家或地区的实践经验，积极采取去“IOE”行动，大力构筑自主可控的信息安全环境。

一是积极采取去“IOE”行动。加快研制小型机、专业数据库、高效存储系统，推进去“IOE”信息技术体系后的国产化产品替代，逐步减少对IBM、ORACLE、EMC等产品的依赖。

二是完善网络和信息安全法规。适应新形势变化，制定新的信息安全法律，来规范网络空间主体的权利和义务，尤其在网络安全审查、扶持本国信息产业、推进信息产品认证和市场准入，以及数据资源的保护使用和跨国流动等方面加强立法，明确相关主体应当承担的法律责任和义务，逐步构建起信息安全立法框架，为去“IOE”行动提供法律保障。

三是高度重视网络安全审查工作。加快出台我国的网络安全审查制度，对进入我国市场的重要信息技术产品及提供者进行全面的安全审查，确保信息产品的安全性和可控性，防止产品提供者借助提供产品之便，非法控制、干扰、中断用户系统，非法收集、存储、处理和利用用户有关信息。

四是大力发展本国信息技术产业。加大对信息技术产业的投资，特别是对于基础性研究工作要给予税收、贷款、融资、价格、贸易、政府补贴等政策优惠；加强高端通用芯片、操作系统、数据库、中间件等关键技术攻关，提高信息安全技术产品水平。采取各种举措大力推进“IOE”软硬件国产化，在同等可替代条件下，优先选用国产设备和服务，从而促进国内信息技术产业的发展，构建自主、可信、可控的信息安全保障体系。