今年全國兩會召開期間，信息安全、網絡安全成為代表委員的關注焦點之一。近日，《中國電子報》記者采訪了信息安全專家、北京大學網絡和軟件安全保障實驗室主任、教授陳鐘，就當前的信息系統國產替代、去ioe、個人信息保護、微軟xp系統停止服務等熱點問題進行了探討。

國產軟硬件替代是中國夢

國產軟硬件替代是我們的目標和追求，要看到和西方企業的差距，重點發力的是要提升自己產品的技術實力和服務質量。

國產軟硬件替代無論是從企業本身還是國家戰略部署，都給予了大量支持。更多的國產軟硬件替代意味著我國可能有更多自主可控的系統，從信息安全的角度來看是控制權的問題，從經濟角度看是涉及產業發展，其重要性毋庸置疑。

但是，陳鐘認為，應當看到現在我國在產業、產品、技術、人才等方面和西方發達國家的差距是巨大的。例如cpu，我國現有的產品只在很有限的范圍內使用，基礎領域如材料、裝備等，真正自主的設備也有很大差距。在軟件方面，中科紅旗過去作為國產操作系統的一面旗幟也倒下去了，既沒有出現微軟的視窗系統，也沒有出現類似谷歌的安卓操作系統。我國現在面臨計算設備人手多臺的時代，不僅僅是要有技術、產品，還需要打造生態環境。出現的很多新的技術，例如物聯網，傳感、感知、處理單元的技術，大多數是西方發達國家掌握。

陳鐘打了個比喻：“中國和西方發達國家的競爭就像索契冬奧會的冰壺運動，不是眼前的一個競爭，只打一個球就能定輸贏，而是一局、一場多連環的競爭。中國的戰略應該放得更長遠些。”

有人說美國夢其實是教育夢，美國的長遠戰略體現在其教育上。從第一任總統華盛頓就開始對教育進行長遠規劃，激發持續的力量創新。現在美國it科技頂尖人物如谷歌的拉里·佩奇、臉譜的扎克伯格、蘋果的喬布斯等等，都不是國家一時的政策刺激出來的，最根本的是教育環境、創新技術環境讓各類人才脫穎而出。

從這些意義上說，陳鐘表示，第一，國產軟硬件替代是我們的目標和追求。第二，要看到和西方企業的差距，要有長遠戰略，既要贏得眼前也要看到長遠發展，必須重視教育、基礎科學和技術，急功近利只會導致惡果。國產替代，重點發力的還是提升自己產品的技術實力和服務質量。

去ioe是自然而然的事情

阿里巴巴的去ioe并不是創新，谷歌也是這樣做的。去ioe只是開源的一個現象，更多的大企業也在走軟硬件開放和開源的路子。

現階段去ioe，在某些領域是自然而然的事情。陳鐘提醒，阿里巴巴的去ioe并不是創新，谷歌也是如此，在能力范圍內選擇自己最合適的技術、產品組合，在開源基礎之上找到更好更優更省錢的解決方案。不僅谷歌在做去ioe，百度也在跟隨研究網絡交換機。而facebook正在硅谷建實驗室，研究diy數據中心，這可能對惠普和ibm的服務器、數據中心業務造成很大沖擊。

阿里巴巴的去ioe，是在尋找更適合電商數據業務的it產品組合。這類企業不適用通用的數據庫，因為他們的數據大多數是只添加、累積不刪除的，其使用的產品和解決方案就需要針對這個特征進行優化，而且要比通用的數據庫做得更好。甲骨文的數據產品有軟到硬的一系列豐富的產品線，但是面對阿里巴巴這類有能力、有實力可以自己處理數據的企業時，甲骨文的產品從適用性、實施性、性價比等各方面就不合適了。阿里巴巴替代的不僅是一種方案，還要走到前面。

再比如百度。陳鐘透露，百度去年從華為購買了價值十幾億元的網絡交換機，但是今年取消了類似的訂單，因為它要自己研發交換機和存儲。

去ioe只是開源的一個現象。更多的大企業也在走軟硬件開放和開源的路子。例如英特爾，在芯片領域受到了arm的沖擊，也開始走開源路線，在企業內部建立更加開放的管理機制，鼓勵團隊去創新。

遵循國際規則鼓勵國產化

站在中國人的角度我們鼓勵去ioe，做國產的產品，但是市場有市場的規則，不可能寧愿用壞的東西也不用國外的好的東西，而且還應該遵守wto規則。

不過，陳鐘認為，類似谷歌的企業去ioe，在美國都是極端的，并不適用廣大的用戶。“站在中國人的角度，我們的期望是去ioe，做國產的產品，但是市場有市場的規則，不可能寧愿用壞的東西也不用國外的好的東西。而且還應該遵守wto規則。市場規則是誰好用誰的，所以，政府需要很好地利用國際規則、市場規則鼓勵國產化，而不是和國際規則對抗。例如美國就很好地利用了國家安全這張牌，判定華為的產品進入美國需要審核。中國過去沒有這種制度，現在就需要趕緊建。”他說。

法律可以規范市場，而中國的立法落后是一大問題。例如個人身份證的管理等，很長時間我國沒有關于作廢身份證如何處理的機制，造成偽造身份證、個人信息泄露問題嚴重，詐騙、造假猖獗。陳鐘坦言，中國的個人隱私立法遲遲不能完成，根本原因是在中國，隱私權在法律上沒有明確定義，想獲得法律上的認可就很困難。

現在國家支持技術研發和創新的資金比過去多，但是創新的精神比過去少。陳鐘分析，首先，整體環境不能寬容失敗，弄虛作假就成了必然趨勢；其次，決策的失誤沒有責任，無人追究。政府設立的各類支持產業和技術發展的專項和基金主旨是好的，但是從投入產出的效益來看，的確不如人意。政府不應過多干預企業的研發行為，政府的資助可以以資本金、風險投資的角度注入，在企業的管理、技術研發等具體事務上應減少干預。

信息安全需要持之以恒

國產的產品，是否比win 7、win 8還好？是否能做到安全、自主可控？國產替代，并不等于安全，這取決于國產廠商在安全上做到什么程度。

針對當前用戶高度關注的windows xp事件，陳鐘認為，xp系統是微軟2002年之前研發的產品，2002年，微軟開始高度重視安全，原美國反網絡犯罪局官員斯科特·查理加入微軟成為首席安全官，所以xp之后的windows 7， windows 8，在產品安全性上做了大量改進，這也意味著xp的漏洞遠遠多于這幾個系統。所以xp退出市場，對用戶來講是很正常的事情。但是xp系統從投入市場到退出有12年，在中國還有數以億計的用戶。

前段時間我國多名院士稱，xp事件是國家信息安全事件，涉及信息系統的控制權問題。微軟希望用戶升級系統，從用戶角度講安全性得到了提升，但是院士們認為，如果繼續采用微軟產品，控制權將失去。對此，陳鐘保留了自己的意見，他反問《中國電子報》記者：“國產的產品，是否比windows 7、windows 8好用？是否能做到安全、自主可控？反過來講，做了國產替代，并不等于安全，這取決于國產廠商在安全上做到什么程度。”

安全需要持之以恒地努力。安全涉及網絡、系統、人的工程。安全問題是很廣泛、很復雜，無論是單品、還是集中管控，還是各種手段的綜合運用，都要有大的提升。人的社會工程做好了，比從技術上做好安全要有效得多。當前，來自網絡的威脅多種多樣，小到個人的小額金錢被盜、隱私泄露，大到企業要害部門遭受的apt攻擊，很難說在一個點上做好信息安全就能萬事大吉。

另外，互聯網金融的安全，只要產品在可控范圍之內就是可行的。例如財付通微信支付，眼下并沒有機構審核微信支付是否有漏洞、是否安全。在陳鐘看來，就算給微信支付的安全性打個分又有什么用？財付通、支付寶等的運作模式很簡單，引入保險公司賠保，有效沖抵風險，就開始推向市場，后續再慢慢完善系統。這說明，安全本身沒有絕對的安全，只有平衡風險、防護、利益三者之間的關系。從經濟角度看，互聯網帶動的經濟發展是遵循適度的安全管控。總體上，不可能追求絕對的安全，只要相對風險可控，就是可行的。