今年全國兩會召開期間,國家安全委員會有望在會議期間正式設立。維護信息安全是國家安全委員會重要職責之一,新設立的委員會可能會將目光和重點放在何處?近日,本報記者采訪了信息安全專家、北京大學網絡和軟件安全保障實驗室主任、教授陳鐘,就當前的信息系統國產替代、去IOE、個人信息保護、微軟XP系統停止服務等熱點問題進行了探討。
國產軟硬件替代是中國夢
國產軟硬件替代無論是從企業本身還是國家戰略部署層面,都給予了大量力支持。更多的國產軟硬件替代意味著我國可能擁有更多的信息系統自主可控的系統,從信息安全的角度來看是控制權的問題,從經濟角度看是涉及產業發展的問題,其重要性毋庸置疑。
但是,應當看到現在我國在產業、產品、技術、人才等方面和西方發達國家的差距是巨大的。例如CPU,我國現有的產品只在很有限的范圍內使用,集成電路制造基礎領域如材料、工藝、裝備等,離真正自主的設備也有很大差距。在軟件方面,中科紅旗過去作為國產操作系統的一面旗幟也倒下去了,中國沒有出現微軟的視窗系統,也沒有出現類似谷歌的手機操作系統安卓系統。我國現在面臨已經進入計算設備人手多臺的時代,IT應用消費走在世界的前列,但技術和產業創新優勢不明顯,不僅僅是要有技術、產品,還需要打造生態環境。包括近年來出現的很多新的技術,例如物聯網,傳感、感知、處理單元的技術,大多數也是西方發達國家掌控握。競爭不僅僅是技術、產品,還涉及到打造整個生態環境。
中國和西方發達國家的競爭,就像索契冬奧會的冰壺運動,不是眼前的一個競爭、,只打一個球,而是一局、一場、多重連環的競爭。中國的國家戰略應該放得更長遠些,這不是眼前砸下幾百億資金就能成功的事情。
有人說美國夢其實是教育夢,美國的長遠戰略體現在其教育上。從第一任總統華盛頓開始就對教育規劃長遠發展,激發持續的力量創新。現在美國的IT科技產業頂尖人物谷歌的拉里 佩奇、臉譜的扎克伯格、蘋果的喬布斯等等,都不是國家一時的政策刺激出來的,最根本的是教育環境、創新技術環境讓各類人才脫穎而出。
從這些意義上說,第一,國產軟硬件替代是我們的目標和追求。第二,要看到和西方企業的差距,要有長遠戰略,既要贏得眼前也要看到長遠發展,必須重視教育、基礎科學和技術研發投入,急功近利只會導致“欲速而不達”的惡果。
國產替代,重點發力的還是提升自己的產品技術和服務質量。必須看到和國外產品和服務方面的差距。
去IOE是自然而然的事情
現階段是否去IOE,在某些領域是自然而然的事情。阿里巴巴的去IOE并不是中國獨創創新,谷歌也是這樣做的,是在他們能力范圍內選擇自己最合適的技術產品組合,是在開源基礎之上找到的更好更優更省錢的解決方案。不僅谷歌在做去IOE,研究自己的交換機,百度也在跟隨自主研究網絡交換機、海量SSD存儲等技術和產品。Facebook正在硅谷創建了實驗室研究DIY數據中心,這個技術一旦成熟推廣就能必然對惠普、IBM等的服務器、數據中心業務造成很大沖擊。
阿里巴巴的去IOE,是在尋找更適合電商數據業務的IT產品組合。這類企業不適用通用的數據庫,因為他們的數據規模龐大且大多數是只添加、累積不刪除的,其使用的產品和解決方案就需要針對這個特征進行優化,而且要比通用的數據庫做得更好。甲骨文的數據產品有從軟到硬的一系列豐富的產品線,但是面對阿里巴巴這類有能力、有實力可以自己處理數據的企業時,甲骨文的產品從適用性、實施性、性價比上等各方面就不合適了。阿里巴巴替代的不僅是一種IT解決方案,甚至還要走到云計算、海量數據處理技術創新的前面。
再比如百度。百度去年從華為采購買了價值十幾億的網絡交換機,但是今年大幅減少取消了類似的訂單,因為它要能夠自己DIY了研發交換機和存儲。這些新的需求不斷驅使他們探索、給出解決方案。
去IOE只是開源的一個現象。更多的大企業也在走軟硬件開放和開源的路子。例如英特爾,在芯片領域受到了ARM的沖擊,也開始走開源路線,在企業內部建立更加開放的管理機制,鼓勵團隊去創新。在生態環境上更加開放協同,通過開源競賽等方式鼓勵硬件開放創新。
[page]
遵循國際規則,立法要迎頭趕上
類似谷歌的企業在美國都也是極品端的,廣大客戶需要的是好的軟硬件產品來支撐信息系統。站在中國人的角度,我們的期望是去IOE,做國產的產品,但是市場有市場的規則,不可能寧愿用國內壞差的東西也不用國外的好的東西。而且中國作為WTO成員國還應該遵守WTO規則。市場規則是誰好用誰的,所以,政府需要很好地利用國際規則、市場規則鼓勵國產化,而不是和國際規則對抗。例如美國就很好地利用了國家安全這張牌,判定華為的產品進入美國需要審核。中國過去沒有這種制度,現在就需要趕緊建抓緊補上。
法律可以規范市場,而中國的立法落后是一大問題。例如個人身份證的管理等,第一代身份證僅僅是依據公安部的一個《條例》,直到2005年第二代身份證才上升為法律,而且不到十年就看到立法時考慮不周,技術上和管理上也有許多不完善,很長時間我國沒有關于作廢身份證的如何處理的機制,造成偽造身份證、個人信息泄露問題嚴重,詐騙、造假猖獗。中國的個人隱保護私立法遲遲不能完成,根本原因是在中國,公民最基本的權利尚未完成沒有法律定義,而隱私權作為人權的一部分,想獲得法律上的認可就很困難。
現在國家支持企業技術研發和創新的資金比過去多,但是創新的精神比過去少了。首先,整體環境不能寬容失敗,弄虛作假就成了必然趨勢;其次,政府的決策的失誤沒有責任,無人追究。政府設立的各類支持產業和技術發展的專項和基金主旨是好的,但是從投入產出的效益來看,的確還有不如人意的地方。長遠來看,政府不應過多直接干預企業的技術與產品研發行為,政府的資助可以以資本金、風險投資的角度注入,在企業的管理、技術研發等具體事務上應減少干預。而應以政策、稅收等多這種方式引導和鼓勵產業發展可能更為有效。
信息安全需要持之以恒
Windows XP系統是微軟2002年之前研發的產品,在2002年,微軟開始高度重視安全,原美國反網絡犯罪局官員斯科特 查理加入微軟成為首席安全官,所以XP之后的windows vista, windows 7, windows 8,在產品安全性上做了大量改進,這意味著XP的漏洞遠遠多于這幾個系統。所以XP退出市場,對用戶和微軟公司來講是一件很正常的事情。但是XP系統從投入市場到退出有12年,在中國還有數以億計的用戶。在市場、公司來講很正常的事情。
前段時間,我國多名院士聯名稱,XP事件是國家信息安全事件,涉及信息系統的控制權問題。微軟希望用戶將XP系統換成現在的新系統,從用戶角度講是安全性得到了提升,但是院士們認為,如果繼續采用微軟產品升級,控制權將失去,那么如何應對?就又回到了自主、可控的老問題。但是,國產的產品,能比win 7、win 8還好嗎?能做到安全、自主可控嗎?反過來講,做了國產替代,并不等于安全,這取決于國產廠商在安全上做到什么程度。
安全需要持之以恒地努力。安全涉及網絡、系統、人的工程。安全問題是很廣泛、很復雜,無論是單品、還是集中管控,還是各種手段的綜合運用,都要有大的提升。人的社會工程做好了,比從技術上做好安全要有效得多。當前,來自網絡的威脅多種多樣,小到個人的小額金錢被盜、隱私泄露,大到企業要害部門遭受的APT攻擊,很難說在一個點上做好信息年前安全就能萬事大吉。不過微軟宣布停止對XP的服務給我們的企業和用戶帶來一個契機,是我們可以做出替代選擇的一個重要的時間點。
另外一個例子,互聯網金融的安全,只要產品的風險在可控范圍之內就是可行的。例如財付通微信支付,眼下并沒有機構審核微信支付是否有漏洞、是否安全。在陳鐘看來,就算給微信支付的安全性打個分又有什么用?財付通、支付寶等的運作模式很簡單,引入保險公司賠保,有效沖抵風險,就開始推向市場,后續再慢慢完善系統。這說明,安全本身沒有絕對的安全,只有平衡風險和防護、獲得的利益三者之間的關系。從經濟角度看,互聯網帶動的經濟發展是遵循的適度的安全管控。總體上,不可能追求絕對的安全,只要相對風險可控,就是可行的。
京公網安備 11010502049343號