信息安全:国产替代是追求 去IOE应顺其自然
今年全国两会召开期间,信息安全、网络安全成为代表委员的关注焦点之一。近日,《中国电子报》记者采访了信息安全专家、北京大学网络和软件安全保障实验室主任、教授陈钟,就当前的信息系统国产替代、去IOE、个人信息保护、微软XP系统停止服务等热点问题进行了探讨。
国产软硬件替代是中国梦
国产软硬件替代是我们的目标和追求,要看到和西方企业的差距,重点发力的是要提升自己产品的技术实力和服务质量。
国产软硬件替代无论是从企业本身还是国家战略部署,都给予了大量支持。更多的国产软硬件替代意味着我国可能有更多自主可控的系统,从信息安全的角度来看是控制权的问题,从经济角度看是涉及产业发展,其重要性毋庸置疑。
但是,陈钟认为,应当看到现在我国在产业、产品、技术、人才等方面和西方发达国家的差距是巨大的。例如CPU,我国现有的产品只在很有限的范围内使用,基础领域如材料、装备等,真正自主的设备也有很大差距。在软件方面,中科红旗过去作为国产操作系统的一面旗帜也倒下去了,既没有出现微软的视窗系统,也没有出现类似谷歌的安卓操作系统。我国现在面临计算设备人手多台的时代,不仅仅是要有技术、产品,还需要打造生态环境。出现的很多新的技术,例如物联网,传感、感知、处理单元的技术,大多数是西方发达国家掌握。
陈钟打了个比喻:“中国和西方发达国家的竞争就像索契冬奥会的冰壶运动,不是眼前的一个竞争,只打一个球就能定输赢,而是一局、一场多连环的竞争。中国的战略应该放得更长远些。”
有人说美国梦其实是教育梦,美国的长远战略体现在其教育上。从第一任总统华盛顿就开始对教育进行长远规划,激发持续的力量创新。现在美国IT科技顶尖人物如谷歌的拉里·佩奇、脸谱的扎克伯格、苹果的乔布斯等等,都不是国家一时的政策刺激出来的,最根本的是教育环境、创新技术环境让各类人才脱颖而出。
从这些意义上说,陈钟表示,第一,国产软硬件替代是我们的目标和追求。第二,要看到和西方企业的差距,要有长远战略,既要赢得眼前也要看到长远发展,必须重视教育、基础科学和技术,急功近利只会导致恶果。国产替代,重点发力的还是提升自己产品的技术实力和服务质量。
去IOE是自然而然的事情
阿里巴巴的去IOE并不是创新,谷歌也是这样做的。去IOE只是开源的一个现象,更多的大企业也在走软硬件开放和开源的路子。
现阶段去IOE,在某些领域是自然而然的事情。陈钟提醒,阿里巴巴的去IOE并不是创新,谷歌也是如此,在能力范围内选择自己最合适的技术、产品组合,在开源基础之上找到更好更优更省钱的解决方案。不仅谷歌在做去IOE,百度也在跟随研究网络交换机。而Facebook正在硅谷建实验室,研究DIY数据中心,这可能对惠普和IBM的服务器、数据中心业务造成很大冲击。
阿里巴巴的去IOE,是在寻找更适合电商数据业务的IT产品组合。这类企业不适用通用的数据库,因为他们的数据大多数是只添加、累积不删除的,其使用的产品和解决方案就需要针对这个特征进行优化,而且要比通用的数据库做得更好。甲骨文的数据产品有软到硬的一系列丰富的产品线,但是面对阿里巴巴这类有能力、有实力可以自己处理数据的企业时,甲骨文的产品从适用性、实施性、性价比等各方面就不合适了。阿里巴巴替代的不仅是一种方案,还要走到前面。
再比如百度。陈钟透露,百度去年从华为购买了价值十几亿元的网络交换机,但是今年取消了类似的订单,因为它要自己研发交换机和存储。
去IOE只是开源的一个现象。更多的大企业也在走软硬件开放和开源的路子。例如英特尔,在芯片领域受到了ARM的冲击,也开始走开源路线,在企业内部建立更加开放的管理机制,鼓励团队去创新。
遵循国际规则鼓励国产化
站在中国人的角度我们鼓励去IOE,做国产的产品,但是市场有市场的规则,不可能宁愿用坏的东西也不用国外的好的东西,而且还应该遵守WTO规则。
不过,陈钟认为,类似谷歌的企业去IOE,在美国都是极端的,并不适用广大的用户。“站在中国人的角度,我们的期望是去IOE,做国产的产品,但是市场有市场的规则,不可能宁愿用坏的东西也不用国外的好的东西。而且还应该遵守WTO规则。市场规则是谁好用谁的,所以,政府需要很好地利用国际规则、市场规则鼓励国产化,而不是和国际规则对抗。例如美国就很好地利用了国家安全这张牌,判定华为的产品进入美国需要审核。中国过去没有这种制度,现在就需要赶紧建。”他说。
法律可以规范市场,而中国的立法落后是一大问题。例如个人身份证的管理等,很长时间我国没有关于作废身份证如何处理的机制,造成伪造身份证、个人信息泄露问题严重,诈骗、造假猖獗。陈钟坦言,中国的个人隐私立法迟迟不能完成,根本原因是在中国,隐私权在法律上没有明确定义,想获得法律上的认可就很困难。
现在国家支持技术研发和创新的资金比过去多,但是创新的精神比过去少。陈钟分析,首先,整体环境不能宽容失败,弄虚作假就成了必然趋势;其次,决策的失误没有责任,无人追究。政府设立的各类支持产业和技术发展的专项和基金主旨是好的,但是从投入产出的效益来看,的确不如人意。政府不应过多干预企业的研发行为,政府的资助可以以资本金、风险投资的角度注入,在企业的管理、技术研发等具体事务上应减少干预。
信息安全需要持之以恒
国产的产品,是否比win 7、win 8还好?是否能做到安全、自主可控?国产替代,并不等于安全,这取决于国产厂商在安全上做到什么程度。
针对当前用户高度关注的Windows XP事件,陈钟认为,XP系统是微软2002年之前研发的产品,2002年,微软开始高度重视安全,原美国反网络犯罪局官员斯科特·查理加入微软成为首席安全官,所以XP之后的Windows 7, Windows 8,在产品安全性上做了大量改进,这也意味着XP的漏洞远远多于这几个系统。所以XP退出市场,对用户来讲是很正常的事情。但是XP系统从投入市场到退出有12年,在中国还有数以亿计的用户。
前段时间我国多名院士称,XP事件是国家信息安全事件,涉及信息系统的控制权问题。微软希望用户升级系统,从用户角度讲安全性得到了提升,但是院士们认为,如果继续采用微软产品,控制权将失去。对此,陈钟保留了自己的意见,他反问《中国电子报》记者:“国产的产品,是否比Windows 7、Windows 8好用?是否能做到安全、自主可控?反过来讲,做了国产替代,并不等于安全,这取决于国产厂商在安全上做到什么程度。”
安全需要持之以恒地努力。安全涉及网络、系统、人的工程。安全问题是很广泛、很复杂,无论是单品、还是集中管控,还是各种手段的综合运用,都要有大的提升。人的社会工程做好了,比从技术上做好安全要有效得多。当前,来自网络的威胁多种多样,小到个人的小额金钱被盗、隐私泄露,大到企业要害部门遭受的APT攻击,很难说在一个点上做好信息安全就能万事大吉。
另外,互联网金融的安全,只要产品在可控范围之内就是可行的。例如财付通微信支付,眼下并没有机构审核微信支付是否有漏洞、是否安全。在陈钟看来,就算给微信支付的安全性打个分又有什么用?财付通、支付宝等的运作模式很简单,引入保险公司赔保,有效冲抵风险,就开始推向市场,后续再慢慢完善系统。这说明,安全本身没有绝对的安全,只有平衡风险、防护、利益三者之间的关系。从经济角度看,互联网带动的经济发展是遵循适度的安全管控。总体上,不可能追求绝对的安全,只要相对风险可控,就是可行的。