今年全國兩會召開期間,信息安全、網(wǎng)絡(luò)安全成為代表委員的關(guān)注焦點之一。近日,《中國電子報》記者采訪了信息安全專家、北京大學(xué)網(wǎng)絡(luò)和軟件安全保障實驗室主任、教授陳鐘,就當(dāng)前的信息系統(tǒng)國產(chǎn)替代、去ioe、個人信息保護(hù)、微軟xp系統(tǒng)停止服務(wù)等熱點問題進(jìn)行了探討。
國產(chǎn)軟硬件替代是中國夢
國產(chǎn)軟硬件替代是我們的目標(biāo)和追求,要看到和西方企業(yè)的差距,重點發(fā)力的是要提升自己產(chǎn)品的技術(shù)實力和服務(wù)質(zhì)量。
國產(chǎn)軟硬件替代無論是從企業(yè)本身還是國家戰(zhàn)略部署,都給予了大量支持。更多的國產(chǎn)軟硬件替代意味著我國可能有更多自主可控的系統(tǒng),從信息安全的角度來看是控制權(quán)的問題,從經(jīng)濟(jì)角度看是涉及產(chǎn)業(yè)發(fā)展,其重要性毋庸置疑。
但是,陳鐘認(rèn)為,應(yīng)當(dāng)看到現(xiàn)在我國在產(chǎn)業(yè)、產(chǎn)品、技術(shù)、人才等方面和西方發(fā)達(dá)國家的差距是巨大的。例如cpu,我國現(xiàn)有的產(chǎn)品只在很有限的范圍內(nèi)使用,基礎(chǔ)領(lǐng)域如材料、裝備等,真正自主的設(shè)備也有很大差距。在軟件方面,中科紅旗過去作為國產(chǎn)操作系統(tǒng)的一面旗幟也倒下去了,既沒有出現(xiàn)微軟的視窗系統(tǒng),也沒有出現(xiàn)類似谷歌的安卓操作系統(tǒng)。我國現(xiàn)在面臨計算設(shè)備人手多臺的時代,不僅僅是要有技術(shù)、產(chǎn)品,還需要打造生態(tài)環(huán)境。出現(xiàn)的很多新的技術(shù),例如物聯(lián)網(wǎng),傳感、感知、處理單元的技術(shù),大多數(shù)是西方發(fā)達(dá)國家掌握。
陳鐘打了個比喻:“中國和西方發(fā)達(dá)國家的競爭就像索契冬奧會的冰壺運動,不是眼前的一個競爭,只打一個球就能定輸贏,而是一局、一場多連環(huán)的競爭。中國的戰(zhàn)略應(yīng)該放得更長遠(yuǎn)些。”
有人說美國夢其實是教育夢,美國的長遠(yuǎn)戰(zhàn)略體現(xiàn)在其教育上。從第一任總統(tǒng)華盛頓就開始對教育進(jìn)行長遠(yuǎn)規(guī)劃,激發(fā)持續(xù)的力量創(chuàng)新?,F(xiàn)在美國it科技頂尖人物如谷歌的拉里·佩奇、臉譜的扎克伯格、蘋果的喬布斯等等,都不是國家一時的政策刺激出來的,最根本的是教育環(huán)境、創(chuàng)新技術(shù)環(huán)境讓各類人才脫穎而出。
從這些意義上說,陳鐘表示,第一,國產(chǎn)軟硬件替代是我們的目標(biāo)和追求。第二,要看到和西方企業(yè)的差距,要有長遠(yuǎn)戰(zhàn)略,既要贏得眼前也要看到長遠(yuǎn)發(fā)展,必須重視教育、基礎(chǔ)科學(xué)和技術(shù),急功近利只會導(dǎo)致惡果。國產(chǎn)替代,重點發(fā)力的還是提升自己產(chǎn)品的技術(shù)實力和服務(wù)質(zhì)量。
去ioe是自然而然的事情
阿里巴巴的去ioe并不是創(chuàng)新,谷歌也是這樣做的。去ioe只是開源的一個現(xiàn)象,更多的大企業(yè)也在走軟硬件開放和開源的路子。
現(xiàn)階段去ioe,在某些領(lǐng)域是自然而然的事情。陳鐘提醒,阿里巴巴的去ioe并不是創(chuàng)新,谷歌也是如此,在能力范圍內(nèi)選擇自己最合適的技術(shù)、產(chǎn)品組合,在開源基礎(chǔ)之上找到更好更優(yōu)更省錢的解決方案。不僅谷歌在做去ioe,百度也在跟隨研究網(wǎng)絡(luò)交換機。而facebook正在硅谷建實驗室,研究diy數(shù)據(jù)中心,這可能對惠普和ibm的服務(wù)器、數(shù)據(jù)中心業(yè)務(wù)造成很大沖擊。
阿里巴巴的去ioe,是在尋找更適合電商數(shù)據(jù)業(yè)務(wù)的it產(chǎn)品組合。這類企業(yè)不適用通用的數(shù)據(jù)庫,因為他們的數(shù)據(jù)大多數(shù)是只添加、累積不刪除的,其使用的產(chǎn)品和解決方案就需要針對這個特征進(jìn)行優(yōu)化,而且要比通用的數(shù)據(jù)庫做得更好。甲骨文的數(shù)據(jù)產(chǎn)品有軟到硬的一系列豐富的產(chǎn)品線,但是面對阿里巴巴這類有能力、有實力可以自己處理數(shù)據(jù)的企業(yè)時,甲骨文的產(chǎn)品從適用性、實施性、性價比等各方面就不合適了。阿里巴巴替代的不僅是一種方案,還要走到前面。
再比如百度。陳鐘透露,百度去年從華為購買了價值十幾億元的網(wǎng)絡(luò)交換機,但是今年取消了類似的訂單,因為它要自己研發(fā)交換機和存儲。
去ioe只是開源的一個現(xiàn)象。更多的大企業(yè)也在走軟硬件開放和開源的路子。例如英特爾,在芯片領(lǐng)域受到了arm的沖擊,也開始走開源路線,在企業(yè)內(nèi)部建立更加開放的管理機制,鼓勵團(tuán)隊去創(chuàng)新。
遵循國際規(guī)則鼓勵國產(chǎn)化
站在中國人的角度我們鼓勵去ioe,做國產(chǎn)的產(chǎn)品,但是市場有市場的規(guī)則,不可能寧愿用壞的東西也不用國外的好的東西,而且還應(yīng)該遵守wto規(guī)則。
不過,陳鐘認(rèn)為,類似谷歌的企業(yè)去ioe,在美國都是極端的,并不適用廣大的用戶。“站在中國人的角度,我們的期望是去ioe,做國產(chǎn)的產(chǎn)品,但是市場有市場的規(guī)則,不可能寧愿用壞的東西也不用國外的好的東西。而且還應(yīng)該遵守wto規(guī)則。市場規(guī)則是誰好用誰的,所以,政府需要很好地利用國際規(guī)則、市場規(guī)則鼓勵國產(chǎn)化,而不是和國際規(guī)則對抗。例如美國就很好地利用了國家安全這張牌,判定華為的產(chǎn)品進(jìn)入美國需要審核。中國過去沒有這種制度,現(xiàn)在就需要趕緊建。”他說。
法律可以規(guī)范市場,而中國的立法落后是一大問題。例如個人身份證的管理等,很長時間我國沒有關(guān)于作廢身份證如何處理的機制,造成偽造身份證、個人信息泄露問題嚴(yán)重,詐騙、造假猖獗。陳鐘坦言,中國的個人隱私立法遲遲不能完成,根本原因是在中國,隱私權(quán)在法律上沒有明確定義,想獲得法律上的認(rèn)可就很困難。
現(xiàn)在國家支持技術(shù)研發(fā)和創(chuàng)新的資金比過去多,但是創(chuàng)新的精神比過去少。陳鐘分析,首先,整體環(huán)境不能寬容失敗,弄虛作假就成了必然趨勢;其次,決策的失誤沒有責(zé)任,無人追究。政府設(shè)立的各類支持產(chǎn)業(yè)和技術(shù)發(fā)展的專項和基金主旨是好的,但是從投入產(chǎn)出的效益來看,的確不如人意。政府不應(yīng)過多干預(yù)企業(yè)的研發(fā)行為,政府的資助可以以資本金、風(fēng)險投資的角度注入,在企業(yè)的管理、技術(shù)研發(fā)等具體事務(wù)上應(yīng)減少干預(yù)。
信息安全需要持之以恒
國產(chǎn)的產(chǎn)品,是否比win 7、win 8還好?是否能做到安全、自主可控?國產(chǎn)替代,并不等于安全,這取決于國產(chǎn)廠商在安全上做到什么程度。
針對當(dāng)前用戶高度關(guān)注的windows xp事件,陳鐘認(rèn)為,xp系統(tǒng)是微軟2002年之前研發(fā)的產(chǎn)品,2002年,微軟開始高度重視安全,原美國反網(wǎng)絡(luò)犯罪局官員斯科特·查理加入微軟成為首席安全官,所以xp之后的windows 7, windows 8,在產(chǎn)品安全性上做了大量改進(jìn),這也意味著xp的漏洞遠(yuǎn)遠(yuǎn)多于這幾個系統(tǒng)。所以xp退出市場,對用戶來講是很正常的事情。但是xp系統(tǒng)從投入市場到退出有12年,在中國還有數(shù)以億計的用戶。
前段時間我國多名院士稱,xp事件是國家信息安全事件,涉及信息系統(tǒng)的控制權(quán)問題。微軟希望用戶升級系統(tǒng),從用戶角度講安全性得到了提升,但是院士們認(rèn)為,如果繼續(xù)采用微軟產(chǎn)品,控制權(quán)將失去。對此,陳鐘保留了自己的意見,他反問《中國電子報》記者:“國產(chǎn)的產(chǎn)品,是否比windows 7、windows 8好用?是否能做到安全、自主可控?反過來講,做了國產(chǎn)替代,并不等于安全,這取決于國產(chǎn)廠商在安全上做到什么程度。”
安全需要持之以恒地努力。安全涉及網(wǎng)絡(luò)、系統(tǒng)、人的工程。安全問題是很廣泛、很復(fù)雜,無論是單品、還是集中管控,還是各種手段的綜合運用,都要有大的提升。人的社會工程做好了,比從技術(shù)上做好安全要有效得多。當(dāng)前,來自網(wǎng)絡(luò)的威脅多種多樣,小到個人的小額金錢被盜、隱私泄露,大到企業(yè)要害部門遭受的apt攻擊,很難說在一個點上做好信息安全就能萬事大吉。
另外,互聯(lián)網(wǎng)金融的安全,只要產(chǎn)品在可控范圍之內(nèi)就是可行的。例如財付通微信支付,眼下并沒有機構(gòu)審核微信支付是否有漏洞、是否安全。在陳鐘看來,就算給微信支付的安全性打個分又有什么用?財付通、支付寶等的運作模式很簡單,引入保險公司賠保,有效沖抵風(fēng)險,就開始推向市場,后續(xù)再慢慢完善系統(tǒng)。這說明,安全本身沒有絕對的安全,只有平衡風(fēng)險、防護(hù)、利益三者之間的關(guān)系。從經(jīng)濟(jì)角度看,互聯(lián)網(wǎng)帶動的經(jīng)濟(jì)發(fā)展是遵循適度的安全管控??傮w上,不可能追求絕對的安全,只要相對風(fēng)險可控,就是可行的。