信息安全保護(hù):去IOE是自然而然的事情

責(zé)任編輯:editor004

2014-03-11 11:16:24

摘自:中國電子報、電子信息產(chǎn)業(yè)網(wǎng)

應(yīng)當(dāng)看到現(xiàn)在我國在產(chǎn)業(yè)、產(chǎn)品、技術(shù)、人才等方面和西方發(fā)達(dá)國家的差距是巨大的。中國和西方發(fā)達(dá)國家的競爭,就像索契冬奧會的冰壺運(yùn)動,不是眼前的一個競爭、,只打一個球,而是一局、一場、多重連環(huán)的競爭。

今年全國兩會召開期間,國家安全委員會有望在會議期間正式設(shè)立。維護(hù)信息安全是國家安全委員會重要職責(zé)之一,新設(shè)立的委員會可能會將目光和重點(diǎn)放在何處?近日,本報記者采訪了信息安全專家、北京大學(xué)網(wǎng)絡(luò)和軟件安全保障實驗室主任、教授陳鐘,就當(dāng)前的信息系統(tǒng)國產(chǎn)替代、去IOE、個人信息保護(hù)、微軟XP系統(tǒng)停止服務(wù)等熱點(diǎn)問題進(jìn)行了探討。

國產(chǎn)軟硬件替代是中國夢

國產(chǎn)軟硬件替代無論是從企業(yè)本身還是國家戰(zhàn)略部署層面,都給予了大量力支持。更多的國產(chǎn)軟硬件替代意味著我國可能擁有更多的信息系統(tǒng)自主可控的系統(tǒng),從信息安全的角度來看是控制權(quán)的問題,從經(jīng)濟(jì)角度看是涉及產(chǎn)業(yè)發(fā)展的問題,其重要性毋庸置疑。

但是,應(yīng)當(dāng)看到現(xiàn)在我國在產(chǎn)業(yè)、產(chǎn)品、技術(shù)、人才等方面和西方發(fā)達(dá)國家的差距是巨大的。例如CPU,我國現(xiàn)有的產(chǎn)品只在很有限的范圍內(nèi)使用,集成電路制造基礎(chǔ)領(lǐng)域如材料、工藝、裝備等,離真正自主的設(shè)備也有很大差距。在軟件方面,中科紅旗過去作為國產(chǎn)操作系統(tǒng)的一面旗幟也倒下去了,中國沒有出現(xiàn)微軟的視窗系統(tǒng),也沒有出現(xiàn)類似谷歌的手機(jī)操作系統(tǒng)安卓系統(tǒng)。我國現(xiàn)在面臨已經(jīng)進(jìn)入計算設(shè)備人手多臺的時代,IT應(yīng)用消費(fèi)走在世界的前列,但技術(shù)和產(chǎn)業(yè)創(chuàng)新優(yōu)勢不明顯,不僅僅是要有技術(shù)、產(chǎn)品,還需要打造生態(tài)環(huán)境。包括近年來出現(xiàn)的很多新的技術(shù),例如物聯(lián)網(wǎng),傳感、感知、處理單元的技術(shù),大多數(shù)也是西方發(fā)達(dá)國家掌控握。競爭不僅僅是技術(shù)、產(chǎn)品,還涉及到打造整個生態(tài)環(huán)境。

中國和西方發(fā)達(dá)國家的競爭,就像索契冬奧會的冰壺運(yùn)動,不是眼前的一個競爭、,只打一個球,而是一局、一場、多重連環(huán)的競爭。中國的國家戰(zhàn)略應(yīng)該放得更長遠(yuǎn)些,這不是眼前砸下幾百億資金就能成功的事情。

有人說美國夢其實是教育夢,美國的長遠(yuǎn)戰(zhàn)略體現(xiàn)在其教育上。從第一任總統(tǒng)華盛頓開始就對教育規(guī)劃長遠(yuǎn)發(fā)展,激發(fā)持續(xù)的力量創(chuàng)新。現(xiàn)在美國的IT科技產(chǎn)業(yè)頂尖人物谷歌的拉里 佩奇、臉譜的扎克伯格、蘋果的喬布斯等等,都不是國家一時的政策刺激出來的,最根本的是教育環(huán)境、創(chuàng)新技術(shù)環(huán)境讓各類人才脫穎而出。

從這些意義上說,第一,國產(chǎn)軟硬件替代是我們的目標(biāo)和追求。第二,要看到和西方企業(yè)的差距,要有長遠(yuǎn)戰(zhàn)略,既要贏得眼前也要看到長遠(yuǎn)發(fā)展,必須重視教育、基礎(chǔ)科學(xué)和技術(shù)研發(fā)投入,急功近利只會導(dǎo)致“欲速而不達(dá)”的惡果。

國產(chǎn)替代,重點(diǎn)發(fā)力的還是提升自己的產(chǎn)品技術(shù)和服務(wù)質(zhì)量。必須看到和國外產(chǎn)品和服務(wù)方面的差距。

去IOE是自然而然的事情

現(xiàn)階段是否去IOE,在某些領(lǐng)域是自然而然的事情。阿里巴巴的去IOE并不是中國獨(dú)創(chuàng)創(chuàng)新,谷歌也是這樣做的,是在他們能力范圍內(nèi)選擇自己最合適的技術(shù)產(chǎn)品組合,是在開源基礎(chǔ)之上找到的更好更優(yōu)更省錢的解決方案。不僅谷歌在做去IOE,研究自己的交換機(jī),百度也在跟隨自主研究網(wǎng)絡(luò)交換機(jī)、海量SSD存儲等技術(shù)和產(chǎn)品。Facebook正在硅谷創(chuàng)建了實驗室研究DIY數(shù)據(jù)中心,這個技術(shù)一旦成熟推廣就能必然對惠普、IBM等的服務(wù)器、數(shù)據(jù)中心業(yè)務(wù)造成很大沖擊。

阿里巴巴的去IOE,是在尋找更適合電商數(shù)據(jù)業(yè)務(wù)的IT產(chǎn)品組合。這類企業(yè)不適用通用的數(shù)據(jù)庫,因為他們的數(shù)據(jù)規(guī)模龐大且大多數(shù)是只添加、累積不刪除的,其使用的產(chǎn)品和解決方案就需要針對這個特征進(jìn)行優(yōu)化,而且要比通用的數(shù)據(jù)庫做得更好。甲骨文的數(shù)據(jù)產(chǎn)品有從軟到硬的一系列豐富的產(chǎn)品線,但是面對阿里巴巴這類有能力、有實力可以自己處理數(shù)據(jù)的企業(yè)時,甲骨文的產(chǎn)品從適用性、實施性、性價比上等各方面就不合適了。阿里巴巴替代的不僅是一種IT解決方案,甚至還要走到云計算、海量數(shù)據(jù)處理技術(shù)創(chuàng)新的前面。

再比如百度。百度去年從華為采購買了價值十幾億的網(wǎng)絡(luò)交換機(jī),但是今年大幅減少取消了類似的訂單,因為它要能夠自己DIY了研發(fā)交換機(jī)和存儲。這些新的需求不斷驅(qū)使他們探索、給出解決方案。

去IOE只是開源的一個現(xiàn)象。更多的大企業(yè)也在走軟硬件開放和開源的路子。例如英特爾,在芯片領(lǐng)域受到了ARM的沖擊,也開始走開源路線,在企業(yè)內(nèi)部建立更加開放的管理機(jī)制,鼓勵團(tuán)隊去創(chuàng)新。在生態(tài)環(huán)境上更加開放協(xié)同,通過開源競賽等方式鼓勵硬件開放創(chuàng)新。

[page]

遵循國際規(guī)則,立法要迎頭趕上

類似谷歌的企業(yè)在美國都也是極品端的,廣大客戶需要的是好的軟硬件產(chǎn)品來支撐信息系統(tǒng)。站在中國人的角度,我們的期望是去IOE,做國產(chǎn)的產(chǎn)品,但是市場有市場的規(guī)則,不可能寧愿用國內(nèi)壞差的東西也不用國外的好的東西。而且中國作為WTO成員國還應(yīng)該遵守WTO規(guī)則。市場規(guī)則是誰好用誰的,所以,政府需要很好地利用國際規(guī)則、市場規(guī)則鼓勵國產(chǎn)化,而不是和國際規(guī)則對抗。例如美國就很好地利用了國家安全這張牌,判定華為的產(chǎn)品進(jìn)入美國需要審核。中國過去沒有這種制度,現(xiàn)在就需要趕緊建抓緊補(bǔ)上。

法律可以規(guī)范市場,而中國的立法落后是一大問題。例如個人身份證的管理等,第一代身份證僅僅是依據(jù)公安部的一個《條例》,直到2005年第二代身份證才上升為法律,而且不到十年就看到立法時考慮不周,技術(shù)上和管理上也有許多不完善,很長時間我國沒有關(guān)于作廢身份證的如何處理的機(jī)制,造成偽造身份證、個人信息泄露問題嚴(yán)重,詐騙、造假猖獗。中國的個人隱保護(hù)私立法遲遲不能完成,根本原因是在中國,公民最基本的權(quán)利尚未完成沒有法律定義,而隱私權(quán)作為人權(quán)的一部分,想獲得法律上的認(rèn)可就很困難。

現(xiàn)在國家支持企業(yè)技術(shù)研發(fā)和創(chuàng)新的資金比過去多,但是創(chuàng)新的精神比過去少了。首先,整體環(huán)境不能寬容失敗,弄虛作假就成了必然趨勢;其次,政府的決策的失誤沒有責(zé)任,無人追究。政府設(shè)立的各類支持產(chǎn)業(yè)和技術(shù)發(fā)展的專項和基金主旨是好的,但是從投入產(chǎn)出的效益來看,的確還有不如人意的地方。長遠(yuǎn)來看,政府不應(yīng)過多直接干預(yù)企業(yè)的技術(shù)與產(chǎn)品研發(fā)行為,政府的資助可以以資本金、風(fēng)險投資的角度注入,在企業(yè)的管理、技術(shù)研發(fā)等具體事務(wù)上應(yīng)減少干預(yù)。而應(yīng)以政策、稅收等多這種方式引導(dǎo)和鼓勵產(chǎn)業(yè)發(fā)展可能更為有效。

信息安全需要持之以恒

Windows XP系統(tǒng)是微軟2002年之前研發(fā)的產(chǎn)品,在2002年,微軟開始高度重視安全,原美國反網(wǎng)絡(luò)犯罪局官員斯科特 查理加入微軟成為首席安全官,所以XP之后的windows vista, windows 7, windows 8,在產(chǎn)品安全性上做了大量改進(jìn),這意味著XP的漏洞遠(yuǎn)遠(yuǎn)多于這幾個系統(tǒng)。所以XP退出市場,對用戶和微軟公司來講是一件很正常的事情。但是XP系統(tǒng)從投入市場到退出有12年,在中國還有數(shù)以億計的用戶。在市場、公司來講很正常的事情。

前段時間,我國多名院士聯(lián)名稱,XP事件是國家信息安全事件,涉及信息系統(tǒng)的控制權(quán)問題。微軟希望用戶將XP系統(tǒng)換成現(xiàn)在的新系統(tǒng),從用戶角度講是安全性得到了提升,但是院士們認(rèn)為,如果繼續(xù)采用微軟產(chǎn)品升級,控制權(quán)將失去,那么如何應(yīng)對?就又回到了自主、可控的老問題。但是,國產(chǎn)的產(chǎn)品,能比win 7、win 8還好嗎?能做到安全、自主可控嗎?反過來講,做了國產(chǎn)替代,并不等于安全,這取決于國產(chǎn)廠商在安全上做到什么程度。

安全需要持之以恒地努力。安全涉及網(wǎng)絡(luò)、系統(tǒng)、人的工程。安全問題是很廣泛、很復(fù)雜,無論是單品、還是集中管控,還是各種手段的綜合運(yùn)用,都要有大的提升。人的社會工程做好了,比從技術(shù)上做好安全要有效得多。當(dāng)前,來自網(wǎng)絡(luò)的威脅多種多樣,小到個人的小額金錢被盜、隱私泄露,大到企業(yè)要害部門遭受的APT攻擊,很難說在一個點(diǎn)上做好信息年前安全就能萬事大吉。不過微軟宣布停止對XP的服務(wù)給我們的企業(yè)和用戶帶來一個契機(jī),是我們可以做出替代選擇的一個重要的時間點(diǎn)。

另外一個例子,互聯(lián)網(wǎng)金融的安全,只要產(chǎn)品的風(fēng)險在可控范圍之內(nèi)就是可行的。例如財付通微信支付,眼下并沒有機(jī)構(gòu)審核微信支付是否有漏洞、是否安全。在陳鐘看來,就算給微信支付的安全性打個分又有什么用?財付通、支付寶等的運(yùn)作模式很簡單,引入保險公司賠保,有效沖抵風(fēng)險,就開始推向市場,后續(xù)再慢慢完善系統(tǒng)。這說明,安全本身沒有絕對的安全,只有平衡風(fēng)險和防護(hù)、獲得的利益三者之間的關(guān)系。從經(jīng)濟(jì)角度看,互聯(lián)網(wǎng)帶動的經(jīng)濟(jì)發(fā)展是遵循的適度的安全管控??傮w上,不可能追求絕對的安全,只要相對風(fēng)險可控,就是可行的。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號