来源:经济参考报 时间:2018-01-08 14:37:04 作者:倪光南
如今,中国已经是网络大国,但还不是网络强国,一个重要原因就是我们还缺乏安全可控的信息技术体系的支撑,我国的信息基础设施以及信息化所需的软硬件和服务,大量地来自于外国跨国公司。由此构成的基础设施或信息系统就像沙滩上的建筑,在遭到攻击时顷刻间便会土崩瓦解。
应当指出,随着中国与发达国家的技术差距迅速缩短,外国对我们的方针也从封锁禁运变为“技术合作”,但往往是以“合作” 之名,行 “穿马甲” 之实,希望中国放弃追赶,停止构建自主的信息技术体系,这样,中国当然会永远依赖外国,永远不会变成网络强国。所以要不要发展自主核心技术也就是要不要建设网络强国的问题。
实行自主可控替代计划
众所周知,网信技术具有高度的垄断性。例如全世界百亿台的智能终端(包括桌面电脑、移动手机等等)基本上被三家操作系统(Windows、Android和iOS)所控制。这种高度垄断情况是其他任何行业中所罕见的。实际上,在网信领域,一些技术、标准、知识产权、文献资料、产品、服务、解决方案等等,往往形成一个信息技术体系,该体系及其关联的经济社会环境构成了一个生态系统。相应地,市场竞争也从各个产品或服务之间的竞争上升到技术体系及其生态系统之间的竞争。由此可见,中国要想打破网信领域现有的垄断,靠单项技术的突破是不够的,而必须在信息技术体系及其生态系统的竞争中,取得一席之地。
近年来我们在实施国产自主可控替代计划中的一个教训是,虽然耗费了大量人力物力,但还是不能从根本上解决适配问题,这也是因为没有强调构建技术体系问题所致。
有人担心实行自主可控替代计划是否会保护落后?这是不了解国产软硬件的实际水平。由于网信领域的高度垄断性,网信产品的市场份额往往与其水平不成比例,所以尽管国产软硬件达到了可用水平,但人们平时难以实际接触到,对其缺乏了解倒也不足为奇。
日前,在第五届太湖论坛以及第四届世界互联网大会上,国产CPU和“航天昆仑数据库一体机”闪亮登场,引起了广泛的关注。其中,航天昆仑数据库一体机在交易型数据库领域采用创新的分布式数据库架构,增大服务器集群规模,就能提高性能。实测在150台服务器时,仍有很好的线性加速比。它支持申威、飞腾、龙芯等国产CPU,性价比好,有很大发展潜力。
在这个领域,国际通行的性能评价是采用tpc组织所制订的tpmC指标,根据tpc组织公开数据和我国有关机构测试数据,航天昆仑数据库一体机的tpmC指标已达到世界第三。从这个采用国产CPU、国产操作系统和数据库软件的一体机可以看到,认为国产不如进口,实行国产自主可控替代是保护落后等等,都是不符合我国网信领域实际情况的。
当然,人们承认在网信领域还有一些短板,明显的是在集成电路的制造,工艺和设计工具等方面,为此,国家已设立了上千亿的集成电路发展基金,还有很多民间基金加入,希望在短期内能予以弥补。此外,大型软件(如EDA、CAD、工业仿真……)方面的短板也需弥补。开发这类软件周期很长,因此还需要采取一些应急措施,例如在国产桌面Linux操作系统中整合安卓窗口,使安卓的移动应用也能在桌面运行,弥补某些软件的不足,也可以采用桌面虚拟化技术,通过云服务解决某些大型软件不能在本地运行的问题。运用这些综合手段有助于推进桌面国产操作系统对外国系统的替代。
落实多维度测评制度
网信事业应当实施安全和发展同步推进。发展是硬道理,安全也是硬道理。为此,要建立必要的法规制度保障,例如贯彻实施《网络安全法》、《网络产品和服务安全审查办法》,实施多维度测评、等保制度等等。
自主可控不等于安全,但不自主可控一定不安全。自主可控意味着不存在后门,可以主动增强安全(能掌控源代码,能自己分析研究、增强安全),发现了漏洞可以主动打补丁等等,而不自主可控意味着丧失主动权,在网络攻击下完全处于被动挨打地位。所以应当将自主可控作为网络安全的必然要求,因为在此基础上才能构建安全可控的信息技术体系。
安全可控需要经受实践的检验和时间的考验,随着网络空间形势的发展,对安全可控的要求也在发展,一个系统的安全可控需要贯穿其全生命周期。信息安全等级保护制度是国家信息安全保障工作的基本制度、基本策略和基本方法,是促进信息化健康发展,维护国家安全、社会秩序和公共利益的根本保障。重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统。
信息安全等级保护是当今发达国家保护关键信息基础设施、保障信息安全的通行做法,也是我国多年来信息安全工作经验的总结,事关国家安全、社会稳定、国家利益的重要任务。
一般说来,网络安全的要求可以概括为安全可控,即“安全性”和“可控性”。过去传统的测评方法,有可能忽视“可控性”,为此,有关部门提出了实行多维度测评的要求,包括:
自主可控评估——对产品/服务/系统的自主可控性进行评估,这种评估可以是针对CPU、操作系统等核心技术产品,也可以是针对其他软硬件或服务,甚至也可能是针对一个信息系统或一项信息基础设施。
质量测评——对产品/服务/系统的功能、性能等等技术指标进行测评;
安全测评——对产品/服务/系统的安全性进行测评,这种测评有可能与“等保”、“分保”的测评相结合。
不久前,有关方面召开了专家评审会,通过了对专业机构所制订的自主可控评估方案的评审。专家们认为,自主可控是网络安全的必然要求,应予以制度化。并基本上认可了方案对CPU、操作系统之类产品从“知识产权”、“技术能力”、“供应链安全”、“发展主动权”和“国产资质”等方面进行自主可控评估的做法,也认为这种方法可作为对其他产品或服务进行自主可控评估的参考。
今后,在政府和重要领域中推进自主可控评估,可以为依靠自己研发、自己发展、自主可控程度高的产品和服务,提供更好的市场机会,防止各种打着“国产”、“技术合作”旗号的 “穿马甲”的外国产品和服务,混入政府和重要领域。因此我们要将“多维度测评”包括其中的“自主可控评估”落实,使其成为网信工作的一项制度。
(作者为中国工程院院士)
责任编辑:陈近梅
