信息安全是互联网发展的要害,互联网核心技术是很多国家都十分重视的命门。而我们国家的部分核心技术、核心元器件还依赖进口,给网络安全乃至国家安全都带来一定的风险。那么,在建设网络强国的历史机遇期,我们如何尽快突破核心技术受制于人的局面?在一些关键技术领域,我们如何避免“卡脖子”的现象发生?著名信息技术专家、中国工程院院士倪光南对此进行了深度解读。
网络安全其实关系到我们每个人、每个单位,当然也影响到整个国家的方方面面,于是习总书记说没有网络安全就没有国家安全。所以我下面会着重从网络安全的一个重要方面——核心技术没有掌握带来的危害和如何掌握核心技术重点讲一下。
最近一段时期以来,我们看到个别企业有一些核心技术受制于人,受到了禁运,使得整个企业的业务停滞下来。这表明如果不掌握核心技术,我们就会被别人“卡脖子”,这个例子是在供应链方面给人卡了脖子。
但实际上两个方面最有可能受到人家“卡脖子”。一个是供应链的风险,刚才我们说了,他可以不给你供应;第二是在安全方面的风险,这种风险在某种程度上可能比供应链风险更容易被“卡脖子”。
我这里就举桌面安全操作系统为例,就是要看看有哪些安全风险。而安全风险我们觉得是和供应的风险是同样严重的,而且某种程度上可能更容易实施。
第一是被监控的风险。被监控就像“棱镜门”所表示的,是目前来讲很严重的一个安全风险。而且今年3月在美国通过了一个关于跨境使用数据的法案,政府可以调取美国企业域外存储的数据,这就意味着监控可能是非常容易实施的。如果用了外国的一些软件和设施都很容易被别人监控。
第二是被劫持的风险。各种形式的“后门”可以使电脑黑屏、停止工作或者不正常工作。
第三是被木马病毒攻击的风险。应该说现在无时无刻大家都在经受这方面的风险。
第四是停止服务或者禁售。像某些企业受到了禁运,使得整个企业的业务停滞下来。
第五是证书、密钥失控。在Windows 10操作系统,由于它把可信计算整合在里面,比如我们国家的(电子)证书按照《电子签名法》应该国家统一发放,但是用Windows 10实际上证书的发放就不在你这儿。密钥,包括密钥的管理也不在你这儿。
第六是无法进行加固。我们现在的安全厂商有一系列加固办法可以对一些有风险、不够安全的产品进行加固,提高安全性,但是可能有些产品就没法加固。
第七是无法打补丁。这个和源代码开放很有关系。如果源代码没有知识产权则没法共享;源代码不开放,当发现漏洞时自己没法打补丁,基本上得依靠人家给你(打)补丁,至于补丁是否有效,也没法完全进行分析。
第八是无法支持国产CPU。就一个生态系统而言,操作系统必须要和CPU以及其他应用软件、相关硬件形成一个完整的体系。但是如果用了某些操作系统,就没法支持国产CPU。这意味着什么呢?我们就无法构成中国自己的自主安全可控体系。
这里列出了三种常用的桌面操作系统:Windows 10、Windows 7以及国产的Linux操作系统。按照以上的八条风险评估,Windows 10每条都有,包括Windows 10的政府版,我们认为风险指数是8,最高;Windows 7(风险指数)为6,因为Windows 7没有(密码管理和可信计算),不管密码,不管密钥,同时它也可以进行加固,所以(风险指数)是6;国产操作系统最好,唯一的风险主要来自病毒、木马之类的网络攻击。所以大体上给大家列出了这个参考,给我们一个什么感觉呢?Windows 10风险大,政府一些重要部门不宜采用这样的操作系统。希望还是尽可能用国产Linux操作系统,因为从安全的角度有很大的优势,所以推广国产操作系统对于增强安全应该有非常重大的意义。
这里特别把我们目前看到的在网络信息领域的短板长板给大家提出来,供大家参考。大家可以看到我们的短板主要就是芯片和基础软件。
芯片这一块儿,因为芯片的产业链很长,我们知道一个芯片要做出来,从材料开始,按照你设计过以后,材料要去加工,最后出来要测试封装。所以我们的设计水平,我认为到了平均水平,不见得是短板;但是我们的制造(是)明显的短板,我们的材料、装备更差,设计工具应该说基本空白,所以我们整个芯片产业链是不平衡的。我们的设计还算比较好,但是芯片制造、测试封装、材料装备这类偏重于传统工业的,我们不如人家那么早,人家工业化已经一两百年了,所以发达国家在这方面显然有它的优势。我们要赶上它,不像芯片设计、软件产业可以比较短的时间赶上去。
基础软件也是一个短板,比较明显的桌面和移动操作系统,还有大型工业软件也是在软件领域比较弱的。
那么我们是不是都没有长板呢?也有。我认为有两方面比较强一点,一个是互联网相关的电商、支付、共享(经济),这些东西在世界上有相当的地位;此外,人工智能、大数据、5G通信、物联网、云计算等新兴技术都是不错的,所以我们在新兴技术方面有后发优势。