在今年4月20日至21日召开的全国网络安全和信息化工作会议上,习近平指出,核心技术是国之重器。要下定决心、保持恒心、找准重心,加速推动信息领域核心技术突破。要抓产业体系建设,在技术、产业、政策上共同发力。要遵循技术发展规律,做好体系化技术布局,优中选优、重点突破。此前,2016年习近平总书记在主持中共中央政治局第三十六次集体学习时强调,要“加快推进国产自主可控替代计划、构建安全可控的信息技术体系”。习总书记的系列指示,突出了中国网信领域的重要奋斗目标,特别是“核心技术是国之重器”的判断,为我们指明了建设网络强国的必由之路。
一、构建网信领域安全可控的技术体系
一般说来,在网信领域,技术、标准、知识产权、文献资料、产品、服务、解决方案等等,往往构成信息技术体系,这些体系与其所关联的经济社会环境则构成了生态系统,从而使网信领域的竞争往往不是单个(或几个)产品或服务之间的竞争,而是各个技术体系及其生态系统之间的竞争。由此可见,在网信领域要讲技术体系,要重视技术体系,如果支持一个产品或一项技术,首先就要搞清楚它属于哪一个技术体系,技术体系搞错了,就会事与愿违,甚至做傻事、帮倒忙。
有业内专家评论说,鉴于目前中国网信技术的迅速提高,外国跨国公司对中国的策略也从早年的“封锁禁运”转变为近期的“合作转让”,但是,对关键核心技术他们仍舍不得真正地“合作转让”给中方,于是,一些专门给外国跨国公司“穿马甲”的公司就应运而生了:他们给自己不掌控的外国技术穿上“国产”马甲,使其得以打入政府和重要领域,并在销售中分一杯羹。显然,对这类“技术合作”,有关方面必须从严把关审批,防止它们冲击国家的战略部署,包括对构建安全可控的信息技术体系造成不利影响。
2017年2月17日,习近平在主持召开国家安全工作座谈会时要求,“加大核心技术研发力度和市场化引导”,这是非常必要的。习总书记历来强调,核心技术受制于人是我们最大的隐患,最关键最核心的技术要立足自主创新、自立自强。市场换不来核心技术,有钱也买不来核心技术,必须靠自己研发、自己发展。实际上,我国网信领域几十年的实践都证实了习总书记的这一论断。
二、“北斗”是构建安全可控信息技术体系的成功范例
北斗卫星导航系统是构建安全可控的信息技术体系的成功范例。卫星导航系统是网信领域极其重要的信息技术体系,我国只花了不到20年的时间,就从无到有、建立起安全可控的“北斗”卫星导航系统。过去,该领域被美国的GPS系统所垄断,我国不仅只能使用低精度的GPS导航信息,而且随时存在着被关停、被误导的风险。欧盟发展“伽利略”系统,俄罗斯发展“格罗诺斯”系统,都是想打破GPS的垄断,但是,都不成功。
那么,“北斗”为什么能取得成功呢?这是由于我们发扬了两弹一星和载人航天精神,加大自主创新力度,充分发挥中国能集中力量办大事的优势。客观地说,鉴于“北斗”需要整合航天和网信两大领域的技术,其难度和投入强度超过一般的网信技术体系。所以,“北斗”的成功表明,今天中国已经有足够的实力,通过自主创新,构建网信领域的各个安全可控的信息技术体系。
“北斗”的成功也有助于我们加深对于自主创新和开放创新的理解。2017年12月,中美两方签署了《北斗与GPS信号兼容与互操作联合声明》。实际上,如果中国没有自己的“北斗”体系,我们就根本没有资格与人家讨论什么“兼容”和“互操作”。所以,我们要开阔思路,提高认识。当我们讨论“开放创新”时,不仅包括“引进来”,也包括“走出去”;在讨论“构建网络空间命运共同体”时,不仅包括“我中有你”,也包括“你中有我”。应当使自主创新和开放创新互相促进,在更高层面上推进自主创新和开放创新。
三、加大核心技术研发力度和市场化引导
网信核心技术往往都是用出来的,人们常说“软件到3.0版才好用”,这种表述对硬件也基本适用,它表明任何核心技术如不通过大量使用,没有进入市场的良性循环,就不可能发展成熟。为此,在自主核心技术刚研发出来、还未进入市场良性循环时,如何帮助它打破垄断,顺利进入市场,具有重要的意义,这就需要实行“市场化引导”。这类措施可以包括:政府采购目录向自主可控的核心技术倾斜,在信息化项目的招投标中加入自主可控评估,实施网络安全审查制度,实施国产自主可控替代计划。
实践表明,创新成果的发展一般要经历三个阶段:即从 “不可用”到“可用”再到“好用”。不能设想把刚刚自主研发出来的软硬件凑在一起就能正常工作,实际上,只有通过大量使用,发现问题,解决问题,才能做好各个软硬件之间的适配,最终构建一个可实际使用的信息技术体系。
在这个过程中,特别是当处在“不可用”阶段时,如果没有市场化引导(例如政府采购),很可能创新成果就根本无法进入市场,无人应用,也就不可能得到改进和发展,不可能从“不可用”发展到“可用”“好用”。
应当指出,实施国产自主可控替代绝对不是保护落后。例如,航天科工用的交易型数据库系统,采用航天昆仑数据库一体机,它由国产CPU、国产操作系统、国产数据库软件,国产中间件和应用软件组成。最近,他们用140台服务器构成集群,按国际标准的tpmC指标(每分钟交易次数)进行测试,实测值为930万/分,在同类测试中,排名仅次于Oracle和IBM,位居世界第三。鉴于他们采用的是创新的分布式架构,今后只要增大集群的规模。可以预期,他们的排名还会继续上升。
每分钟930万次交易这样的指标是什么概念呢?据估计,淘宝的峰值交易次数大概是每分钟千万次左右,虽然交易和交易各不相同、不能完全对等,但是,多少可以给人一个概念,就是这样的数据库的服务能力是非常高的。而且,不需要用昂贵的软硬件,只需用一二百台普通的全国产服务器加上国产软件就能做出来,性价比非常高。希望有些人不要总戴着有色眼镜,迷信Wintel等,贬低国产;希望他们能够多到实地去考察,改变旧观念,增强创新自信。
按照有关部门的规划,到2020年,我们要先在政府部门实现国产自主可控替代。那么,有实现的把握吗?实际上,满足政府的工作需求并不难。我国网信技术的短版,一个是在集成电路的制造、装备、材料和设计工具等方面,为此,国家已设立了上千亿的集成电路发展基金,还有很多民间基金加入,希望在短期内能予以弥补。另外一个是在大型工业软件(如CAD、CAM等)方面,这类软件的开发周期很长。为此,我们可以先采用一些技术进行弥补,并着手制订相应的计划,争取逐步赶上发达国家。
四、实施多维度测评的自主可控评估
习总书记的网络安全观强调:没有网络安全就没有国家安全。网络安全和信息化是一体之两翼、驱动之双轮。网络安全和信息化是相辅相成的。安全是发展的前提,发展是安全的保障,安全和发展要同步推进。对网信领域而言,发展是硬道理,安全也是硬道理。网络安全需要有法规制度的保障,例如贯彻实施《网络安全法》《网络产品和服务安全审查办法》,实施多维度测评,实行等保制度等等。
网络安全作为非传统安全,与传统安全的一个重要差别是需要强调“可控性”。在《国家安全法》中,对“自主可控”和“安全可控”都有明确的规定,作为《网络安全法》配套办法的《网络产品和服务安全审查办法》,将“安全性”和“可控性”作为审查的两个主要方面。这里的“可控性”是传统安全领域不需考虑而在网络安全领域必须考虑的新问题。
“可控性”往往也表达成“自主可控”,鉴于在文件中“自主可控”出现更多,下面我们就只讨论自主可控。我们认为,自主可控不等于安全,但是,不自主可控一定不安全。一项技术能自主可控意味着它不存在后门,使用者可以主动增强安全(能掌控源代码,能自己分析研究、增强安全),发现了漏洞可以主动打补丁等等,而不能自主可控,意味着使用者丧失了主动权,在网络攻击下完全处于被动挨打地位。
所以,应当将自主可控作为网络安全的必然要求,作为一个前提,因为在此基础上才有可能达到安全可控的要求。安全可控显然比自主可控的要求更高,是否安全可控需要经受实践的检验和时间的考验。随着网络空间形势的发展,对安全可控的要求也在发展,因而一个系统的安全可控需要贯穿其全生命周期。
最近,陈左宁院士等人提出了在网信领域实行“多维度测评”的建议,即为了更好地体现网络安全的特点,在网信领域的规划立项、采购招标验收结题等工作中,要在传统的“质量测评”“安全测评”的基础上增加一项新维度评估——“自主可控评估”。
据此,网信领域将需要实施以下的评估测试,包括自主可控评估——对产品/服务/系统的自主可控性进行评估,这种评估可以是针对CPU、操作系统等核心技术产品,也可以是针对其他软硬件或服务,甚至也可能是针对一个信息系统或一项信息基础设施;质量测评——对产品/服务/系统的功能、性能等等技术指标进行测评;安全测评——对产品/服务/系统的安全性进行测评,这种测评有可能与“等保”“分保”的测评相结合。
按照多维度测评的要求,应当先做自主可控的评估,然后再做质量、安全等测评。在很多情况下,自主可控评估有一票否决权,即不能满足自主可控要求,不论其他指标如何都不能采用。具体说来,自主可控评估可以从知识产权、技术能力、发展可能性、供应链、资质以及信息技术体系等方面进行评估。
本文论述的安全可控的信息技术体系的要求也可以包含在自主可控评估之中,例如要采用某项技术或产品,首先应当分析它支持什么技术体系,是支持Wintel还是支持国产安全可控体系?是支持北斗还是支持GPS?
总之,我们要切实贯彻习总书记提出的安全和发展同步推进的思想。应当明确,在网信领域,发展是硬道理,安全也是硬道理。安全是发展的前提,发展是安全的保障。我们要以习总书记的网络安全观指导网信工作,为建设网络强国的伟大事业作出贡献。
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。