斯诺登事件进一步暴露了我国在信息安全方面存在的诸多问题。事实再次证明,如果不能保障信息安全,将直接影响我国在军事、经济等诸多领域的战略安全。透过“棱镜门”事件,我们需要对国家的信息安全体系建设进行更为冷静的再思考。
中国工程院院士、著名计算机专家倪光南呼吁,我国应尽快从国家战略层面规划布局,协调信息安全和信息产业的发展,尽早建立安全审查机制、整合资源发展自主操作系统,从而完善监管体制和相关政策,尽快建立自主可控的信息技术体系。
信息安全要从国家战略层面规划布局
斯诺登披露的内容只是美国网络行为的冰山一角。事实上,美国及西方高科技企业对中国的渗透超乎想象,中国的信息安全在它们面前如同赤身裸体,几乎毫无秘密可言。倪光南院士认为,在组织架构上应该有一个更权威的部门来协调国家战略安全和信息产业发展的关系,要从国家战略安全的层面规划布局未来。
倪光南院士表示,保障信息安全,关乎国家安全与国家利益,是一个事关全局的战略性问题。2008年以前,国家信息化领导小组由国务院总理任组长,下设国务院信息化工作办公室。在我国推进信息化建设的过程中,这一组织机构在各部委之间发挥了重要的组织协调作用。但是,工信部成立后,信息化建设由工信部负责,而实际上真正负责的是一两个司局。这就导致既缺少顶层规划,也缺乏协调能力,信息化降至为工业化服务的从属地位。这与中国信息产业的发展和国家信息安全战略的实际需要很不对应。倪光南建议,国家应重新考虑设立跨部门的信息化协调机构,统一领导信息化建设和信息安全监管。
作为技术跟进的国家,我国大量的信息化工程建设中,关键技术应用被美国的微软、思科、IBM、英特尔、Oracle、高通、Google、苹果等公司牵制着,关键行业如通讯、金融、电力等核心信息系统有90%以上在使用国外产品。近两年,随着云计算概念的不断升温,各地纷纷建立的大型数据中心如同雨后春笋。而这些动辄百亿级的大型数据中心几乎全部是美国公司的软硬件设备。事实上,美国八大IT公司不仅控制了中国信息安全的躯体、心脏和大脑,而且还控制了中国信息安全的中枢神经。
大量事实和数据表明,信息安全已经从以往单一的软件攻击时代发展到目前的软件攻击和硬件并存的时代。我国的信息安全状况令人担忧,迫切需要从组织机构上设立新的权威的国家专门机构协调规划未来信息安全大局。
亟待建立信息安全的审查机制
在我国,虽然信息安全必须要有国家主导已成共识,但是许多地方政府由于GDP的驱使,在大型信息化建设工程并没有真正考虑安全问题。倪光南呼吁,应尽快建立国家审查制度,出台相关法律法规,从国家战略安全上和保护制度上保障国家信息安全。
倪光南认为,在审查机制方面,我们应该向发达国家学习。美国对于有关信息产业的技术和产品审查都非常严格,进出口相关技术和产品都必须经过美国国防部和商务部的批准。此前华为进入美国市场受到种种限制就是一个活生生的案例。而我国现在还没有对国外进来的产品或者技术进行国家安全审查的机制,导致国家的信息安全威胁严重;对进出口贸易包括企业的兼并也都没有任何审查,导致中国企业可以轻易被国外企业收购,品牌和专利流失严重。
倪光南建议,我国应尽早建立和实施对进口重要信息系统产品和服务的安全审查机制,加速我国国产设备的应用进程,同时应建立对国外企业收购中国企业的审查机制。从而保护我国的产业发展和保障国家的信息安全。
“自主技术、自主品牌、自主标准对于我国信息产业乃至整个社会稳定和经济发展都至关重要。如果我国信息化应用不是自主可控,就不可能安全。”倪光南举例称,2008年的微软黑屏事件,虽然加了很多防火墙、杀毒软件,但还是会黑屏。这是因为这些软件都在操作系统上运行,操作系统要黑屏,那些杀毒软件也就失去了作用。因此,如果构成信息系统的硬件和软件本身不安全,要靠安全产品去解决安全问题是没有用的,因为系统本身就可以形成安全隐患。
倪光南指出,中小企业是创新的土壤和创新的源泉。美国很多大企业自己的创新并不多,更多的是通过并购中小企业或者购买其知识产权来发展壮大。例如谷歌的Android系统就是2005年把一个开发Android系统的小公司买下来发展起来的,这样的例子非常多。
倪光南指出,“中国市场也应如此,但中国中小企业没有足够好的创新环境。例如美国政府采购偏重中小企业,而中国是抓大放小,美国允许中小企业报价高15%—20%,而我们往往第一是看企业规模大小和企业资质,没有达到规模就不考虑。”
整合资源发展自主操作系统
被Wintel(即微软和英特尔)垄断20余年的PC产业,其地位逐渐被新兴的移动因特网产业所替代。在这一领域,技术、产品、服务、标准、模式等等的竞争已经演变为各个生态系统之间的竞争,而生态系统的核心就是操作系统(OS)。目前谷歌、苹果和微软三巨头围绕着它们的操作系统即:安卓、iOS和Win8,营造了三个生态系统,引领着IT产业的发展潮流。
“由于OS是最基础的软件,其他软件都在它之上运行,受它的控制,硬件也直接受它的控制,因此在很大程度上,OS决定了信息系统和信息设备的安全性。如果中国在OS上不能自主,网络空间的安全很难得到保障。”倪光南院士说。
他认为,中国能否在变革时期抓住机遇、摆脱长期受制于人的处境,在很大程度上取决于中国能否拥有自主OS,并围绕它构建自主生态系统。今年两会期间,习主席参加科协、科技界委员联组讨论时,在讲话中两次提到中国的OS基本上是别人的,表明了他对发展中国自主OS的关切。
鉴于OS的重要性,工信部于2012年11月拟订了两条技术路径:一是与安卓兼容,另一是基于开源软件自主开发OS。现在看来,“与安卓兼容”的这一技术路径,多家都没有明显的成效,并有被谷歌封杀的风险,而“基于开源软件自主开发OS”不受跨国公司的制约。如能立足中国的人才资源和市场资源,加大支持力度,是切实可行的。
他强调说:“要充分发挥我国能集中力量办大事的优势,整合全国技术和人才资源,集中力量支持一家,做好一个操作系统就够了。支持多家OS并举是不必要的,也是战略错误的。这不仅会造成互相争夺资源、内耗的局面,而且哪一家都做不好。”他认为,我国完全可以在一二年内推出我国自主OS及其生态系统,使我国人民能放心地使用手机和各种信息终端,使我国信息产业能迅速地从中国制造发展到中国创造,使未来中国可以在世界移动因特网领域里“四分天下”。