信息核心技术:网络安全重要砝码
- 来源:科技猎 作者:倪光南
- 2018/4/10 15:38:0733878
【中国安防展览网 企业关注】近日,美国科技巨头Facebook卷入数据泄露丑闻,其5000万用户数据被泄露给英国剑桥分析公司。该事件再一次凸显了大数据安全问题的严重性。这一事件并非个案,美国网络安全分析机构Risk Based Security(RBS)发布的《2017数据泄露报告》显示,2017年公开的数据泄露事件高达5207起,被泄露信息多达78.9亿条。数据安全问题正日益引发各界关注。
大数据安全和大数据发展要同步推进
当前,随着国家大数据战略的推进,大数据在我国各个领域的应用持续升温。与发达国家相比,中国存在的一个弱点是,由于我国关键信息基础设施大量采用外国技术设备,再加上安全法规制度不完善,安全意识不足,面对日益严峻的网络安全态势,保障大数据安全已成为当务之急。在党的*报告中提出要“统筹应对传统和非传统安全威胁”。网络安全就属于非传统安全,它具有不同于传统安全的特点。例如,网络安全要求安全性和可控性,其中安全性要求和传统安全相同,但可控性要求则是传统安全没有而网络安全所特有的。例如,当传统汽车发展为自动驾驶汽车时,它的安全不仅取决于汽车本身的安全,还取决于它是否能抗拒网络攻击,不被黑客所干扰。换言之,传统汽车只需做到安全,而自动驾驶汽车必须做到安全可控,在“安全可控”中就包含了安全性和可控性。
以安全可控为尺度衡量,我们看到,尽管现在我国的某些网信应用包括大数据发展很快,但我们还在一定程度上依赖于外国的核心技术,正如所指出的,“互联网核心技术是我们大的‘命门’,核心技术受制于人是我们大的隐患”。以大数据为例,无论是支撑它的关键信息基础设施,还是无数利用或提供数据的信息终端或物联网终端,其核心技术都必须掌握在自己手里,否则,就像是“在别人的墙基上砌房子,再大再漂亮也可能经不起风雨,甚至会不堪一击”。
加快推进自主可控替代计划以应对信息核心技术挑战
鉴于网信技术往往构成技术体系并具有高度的垄断性,因此,在网信领域,发展核心技术必须有技术体系及其生态系统的支撑。中国要想在核心技术上不受制于人,必须大力构建安全可控的信息技术体系,以此替代目前垄断市场的外国技术体系。这方面成功的例子是卫星导航体系。我们已经基本上构建起了“北斗”体系,可以替代原来垄断市场的GPS体系。今后,其他网信领域应当以此为榜样,例如在一般计算机领域(包括桌面计算机和部分服务器),努力构建安全可控的信息技术体系来打破Wintel体系的垄断。
Wintel体系是指由微软的Windows操作系统和英特尔架构的CPU所构成的计算机技术体系,目前它在世界桌面计算机领域占据垄断地位。这两项都是该领域的关键核心技术,所以采用Wintel体系就必然在这两项核心技术上受制于人,既无法保障网络安全,也无法保障产业发展。而真正的核心技术是买不来的,是市场换不到的,关键核心的技术必须靠自己研发、自己发展,这已为我国信息领域几十年的实践经验所证明。而今,Wintel已走过20多年历程,目前无论是作为技术体系还是商业联盟,都已明显地走向衰落,这在客观上有利于实现对它的替代。近年来,我国一直在探索和尝试建设自己的技术体系替代Wintel。经过多年发展,由国产Linux操作系统+3种国产CPU(申威/飞腾/龙芯)组成的国产技术体系已经比较成熟了。
加快推进国产自主可控替代计划和构建安全可控的信息技术体系,是建设网络强国的需要。《国家中长期科学和技术发展规划纲要(2006—2020年)》确定了发展“核心电子器件、通用芯片及基础软件产品”的重大专项,其目标就是要以基于通用芯片(CPU)和操作系统等基础软件所构成自主的技术体系来替代Wintel体系,这是没有疑义的。在实施过程中,我们要不忘初心,牢牢把握“核高基”的大方向,以此为抓手构建安全可控的信息技术体系。按照工信部近的评估,国产软硬件已从“不可用”发展到“可用”,正在向“好用”继续推进。实践表明,推广国产自主可控不等于“保护落后”,通过技术创新、模式创新等,从政府和重要领域开始,加快推进国产自主可控替代计划和构建安全可控的信息技术体系是切实可行的。当然,对我国网信技术的短板,包括集成电路制造、工艺和设计工具以及大型软件(如EDA、CAD/CAM等工业软件)等方面,还需要大力加强,尽快弥补。
以制度建设保障网络安全
为树立正确的网络安全观,做到安全和发展同步推进,需要加强制度建设。例如,在网信建设中推进“多维度测评”,即除了实行一般的质量测评(对产品/服务/系统的功能、性能等技术指标进行测评)和安全测评(对产品/服务/系统的安全性进行测评)外,还需实行自主可控评估,即对产品/服务/系统的自主可控性进行评估,这种评估可以是针对CPU、操作系统等核心技术产品,也可以是针对其他软硬件或服务,甚至也可能是针对一个信息系统或一项信息基础设施。
由于对于网络安全的可控性要求,一般测评不能反映,需要通过自主可控评估才能体现出来,因此我们主张在网信项目的规划立项、方案制订、招投标、评审验收等等环节中都应实施自主可控评估,因为达不到可控性要求,就不能保障网络安全。例如,目前已有的自主可控评估方案,是从知识产权、技术能力、发展主动权、供应链安全、厂商资质、技术体系等方面进行评估,这比较适合CPU、OS这类产品,但对于云计算、大数据等云服务,除评估这些指标外,还应重点评估所用软硬件是否自主可控、基础设施是否部署在境内、敏感信息是否不出境、用户隐私信息是否不泄露、是否能防御网络攻击等。总之,我们要通过实施自主可控评估,增强包括大数据在内的各种网信事业的安全,推进建设网络强国的进程。