今年全国两会召开期间，国家安全委员会有望在会议期间正式设立。维护信息安全是国家安全委员会重要职责之一，新设立的委员会可能会将目光和重点放在何处？近日，本报记者采访了信息安全专家、北京大学网络和软件安全保障实验室主任、教授陈钟，就当前的信息系统国产替代、去IOE、个人信息保护、微软XP系统停止服务等热点问题进行了探讨。

    国产软硬件替代是中国梦

    国产软硬件替代无论是从企业本身还是国家战略部署层面，都给予了大量力支持。更多的国产软硬件替代意味着我国可能拥有更多的信息系统自主可控的系统，从信息安全的角度来看是控制权的问题，从经济角度看是涉及产业发展的问题，其重要性毋庸置疑。

    但是，应当看到现在我国在产业、产品、技术、人才等方面和西方发达国家的差距是巨大的。例如CPU，我国现有的产品只在很有限的范围内使用，集成电路制造基础领域如材料、工艺、装备等，离真正自主的设备也有很大差距。在软件方面，中科红旗过去作为国产操作系统的一面旗帜也倒下去了，中国没有出现微软的视窗系统，也没有出现类似谷歌的手机操作系统安卓系统。我国现在面临已经进入计算设备人手多台的时代，IT应用消费走在世界的前列，但技术和产业创新优势不明显，不仅仅是要有技术、产品，还需要打造生态环境。包括近年来出现的很多新的技术，例如物联网，传感、感知、处理单元的技术，大多数也是西方发达国家掌控握。竞争不仅仅是技术、产品，还涉及到打造整个生态环境。

    中国和西方发达国家的竞争，就像索契冬奥会的冰壶运动，不是眼前的一个竞争、，只打一个球，而是一局、一场、多重连环的竞争。中国的国家战略应该放得更长远些，这不是眼前砸下几百亿资金就能成功的事情。

    有人说美国梦其实是教育梦，美国的长远战略体现在其教育上。从第一任总统华盛顿开始就对教育规划长远发展，激发持续的力量创新。现在美国的IT科技产业顶尖人物谷歌的拉里 佩奇、脸谱的扎克伯格、苹果的乔布斯等等，都不是国家一时的政策刺激出来的，最根本的是教育环境、创新技术环境让各类人才脱颖而出。

    从这些意义上说，第一，国产软硬件替代是我们的目标和追求。第二，要看到和西方企业的差距，要有长远战略，既要赢得眼前也要看到长远发展，必须重视教育、基础科学和技术研发投入，急功近利只会导致“欲速而不达”的恶果。

    国产替代，重点发力的还是提升自己的产品技术和服务质量。必须看到和国外产品和服务方面的差距。

    去IOE是自然而然的事情

    现阶段是否去IOE，在某些领域是自然而然的事情。阿里巴巴的去IOE并不是中国独创创新，谷歌也是这样做的，是在他们能力范围内选择自己最合适的技术产品组合，是在开源基础之上找到的更好更优更省钱的解决方案。不仅谷歌在做去IOE，研究自己的交换机，百度也在跟随自主研究网络交换机、海量SSD存储等技术和产品。Facebook正在硅谷创建了实验室研究DIY数据中心，这个技术一旦成熟推广就能必然对惠普、IBM等的服务器、数据中心业务造成很大冲击。

    阿里巴巴的去IOE，是在寻找更适合电商数据业务的IT产品组合。这类企业不适用通用的数据库，因为他们的数据规模庞大且大多数是只添加、累积不删除的，其使用的产品和解决方案就需要针对这个特征进行优化，而且要比通用的数据库做得更好。甲骨文的数据产品有从软到硬的一系列丰富的产品线，但是面对阿里巴巴这类有能力、有实力可以自己处理数据的企业时，甲骨文的产品从适用性、实施性、性价比上等各方面就不合适了。阿里巴巴替代的不仅是一种IT解决方案，甚至还要走到云计算、海量数据处理技术创新的前面。

    再比如百度。百度去年从华为采购买了价值十几亿的网络交换机，但是今年大幅减少取消了类似的订单，因为它要能够自己DIY了研发交换机和存储。这些新的需求不断驱使他们探索、给出解决方案。

    去IOE只是开源的一个现象。更多的大企业也在走软硬件开放和开源的路子。例如英特尔，在芯片领域受到了ARM的冲击，也开始走开源路线，在企业内部建立更加开放的管理机制，鼓励团队去创新。在生态环境上更加开放协同，通过开源竞赛等方式鼓励硬件开放创新。


    遵循国际规则，立法要迎头赶上

    类似谷歌的企业在美国都也是极品端的，广大客户需要的是好的软硬件产品来支撑信息系统。站在中国人的角度，我们的期望是去IOE，做国产的产品，但是市场有市场的规则，不可能宁愿用国内坏差的东西也不用国外的好的东西。而且中国作为WTO成员国还应该遵守WTO规则。市场规则是谁好用谁的，所以，政府需要很好地利用国际规则、市场规则鼓励国产化，而不是和国际规则对抗。例如美国就很好地利用了国家安全这张牌，判定华为的产品进入美国需要审核。中国过去没有这种制度，现在就需要赶紧建抓紧补上。

    法律可以规范市场，而中国的立法落后是一大问题。例如个人身份证的管理等，第一代身份证仅仅是依据公安部的一个《条例》，直到2005年第二代身份证才上升为法律，而且不到十年就看到立法时考虑不周，技术上和管理上也有许多不完善，很长时间我国没有关于作废身份证的如何处理的机制，造成伪造身份证、个人信息泄露问题严重，诈骗、造假猖獗。中国的个人隐保护私立法迟迟不能完成，根本原因是在中国，公民最基本的权利尚未完成没有法律定义，而隐私权作为人权的一部分，想获得法律上的认可就很困难。

    现在国家支持企业技术研发和创新的资金比过去多，但是创新的精神比过去少了。首先，整体环境不能宽容失败，弄虚作假就成了必然趋势；其次，政府的决策的失误没有责任，无人追究。政府设立的各类支持产业和技术发展的专项和基金主旨是好的，但是从投入产出的效益来看，的确还有不如人意的地方。长远来看，政府不应过多直接干预企业的技术与产品研发行为，政府的资助可以以资本金、风险投资的角度注入，在企业的管理、技术研发等具体事务上应减少干预。而应以政策、税收等多这种方式引导和鼓励产业发展可能更为有效。

    信息安全需要持之以恒

    Windows XP系统是微软2002年之前研发的产品，在2002年，微软开始高度重视安全，原美国反网络犯罪局官员斯科特 查理加入微软成为首席安全官，所以XP之后的windows vista, windows 7, windows 8，在产品安全性上做了大量改进，这意味着XP的漏洞远远多于这几个系统。所以XP退出市场，对用户和微软公司来讲是一件很正常的事情。但是XP系统从投入市场到退出有12年，在中国还有数以亿计的用户。在市场、公司来讲很正常的事情。

    前段时间，我国多名院士联名称，XP事件是国家信息安全事件，涉及信息系统的控制权问题。微软希望用户将XP系统换成现在的新系统，从用户角度讲是安全性得到了提升，但是院士们认为，如果继续采用微软产品升级，控制权将失去，那么如何应对？就又回到了自主、可控的老问题。但是，国产的产品，能比win 7、win 8还好吗？能做到安全、自主可控吗？反过来讲，做了国产替代，并不等于安全，这取决于国产厂商在安全上做到什么程度。

    安全需要持之以恒地努力。安全涉及网络、系统、人的工程。安全问题是很广泛、很复杂，无论是单品、还是集中管控，还是各种手段的综合运用，都要有大的提升。人的社会工程做好了，比从技术上做好安全要有效得多。当前，来自网络的威胁多种多样，小到个人的小额金钱被盗、隐私泄露，大到企业要害部门遭受的APT攻击，很难说在一个点上做好信息年前安全就能万事大吉。不过微软宣布停止对XP的服务给我们的企业和用户带来一个契机，是我们可以做出替代选择的一个重要的时间点。

    另外一个例子，互联网金融的安全，只要产品的风险在可控范围之内就是可行的。例如财付通微信支付，眼下并没有机构审核微信支付是否有漏洞、是否安全。在陈钟看来，就算给微信支付的安全性打个分又有什么用？财付通、支付宝等的运作模式很简单，引入保险公司赔保，有效冲抵风险，就开始推向市场，后续再慢慢完善系统。这说明，安全本身没有绝对的安全，只有平衡风险和防护、获得的利益三者之间的关系。从经济角度看，互联网带动的经济发展是遵循的适度的安全管控。总体上，不可能追求绝对的安全，只要相对风险可控，就是可行的。

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。