衛(wèi)士通公司總經(jīng)理助理 鐘 博

自主可控戰(zhàn)略下信息安全產(chǎn)業(yè)發(fā)展壯大的思考

衛(wèi)士通公司總經(jīng)理助理 鐘 博

回顧2014年，中國發(fā)生了很多值得回顧的信息安全事件，如WindowsXP停止提供技術支持服務，還有OpenSSL代碼的“心臟滴血”漏洞，再就是某電視臺播控平臺被攻擊造成的惡劣影響。除此之外，我們經(jīng)常使用的公共場所WIFI，會把個人隱私通過公共平臺泄露出去。如今這個世界上可以說沒有一個人是絕對安全的，有人戲稱：當在網(wǎng)絡空間中只有兩種人，一種是知道自己被黑了，一種是不知道自己被黑了。

實事求是地講，我國在網(wǎng)絡空間中尚不具備控制權，現(xiàn)在很多信息系統(tǒng)基本處于裸奔的狀態(tài)。在骨干網(wǎng)絡方面，現(xiàn)在的網(wǎng)絡運營商呈現(xiàn)出國產(chǎn)網(wǎng)絡設備替換國外設備的現(xiàn)象，因為我們在自身技術積累上存在缺陷，在骨干網(wǎng)絡中還是繼續(xù)采用國外設備，在CPU上面，在通用處理器上，在全面滿足計算需求上面，不管是在產(chǎn)業(yè)水平上，還是設計生產(chǎn)上，還是在供應鏈上與國外相比我們都處于落后的局面。國外在操作系統(tǒng)、Windows系統(tǒng)、Unix系統(tǒng)等，在個人應用和企業(yè)用戶市場上占據(jù)絕對控制權。

在工業(yè)控制方面，很多的核心系統(tǒng)，包括我們工廠的機床設備都是國外做的，現(xiàn)在安全手段想融入確實存在困難，導致工業(yè)控制系統(tǒng)面臨的風險直接關系到經(jīng)濟運行和社會安定，我們不得不對這些問題加大重視，我們無法放心的利用國外的東西構建自己的安全保障體系。綜上所述，我們現(xiàn)在的信息安全態(tài)勢并沒有隨著國產(chǎn)化軟硬件的普及而從根本上發(fā)生態(tài)勢上的扭轉(zhuǎn)，我們現(xiàn)在面臨的信息安全現(xiàn)實還是很嚴峻的。

所以我在這里總結一個教訓，我們要想保衛(wèi)自己國家的安全，說的嚴重一點就是要“不擇手段”。在這里，我引用一句話，“不能把自己安全建立在對別人的道德假設上”，因此中國必須加強信息安全保障和信息作戰(zhàn)能力。

總的來說，信息技術領域我國還是處于追趕階段，在這種情況下我們應當如何應對，我們認為，現(xiàn)階段首先要知道安全風險和隱患在什么地方，安全風險已經(jīng)桎梏了以云計算、物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)為代表的新一代信息技術產(chǎn)業(yè)的發(fā)展。新一代信息技術的快速演進帶來了新的安全風險。原來所設想的大產(chǎn)業(yè)規(guī)模并沒有真正實現(xiàn)，這里面比較大的問題還是安全問題。再加上云計算本身的基礎還是網(wǎng)絡計算，在原有問題沒有解決的情況下又引入新的問題，全社會的信息安全意識比較薄弱，信息安全保障工作缺乏頂層規(guī)劃和設計，信息核心技術的缺乏，大量核心產(chǎn)品還是掌握在國外廠商手里，這些問題都導致我國的對信息安全威脅的控制力較低。再就是我們往外輸出信息安全的能力幾乎沒有，現(xiàn)在我們在網(wǎng)絡空間還是處于被動防御狀態(tài)，固守是相對較小的空間。如果不能把安全能力輸出出去，在全球范圍展開市場競爭，我國在信息化領域也就沒有形成有利的保護空間，這也是值得我們認真思考的一個問題。

所以我們認為要破解這樣一個難題，要按照這樣一個思路，實現(xiàn)信息控制為聚焦的發(fā)展策略，我們要搶占國家信息戰(zhàn)略制高點，需要構建自主可控的網(wǎng)絡體系，來掌握信息控制權。另外，網(wǎng)絡安全也是一種服務性，一種融合性的東西，我們希望把安全和應用融合到一起實現(xiàn)讓信息系統(tǒng)天生就具備安全的基因，保證信息系統(tǒng)安全有效的運行。

構筑自主可控的網(wǎng)絡信息系統(tǒng)，現(xiàn)有的互聯(lián)網(wǎng)概念本質(zhì)上控制權還是在美國手里，我們是依附在美國遍布全球的網(wǎng)絡里面，在這樣底層不牢固的基礎上做自己的安全，我們要改變依附態(tài)勢形成對等的關系，這是未來信息安全產(chǎn)業(yè)發(fā)展需要著重去考慮的重大問題，只有解決好這個問題，才能真正有效實現(xiàn)信息有效控制。這其中涉及到像域名管理、根服務器、基礎軟硬件等技術。

我們不止要會設計信息安全解決方案，還必須實現(xiàn)能夠把產(chǎn)品做出來在現(xiàn)實中發(fā)揮作用。這就引出供應鏈方面的問題，我們要具備持續(xù)的信息技術產(chǎn)品的供應能力。同時，就是要輸出我們的信息安全能力，這里就是攻防能力，能夠輸出信息安全能力獲得信息網(wǎng)絡邊界和疆域。以前大家總是覺得數(shù)據(jù)不是自己的資源，所以是沒有多少意識保護數(shù)據(jù)的意識，這種做法對于個人來講情有可原。在國家層面，發(fā)展信息技術保護海量數(shù)據(jù)還是有優(yōu)勢的，具體講就是通過應用遷移帶動技術發(fā)展，充分發(fā)揮后發(fā)優(yōu)勢。而且當前自主可控成為整個國家戰(zhàn)略思想，所以說現(xiàn)在信息安全需求很大，不管是從行業(yè)還是企業(yè)，還有傳統(tǒng)IT領域乃至整個工業(yè)領域都有很大的需求，我覺得我們完全可以利用規(guī)?；瘧脤崿F(xiàn)從追趕到跨越的轉(zhuǎn)變，國內(nèi)互聯(lián)網(wǎng)企業(yè)發(fā)展就可以發(fā)現(xiàn)，其實現(xiàn)在咱們在國內(nèi)做得比較好的互聯(lián)網(wǎng)企業(yè)在信息安全上面技術和實力都很強，我的理解源于他們自身業(yè)務，這些企業(yè)本身都有數(shù)億的用戶，通過廣大用戶的安全想法變成實現(xiàn)的技術，形成很多好的案例，作為傳統(tǒng)信息安全企業(yè)來講，也可以遵循這樣的思路來擴大在產(chǎn)業(yè)上面的能力。

關于我這個行業(yè)的叫法：原來叫作信息安全，現(xiàn)在經(jīng)過發(fā)展應該叫作安全信息，信息本身就是安全，天生下來就是安全，結合現(xiàn)在態(tài)勢有兩個方面，一個是平民化，通過現(xiàn)在態(tài)勢變化，用案例來提升平民的安全意識，讓我們的安全產(chǎn)品、安全理念真正形成平民化，加上融合形成安全信息，我們的存儲天生就是安全，我們的計算天生也是安全，我們的網(wǎng)絡天生還是安全，我們現(xiàn)在未來發(fā)展思路不再依賴打補丁的方式，剛才所說的自主可控戰(zhàn)略目標都比較宏大，那么，要實現(xiàn)自主可控的戰(zhàn)略目標可行性在哪里，首先要從整個國家發(fā)展來講，我們認為實現(xiàn)自主可控的戰(zhàn)略目標是可行的，可行到底可行在什么地方，我們認為，雖然新一代信息技術的諸多核心被美國掌控和控制，互聯(lián)網(wǎng)實際上控制在美國手里，我國在網(wǎng)絡空間中沒有太多話語權。我國仍處在基礎產(chǎn)品不對稱，基礎設施不對稱，數(shù)據(jù)不對稱的巨大落差中。但是，我國在基礎軟硬件上已經(jīng)不是空白，而且我們具備了一定技術和產(chǎn)業(yè)基礎，國內(nèi)也有諸如存儲設備、網(wǎng)絡設備、操作系統(tǒng)像等關鍵產(chǎn)品的生產(chǎn)能力，一些國內(nèi)企業(yè)在殘酷信息技術產(chǎn)品市場競爭中存活下來就證明了這樣一種能力。其實部分滿足了國家在安全保障體系建設的需求，另外咱們現(xiàn)在在商業(yè)模式上其實是不落后的，甚至比較領先的。所以我們是有條件通過商業(yè)模式領先，通過應用遷移的技術模式，我們有條件創(chuàng)造出更多優(yōu)秀自主產(chǎn)品。

另外總結一下，我們完全可以通過重大應用牽引技術發(fā)展，實現(xiàn)自主可控。新一代信息技術是現(xiàn)階段社會生產(chǎn)力核心要素，需要從發(fā)展生產(chǎn)力的角度來看待和研究信息安全問題。這些方面就回到生產(chǎn)力、生產(chǎn)關系、生產(chǎn)要素要相互適應，共同匹配促進信息安全產(chǎn)業(yè)發(fā)展。什么叫自主可控，一是指經(jīng)濟合理前提下的自主可控，我們所實現(xiàn)安全功能都是我們自己可以設計和實現(xiàn)的，且我們想要的這些功能一定按照我們設想的路徑在執(zhí)行；二是我們設想出來的產(chǎn)品最終一定能夠以產(chǎn)品形態(tài)提供給社會，不能只是停留在空想階段。

不可控的部件是有安全風險的，可控一定是相對的。所以實現(xiàn)自主可控有這么幾個路徑，短期要實現(xiàn)基礎技術和核心產(chǎn)品的自主有一定難度。實現(xiàn)信息系統(tǒng)的全面可控也是有很大難度，實現(xiàn)信息系統(tǒng)的相對可控是很可行性的。尋找到改善高安全級信息技術安全可控，安全可控戰(zhàn)略目標為我國信息安全產(chǎn)業(yè)提供難得的發(fā)展契機，建設國家信息安全保障體系需要強大的信息安全產(chǎn)業(yè)為支撐，技術、產(chǎn)品、服務、市場、資本缺一不可，這本身也是對我國信息安全產(chǎn)業(yè)、信息產(chǎn)業(yè)乃至整個工業(yè)體系的挑戰(zhàn)。要認識到自主不一定就更安全，自主可控不能閉關鎖國，所有東西都由我們自己生產(chǎn)，這個實際上是不現(xiàn)實的。我們勢必要面臨開放博弈的挑戰(zhàn)，我們未來面對的是開放環(huán)境下提升自己的能力。

另外我想表達一個觀點，在中國做信息安全產(chǎn)業(yè)，其實不只是所謂狹義信息安全企業(yè)的事情，這是擺在整個信息技術領域從業(yè)相關單位面前共同要去做的事情。再有就是企業(yè)之間要加強分工協(xié)作，大企業(yè)，尤其是國有大企業(yè)集團要承擔起主體支撐的使命，中小企業(yè)則應不斷跟進新技術的發(fā)展，積極開展原始、自主的創(chuàng)新性工作。