2018年6月12日,主题为“核心技术引领,软件定义安全”的2018中国信息安全年会在大连世博广场一号会议室举行。本次会议由中国国际软件和信息服务交易会组委会、中国软件行业协会主办,中国软件行业协会系统安全工程分会、大连理工大学管理与经济学部承办,大连市互联网协会协办。
本次会议邀请了软件和信息技术服务领域的政府主管部分的领导、大学、研究机构、著名企业代表共同探讨新形势下如何提高软件自身的可靠性和安全性,促进软件行业信息安全体系的建设。同时,分享在软件安全领域的经验。参加本次大会的有来自国家有关部委,辽宁省、大连市软件和相关服务业的主管领导、专业学者、企业负责人以及新闻媒体。
中国软件行业协会陈宝国常务副秘书长在致辞中说,前一段时间中兴风波,让信息安全成为全国人民共同关注的话题。随着云计算、大数据、互联网以及人工智能等新技术形态的兴起和对传统业态的冲击,技术、方案、代码等等共同构筑了一个安全的屏障。时代的进步,安全的理念也在发生重大的变化。人们所说的漏洞、病毒、攻击等等,基于这种事件型的或者泄露型的安全,已经被自主可控性的安全所替代。在信息空间领域,自主可控才能带来最核心的安全。他希望,借此信息安全年会,从自主可控到对安全形势的调查,以及对欧洲数据法的解释,带来信息安全的盛宴,为观众对信息安全产业,对未来的自主可控有自己的的了解和判断。
会上,中国工程院院士倪光南发表了主题为“网络安全的核心是技术安全”的主旨演讲。以下内容根据速记整理,未经本人审定。
中兴事件以后,举国上下对网络安全特别关注,我会讲中兴事件,还会讲建设网络强国要将核心技术牢牢掌握在自己手里。自主创新是我们攀登世界科技高峰的必由之路。
中兴事件给我们的教训是很深刻的。实践反复告诉我们,关键的核心技术是要不来的,讨不来的。大国重器一定要掌握在自己的手里。这是我们国家的经验的总结。从短期来看,我们倾向于从市场上买一些比较容易得到的技术产品,但这很难保证安全性,一旦有问题,就会产生很严重的后果。
中兴事件给我们最大的教训就是安全风险与供应链风险同样严重。供应链也是安全的一部分,根本不需要通过工业链。
以传统的操作系统为例,它的安全的风险体现在8个方面。
第一个是被监控。斯诺登事件让我们了解到,我们有很大的被监控的风险,德国总理默克尔被也监控了。一些病毒软件,也可能用于监控;第二是被劫持,如黑屏的发生;第三是被病毒木马攻击,网络上无时无刻都有这种可能,中国也受到了很大的影响;第四是被停服或禁售;第五是证书、密钥失控;第六是无法进行可控的加固;第七是无法打补丁;最后一个是无法支持国产CPU。国产的体系要用国产的CPU,但一些操作系统没有知识产权,形成不了中国自己的体系。
这八个方面不一定全面,不是标准,但是是客观存在的。只是给大家一个参考。
我们知道,Win7、Win10,Win10具有上述全部风险,它未能通过网络安全审查。Win7没有5、6两项风险,因它不含密码管理和可信计算技术。国产Linux操作系统主要是风险是被病毒、木马攻击。我们建议重要的部门用国产的,至少不要用Win10。
评估一下,我们有哪些版本被人卡脖子?中兴的事件就是很严重地被人卡了脖子,受制于人。到底我们有什么短板?
观察一下ICT企业市值的排行,美国的苹果是第一位,中国的腾讯和阿里巴巴位于第五和第六位,华为为什么不在里面?华为没有上市,华为还能做CPU,我感觉华为如果加进去肯定在前面,大概是世界第二的水平,我没有过分夸大,也没有低估,很客观的。三星排第八位,日本的公司还没有进来。这个反应了信息网络领域里的总体的情况。
我们要自己有定位,但是不能有短板。我们有哪些短板?两大短板供大家参考。
一个是芯片,中兴事件就暴露出了芯片的问题,芯片是很大的产业链。我认为芯片的设计不是短板,芯片制造差一点,但在世界能排在第五位。重点可以放在芯片制造相关的产业。芯片业还有非常多的材料和装备,高成本的材料,多晶硅、单晶硅等等,还有EDA设计工具。
希望芯片产业尽快地强大起来。
另外一个是基础软件,包括操作系统和大型工业软件, Windows垄断了我们的桌面,安卓和苹果系统垄断了我们的手机市场。大型的工业软件,包括工业设计、工业仿真等制造设备软件也是国外占主导地位。我们要补齐这两个短板。
我们的长版是什么?包括两个方面,一个是和互联网相关的,包括电商、移动支付、社交和搜索 一个是人工智能、大数据、5G、易联网、云计算等新兴技术,。这两个方面我们在世界上有一定的地位,相对有后发优势,有可能实现弯道超车。
中兴事件告诉我们,不管怎么样,短板要补齐,长版要继续发扬我们的优势。
下面我要重点强调网络安全的重要性,
没有网络安全就没有国家安全,核心技术是我们最大的命门,核心技术受制于人是我们最大的隐患。核心技术是国之重器,在别人的墙基上砌房子,再大再漂亮也可能经不起风雨,甚至会不堪一击。
现在国家已经下了决心,政府首先带头要替代Wintel体系,现在正是时候。我们看移动生态系统、云计算的发展,都使Windows走下坡路,这个时候我们提出要替代Windows是非常正确的,也是有条件做的。
微软宣称到2020年1月将结束对Win7的技术支持,意图迫使用户采用Win10,怎么办?
没有关系,我们有可信免疫防御方案。我们还有“幻境”智能动态防御技术体系。有自己的操作系统,开源的,国产桌面计算机技术架构是1+1,国产Linux操作系统+3种国产CPU,包括申威、飞腾和龙芯。与此相比,Wintel的架构是是Win操作系统+Intel架构CPU。国产的Linux操作系统的当务之急是实现资源整合,目前10个左右百人规模的中国公司,各自为战,很难与市值7000亿美元的微软抗衡。没有发展我们的优势,怎么和世界的巨头竞争? 不要忘了优势,我们不要去搞内讧。
替代不是一个很简单的口号。经过这些年的实践,我们是可以替代的。第一阶段不可用,第二阶段是可用,就是还不是那么流畅,知识不那么完备。第三阶段是好用。航天科技这样的大集团,他们用的终端都是国产的,和Intel没有什么差别,指标不差2秒的水平,我没觉得比Intel差,建议大家去试一下,对政府的应用毫无疑问没有问题。
世界上交易型数据库TpmC*指标排行,Oracle数据库+小型机集群,性能指标是3024,规模大小是27台,总成本3050万美元。而我们国产的航天超级服务器/航天超级数据库操作系统,性能指标是937,规模140台,总成本225万美元,排世界第三。
所有的事情都要做自主创新。自主创新是攀登世界科技高峰的必由之路,自力更生是中华民族自立于世界民族之林的奋斗基点。教会了徒弟,饿死了师傅,发达国家有这种心理,他们不会教你的。希望在政府的重要部门不要用Win10政府版。
我们知道,操作系统很重要,一定要自己做。 很多人认为中国没有能力做,我们最大的优势是人力资源,中国人最聪明、最勤奋的,到现在为止我还没有看到世界上总体上比中国更强的,我们要做的东西一定会下决心做出来的,只是我们没想做。我们的北斗就很好。中国有优秀的操作系统专家,完全有能力通过自主创新做出自助操作系统,确保网络安全。在这方面有很大的创新潜力。
习总书记最近指出,网络安全的核心是技术安全,这给我们一个很重要的指使示,网络安全方方面面都跟我们有关系,我们需要自主可控的技术,还有严格的管理等等。但是自主可控的技术不等于技术安全,但不自主可控的技术一定不安全。应当将自主可控作为达到技术安全和网络安全的必要条件。过去对自主可控没有制度保证,中兴事件就是一个教训。希望把自主可控作为一个基础安全的必要条件,通过系列的保证,使得我们尽可能不再出现中兴事件。
我们建议实行多维度测评。过去我们有两大维度,就是已经有了质量和安全,性价比相关的技术指标、性能、价格等也会通过第三方评估。但是安全怎么评估?中兴事件告诉我们,中兴就是少了自主可控的评估。我们的操作系统可能性能差一点,但是我有备份方案,安全测评有可能与等保、分保的测评相结合。自主可控容易做到,首先评估一下,赶快改进,做备份方案。
CPU自主可控核心三要素:CPU研制单位是否符合安全保密要求,CPU指令系统是否可持续自主发展,CPU核心源代码是否是自己编写的。
自主可控评估的一般做法,要看服务器能不能保证在境内,敏感信息能不能保证不出境,对用户的隐私有没有保护,是不是有严格的要求,能不能支撑我们自己的体系?
网络信息安全离不开政策的支持。政府要带头使用国产的软件,我们要向华为学习,因为华为有备份系统。个人也要支持国产软硬件,国产的好处是改进的很快。我刚才说的指标,虽然有差异,但是几个月以后,你会发现都一样了。
相信通过我们国家和企业、个人的努力,我们一定会达到习主席的要求,我们通过自主可控达到了技术安全,来保证网络安全。