1 引言
2013年6月,美国电脑专家、中央情报局前分析师和国家安全局承包商的雇员斯诺登曝光了美国情报机构的“棱镜”(PRISM)计划项目”。通过该项目,美国的情报机构可以在没有授权的情况下对任何在美国境外人士或涉外通信的美国人进行秘密监听,其中包括Google、微软、雅虎和苹果、思科等在内的9家国际顶尖的科技公司为美国政府提供服务器接入许可。随着“棱镜门”事件的发酵,美国情报机构其他各种信息窃取计划也渐次曝光,给中国的信息安全敲响了警钟。2014年2月27日,中共中央决定成立中央网络安全与信息化领导小组,由习近平任组长,李克强、刘云山任副组长。习近平主席在小组成立时的讲话中指出:“没有网络安全,就没有国家安全”,说明了信息安全事关国家战略全局。而信息安全的基石一定要落实在“自主可控”上。从某种意义上来说,没有自主可控的信息化基础设施,中国的信息安全仍会受制于人,因此如何提升我国信息化的自主可控能力,对提高我国的信息安全整体水平具有重要的意义。本文结合国家政策、法规和参与实施的实例,谈一谈对目前如何提升信息安全的自主可控能力的思索。
2 三点思索
一是加强顶层设计,从立法层面推进自主可控产品在电子政务信息系统中应用,从而带动国内厂商自主可控产品研发的能力,并对其他行业的信息化自主可控产品的推广应用起到带头示范作用,从而真正提高我国的信息安全水平。
随着信息技术的飞速发展,信息化已经走进了各行各业,并起着重要作用。信息化在带来高效率和高性能的同时也同时由于一些因素的存在,带来安全方面的诸多问题,这对矛盾必须采取有效措施予以化解。针对信息安全方面采取的措施有时候也是双刃剑,所以需要统筹考虑,使安全达标,同时保证系统的综合性能。尤其是在政府领域,其信息安全紧密联系着民生、经济、军事等各个方面的安全。由于我国在信息行业里起步较晚,IT行业和互联网行业所存在的“先入为主”效应和倍增效应,造成了当前我国在信息化进程中因使用习惯和兼容性及对某些信息设备性能的片面追求等方面的问题,仍大量使用着国外的硬件和软件。当然,国外的产品固然有其特定优势,但是我们对其没有主导权,通过“棱镜门事件”,我们看到了国外政府可以通过这些国际领先的IT厂商的产品和技术随心所欲的窃取信息,甚至在两国交战等特殊情况下,瘫痪对方的信息系统。因此,在政府信息化领域当我们把自己的主机CPU、操作系统、核心交换、数据库等重要产品全部向国外厂商和产品倾斜时,其实也是在把我们的信息安全拱手相让。
因此建议国家通过立法手段,修改《政府采购法》,强制政务信息系统采用自主可控的国产化软硬件设备。通过政策引导等方式,如在相关招投标采购中提高使用国产化产品的得分值等措施,将自主可控产品推广到军工、能源、医疗、教育、金融等事关国计民生的重要领域。自2009年以来,国家加速启动“核高基”(核心电子器件、高端通用芯片和基础软件领域)重大科技专项,旨在集中优势资源掌握一批核心技术,拥有一批自主知识产权,造就一批具有国际竞争力的企业,并在若干行业建立了一批自主可控产品的应用示范工程。但目前这些示范工程还不属于行业的核心应用,示范带动效应并不显著。而要想得到好的示范推广效果,还是需要在立法、政策引导方面加大对自主可控产品的支持力度。尤其在政府行业可先行示范,根据当前系统应用对社会的影响程度对政务信息系统逐步替换为自主可控的软硬件设备。同时软件开发与系统集成服务也必须选择国内企业,通过政府带头,充分发扬社会主义集中力量干大事的优越性,带动“自主可控”的真正落地。
二是制定标准,积极捕捉、引领IT产业的发展趋势,鼓励企业自主创新,激发企业活力,培育扶持一批在信息化某一领域具有领先技术、独到能力的专业公司,最终能够形成合力,提升我国整体的信息产业水平和竞争力。
由于我国信息化起步较晚,目前许多业内相关标准都是参照外国的标准制定的,导致我们的信息化工作只能是亦步亦趋的跟随在先进国家后面,处处受制于人。因此建议国家对信息技术相关标准和知识产权政策要实施统一的设计,开辟突破国外标准制定、知识产权垄断的路径,选择部分核心技术,找准几个关键点进行攻关,如云计算、物联网、信息安全、移动互联网、IT公共服务等方面的技术和标准。逐步地由点到面,发展一大批能够在各领域掌握核心技术的国产IT企业。同时支持国内有实力的企业掌握核心专利,从专利优势、标准优势真正转化为市场竞争优势。
另外,随着移动互联网、物联网、下一代移动通信、大数据等新技术的发展应用,社会信息、个人信息面临着极大的安全风险,必须未雨绸缪,制定新技术的安全标准,推广应用自主可控产品,以确保信息安全。在某些案例中,黑客通过窃取的手机号、联系人等用户隐私内容,就可以进而深入分析用户身份和社交圈,以便定向投放精准广告,如短信、电话营销、手机通知栏广告等;或直接出售给广告商和游戏、应用程序和网站的开发商,用户的隐私与信息就成为他们的产品内容。国外的安全机构则通过获取个人隐私信息构建相互参考的数据链。更进一步,随着窃听技术的扩散,这些新技术反过来有可能强化少数不怀好意的人对多数人从精神到行为控制的可能,从而造成社会动荡,影响到国家安全。对此类问题必须加大管控力度。
三是支持若干国内领先的IT服务提供商做大做强,使之成为牵引我国整体信息化自主可控能力建设的核心力量。
在国家层面,国务院曾在2011年的18号文件指出,将助推软件和集成行业未来几年快速发展,进一步鼓励软件产业的发展,促进中国的软件产业迅速发展。2013年工信部又启动开展了信息系统集成特一级企业资质认定工作,企业能力评定指标将分为安全可靠系统建设能力、承担重大项目能力、信誉和荣誉等三个方面,并公布了第一批4家获得认定的企业(太极、中软、东软、浪潮)。这些企业应当努力成为带动我国信息化自主可控能力建设的中坚力量。
中国工程院院士倪光南先生表示,进口产品安全不可控,存在潜在安全威胁,国内用户应该尽可能选择自主可控的国产安
全产品,特别是政府的信息系统应该采用自主可控的国产软件产品。经过近几年国家“核高基”专项的推动,部分国产软硬件已经具有了与国际同类产品竞争的实力,甚至有些国产产品在很多方面都超过了国际同类产品。但目前这些产品都是单兵作战,在许多重要的大型的信息化系统中处于一个细枝末节的地位,无法形成合力,因此信息安全形势仍然面临很大的风险。究其原因,就是没有一家类似IBM、埃森哲、源讯这类的综合信息技术服务商,能够整合各家国内厂商的优势产品,形成一个整体的解决方案进行推广。面对国内信息化的巨大市场,面对当前严峻的信息安全形势,作为国内的“特一级”系统集成商应该主动对接国内厂商,熟悉各家产品的性能、应用场景,根据各行业的不同应用需求,推出一些全自主产品的综合解决方案。同时国家也应出台一些优惠政策,鼓励大型的系统集成商推广自主可控产品和解决方案,逐步使这些系统集成商做大做强,成为我国信息化建设的主力军,并且能够在国际竞争中与国外的先进厂商抗衡。
在这三点思考中,国家的顶层设计是基础,制定行业标准及加强自主创新是推动自主可控的前提,支持国内大型的综合系统集成商做大做强是推广自主可控的必由之路。
3 行业示范情况
2012年我们承担了国家“核高基”2012年课题1-6“基于国产CPU/OS的数字档案信息系统应用研究及示范工程”(地方分课题)的应用研究和示范工程的工作。本项目所有的软硬件设备均为国产自主可控设备,具体配置是浪潮服务器(飞腾CPU)、中标麒麟操作系统、达梦数据库、东方通中间件;浪潮PC终端(龙芯CPU)、中科方德桌面操作系统、永中Office。同时,基于上述纯国产化软硬件设备,开发了长春市数字档案远程利用系统,系统目前已正式投入使用。该系统的总体构架如图1所示。
该系统在遵循国家各项安全法规的基础上对系统涉及安全管控的标准进行了重点扩充和完善,建立的部分标准:1)信息格式及存储标准规范;2)档案基础数据元和代码集标准规范;3)数据传输标准规范;4)云平台数据接口标准规范;5)云平台数据交换格式标准规范;6)云平台开发技术标准规范;7)云计算安全技术标准规范;8)中央云中心运行管理标准条例;9)云计算安全管理标准规范。
该示范工程的在安全管控的技术方案实施中综合体现了上面的分析结果。如利用长春市电子政务内网资源,服务器集中部署在长春市档案馆机房,长春市及10个县市区档案馆档案利用接待处部署国产PC终端,上传127万档案目录数据和100余万页(国产OFD格式)开放的历史档案全文,公民到辖区内任何一个档案馆国产终端上都可以在线查阅共享的档案信息资源,达到了不仅远程可用,又同时对安全有效管控的预期目标。
通过该示范工程证明了完全国产化的设备可以胜任部分政府行业信息化的需要,并且具有很好的推广价值,可带动一批国内厂商、系统集成商的发展,形成良性循环,逐步推动我国的整体信息安全水平。
4 结束语
在国内外信息安全形势越来越严峻的今天,我们必须大力发展具有自主知识产权的各类信息技术和产品,依靠自主创新,努力做到自主可控,实现我国重要信息安全系统技术和装备的国产化。同时,要大力支持自主可控信息技术和产品的推广和使用,不仅在事关国家信息安全的要害部门推广,还更应促进在百姓的日常生活中的应用。尽可能使这些技术和产品取代进口。在政府、军工等重要领域甚至应采取强制性措施,以确保关键信息不落入敌对势力之手。通过政府、企业、行业用户、人民群众等社会各方的努力,真正增强我国信息安全的自主控制权,确保我国的信息化能够长治久安。
参考文献
[1] 倪光南. 信息安全“本质”是自主可控[J]. 中国经济和信息化,2013年05期.
[2] 闫立金. 国际信息安全技术发展趋势与建议[J].国防科技工业,2012年09期.
作者简介:
申龙哲(1964-),男,管理学硕士,现任中国电子科技集团公司所属太极计算机股份有限公司副总裁,主管政府行业信息化工作。
薛军(1973-),男,工学博士,现任环境保护部固体废物与化学品管理技术中心项目办主任,主要负责固体废物环境管理信息化规划、技术及应用研究和信息化建设管理工作。
