取消
搜索历史
热搜词
原创
活动
创新2.0
I T
产业
e领袖

倪光南院士:网络安全的核心是技术安全

作者:ENI
摘要:在第十六届软交会信息峰会上,倪光南院士从中兴事件教训说起,围绕建设网络强国要掌握核心技术,自主创新是攀登世界科技高峰的必由之路等方面作了深入的分享。
倪光南院士:网络安全的核心是技术安全

中国科学院院士 倪光南

中兴事件给我们的教训

这些日子大家都比较关注中兴事件,现在虽然告一段落了,但也给了我们一些经验教训:关键技术是要不来、买不来、讨不来的。大国重器一定要掌握在自己的手里;从短期看,采用市场上可买 到的芯片在经济上似乎有利,但一旦被人禁运,就会陷入困境。第三,中兴事件充分暴露了目前我们在供应链方面容易被人卡脖子。

这是对我们国家这些年来在实践之中得到的总结,经验的总结。所以我们看到有时候从短期来看,大家倾向于市场上买一些比较容易得到的技术产品,很难去很好的评估它的安全性。但是我们知道这个从长期来看,中兴事件表明,如果有问题就会产生很严重的问题。我们特别要指出的下面说的中兴事件最明显的问题就是供应链可能会被“卡脖子”。但是“卡脖子”的地方不光是供应链,主要是有两方面,一个是供应链,另外一个方面就是安全。在安全方面,供应链也是安全的一部分。另外,我们可以更清楚的看到安全根本不需要通过供应链,可能通过远程发生问题,系统出了问题等造成很大的风险。

我们每个人用的传统操作系统,我们来看看它的风险。如果从安全风险来讲,我这里匹配有八个方面风险。还是从一般用户碰到的,大家感受到的一些风险来源,不一定最合适,应该是客观存在的。第一是被监控,我们知道监控就很厉害了,斯诺登事件五周年了,斯诺登事件给全球看到的,我们现在有很大的被监控的风险。最近德国总理默克尔也被人家监控,何况一般的老百姓。所以监控的风险其实是通过操作系统,也通过应用软件,通过应用商店,商业模式都可能会监控。

第二被劫持,像黑屏事件。我们2008年时候知道,有人说盗版,不一定是真正盗版,就是黑屏了,这是通过后面的那个系统。

第三常见的就是运动木马。去年这一年中大家知道勒索病毒,使我们成百上千的单位就瘫痪掉了,全世界都一样,中国也是受到挺大的影响,现在网络上依然有这个可能。

第四方面就是中兴事件表明了以前没想到的,人家不卖给你,或者停止服务,我们知道停止服务也是一种手段。

第五第六就是对widows10,第五第六两个风险,以前没有。第五是什么,你的密码控制在人家手里,如果密钥控制权没有,你加密其实是形式,没用的。这个对windows10来讲最大的问题,密码都是厂商控制的,不是中国这个国家控制的。

第六,我们的可信技术挺强的,安全的加护,你可以加在其他系统上,但是加不到windows10上,因为它不可控,不是你可控的。

最后两个也是大家知道的,你明知道漏洞,别人给你打补丁,你没有办法,没法自己加以补救,让人家给你解决方案。最后我们从技术体系,我们知道在网信领域一般情况下都会形成各自的技术体系,比如说windows加上英特尔的CPU构成,我们这个手机上有安卓的体系,有苹果的体系,各种体系。所以我们国产体系要有国产CPU一起形成,但是我们知道有一些操作系统没有知识产权,没法支持国产CPU,形成不了中国自己的体系。

我们有一个评估体系,不一定全面。但是我刚才说的不是标准,但是至少有一个参考。我们这个评估体系对三种桌面操作系统,目前中国现有主要三种,第一我们知道国产操作系统windows7和windows10。通过这三个评估指标大家看到什么呢?windows10包括政府版风险最大的,为什么风险是最大的8呢?每条都占上了。像第五第六密钥的控制权问题,没法加固,很难加固的问题。windows7没有这两个,级别是6,国产有什么风险呢?木马的风险还是存在,但是其他方面风险基本上小。所以大家不要看轻国产操作系统,全世界都认为基于国产的操作系统,即使和windows彼此都是同等的水平,windows应该好一点,windows多年建立生态体制,要比国产好。但是国产在安全上远远的超过了windows,我们建议重要的部分,建议用国产的,至少你不要用windows10,这个是挺大的问题。

我们现在来看,中兴事件以后有关部门要求相关的这些部门,包括工程院评析一下,我们有哪些短板被人家“卡脖子”,中兴事件卡的挺严重的。到底我们有什么短板找出来,及早的进行补齐短板。有长板的利用长板,弯道超车。

中国网信领域的总态势和长短板

我们在网络信息领域,这里有个表,我们把所有的信息领域,网络信息,我们一般说ICT,IT和CT,计算机和通信两方面的公司,融合的这些公司,目前我们主流的公司,按照市场来排名,前十几位,美国有7家,中国的腾讯、阿里。中国的华为为什么没在里面呢?华为没上市,华为业务显然比思科多,华为还能做CPU,华为的业务加进去,是不是比BAT还要靠前。所以如果华为加进去以后,美国7家,中国3家,所以中国是世界第二,比较客观的,没夸大也没有蓄意降低我们的地位,世界上还是认可的。这个基本上反映了我们意见,信息通信领域,网络通信领域的总体情况。

所以我们认为我们应该自己有定位,但是不能有短板,我们有些东西很低,有短板。所以我们要看哪些短板,我们基本上按照中兴事件找出两大短板,供大家商讨。第一个芯片,大家承认,中兴事件暴露出来芯片问题。芯片是很大的产业链,我这里分了四块,不一定完全正确,但是大体上可以分,芯片的设计我们不是短板,基本上还是处于世界水平线的。芯片制造差一点,我们最好的制造厂家就是芯片加工的,我们芯片加工是中兴国际的北京亦庄同心科技,在世界已经排到第五位,芯片制造的水平,当然我们不是世界很高了,这是第五位,现在是短板,但是还好。更低的是什么呢,我们知道芯片制造业是大量的装备,各种各样的先进的制造装备,还有材料,多晶硅、单晶硅等等,材料更落后。EDA,我们的设计工艺基本上目前来讲是零,所以从这个角度来讲,我们重点会放在芯片制造等相关的产业,还有更细分。

但是大家知道除了4G以外,芯片产业是一个短板。毫无疑问,芯片产业发展除了400亿的大基金,1500亿到2000亿,还有社会资金,好几千亿投入,把这个芯片希望尽快做起来。我们中国制造2025目标要实现,我们前面这些东西要很快赶上去。

另外一个是基础软件,基础软件是操作系统和一些工业软件为主。操作系统不用说了,刚才我说windows操作系统在市场是垄断的。另外我们的安卓手机,安卓和苹果操作系统基本上垄断了我们的手机市场,所以这个显然大家知道是需要补齐的。另外就是做工业设计,工业仿真等等制造,目前也是我们的短板。大体上这两大短板,我们要补齐这个短板。我们知道我们长板应该充分发扬长板作用,长板大致两块,一块是互联网相关的,三张都在这儿,业界有不同看法,至少这个不受制于人。还有我们有先进技术,人工智能、物联网、5G、机器人等等,这些东西我们在世界当中比美国还是差一点,应该说我们的起步差不多,现在很活跃了,有点地位。所以我们不能受制于人,相对是比较有点优势的,后发优势,有可能实现弯道或者换道超车的。中兴事件告诉我们不管什么样短板补齐,要不随时被人“卡脖子”,长板要继续发扬我们的优势。

国产桌面计算机技术体系已达到

下面特别强调网络安全重要性,因为这是我们最大的命门,受制于人最大的核心技术。不管信息化中国怎么发展,我们知道现在我们中国大量的信息化系统,信息化建设,基础设施,很容易出问题。中兴事件出了以后,发现经不起风吹雨打。我们在这里特别要强调当前我们补短板也有一个部分,就是操作系统方面的,特别是终端相关操作系统。Wintel这是25年以上的,英特尔架构的CPU,加上微软操作系统形成一个的体系。过去垄断的就是这个体系,现在移动起来了,我们知道现在的好处就是这个系统走下坡路。最近国家已经下决心,政府首先带头发展创新。我们有三个替代Wintel华系的有利条件。一是云计算和服务器领域,这个方面采用Linux操作系统和非IntelCPU数据中心越来越多。第二是桌面操作系统,还有就是移动的生态系统,移动生态变的越来越重要,大大削减了Wintel在生态系统方面的优势。

现在微软提出,2020年windows7要停止服务。要大家用windows10时候,windows10风险太大,我们不要用,没通过我们的网络安全不应该用。人家停服怎么办,没关系,我们有很多办法。我们有安全可控的桌面计算机技术体系,国产Linux系统+3种国产CPU,就是神威,还有飞腾,还有龙芯。这三个CPU构成了替代windows+Intel,这是我们来讲应该是非常重要的战略,是不是可能呢?我们知道我们要做的不是技术问题,而是生态,我们整合,每家都是100人左右。我们对手谁呢,刚才我给大家列的,微软有7000亿美元。我们每家100人左右,还互相内讧,大家觉得是不是合适,当然不合适。我们需要发扬两弹一星的精神,两弹一星航天精神是要的,发扬中国优势,集中力量办大事。我们现在没有发扬我们的优势,是我们的短处应该避免,大家应该学习习总书记相关的指示,把机制和市场的优势能够结合好,不要忘了我们的优势。

我们总体来说,现在不是一个很简单的口号,经过这几年实践证明,我们的产品是可以替代的Wintel的,而且不错。目前国产桌面计算机技术体系走到哪个阶段了呢?如果用三阶段来算,第一阶段不可用,第二阶段可用,就是说体验流畅慢一点,不那么好,能够完备,但是可用,第三个好用。现在到什么阶段呢?我们认为至少是到了可用,有些地方、有些领导评价是到了好用,向好用发展。目前的全国产品终端,国产硬件、国产软件,后台全是国产的,什么兼容等功能,和英特尔没有差别。所有动作都在2秒,一般都在1秒之内,个别动作在2秒,达到好用。我们没有觉得比英特尔再差,我建议是要去试一下,我讲了没用,是不是国产的可以和英特尔相比,我认为对于政府这些应用来讲毫无疑问是没问题的。

我们的性能指标也不错,这里有一项指标,就是我们在事务处理,Oracle数据库为核心的这种硬件软件的组合。我们这个指标他们还比较老,这是两三个月以前的指标,国产的服务器+国产操作系统+国产数据库,国产应用驱动,总的指标TPM通用的指标,我们达到了世界第三,不错的。这个TPM是什么意思呢?每分钟的处理交易次数,现在操作量一千万,一分钟937万,一千万大概是什么概念呢,像淘宝网双十一峰值交易量大概也就是这样,很厉害。这个不稀奇,我们自己可以完成,国产完成。而且我认为这是老数据,大家知道我们发展挺快,我不能提前公布。

自主创新是攀登世界科技高峰的必由之路

所以我刚才已经说了,我们已经可以实现替代,我们应该强调,没有自主创新我们是达不到,攀登世界科技高峰。不要指望有什么更轻松的,更舒服的路子,所以人家有教会了徒弟饿死了师傅的说法。发达国家有这种心理,为什么他不会来教会我们。所以我们知道我们国家科技重大专项目标就是要未来替代国外的技术体系,特别是我们刚才也讲到了政府中央部门希望从风险出发,不要落到中兴公司下场。

我们知道操作系统很重要,一定要自己做,很多的人认为中国没有能力做,其实中国最大优势是什么呢?我们最大优势是人才资源优势,我们中国人最聪明,最勤奋,到现在为止我还没看到世界上总体来说比中国更勤奋的。中国要做的,我们要做的东西下决心要做,哪个做不出来。像北斗,想做的做出来了。没有说我们想做做不出来,现在没有。超算领域,太湖之光,我们大概五六年之前我们第一,现在美国第一,我们第二,我相信我们也会赶上去,中国会在超级计算机、高性能计算机继续竞争下来,我相信我们操作系统可以做,而且有可能在这方面有很大的创新,我不详细讲了。

通过自主可控实现技术安全到网络安全

我们知道习总书记在两院院士大会上讲到了关于网信工作,提到:网络安全的核心是技术安全,给我们很重要的一个指示。网络安全方方面面都有关系,我们说我们需要很好的制度法规能够保障,制度保障,很严格的管理等等。但是你知道核心是基础软件,意味着什么呢?如果我们基础不安全,其他一切都是零,没用。我们应该是通过自主可控,怎么把基础软件自主可控。为什么我说基础软件讲自主可控呢?自主可控不一定安全,但是没自主可控一定不安全,所以我刚才讲了,没有自主可控不可能安全,但是自主可控还不够,首先我们是必要条件,不是充分条件。这个必要条件不重要,容易做到,相对容易做到。大家注意,不是很容易,比较容易做到。绝对安全是很难的,真正安全是很难的,你首先要做到自主可控。所以我们希望把自主可控作为一个基础安全的必要条件,通过一系列保证,使得我们最后尽可能避免出现中兴事件。

我们建议实现多维度测评,什么叫多维度呢?第一是自主可控评估,对产品/服务/系统的自主可控性进行评估,这种评估可针对CPU、操作系统等核心技术产品,也可针对其他软硬件或者服务,甚至针对信息系统或者信息基础设施。第二质量测评,对产品/服务/系统的功能、性能等技术指标进行测评。还有一个就是安全测评,对产品/服务/系统的安全性进行测评,这种测评有可能与等保、分保的测评相结合。

华为任正非早就说过,我们的生态不行,为什么还做操作系统,操作系统做出来,性能差一点。关键是备份方案,他们华为公司很多项目要求备份化。万一这个东西市场不给你呢,他不卖给你还不至于瘫痪。

举个例子是CPU,三家CPU三条要求,第一条是安全保护的要求。第二条CPU的指令系统。第三是CPU核心源代码是在玩游戏啊是自己编写。你可以去终身授权,或者整个买断,我们世界是开放的,国际上通行的。但是不能说这个东西没有合法的授权,或者人家到期可以卡断你,我们也强调自主创新的能力,你买了人家东西,看不懂,你就搞不清楚,一定要自己能够懂的彻底,你往前看也没问题,所以这是一个。

一般情况下我们要求从几个方面保证安全。如果你是云服务,你要看一下你的服务器能不能保证,你的数据中心是不是保证不出境,是不是能够对用户的隐私足够保护。我们看欧盟GDPR要求的很严格,关乎隐私权的保护。还有我们的体系能不能保证,能不能支持我们自己技术体系,如果这些做到了,我们可以通过了。大体上来讲自主可控并不仅是政府的政策的支持,比如说我们政府资金,政府和重要部门首先使用自主可控的国产软件硬件来工作。你不要说国产用着不习惯,很多国产基础不差,但是没习惯使用方法。应用开始差一点,为了安全,应该支持,不要有点牢骚就不用了,也得用。我们国产好处就是我们能掌握,改进的很快。我刚才说有些指标,几个月以后就不一样了,所以我相信通过我们国家、到企业个人,我们一定能达到要求。我们可以通过自主可控达到技术安全,通过技术安全保障我们网络安全。

更多

分享到微信 ×

打开微信,点击底部的“发现”,
使用“扫一扫”即可将网页分享至朋友圈。