技术创新乃信息安全治本之策

2014-09-01 14:07:57 《中国经济和信息化》　点击量：评论 (0)

中国已是名副其实的网络大国。据中国互联网网络信息中心发布的报告，截止到2013年底，中国网民规模突破6亿，手机用户超过12亿，网站近400万家，全国信息消费整体规模达到2 2万亿元人民币。然而，中国离网络强国目

中国已是名副其实的网络大国。据中国互联网网络信息中心发布的报告，截止到2013年底，中国网民规模突破6亿，手机用户超过12亿，网站近400万家，全国信息消费整体规模达到2.2万亿元人民币。

然而，中国离“网络强国”目标却仍有不小的差距。不仅在自主创新方面相对落后，中国还是网络攻击的主要受害国。仅2013年11月，境外木马或僵尸程序控制境内服务器就接近90万个主机IP，侵犯个人隐私等违法行为时有发生。在网络安全方面，中国面临的挑战日益复杂化和多元化。随着中央网络安全和信息化领导小组的成立，信息安全正式上升到国家的战略。中国工程院院士邬贺铨在接受《中国经济和信息化》记者专访时认为：“小组成立后，企业和政府部门将加大对自身网络安全的重视程度，从根本上改进网络安全。国内企业应该加大研发力度，开发出让用户满意的好产品。”

CEI:中央网络安全和信息化领导小组成立后，信息安全上升到国家的战略，对中国互联网产业将产生什么样的影响?

邬贺铨：首先，这次小组成员的身份和级别很高，过去中国互联网的管理部门很多没法统一协调，这次有望改变以前的局面。其次，这次会议第一次把网络安全和信息化连在一起。安全和发展是相辅相成的，我们不可能离开发展谈安全，只能在发展中求安全，并通过信息安全保发展。安全的目的是为大家创造一个更好的互联网环境。这个小组的成立有利于净化网络环境，使网络发展更健康，也会带来互联网产业的兴旺。

CEI：在移动互联网信息安全领域，随着网络安全和信息化领导小组的成立，信息安全企业将有怎样的市场机遇?

邬贺铨：需求决定市场。之前，像360主要做一般用户的网络安全，为了推动市场份额，360选择了免费的模式，最后市场占有率很高。由于他的免费，金山、瑞星在国内市场也相继采取免费模式。一定意义上，这提高了单纯的用户的PC机上装防火墙的比例，相对来讲，PC中木马病毒的几率下降了，这就是因为有需求。到了移动互联网时代，移动互联网的终端不太可能像PC一样装那么多防火墙，所以现在也开始出现专门做互联网安全的企业了。最近，微软宣布停止支持XP系统，360认为这是一个机会，宣布帮助微软做后续的支持，这是市场行为，和小组成立与否没有必然联系。实际上，刺激这个市场发展的是斯诺登事件。原来大家不太重视企业网的安全，尽管有些企业也做防火墙，斯诺登事件后，企业网市场热起来了，360也宣布进军企业网的安全市场，这次的模式是要收费的。

当然，领导小组成立后，企业和政府部门会加大对自身网络安全的重视程度，从根本上改进网络安全。安全不再是简单加个防火墙或者防范木马病毒，而是从基础上加强安全。比如，以前我们用的很多产品都是IBM、ORACLE、EMC的，就算为这些产品加上防火墙，也不一定能保证信息的完全可控，完全依赖国外产品。斯诺登事件暴露后，有些单位提出对于保密要求比较高的产品要去IOE化，尽量使用国产、自主可控的产品。像阿里巴巴，早前做云计算的时候就提出不用IOE产品，当然他的出发点不仅仅为了安全，也为了降低成本，适应电子商务的发展。在这点上，美国就借口华为产品不安全，不让其进入市场。

在中央网络安全和信息化领导小组首次会议上，习近平主席的讲话并不是简单地提到维护网络安全，还提到了创新和人才。也就是说，治本的关键是技术上要胜人一筹，技术又跟人才有关，这是从最核心问题上强调网络安全。从另一个角度看，网络安全并非完全是技术问题，还是管理问题。我们应该考虑如何从制度上、思想上重视网络安全的工作。此前，我们封堵一些国外的网站达到在内容上监管不良信息的目的，但其实封堵不是最终解决问题的办法，我们应该提高封堵的科学水平，真正地只封堵不良信息，而不是简单地封堵整个网站。要把握时、度、效，而非白和黑的简单处理。

CEI：中央网络安全和信息化领导小组成立后，在信息安全产业中，民企会有哪些新的机会?

邬贺铨：现在的网络安全不仅包括基础设施的安全，比如前一段时间基础设施DNS域名受到攻击，还包含了信息内容的安全，就是信息诈骗，还有通过网络盗窃国家机密、企业机密等内容的安全。在网络基础设施安全方面，华为就是提供核心网络基础设施的民企。除此之外，对于用户终端的安全也有专门做安全的民企，比如360等。

在信息内容安全方面，对于政府涉密的产品是由具有资质的企业来提供的。另外，真正做内容管理不仅仅是国家涉密的安全中心，像BAT这样的企业，为了自身的业务安全考虑，也布局了很多内部信息安全内容管理的部门。他们不仅仅监控不良的信息，还要考虑如何在用户通信过程或者使用移动服务过程中保护用户的隐私。所以，除了国家党政类密码是需要有资质的单位提供服务，网络安全其他方面没有什么限制，民企都可以进入，而且网络安全本身也是产业。

CEI：国外很早就提出了国家网络安全战略，就你的了解，他们的企业是如何支撑国家信息安全战略的?国外又有哪些经验可供中国借鉴?

邬贺铨：主要是技术能力的差距。美国政府在考虑它的重要设施时，经常把安全放在第一位。美国可以说华为的产品不安全，甚至联想收购IBM X86服务器后，美国还可以说收购后的产品也不安全。事实上，在某些高端产品上，国产产品与国外产品还有差距。过去我们往往认为国外产品比国内产品要好，没有把安全放到第一位去考虑。其实在大多数情况下，政府部门的基础设施不需要用很先进的产品。现在，斯诺登事件动摇了对国外产品可靠的信心，差不多条件下政府开始优先选择国内产品了。

CEI：在新的产业形势下，该如何协调技术优先与安全可控之间的矛盾?

邬贺铨：安全问题说到底也是技术互相攻防的问题，是技术的较量。现在一些ATP的攻击，是长期潜伏再逐渐渗透的结果，如果没有更高的技术就不能发现它们。所以如果不在技术上有创新突破的话，受制于人的被动局面就不那么容易改变。

CEI：困扰中国信息安全的一个问题是软硬件严重依赖进口，而这种依赖情况短时间内还不能改变，中国信息安全产业应该如何优化、集中力量发展核心领域?

邬贺铨：这确实是一个重要的环节。很多核心的关键技术、关键产品还受制于人，比如PC上的CPU，手机的操作系统都是外国的。现在正好是个机会。国内市场开始关注国内安全产品，国家也在支持国内安全产品进入市场。国内企业应该加大研发力度，真正以服务于企业、服务于用户为目的。实际上，一些信息系统的完善是在市场里完成的，比如微软的操作系统就是全世界几十亿人帮他完善的，我们的安全产品也必须要进入市场才能检验。目前市场空间是有的，关键是我们的企业能不能开发出让用户满意的好产品。

CEI：信息产品国产化的道路很曲折，龙芯、手机操作系统COS等等很难短期内占领市场，如何抓好网路安全建设的难度不亚于两弹一星，你有哪些建议?

邬贺铨：这是因为很多产品一开始就没瞄准市场。现在手机操作系统做起来并不是有多难，问题是你能不能形成一个生态系统，而不仅仅是简单的操作系统+应用。用户买手机的时候一般不会询问手机用什么操作系统，而是更关心系统支持何种应用。中国完全有能力做出几十个操作系统，但是只有在市场上站稳脚跟才行。

CEI：信息安全问题正逐渐成为云计算、互联网金融、大数据等模式推广的瓶颈，对此问题你怎么看?

邬贺铨：信息化越深入，信息安全的问题就越大。可见，安全问题与信息化发展是相辅相成的。当我们把很多应用集中到云计算上，它就更容易成为受攻击的对象，安全问题也就更大，而这同时也激发了安全技术的进步。各种各样的应用对它依赖越深，信息安全带来双刃剑的反方向影响就越严重。

CEI：网络安全与信息化的发展必然形成大数据资源。这又将对哪些企业产生影响?

邬贺铨：很多木马、病毒的规律都是通过大数据寻找的，这是大数据的应用。另外，安全也是保护用户隐私，也关系大数据。比如，在移动互联网上下载某个应用，会提示调用你的通讯录信息，实际上，有些应用根本不需要用到通讯录，企业之所以调用通讯录是要把收集的信息变现，卖给广告商等，这是一种不道德的行为。所以，未来信息安全的发展不仅在技术、管理方面，还需要在法律方面明确，哪些是可以调用的信息，哪些是不能调用的信息。