今年全國兩會召開期間，信息安全、網(wǎng)絡(luò)安全成為代表委員的關(guān)注焦點(diǎn)之一。近日，《中國電子報(bào)》記者采訪了信息安全專家、北京大學(xué)網(wǎng)絡(luò)和軟件安全保障實(shí)驗(yàn)室主任、教授陳鐘，就當(dāng)前的信息系統(tǒng)國產(chǎn)替代、去IOE、個(gè)人信息保護(hù)、微軟XP系統(tǒng)停止服務(wù)等熱點(diǎn)問題進(jìn)行了探討。

　　國產(chǎn)軟硬件替代是中國夢

　　國產(chǎn)軟硬件替代是我們的目標(biāo)和追求，要看到和西方企業(yè)的差距，重點(diǎn)發(fā)力的是要提升自己產(chǎn)品的技術(shù)實(shí)力和服務(wù)質(zhì)量。

　　國產(chǎn)軟硬件替代無論是從企業(yè)本身還是國家戰(zhàn)略部署，都給予了大量支持。更多的國產(chǎn)軟硬件替代意味著我國可能有更多自主可控的系統(tǒng)，從信息安全的角度來看是控制權(quán)的問題，從經(jīng)濟(jì)角度看是涉及產(chǎn)業(yè)發(fā)展，其重要性毋庸置疑。

　　但是，陳鐘認(rèn)為，應(yīng)當(dāng)看到現(xiàn)在我國在產(chǎn)業(yè)、產(chǎn)品、技術(shù)、人才等方面和西方發(fā)達(dá)國家的差距是巨大的。例如CPU，我國現(xiàn)有的產(chǎn)品只在很有限的范圍內(nèi)使用，基礎(chǔ)領(lǐng)域如材料、裝備等，真正自主的設(shè)備也有很大差距。在軟件方面，中科紅旗過去作為國產(chǎn)操作系統(tǒng)的一面旗幟也倒下去了，既沒有出現(xiàn)微軟的視窗系統(tǒng)，也沒有出現(xiàn)類似谷歌的安卓操作系統(tǒng)。我國現(xiàn)在面臨計(jì)算設(shè)備人手多臺的時(shí)代，不僅僅是要有技術(shù)、產(chǎn)品，還需要打造生態(tài)環(huán)境。出現(xiàn)的很多新的技術(shù)，例如物聯(lián)網(wǎng)，傳感、感知、處理單元的技術(shù)，大多數(shù)是西方發(fā)達(dá)國家掌握。

　　陳鐘打了個(gè)比喻：“中國和西方發(fā)達(dá)國家的競爭就像索契冬奧會的冰壺運(yùn)動(dòng)，不是眼前的一個(gè)競爭，只打一個(gè)球就能定輸贏，而是一局、一場多連環(huán)的競爭。中國的戰(zhàn)略應(yīng)該放得更長遠(yuǎn)些?！?/P>

　　有人說美國夢其實(shí)是教育夢，美國的長遠(yuǎn)戰(zhàn)略體現(xiàn)在其教育上。從第一任總統(tǒng)華盛頓就開始對教育進(jìn)行長遠(yuǎn)規(guī)劃，激發(fā)持續(xù)的力量創(chuàng)新?，F(xiàn)在美國IT科技頂尖人物如谷歌的拉里·佩奇、臉譜的扎克伯格、蘋果的喬布斯等等，都不是國家一時(shí)的政策刺激出來的，最根本的是教育環(huán)境、創(chuàng)新技術(shù)環(huán)境讓各類人才脫穎而出。

　　從這些意義上說，陳鐘表示，第一，國產(chǎn)軟硬件替代是我們的目標(biāo)和追求。第二，要看到和西方企業(yè)的差距，要有長遠(yuǎn)戰(zhàn)略，既要贏得眼前也要看到長遠(yuǎn)發(fā)展，必須重視教育、基礎(chǔ)科學(xué)和技術(shù)，急功近利只會導(dǎo)致惡果。國產(chǎn)替代，重點(diǎn)發(fā)力的還是提升自己產(chǎn)品的技術(shù)實(shí)力和服務(wù)質(zhì)量。

　　去IOE是自然而然的事情

　　阿里巴巴的去IOE并不是創(chuàng)新，谷歌也是這樣做的。去IOE只是開源的一個(gè)現(xiàn)象，更多的大企業(yè)也在走軟硬件開放和開源的路子。

　　現(xiàn)階段去IOE，在某些領(lǐng)域是自然而然的事情。陳鐘提醒，阿里巴巴的去IOE并不是創(chuàng)新，谷歌也是如此，在能力范圍內(nèi)選擇自己最合適的技術(shù)、產(chǎn)品組合，在開源基礎(chǔ)之上找到更好更優(yōu)更省錢的解決方案。不僅谷歌在做去IOE，百度也在跟隨研究網(wǎng)絡(luò)交換機(jī)。而Facebook正在硅谷建實(shí)驗(yàn)室，研究DIY數(shù)據(jù)中心，這可能對惠普和IBM的服務(wù)器、數(shù)據(jù)中心業(yè)務(wù)造成很大沖擊。

　　阿里巴巴的去IOE，是在尋找更適合電商數(shù)據(jù)業(yè)務(wù)的IT產(chǎn)品組合。這類企業(yè)不適用通用的數(shù)據(jù)庫，因?yàn)樗麄兊臄?shù)據(jù)大多數(shù)是只添加、累積不刪除的，其使用的產(chǎn)品和解決方案就需要針對這個(gè)特征進(jìn)行優(yōu)化，而且要比通用的數(shù)據(jù)庫做得更好。甲骨文的數(shù)據(jù)產(chǎn)品有軟到硬的一系列豐富的產(chǎn)品線，但是面對阿里巴巴這類有能力、有實(shí)力可以自己處理數(shù)據(jù)的企業(yè)時(shí)，甲骨文的產(chǎn)品從適用性、實(shí)施性、性價(jià)比等各方面就不合適了。阿里巴巴替代的不僅是一種方案，還要走到前面。

　　再比如百度。陳鐘透露，百度去年從華為購買了價(jià)值十幾億元的網(wǎng)絡(luò)交換機(jī)，但是今年取消了類似的訂單，因?yàn)樗约貉邪l(fā)交換機(jī)和存儲。

　　去IOE只是開源的一個(gè)現(xiàn)象。更多的大企業(yè)也在走軟硬件開放和開源的路子。例如英特爾，在芯片領(lǐng)域受到了ARM的沖擊，也開始走開源路線，在企業(yè)內(nèi)部建立更加開放的管理機(jī)制，鼓勵(lì)團(tuán)隊(duì)去創(chuàng)新。

　　遵循國際規(guī)則鼓勵(lì)國產(chǎn)化

　　站在中國人的角度我們鼓勵(lì)去IOE，做國產(chǎn)的產(chǎn)品，但是市場有市場的規(guī)則，不可能寧愿用壞的東西也不用國外的好的東西，而且還應(yīng)該遵守WTO規(guī)則。

　　不過，陳鐘認(rèn)為，類似谷歌的企業(yè)去IOE，在美國都是極端的，并不適用廣大的用戶?！罢驹谥袊说慕嵌?，我們的期望是去IOE，做國產(chǎn)的產(chǎn)品，但是市場有市場的規(guī)則，不可能寧愿用壞的東西也不用國外的好的東西。而且還應(yīng)該遵守WTO規(guī)則。市場規(guī)則是誰好用誰的，所以，政府需要很好地利用國際規(guī)則、市場規(guī)則鼓勵(lì)國產(chǎn)化，而不是和國際規(guī)則對抗。例如美國就很好地利用了國家安全這張牌，判定華為的產(chǎn)品進(jìn)入美國需要審核。中國過去沒有這種制度，現(xiàn)在就需要趕緊建?！彼f。

　　法律可以規(guī)范市場，而中國的立法落后是一大問題。例如個(gè)人身份證的管理等，很長時(shí)間我國沒有關(guān)于作廢身份證如何處理的機(jī)制，造成偽造身份證、個(gè)人信息泄露問題嚴(yán)重，詐騙、造假猖獗。陳鐘坦言，中國的個(gè)人隱私立法遲遲不能完成，根本原因是在中國，隱私權(quán)在法律上沒有明確定義，想獲得法律上的認(rèn)可就很困難。

　　現(xiàn)在國家支持技術(shù)研發(fā)和創(chuàng)新的資金比過去多，但是創(chuàng)新的精神比過去少。陳鐘分析，首先，整體環(huán)境不能寬容失敗，弄虛作假就成了必然趨勢;其次，決策的失誤沒有責(zé)任，無人追究。政府設(shè)立的各類支持產(chǎn)業(yè)和技術(shù)發(fā)展的專項(xiàng)和基金主旨是好的，但是從投入產(chǎn)出的效益來看，的確不如人意。政府不應(yīng)過多干預(yù)企業(yè)的研發(fā)行為，政府的資助可以以資本金、風(fēng)險(xiǎn)投資的角度注入，在企業(yè)的管理、技術(shù)研發(fā)等具體事務(wù)上應(yīng)減少干預(yù)。

　　信息安全需要持之以恒

　　國產(chǎn)的產(chǎn)品，是否比win 7、win 8還好?是否能做到安全、自主可控?國產(chǎn)替代，并不等于安全，這取決于國產(chǎn)廠商在安全上做到什么程度。

　　針對當(dāng)前用戶高度關(guān)注的Windows XP事件，陳鐘認(rèn)為，XP系統(tǒng)是微軟2002年之前研發(fā)的產(chǎn)品，2002年，微軟開始高度重視安全，原美國反網(wǎng)絡(luò)犯罪局官員斯科特·查理加入微軟成為首席安全官，所以XP之后的Windows 7， Windows 8，在產(chǎn)品安全性上做了大量改進(jìn)，這也意味著XP的漏洞遠(yuǎn)遠(yuǎn)多于這幾個(gè)系統(tǒng)。所以XP退出市場，對用戶來講是很正常的事情。但是XP系統(tǒng)從投入市場到退出有12年，在中國還有數(shù)以億計(jì)的用戶。

　　前段時(shí)間我國多名院士稱，XP事件是國家信息安全事件，涉及信息系統(tǒng)的控制權(quán)問題。微軟希望用戶升級系統(tǒng)，從用戶角度講安全性得到了提升，但是院士們認(rèn)為，如果繼續(xù)采用微軟產(chǎn)品，控制權(quán)將失去。對此，陳鐘保留了自己的意見，他反問《中國電子報(bào)》記者：“國產(chǎn)的產(chǎn)品，是否比Windows 7、Windows 8好用?是否能做到安全、自主可控?反過來講，做了國產(chǎn)替代，并不等于安全，這取決于國產(chǎn)廠商在安全上做到什么程度。”

　　安全需要持之以恒地努力。安全涉及網(wǎng)絡(luò)、系統(tǒng)、人的工程。安全問題是很廣泛、很復(fù)雜，無論是單品、還是集中管控，還是各種手段的綜合運(yùn)用，都要有大的提升。人的社會工程做好了，比從技術(shù)上做好安全要有效得多。當(dāng)前，來自網(wǎng)絡(luò)的威脅多種多樣，小到個(gè)人的小額金錢被盜、隱私泄露，大到企業(yè)要害部門遭受的APT攻擊，很難說在一個(gè)點(diǎn)上做好信息安全就能萬事大吉。

　　另外，互聯(lián)網(wǎng)金融的安全，只要產(chǎn)品在可控范圍之內(nèi)就是可行的。例如財(cái)付通微信支付，眼下并沒有機(jī)構(gòu)審核微信支付是否有漏洞、是否安全。在陳鐘看來，就算給微信支付的安全性打個(gè)分又有什么用?財(cái)付通、支付寶等的運(yùn)作模式很簡單，引入保險(xiǎn)公司賠保，有效沖抵風(fēng)險(xiǎn)，就開始推向市場，后續(xù)再慢慢完善系統(tǒng)。這說明，安全本身沒有絕對的安全，只有平衡風(fēng)險(xiǎn)、防護(hù)、利益三者之間的關(guān)系。從經(jīng)濟(jì)角度看，互聯(lián)網(wǎng)帶動(dòng)的經(jīng)濟(jì)發(fā)展是遵循適度的安全管控?？傮w上，不可能追求絕對的安全，只要相對風(fēng)險(xiǎn)可控，就是可行的。