信息安全要做到自主可控、安全可信

发布者：admin　日期：2013-6-21　点击次：1318

随着信息化建设的提速，以及党的“十八大”后提出加强建设新城镇的指导方针，我们所处的社会在信息时代中的变化正在加剧。最近两年，关于国家之间的信息安全相关新闻层出不穷，国际信息安全态势越来越严峻，同时世界各国也越来越重视信息安全，并且均已上升到国家安全战略的重要组成部分。现阶段看来，网络攻击是对国家的主要威胁之一，西方国家已经开始为争夺网络空间地位进行部署和行动。以美国为例，在去年不断提出所谓的“网络珍珠港”来提升国民对与网络空间安全的认识与警惕性，并且把网络信息安全提到国家战略的高度，认为网络攻击等同于军事攻击。

在中国方面，不可否认的一点是即使国家不断出台各种法律法规来对IT设备采购进行约束，但是在IT系统中的关键技术和零部件仍然受制于国外。关于国内IT安全建设应遵循怎样要求，笔者采访了中国工程院院士倪光南，倪院士谈到：“有的专家提出要做到自主可控、安全可信，这个提法是有道理的。而国产首先可以做到自主可控，这是一个基本的条件。国产可以没有“后门”这类安全隐患，当然不一定完全做到安全可信，但是依然比不可控好得多。在自主可控基础上可以发展到安全可信。如果不是自主可控，就不可能安全。

比如2008年的微软黑屏事件，虽然PC上都有很多防火墙和杀毒软件保护，但是依然会黑屏。因为这些软件都在操作系统上运行，操作系统要黑屏，那些外加的软件就都没用了。如果构成信息系统的硬件和软件本身不安全，要靠外加安全产品去解决安全问题就是做无用功，因为系统本身就可以形成最大的安全隐患。我们用国产的硬件和软件就是一个重要的安全保障。当然，国产还只是一个基础，应该把自主可控作为安全的起点，作为一个基本保证，然后可以再向安全可信的方面去提升。”

从另一个方面看，之所以国内很多行业在关键位置仍然使用国外厂商的产品，很重要的一个原因就是采购时并没有真正按照法律规定的方式来执行。对于这一点，倪院士表示：“对于国产产品观念，很多中国人不清楚什么是中国货，什么是外国货。我认为一个很重要的原因是法制观念不够。政府采购是《政府采购法》规定的，并于2003年通过生效。很多人说WTO应该自由竞争，中国和外国的公司没有差别，那是因为他们没有认真地看过法律。法律上其实明确了中国参加WTO时政府采购市场不开放。政府采购如果执行的好，可以覆盖到央企和国企，这些都是政府采购的范畴，但是我们的《政府采购法》缺乏实施条例再加上法制教育的缺乏，往往并没有按照法律规定的去做。

中国政府采购有非常好的市场，因为政府采购和央企是最大的市场，但是我们没有充分利用好WTO给我们的权利，错误地认为加入WTO后全部市场都是开放的。此外，在国货的认定标准方面，美国已经采用增值原则，我们的有关部门还提出要按照成本来计算，这对于高智力附加值产品根本不适用。所以政府采购的问题，既有有法不依的问题，也有执法不严的问题，还有教育不够的问题。”

对于大力发展民族工业，以及提升自有品牌和技术的影响力来说，自主创新是其关键的问题。那么中国该如何推动自主创新，以期立足长远来推动信息安全的发展呢?倪院士认为：“美国的大企业创新其实并不多，更多地是通过并购中小企业或者买他们的知识产权来达到 ‘ 创新’的目的。由此可见中小企业是创新的土壤，也是创新的源泉。比如谷歌的Android系统其实就是2005年对Android公司收购后结合自身的优势发展起来的。中国应该也是这样，但是中国中小企业没有足够好的发展环境。例如美国政府采购偏重中小企业，中小企业报价可以比大企业高百分之一二十，而中国往往第一是看企业规模大小，太看重资质，企业没有达到规定的规模就不考虑，对中小企业不大公平。我们应该重视中小企业，要为其创造发展环境。

政府应该从政策、文化方面营造一个有利于创新的环境。抓大放小容易出政绩，但抓小促大才能助创新。我们认为学习开源软件有利于创新，如果只学习专有软件，可以培养很好的操作人员，但是很难发挥创新精神，所以要很好地学习开源软件来培养创新精神。例如在很多设计竞赛中参赛者都用开源软件参加，因为他们要按竞赛的要求修改和发展软件，这只有用开源软件才能做到。所以学习开源软件是能够促进创新的。现在中央要求实行创新驱动，为此要培养大批创新人才，使企业的创新有创新人才的支撑。”