(作者系中国工程院院士)
编者按:数据定义世界,软件驱动未来。网络空间对于实体空间是“融入其中、控制其内”。而这种控制就是通过软件来实现的。正如我们警示“八大金刚”危机一样,聚焦到软件产业,就是“IOE依赖症”(IBM、Oracle和EMC)。成立国家安全委员会,为我们提供了前所未有的契机,落实好“十大对策”,就是对三中全会精神坚定的执行力。
党的十八大报告首次提出了“高度关注网络空间安全”。这次,十八届三中全会又决定成立国家安全委员会,加快完善互联网管理领导体制,强调高度重视“网络和信息安全”。可以预期,今后我国网络空间安全战略将会迅速地向前推进。由于软件和信息服务在很大程度上决定着一切信息设备、信息系统和网络系统的信息安全,因此,我国软件业肩负着保障国家网络空间安全的重大使命。
一、基础软件和重要应用软件严重失控,我国“网络和信息安全”面临重大隐患
现实的情况是,我国软件业虽然发展很快,但基础软件、大型企业软件等一些重要软件领域,仍被外国公司所控制。例如,外国操作系统的市场份额高达97%,其他基础软件如数据库,也基本上是国外产品占统治地位,这种情况存在着严重的安全隐患。“棱镜门”事件表明,如果操作系统这类软件平台被外国所控制,我国的信息系统、网络系统在外国信息监控计划面前几乎没有防御能力,如果不摆脱这种被动挨打的局面,中国不可能成为信息强国。
我国历来要求信息产品“自主可控”,这是正确的。因为不能自主可控,一定是不安全的。以现在软硬件的复杂度,如果不是自主的,那么要想通过测试手段,在有限的时间里证明其安全性,基本上是做不到的。所以“自主可控”是一个前提。当然,这还不够,“自主可控”的产品也可能存在漏洞,甚至有某些后门,所以还需要加上“安全可信”的要求,这样,对信息产品的要求应该是“自主可控、安全可信”。显然,只有中国软件业自己,才有可能提供满足这一要求的软件产品和服务,在这个意义上,我们说,保障网络空间安全对中国软件业是一个重大的挑战。
二、高度重视“网络和信息安全”,中国软件业面临巨大的发展机遇
然而,这也正是中国软件业的发展机遇。为什么呢?这需要从软件业的特点说起。大家知道,软件有很强的自然垄断性,什么叫自然垄断性,就是有些产品和服务由于技术或经济的理由很容易形成寡头垄断,软件就是这样,表现为“先入为主”,“嬴者通吃”等等。国产软件推出晚,市场已被进口软件垄断了,这时,就很难进入市场。如果和汽车相比,国产汽车虽然性能指标较低,但价格也低,凭这一条也能获得一部分市场。但软件就不同,不管国产软件如何便宜,由于用户已经习惯了进口软件,你价格再低,他也不用。另外,软件可以无限复制,有时外国跨国公司为了垄断市场,容许某些盗版存在,借此扼杀国产软件的价格优势。由此可见,国产软件要与进口软件竞争,其难度比国产车和进口车竞争要大得多。一般说来,软件不能靠性价比进行竞争。在这种游戏规则下,中国拥有的软件人员的优势和软件市场的优势都很难发挥出来。当然,政府采购可以作为某种支持手段,但经验表明,我国政府采购法的贯彻力度不大,由于种种原因,虽然政府采购应当采购国产软件和服务,但实际上软件政府采购的结果是外国公司拿大头,本国公司拿小头。
值得庆幸的是,今天在增强网络空间安全的要求下,上述情况发生了根本的变化。例如此前,我国金融行业的信息系统基本上被IBM、Oracle和EMC三家所控制,被称之为“IOE”依赖症。曾几何时,这种格局还被认为是天经地义的,但“棱镜门”事件揭示出来,这三家都属于帮助实施信息监控计划的“八大金刚”之列,于是,我国金融业提出了“去IOE”的任务,今后,国产软硬件就有可能替换“IOE”,进入金融业这块被“IOE”长期垄断的“禁地”。
类似的行业在我国不在少数。过去的情况是,越是大的企业,越是重要的系统,越喜欢用外国产品,所以,今后为保障信息安全,以国产软硬件替换进口产品将会形成相当普遍的需求,这对国产软件的发展无疑是极为有利的。如果说,过去国产软件的性价比优势没能为国产软件占据市场作出显著贡献的话,那么,今天国产软件的自主可控优势将能为国产软件占据市场带来重大收益。
这种优势甚至可以帮助国产操作系统抢占被外国公司长期霸占的操作系统这一制高点。这些年来,尽管中国软件业总量已经处于世界前列,但在操作系统领域,尤其是桌面和移动终端操作系统领域,基本上还是空白。原因很简单,在各种软件中,操作系统的自然垄断性最强,而且,每种操作系统在长期应用过程中,都会形成围绕自己的一个生态系统(或称生态环境),包含了在这个操作系统平台上运行的无数的应用软件,提供的各种服务,支持的开发工具以及陪随的培训体系等等。换言之,操作系统之间的竞争实际上是它们生态系统之间的竞争。国产操作系统要想进入这个领域,不仅需要操作系统本身有竞争力,而且需要有一个强大的生态系统的支撑。但问题是,生态系统往往是在大量用户应用的过程中逐步形成的,如果操作系统不能进入市场,怎能形成其生态系统?而没有生态系统的支持,操作系统又怎能进入市场?因为解不开这个死扣,在桌面和智能终端领域,国产操作系统多年来一直裹足不前。
能够帮助国产操作系统打破这种僵局的只有强调信息安全,在保障信息安全的要求面前,性价比和生态系统等指标都只能退居次席,从而,国产操作系统就有可能进入市场,并带动自己生态系统的发展,逐步进入市场的良性循环。
三、发展自主可控的软件产业,政府、市场合力维护国家网络空间安全
目前国产软操作系统还抓到了进入市场的契机,这也许是几十年难逢的机遇。不久前微软宣告,它将在2014年4月停止对“视窗XP”的支持,微软此举旨在迫使广大XP用户升级到“视窗8”上,为它的这个不大受欢迎的操作系统开拓市场。实际上,这不是中国广大用户的需求。据估计,中国有约70%的桌面电脑仍然使用XP,总计还有约2亿台XP电脑,中国XP用户基本上没有升级到“视窗XP”的要求。如按微软的旨意,这2亿台XP电脑都升级到“视窗8”,显然有巨大安全风险,对这一重大信息安全事件,有关部门需要制定应对措施。我们建议:
一是凸显政府力量。防止“视窗8”进入政府和重要行业。回顾2006年微软发布“视窗Vista”(“Vista”)时,当时“国信办”根据专家评估,确认其架构会使用户电脑被微软高度掌控。其结果是“Vista”未列入政府采购目录。现同类架构的“视窗8”的安全风险远超过“Vista”,更不应被引入政府和重要行业。微软又说,不升级到“视窗8”,还可以升级到“视窗 7”。但“视窗 7”也是老的操作系统,数据表明,现阶段它的漏洞甚至比XP更多,因此升级到“视窗 7”显然没有意义。
二是发挥市场作用。发挥市场在资源配置中的决定性作用。学习“北斗”和“TD”等产业联盟的成功经验,通过组建产业联盟,最大限度地整合政产学研用各界资源,避免创新资源碎片化,在行业主管指导下,迅速发展可替换XP的国产操作系统。产业联盟的运作可与国家科技项目互相支持、互相补充,更好地推动国产操作系统的产业化。
三是借力产业联盟。产业联盟可整合中国从事信息安全服务的资源。在权威信息安全机构支持下,通过建立有公信力的“应用商店”,发布“安全云服务”,在微软中止支持XP后,代替微软接管中国的XP电脑,实行杀毒、安全加固等等维护工作。我国信息安全界如能联合起来,协同创新,应能防止在微软中止支持XP后,继续使用XP的电脑出现严重安全事件。
四是重视安全可信。在已有国产操作系统的基础上,进一步增强其安全可信性,推出可替换XP的国产操作系统。我国在可信计算方面有重大创新,而操作系统又是信息系统的软件基础,从建立可信操作系统着手提高我国信息系统的本质安全,是符合中国国情的。
五是繁荣生态环境。吸取历史上国产操作系统未能成功替换XP的教训,必须围绕国产操作系统营造强大的生态系统。要充分调动我国广大软件企业和软件工作者的积极性,互相配合,群策群力,使国产操作系统的生态系统尽快繁荣起来。
六是制定系统标准。通过各有关部门的合作,制定桌面和智能终端操作系统的标准,增加国产操作系统及其生态系统的竞争优势。
七是推进替代战略。先从政府和重要行业开始,通过试点逐步进行以国产操作系统替换XP的工作,在取得经验后,再扩展到其他行业、其他领域,准备用一二年时间实现对XP的替换。
八是降低转换代价。要提供适应多种应用环境的、从XP到国产操作系统的迁移工具,尽可能减少用户转换操作系统花费的代价。实际上,现在替换XP在技术上没有大问题,基本上是个工作量问题,要尽可能减少转换的工作量。
九是改变商业模式。为迅速占领大众市场,国产操作系统可从“应用商店”免费下载使用,并应建设覆盖全国的、线上线下结合的服务支持体系,彻底改变传统操作系统的商业模式。
十是防范信息流失。为确保用户信息安全及隐私权,国产操作系统及其生态系统的维护升级都需集中到“应用商店”上来,防止用户信息流到境外。
我们认为,无论是接管XP电脑的安全维护工作,还是以国产操作系统替换XP,在技术上并无太大的障碍,要担心的倒是,在这件事上各界能否齐心协力?能否避免内耗?如果出现多家不成熟的解决方案互相唱对台戏的内耗局面,最后可能只得让微软来接盘了。
综上所述,我们希望中国软件业能抓住保障网络空间安全的机遇,突破操作系统这一关键核心技术,使我国在操作系统领域不再受制于人;希望国产软件和服务能满足增强信息安全的需求,逐步替换进口软件和服务,大大增强各行各业的信息安全。总之,为了建设世界一流网络强国,中国软件业应当作出自己的贡献。
(来源:中国信息安全)
| 相关专题 |
| · 聚焦中国网络空间战略 |
