版权所有:中国(中关村)网络安全与信息化产业联盟

京ICP备14013985号          京公网安备 11010802031750号   网站建设:中企动力 北京

>
>
>
信息核心技术:网络安全重要砝码

信息核心技术:网络安全重要砝码

浏览量
【摘要】:
当前,我国基础信息技术短板较多、尚未形成完善体系,网络安全产业规模小、刚性需求偏弱等问题依然比较明显。在网络安全受到高度重视的背景下,要实现网络安全核心技术从自主可控到自主先进的有效突破,国家网络安全的主管部门、信息安全科研机构和网络安全企业要一起打造“自主可控”的网络安全生态链。
中国工程院倪光南院士近日发文,就保障国家数据安全、运用大数据提升国家治理现代化水平等问题,阐释了认识和思考。

大数据安全和大数据发展要同步推进

近日,美国科技巨头Facebook卷入数据泄露丑闻,其5000万用户数据被泄露给英国剑桥分析公司。该事件再一次凸显了大数据安全问题的严重性。这一事件并非个案,美国网络安全分析机构Risk Based Security(RBS)发布的《2017数据泄露报告》显示,2017年公开的数据泄露事件高达5207起,被泄露信息多达78.9亿条。数据安全问题正日益引发各界关注。

 

当前,随着国家大数据战略的推进,大数据在我国各个领域的应用持续升温。与发达国家相比,中国存在的一个弱点是,由于我国关键信息基础设施大量采用外国技术设备,再加上安全法规制度不完善,安全意识不足,面对日益严峻的网络安全态势,保障大数据安全已成为当务之急。习近平总书记在党的十九大报告中提出要“统筹应对传统和非传统安全威胁”。网络安全就属于非传统安全,它具有不同于传统安全的特点。例如,当传统汽车发展为自动驾驶汽车时,它的安全不仅取决于汽车本身的安全,还取决于它是否能抗拒网络攻击,不被黑客所干扰。换言之,传统汽车只需做到安全,而自动驾驶汽车必须做到安全可控,在“安全可控”中就包含了安全性和可控性。

    

以安全可控为尺度衡量,我们看到,尽管现在我国的某些网信应用包括大数据发展很快,但我们还在一定程度上依赖于外国的核心技术,正如习近平总书记所指出的,“互联网核心技术是我们最大的‘命门’,核心技术受制于人是我们最大的隐患”。以大数据为例,无论是支撑它的关键信息基础设施,还是无数利用或提供数据的信息终端或物联网终端,其核心技术都必须掌握在自己手里。

    

加快推进自主可控替代计划以应对信息核心技术挑战

鉴于网信技术往往构成技术体系并具有高度的垄断性,因此,在网信领域,发展核心技术必须有技术体系及其生态系统的支撑。中国要想在核心技术上不受制于人,必须大力构建安全可控的信息技术体系,以此替代目前垄断市场的外国技术体系。

 

近年来,我国一直在探索和尝试建设自己的技术体系替代Wintel。经过多年发展,由国产Linux操作系统+3种国产CPU(申威/飞腾/龙芯)组成的国产技术体系已经比较成熟了。

 

加快推进国产自主可控替代计划和构建安全可控的信息技术体系,是建设网络强国的需要。《国家中长期科学和技术发展规划纲要(2006—2020年)》确定了发展“核心电子器件、高端通用芯片及基础软件产品”的重大专项,其目标就是要以基于高端通用芯片(CPU)和操作系统等基础软件所构成自主的技术体系来替代Wintel体系,这是没有疑义的。按照工信部最近的评估,国产软硬件已从“不可用”发展到“可用”,正在向“好用”继续推进。实践表明,推广国产自主可控不等于“保护落后”,通过技术创新、模式创新等,从政府和重要领域开始,加快推进国产自主可控替代计划和构建安全可控的信息技术体系是切实可行的。当然,对我国网信技术的短板,包括集成电路制造、工艺和设计工具以及大型软件(如EDA、CAD/CAM等工业软件)等方面,还需要大力加强,尽快弥补。  

 

 以制度建设保障网络安全

为树立正确的网络安全观,做到安全和发展同步推进,需要加强制度建设。例如,在网信建设中推进“多维度测评”,即除了实行一般的质量测评(对产品/服务/系统的功能、性能等技术指标进行测评)和安全测评(对产品/服务/系统的安全性进行测评)外,还需实行自主可控评估,即对产品/服务/系统的自主可控性进行评估,这种评估可以是针对CPU、操作系统等核心技术产品,也可以是针对其他软硬件或服务,甚至也可能是针对一个信息系统或一项信息基础设施。

 

由于对于网络安全的可控性要求,一般测评不能反映,需要通过自主可控评估才能体现出来,因此我们主张在网信项目的规划立项、方案制订、招投标、评审验收等等环节中都应实施自主可控评估,因为达不到可控性要求,就不能保障网络安全。例如,目前已有的自主可控评估方案,是从知识产权、技术能力、发展主动权、供应链安全、厂商资质、技术体系等方面进行评估,这比较适合CPU、OS这类产品,但对于云计算、大数据等云服务,除评估这些指标外,还应重点评估所用软硬件是否自主可控、基础设施是否部署在境内、敏感信息是否不出境、用户隐私信息是否不泄露、是否能防御网络攻击等。总之,我们要通过实施自主可控评估,增强包括大数据在内的各种网信事业的安全,推进建设网络强国的进程。

作者:倪光南,系中国工程院院士

 

聚焦专栏