【导语】应当将自主可控作为网络安全的必然要求,在此基础上才能构建安全可控的信息技术体系。

2017年12月3日,第四届世界互联网大会领先科技成果发布现场,一个更高效、更精准的新一代北斗三号全球系统部署正在给出中国方案。图/本刊记者 潘树琼 摄

  2016109日,习近平总书记在中共中央政治局第三十六次集体学习时提出,“加快推进国产自主可控替代计划,构建安全可控的信息技术体系”“实施网络信息领域核心技术设备攻坚战略”。这充分说明,“构建安全可控的信息技术体系”是我国网信领域的一项重大任务。

    打破垄断,自主掌握核心技术

网信技术具有高度的垄断性。在网信领域,技术、标准、知识产权、文献资料、产品、服务、解决方案……往往形成一个信息技术体系,该体系及其关联的经济社会环境构成了一个生态系统。相应地,市场竞争也从产品或服务之间的竞争上升到生态系统之间的竞争,造成了网信技术的高度垄断。

  要想打破现有的垄断,靠单项技术的突破是不够的,必须在信息技术体系及其生态系统的竞争中取胜。近年来在实施国产自主可控替代计划中,各个软硬件之间的适配问题耗费了大量人力物力。因此,要构建安全可控的信息技术体系,从根本上予以解决。

  那么,为什么要构建安全可控的信息技术体系?

  一是为了达到核心技术不受制于人。2016419日,习近平总书记在网信工作座谈会上指出:“核心技术受制于人是我们最大的隐患。”2016109日,习近平总书记在中共中央政治局第三十六次集体学习时强调,“要紧紧牵住核心技术自主创新这个‘牛鼻子’,抓紧突破网络发展的前沿技术和具有国际竞争力的关键核心技术。”实践证明,最关键最核心的技术必须靠自主研发、自主发展,这是实践经验的总结。构建安全可控的信息技术体系是打破现有垄断,使核心技术能发挥作用、有用武之地,最终达到核心技术不受制于人的必要条件。

二是为了建设网络强国的需要。中国虽然已经是网络大国,但还不是网络强国,一个重要原因就是我们还缺乏安全可控的信息技术体系的支撑,我国的信息基础设施以及信息化所需的软硬件和服务,大部分来自外国跨国公司。由此构成的基础设施或信息系统就像沙滩上的建筑,在遭到攻击时顷刻间便会土崩瓦解。随着中国与发达国家的技术差距迅速缩短,外国对我们的方针也从封锁禁运变为 “技术合作”,但往往是以“合作” 之名,行 “穿马甲” 之实。实际上是希望中国放弃追赶,停止构建安全可控的信息技术体系,这样,中国就会永远依赖外国,永远不能建成网络强国。

在实施过程中,市场化引导对于构建信息技术体系来说非常必要。不能指望将刚自主研发出来的一些软硬件凑在一起就能正常工作,只有通过实际使用,发现问题,解决问题,才能做好所有软硬件之间的适配,最终形成一个可实际使用的信息技术体系。

这个过程一般要经历“不可用”——“可用”——“好用”三个阶段,特别是处在“不可用”阶段时,如果没有市场化引导,很可能根本无法进入市场,没人应用也就不可能得到改进和发展。这时特别需要为其提供市场化支持,使这些开始“不可用”的技术也能有得到应用的机会,并在应用中发现问题,不断改进,最终从“不可用”发展到“可用”“好用”。

要安全和发展同步推进

习近平总书记一直强调整体网络安全观:“没有网络安全就没有国家安全”“网络安全和信息化是一体之两翼、驱动之双轮”“网络安全和信息化是相辅相成的。安全是发展的前提,发展是安全的保障,安全和发展要同步推进”。因此,网信事业应当实施安全和发展同步推进。发展是硬道理,安全也是硬道理。为此,要建立必要的法规制度保障,例如贯彻实施《网络安全法》《网络产品和服务安全审查办法》、实施多维度测评、实行等保制度等等。

  在这个过程中,自主可控不等于安全,但不自主可控一定不安全。自主可控意味着不存在后门,可以主动增强安全性,发现了漏洞可以主动打补丁;而不自主可控意味着丧失主动权,在网络攻击下完全处于被动挨打地位。所以应当将自主可控作为网络安全的必然要求,在此基础上才能构建安全可控的信息技术体系。

  为了确保自主可控的信息技术体系构建,我国目前推出的“信息安全等级保护制度”和“多维度测评”将起到巨大作用。信息安全等级保护制度是国家信息安全保障工作的基本制度、基本策略和基本方法,是促进信息化健康发展,维护国家安全、社会秩序和公共利益的根本保障,也是当今发达国家保护关键信息基础设施、保障信息安全的通行做法,更是我国多年来信息安全工作经验的总结,事关国家安全、社会稳定、国家利益的重要任务。

  在网信领域中“安全”的内涵比传统领域中“安全”的内涵更加广泛、更加全面。例如当传统汽车发展成了自动驾驶汽车,那么后者的“安全”不仅包含了前者的“安全”,还包含了能抵御网络攻击、能保护用户信息等等内涵,而这些本来对前者来说是不需要考虑的。为此,有关部门提出了实行多维度测评的要求,包括:自主可控评估、质量测评、安全测评等。

推进自主可控评估,对我国网信事业的发展意义重大。一是对即将开展的党政机关党政公文系统安全可靠应用推进工作提供必要的、及时的支持,以更好地保障网络安全。二是为主要依靠自己研发、自己发展、自主可控程度高的产品和服务,给予更好的市场机会,防止各种打着“国产”“技术合作”旗号的 “穿马甲”的外国产品和服务,混入政府和重要领域。三是落实“多维度测评”制度,使其成为网信工作的一项制度,以更好地体现习近平总书记关于网信工作的系列重要讲话精神。

从自主可控到自主先进的安全举措

加强自主可控产品共有组件透明度管理。重视自主产品的安全问题,建立从编码安全到物理安全的管理机制和代码审计机制,形成安全透明的协作生态体系。在开发的过程中,通过源代码审计可以检查源代码中的安全问题,分析并找到这些问题可能引发的安全漏洞,提高国内自主产品源代码的安全性。透明管理自主可控产品使用第三方组件或共有组件,明确其组件版本号,当上下游生态链出现问题时,整体从国家层面积极管理该问题,明确影响自主可控软硬件范围,发布对应补丁,解决问题。

  加强自主产品IT供应链的安全管理。软件供应链包括的角色、环节众多,结构复杂,攻击者可能会利用供应链各节点的安全隐患,单靠现有的安全模式和离散的安全手段难以达成有效防护,必须依靠新模式、新思路,实现安全能力的抵近部署和集中感知,形成深度的威胁情报和态势感知能力,最终实现对软件供应链攻击的有效防护和快速响应,达成有效的安全价值。(倪光南:中国工程院院士。本文系倪光南在第五届安天网络安全冬训营暨关键信息基础设施保护论坛上的演讲摘录)