倪光南
倪光南,中國工程院院士、中國科學院計算技術研究所研究員,長期致力於推廣國產芯片和操作系統。作為我國最早從事漢字信息處理和模式識別研究的學者之一,倪光南院士首創在漢字輸入中應用聯想功能,曾先後任中科院計算所公司 ( 聯想前身 ) 和聯想集團首任總工程師,主持開發了聯想式漢字系統、聯想系列微型機,1988 年和 1992 年兩獲國家科技進步一等獎,1994 年被遴選為首批中國工程院院士,2011 年和 2015 年分別獲得中國中文信息學會和中國計算機學會終身成就獎。
隨著信息技術和網絡的快速發展,我國網絡安全威脅的範圍和內容不斷擴大和演化,網絡安全形勢與挑戰日益嚴峻複雜,如何切實維護好人民利益和國家安全, 確保我國的網信事業安全可靠、可控已經迫在眉睫。
為此,信息安全與通信保密雜誌社就關於我國網絡安全自主可控的有關話題,專訪了中國工程院院士倪光南。
記者:目前我國網信領域的總態勢是怎樣的?
倪光南:當前,我國網信事業的發展存在明顯的“長板”和“短板”。在長板方面,總體來看,中國的優勢在於擁有世界最豐富的科技人力資源、最大的市場、世界第二大經濟體實力、國家的優惠政策以及中國的舉國體制等。
從技術運用領域看,主要體現在互聯網應用和新一代信息技術,互聯網應用包括電商、移動支付、社交、搜索等,新一代信息技術包括人工智能、大數據、5G、物聯網、雲計算等。
中國網信領域總體技術和產業的水平在世界居第二位,僅次於美國。中國企業在全球 ICT 企業前十名中佔據三席,分別是華為(華為未上市,但其估值接近蘋果)、阿里巴巴、騰訊。這些應用方面的優勢, 雖然不足以彌補我們在基礎方面的劣勢,但通過應用的牽引,能夠促進技術和產業的發展,從而帶動基礎方面的提高,因此大力發揚“長板”的作用有很大意義。只要善於揚長避短,堅持自主創新,完全有可能在“長板”中的某個部分實現從跟跑並跑到並跑領跑的轉變,5G 便是一個重要契機。
短板方面,主要是芯片和基礎軟件。芯片方面的短板體現在芯片設計、製造、封裝測試、材料、裝備、EDA 設計工具等方面,具體而言, 芯片的產業鏈各環節不均衡。
首先,芯片設計水平具備一定的實力,例如國產高性能計算機的 CPU、服務器 CPU、手機 CPU 等等,都可與世界頂級 CPU 一爭高低;其次,芯片生產水平較差,我國最大的集成電路製造公司——中芯國際(SMIC)在世界同類企業中排行第五;然後,集成電路生產裝備國產化比率不到 20%,在材料方面,如光刻膠全部依賴進口,其他許多材料也嚴重依賴進口;最後,設計工具(EDA)完全依賴進口等等。為彌 補短板,國家通過 IC 產業基金計劃,第一期為1400 億元,第二期投入更大,社會各界紛紛參與, 有望在十年至二十年內努力補齊這一短板。
基礎軟件方面的短板包括移動 OS、桌面OS、大型工業軟件等。基礎軟件主要指智能終端操作系統(桌面、手機等), 還有大型工業軟件(包括 CAE、CAD、CAM 等軟件)。基礎軟件具有規模大、壟斷性強、開發週期長等特點。基礎軟件短板的危害不亞於芯片短板,此前基礎軟件短板的危害並未充分暴露(包括安全風險和供應鏈風險),目前其風險已凸顯出來。基礎軟件的市場基本上被外國所壟斷,對於我國而言,不僅在經濟上需付出巨大代價,而且
存在著重大安全隱患。
我國網信領域的整體技術和產業水平已居世界第二,在對形勢的估計上,我們既不能夜郎自大,也不能妄自菲薄。相比發達國家而言,中國在網信領域處於整體跟跑的狀態,但有些方面已出現了跟跑、並跑、領跑並存的局面。
當前形勢對中國核心技術的發展,機遇和挑戰並存。一方面,通過“引進”獲得核心技術已不可能;另一方面,自主創新的核心技術也更易進入市場,也將獲得發展壯大的機會,華為的多年“備胎”一夜轉正就是一個例子。
記者 :網信事業可靠可控的著眼點是什麼?
倪光南:在網信領域對技術安全的表述是“安全可控”或“自主可控、安全可信(安全可靠)”,至少是包含了“可控性” 和“安全性” 兩個方面。
黨的十九大報告中提出要統籌傳統安全和非傳統安全,網絡安全屬於非傳統安全,其內涵比傳統安全廣泛。此前國家網信辦公佈的《網絡產品和服務安全審查辦法》將網絡安全審查分成“安全性”審查和“可控性”審查,2019年公佈的《網絡安全審查辦法》將審查內容進一步擴大,包括審查“可控性、透明性以及供應鏈安全” 以及其他多個方面,概括性地分析,這些審查主要是審查能否滿足“自主可控”的要求。
自主可控是實現網絡安全的前提,也是必要條件,但並不是充分條件。換言之,採用自主可控的技術不等於實現了網絡安全,但沒有采用自主可控的技術則一定不安全。以可控性為例,假設消費者購買了一輛傳統汽車,自然擁有了對汽車的控制權,一般不需考慮可控性,只需考慮安全性。但是,如果購買的是自動駕駛汽車,這輛汽車是一件網信產品,那麼其安全性就變得複雜。即使汽車本身的安全性沒有問題,但它可能被黑客劫持,這時汽車的控制權就被黑客掌控,黑客可以遙控汽車,使其不受駕駛員的控制,甚至導致車毀人亡,這便是可控性出了問題。由此可見,對屬於非傳統安全範疇的網絡安全而言,離不開自主可控。
記者:請您具體談談對“網絡安全關鍵核心技術要自主可控”這句話的理解。
倪光南:網絡安全的核心是技術安全,技術安全的一條核心原則就是關鍵的核心技術要自主可控。核心技術是我們最大的“命脈”, 實現網絡安全,要儘可能把關鍵核心技術掌握在自己手裡,才能避免處於被動地位,“網信領域具有高壟斷性,新進入市場的國產軟硬件如果不能打破壟斷,就沒法實現替代”。
過去我們對自主可控沒有形成制度支撐, 因而不能及時發現短板,容易被人“卡脖子”。現在我國技術自主可控的情況依然堪憂,迄今為止,我國政府採購等活動中仍有不利於自主可控的情況,影響了重要部門的網絡安全。
目前“穿馬甲”情況嚴重,也就是將不能自主可控的外國技術,假冒國產自主可控技術, 混入政府採購和重要領域,(可能)成為特洛伊木馬。我國亟需制訂自主可控測評評估標準並由專門機構實施,形成制度保障。
自主可控測評還需要適應形勢的發展,例如現在根據美國法律,如果根源在美國的技術發展,就會被計入屬地比重,範圍包括 IP 與相關核心技術,若美國技術成分佔比超過 25%,就會受到美國法律的管轄,這種情況也要在自主可控測評中加以考慮。
實踐證明,如果網絡安全空間不能實現自主可控的話,將有很大的風險。換句話說,只要不是實現完全自主可控,就有隨時被“黑” 的可能性。
記者:自主可控的落實點如何來體現?
倪光南:自主可控需制訂客觀、科學的測評標準,並由第三方機構實行測評;在關係到網信安全的重要場合,自主可控測評可起“一票否決”作用。為了客觀地、科學地評估自主可控程度,有關部門提出了實行多維度測評的要求,即除了以往已經實施的“質量測評”和“安全測評”外,再增加了“自主可控測評”。
因此,多維度測評包含:自主可控測評, 即對產品 / 服務 / 系統的自主可控性進行評估, 該評估既能夠針對CPU、OS等核心技術產品, 也能夠針對其他軟硬件或服務,甚至也可針對一個信息系統或一項信息基礎設施;質量測評, 即對產品 / 服務 / 系統的功能、性能等技術指標進行測評;安全測評,即對產品 / 服務 / 系統的安全性進行測評,此種測評往往是實施“等保”“分保”制度的必要內容。
當前,我國網信領域要求採用自主可控的技術和產品,特別是要求實現關鍵核心技術自主可控。過去三十多年,我國發展主要靠引進第三次工業革命的成果,基本是利用國外技術, 早期是二手技術,後期是同步技術。而現階段, 不僅無法從他國獲取關鍵核心技術,而且也很難獲得一般的高技術,因此在引進高新技術上不能抱任何幻想,應當改變過去造不如買、買不如租的邏輯。
記者:未來網信領域的新常態將是什麼?
倪光南:目前在網信領域,國產自主可控核心技術和軟硬件已經逐步具備了替代進口的能力,今後實施國產自主可控替代將成為網信領域的新常態。
在網信領域,一項技術能否存活,往往不取決於性價比而取決於是否有相應的技術體系和生態系統的支撐。新研發出來的國產軟硬件必須具備對原先市場壟斷者的替代能力,才能在市場中取得一席之地,如果不能替代就根本進不了市場。我們可以看到,在今後相當長的時期裡,網信領域的國產軟硬件對原先市場壟斷者的替代將是一個新常態,這是由中國實施的網絡強國戰略和自主創新指導思想所決定的。經過十多年的艱苦奮鬥、自主創新,我國的北斗衛星導航系統正在逐步替代 GPS 系統。當前桌面計算機技術體系的競爭格局是:國產“1+3” 架構對 Wintel 架構。“1+3” 即國產 Linux 操作系統 +3 種國產 CPU(申威 / 飛騰 / 龍芯);Wintel 架構即 Windows 操作系統 + Intel 架構 CPU;近來我國金融等行業的數據中心已主要轉為由 Intel x86 服務器 + Oracle 數據庫所構成。最近,國產 CPU( 如飛騰、鯤鵬等)集群 +航天天域分佈式數據庫的整體性能都能超過 IBM 小型機、Intel 最新 8 路服務器最高性能,為實施這一替代創造了條件;另外一個案例是國產工控實時操作系統 SylixOS 對 VxWorks 的替代, 現在 SylixOS 正在一些領域推廣應用,顯示出替代 VxWorks 的能力。
所以,為了儘快突破網信核心技術,應當“加快推進國產自主可控替代計劃,構建安全可控的信息技術體系”。
記者:未來受 5G 影響最大的是哪些行業, 在網絡安全方面又該注意哪些問題?
倪光南:通信和 AI 領域將是未來受 5G 影響最大的行業。5G 作為基礎設施,作為新一代信息技術,由於其公共性,對 AI、物聯網、大數據、雲計算、移動互聯網影響深遠。
當然 5G、大數據等各種新技術,對於數據安全、網絡安全要求更高。關於網絡安全的概念, 我們應該跳出過去傳統安全的框架,黨的十九大提出統籌傳統安全和非傳統安全。有的網絡產品看起來很好,但它可能被黑客控制了。用傳統觀點看,傳統汽車本來是安全的,但是安全性還得加上可控性。很好的汽車故意撞人了, 這種可控性很難把握。我相信網絡安全的要求對任何新一代信息技術都有很大影響,這既需要滿足一般的安全要求,又要對新的網絡技術實現可控。這種情況下,大家會給網絡安全提出更高要求。
最後,倪光南強調,任何制度都要靠人去實施,人們的認識水平對於實現自主可控至關重要。對企業而言,應提高對自主可控的認識,在規劃產品時對技術掌握程度、知識產權合法性、供應鏈安全等都要有周密的調查和部署,甚至要考慮到在別人切斷供應時有沒有備份系統頂上去。對用戶而言,支持和選用國產軟硬件從一定意義上說就是為自主可控作貢獻。廣大用戶應增強網絡安全意識,積極選用國產軟硬件,並及時反饋使用中發現的問題,幫助國產軟硬件不斷提升技術水平,更好地保障我國網絡安全。
選自《信息安全與通信保密》2020年第三期
記者/編輯:王超
閱讀更多 信息安全與通信保密 的文章
