本刊记者 胡晓荷

关于“去IOE”的几点思考

本刊记者 胡晓荷

刘德良 教授:法学博士,北京师范大学法学院教授，亚太网络法律研究中心（http://www.apcyber-law. com/）主任；北京大学网络法律研究中心研究员； 中美战略安全·网络安全对话机制中方首席法律专家；中国－欧盟信息社会项目中方首席网络与信息法律专家；英国牛津大学法学院访问教授；中央政法委、网信办、工信部、商务部、外交部、国家工商总局、最高人民法院、最高人民检察院等机构的网络与信息法律咨询专家。

黄玉琪 博士:1972年出生于浙江杭州，2000年获得解放军信息工程大学博士学位并留校任教。在此期间获过全军科技进步奖等多个荣誉。2007年转业到地方，创办了河南远为网络信息技术有限公司，2012年创办北京远为软件有限公司。2009年带领团队研制了基于PC机的轻量级虚拟机，可以将一个PC机利用虚拟机技术虚拟成多个相互隔离、适用于不同安全级别应用的虚拟机。2015年，黄玉琪团队又研制出国内第一个移动设备虚拟机，可以在一个手机上或者PAD上，利用虚拟机技术虚拟出两个安全级别不一样的手机或者PAD，这将大大促进BYOD的应用场景和安全保障。

“去IOE”概念广义与狭义之分

探讨“去IOE”概念时，远为软件黄玉琪博士表示，个人认为“去IOE”概念有所发展变化，应该说可以分为两个阶段。第一个阶段是狭义的“去IOE”阶段，即是阿里巴巴刚提出“去IOE”时的概念，那时“去IOE”是IT架构变化的概念。以前的传统IT架构都是“集中式+商用系统”架构，这种架构优点是比较成熟、稳定，缺点是不太适合互联网时代业务爆炸性的需求。阿里巴巴由于淘宝的用户量和业务量发展巨大而迅速，传统的IT架构模式已跟不上其业务需求，所以他们提出将这种架构改变成“分布式＋开源系统”的架构，即以前是集中式的变成分布式的，以前是商务系统变成开源系统。阿里巴巴也为此投入了巨大的人力物力，近1.7万人做了3年，当然优点肯定很多，主要是能适应业务的快速发展。以前阿里巴巴的业务可能只是集中在杭州的某个机房，但是随着业务的增大，现在可以异地随时把业务加进去、扩大规模，这就是分布式的特点。因此，“去IOE”这个阶段的概念主要是以IT架构的转化为主要内容。但是发展到现在“去IOE”概念，又发生了转变，变成了一个国产化的代名词，这个阶段我们称之为广义的“去IOE”概念，国产化更重要的是从安全的角度考虑，有些基础设施能用国产的产品，就尽量不要去用以“IOE”为代表的国外厂家的产品。这两个阶段的概念，虽然有所继承，但内涵和外延都不再一样。

狭义的“去IOE”是去掉IBM的小型机、Oracle的数据库和EMC的存储，但要注意，这里并不是把IBM的其他产品也都去掉，这三家企业也会做分布式存储，这与狭义的“去IOE”概念是不冲突的。但当去“IOE”的概念外延发生变化，开始强调国产化时，冲突就产生了，IBM这些企业IT产品就不再适合应用于国内的IT体系建设，这其中最主要的一个问题就是安全性。

依赖国外产品的风险

国外信息设备会给国内网络带来哪些安全影响呢？“这涉及到很多方面，美国规定所有基础设备必须受法律保护和控制，并从国家角度要求厂商产品预留后门，其厂商也必须要予以配合，在设备里植入后门是美国进行信息监控的一个技术手段，对于美国政府和法律体系而言这是一件完全合法的事情。但对于中国用户来说，这是一件很危险和不道德的事情，因为美国政府这些措施的目的就是要进行信息的监控和截取，像某些型号的思科路由器、英特尔奔腾III处理器，都已经被证实存在后门，所以必须要减少对国外设备的依赖。特别是一些大型的行业，比如金融、银行、证券等行业的服务器、存储产品都极度依赖国外的产品，其中潜藏的风险非常巨大。特别是高端的容错服务器，这是国家信息化建设的核心设备之一，支撑着金融、电信、税务、财政、电力、交通这些关键行业信息系统数据库的建设，而这些设备采用的正是IBM等国外的产品，其中存在着严重的安全风险。”黄玉琪介绍说。

1、信息安全高度依赖物理基础

北京师范大学法学院教授、亚太网络法律研究中心主任刘德良教授表示，网络安全包括物理层面和内容层面。物理层面安全是基础，如果存在问题，会导致别人随时可以窃取、监听你的信息。而内容安全更多是监管方面的事情。网络安全在物理层面主要是指基础设施的安全，无论电脑、手机还是网络存储、操作系统、路由器等都属于网络基础设施，即网络的物理层面。在2007年微软出现黑屏事件时，刘德良教授就曾提出要重视网络的物理层面安全。而网络物理层面的基础设施，我国目前绝大部分还都是“非国货”。比如虽然联想电脑是国货，但其处理器还是英特尔的，以及思科路由器、苹果手机的普及等等，都给我国的网络安全埋下了很大隐患。现在无论新闻报道，还是传说或从技术本身的角度分析，都认为国外网络安全产品存在安全隐患。比如微软的源代码，以前一直拒绝披露，存储器、路由器等都可以为窃听等间谍活动提供非常有利的条件。如果一个国家的网络基础设施和基础元部件没有国产化，尽管有些部门有内网与外网物理隔绝，安全也还是存在很大问题的。信息安全高度依赖物理网络层面的安全，如果做不到物理层面国产化就没有任何基础安全可言。

好在，党的十八大以来，新一届国家领导人对网络安全比较重视，也是在网络基础设施方面花大力气搞国产化。之前不够重视，基础设施没跟上，现在国家领导重视了，基础设施也跟上了。有计划在做了，总是好事。未来我们要实现真正的网络安全，必须在这些基础设施方面实现国产化。

2、互联网根域名改革是未来努力方向

无论内网还是外网，都离不开互联网根域名解析。美国操纵下的ICCAN负责全球域名解析服务，根域名解析服务如果中国做不到，没有掌握实质的主动权。在关键的时刻，如果美国切断有关中文的根域名解析服务，那么网络就没法运转，等于断网了。这些都是我们未来在网络安全方面赖以实现的条件，要实现网络安全不能是一句空话。

刘德良教授在2011年在伦敦参加过一个国际性的网络安全会议，当时ICCAN的一个副总裁宣布“one world,one internet，他随即问：“如果美国政府与其他国家发生冲突的时候，美国政府要求ICCAN停止对该国的域名解析服务，ICCAN还能保持中立吗？”ICCAN的副总裁哑口无言。当时在会场引起掌声雷动。后来在2012年阿联酋迪拜召开的国际电信联盟，各国代表也都对国际互联网的根域名体系提出”进行探讨根域名改革”，但美国对这一权利紧紧抓住牢牢不放。大家强烈要求美国放出来根域名管理权，或者放到联合国的一个机构。美国迫于国际上的压力，开始松软，提出多利益方共同治理互联网，其实他们并不是想放弃，表面上表示可以给其他国家政府的企业分一点权，被很多人也被陷阱迷惑，一些人对美国的这一做法相当推崇。很多人想申请加入，据说被批准作为其观察员，美国其实只不过是希望拉一些“小兄弟”，宣贯他们自己的主张的，在他们所谓的会议宣言方面，别国都没有任何发言权，等于帮他们的重要策略“摇旗呐喊”。不能被美国现在所搞的一点点利益分享或恩惠所蒙蔽，要进一步推动国际社会要求ICCAN根域名不能只由美国公司来做，根域名改革是未来的努力方向。另一方面要考虑建立中国自己的根域名服务体系。互联网当然是国际互联网，如果出现极端情况，比如国际上根域名解析停止服务了。或者战争了，我们可以启用自己的域名独立运行，要想在网络安全物理方面得到保障，需要做这些工作。

“去IOE”对互联网安全的益处

“去IOE”对国家安全、行业安全是一件“大好事”。目前，我们国家正在进入“互联网+”时代，这意味着各行各业都将依赖于互联网发展、建设，也就是“Everything over Internet”——“EOI”，这个简写正好与“IOE”相反。所有的事情都依存于互联网，互联网将变成各个行业运行的基础设施，这个“基础设施”一旦存在安全问题，那么所有行业的安全都将受到影响。比如电力行业，现在“电力已经跑在网上了”，以信息化为载体，如果电力的信息化系统存在非常大的安全隐患，一旦网络战爆发，随着国外产品的后门被开启，整个电力行业将面临随时崩溃的危险。前几年伊朗所遭遇的“震网病毒”，就是由于美国厂商在某些设备(核电力设备)上植入了后门，虽然这些设备并不与互联网相连接，但通过U盘等设备触发了这些后门。潜伏在Windows系统里的木马在侦测到符合条件的U盘设备后将其感染，这些被感染的U盘设备随着技术人员被带入并连进其内部系统，由此木马得以从后门实现对目标设备的入侵，最终导致伊朗核电力设备的运转失常。

“去IOE”对于国家安全而言是一件非常正确的事情，首先能够有效保障国家安全与国家经济安全，网络空间现在已经成为一个国家的第五大主权领土，信息设备里大量后门的存在，对于国家网络空间安全是巨大的挑战。不安全的网络空间意味着病毒更容易大规模爆发，这也将使得我们的国家安全面临挑战。另外，“去IOE”对于国内IT行业也是一件很好的事情，“去IOE”将给国内相关企业带来更多机遇，其将有机会去学习、转化国外的先进技术，创新更多世界领先的技术。

“去IOE”的风险与解决措施

“去IOE” 狭义概念方面在于IT结构的转化，从传统集中式IT结构转变成为分布式IT结构，从商业系统变为开源系统，去IOE广义概念则涉及到国产化的问题，而这两者所面临的风险是不同的。对于狭义的“去IOE”而言，由于涉及到IT架构系统的转换，需要足够的人力保障，人力是狭义的“去IOE”得以成功实施的关键要素之一。阿里巴巴正是由于拥有足够的人力保障，使其架构转换工作能够顺利实施。而且，其对于不涉及互联网模式部分的系统则无需狭义的“去IOE”工作，减少了对人力资源的消耗。而广义的“去IOE”是将一些核心设备替换成国产产品，这种单纯的产品替换，由于无需对业务架构、IT体系架构进行太大调整，在风险上反倒比狭义“去IOE”要低，其主要需要注意的是国产产品在性能指标方面能否符合需求。不过，广义的“去IOE”同样需要逐步进行，整体规划、分步实施，并对设备进行详细的测试，检测其是否会影响业务系统的正常运行。另外需要大胆尝试，国产设备在稳定性等方面可能会有所欠缺，但任何产品、技术体系都需要逐渐经历市场成熟度壁垒的考验，这需要厂商和用户的共同配合与努力，才能加快实现民族产业的振兴。

国产设备的优势与国内厂商的努力

国产设备首先拥有政策优势，国家希望用户更多采用国产产品，从安全角度而言则意味着可以获得更好的保障和检测。同时，国产设备还拥有地域优势和文化优势，国内企业对于用户的需求把握更为深入，对用户服务更加到位，能够为用户做更好的定制化工作。实际上，有时用户提出的特殊需求，往往得不到国外厂商的配合，而国内厂商则可以根据用户的需求调整、修改产品。那么国内的厂商更不能闭关自守，要借此大好时机勇敢走出去，学习国际上的先进技术，“走出去、学进来、转化好”，最终实现赶超。

据阿里巴巴相关人士介绍，目前工农中建四大行每天的业务处理量近1亿笔，而2013年“双11”支付宝交易为1.88亿笔,依托阿里云实现了零漏单、零故障。天弘基金“去IOE”迁入阿里云后,余额宝之前8个小时的清算时间缩短至30分钟。虽然这两个案例只是服务内部客户，但仍可以对阿里云在金融业务应用方面的性能和稳定性方面可见一斑。阿里巴巴认为用云计算为大银行去IOE，只是时间和认知问题，并非技术难题。

黄玉琪博士表示，安全企业对于“去IOE”更为重视，因为“去IOE”的根本就在于安全，完全自主才能够安全。“去IOE”意味着IT体系架构需要向云化方向发展，而云架构的最大问题则在于安全和运维，当云化架构内部出现故障时，很难及时作出准确的判断。针对于此，远为软件基于业务分析的观云系统，就好似医院里的CT设备，部署后能够对用户的业务系统、网络系统进行整体实时扫描，一旦发现故障就及时进行分析、定位，判断是业务系统在开发过程中存在漏洞，还是网络设备或者服务器等设备的问题，这给云的运维工作带来很大便利。另外，远为软件的双系统安全手机产品，里面使用了国产芯片，可虚拟形成两部手机，运行“安全”、“普通”两套安卓操作系统，“安全”安卓操作系统里会对应用进行强制管理，不能任意下载安装、使用其他软件，甚至仅能接入办公网络，而无法登入互联网。在不久的将来远为软件安全手机操作系统还将替换为中兴自主研发的产品，这就使得远为软件的安全手机从芯片、主板设计、操作系统、虚拟机到安全体系架构都实现了国产化。而公安、安检、银行、保险这类需要大量移动办公的行业则是远为软件安全手机的主要目标客户。

通讯加密、存储数据加密类手机安全产品，无法有效解决系统运行过程中的安全问题。例如，被木马感染的微信类应用，由于其运行环境已经不再安全，所以用户聊天过程中所发文字就很容易被恶意攻击者所获取。远为软件安全手机实现了CPU、内存、存储等方面的完全隔离，为用户的移动办公、日常生活创造了更为安全的运行环境。

远为软件创立的初衷，就是希望能够提高国家整体IT环境的安全性。网络战随时可能爆发，甚至可能一直于暗中进行，斯诺登事件则让人们更为清晰的认识到“IOE”对国内IT体系的危害性。阿里巴巴和远为软件只是国产化的案例代表之一，还有很多国内企业在为此一直默默耕耘着。

如何构建共赢产业链

“去IOE”不可能仅由几家厂商即可完成，而需要产业链的整体配合。首先要用开放的心态去组建相关的技术联盟和产业联盟，将用户的需求反映到各个环节，在用户需求基础上通过联盟制定相关标准并获得用户认可。厂商根据标准制定自己的技术规格，共同组建完整、开放、共赢、竞争的产业链。黄玉琪博士表示。

“去IOE”与法律政策

2014年2月27日，中央网络安全和信息化领导小组成立，习近平主席任组长。该领导小组将着眼国家安全和长远发展，统筹协调涉及经济、政治、文化、社会及军事等各个领域的网络安全和信息化重大问题，研究制定网络安全和信息化发展战略、宏观规划和重大政策，推动国家网络安全和信息化法治建设，不断增强安全保障能力。

黄玉琪博士认为，美国规定所有基础设备必须受法律的保护和控制，并从国家的角度要求其厂商产品预留后门，与美国的产品“预留后门”合法化相比，国内对信息设备的安全检查，力度远远不够，这方面要向美国学习，对来自外部和内部的设备都实施严格的安全检查。目前还很难做出完备的法律规定，可以先由行业内部通过不断尝试后推出相关法规，当这些法规成熟后，再由国家层面制定推出相关法律。

刘德良教授表示，华为、中兴进入美国的时，美国以国家安全为由审查，设置障碍，美国的很多重要部门包括国安都掌握了很多源代码和密钥，可以随时进入使用美国产品的领域进行监控。对此，我们国家也受到启发，美国也曾以WTO为由提出抗议。但WTO也有例外规则，比如国家重大安全利益原则。美国一贯是“只许州官放火不许百姓点灯”。我国目前也正在起草“国家网络安全法”。法律能否完善，主要看重视程度，需要万众一心，就如同中国做原子弹。之前没有这方面的立法，一方面是没有意识到，另一方面是不够重视。但目前国家领导人已经重视，也是时候让立法起到一个促进保障作用。如果国外产品里有后门程序、安全隐患，如果还不把源代码和密钥交出进行检测，那可能就不被列入政府采购的名单了。目前仅仅是内网、外网对网络安全的保障方面还是有限的。如果国外的企业不遵守中国的法律，可以直接用国产的。这也是未来中国的互联网基础设施不存在安全隐患的重要保障。

“去IOE”人才培养

提起互联网络法律人才培养，刘德良教授感慨道：“跟互联网有关的国内法律人才非常少，涉及网络安全方面的人才更少。这一领域既需要懂民法、宪法、行政法、刑事法等，又需要工科背景，当然这方面比例非常低，涉及法律非常多，我国目前培养人才的一些机制，导致很多人为了凑数可能写了一些东西，由于对技术缺乏背景了解。有的领域的人对网络安全技术的要求不那么深，很多人也在尝试转型。

那么管理、法律方面的人才就更少，需要这些人既有技术背景，同时又懂得一些管理法律，是交叉学科，如果对行业产业背景没有很深的了解，很难在这个领域有深入的思考和了解，也提不出真正有独到性的见解。导致人云亦云，比如我们国家目前很多的立法，基本是“美国、欧洲是这样做的，所以我们也这么做”，这是很多人一贯的基本方式。中国整个法律、法学研究领域都存在这种现象，就不去研究这个法律制度到底是要解决什么问题，在欧美的效果怎么样、土壤环境、国民素养、诚信机制等怎样，这样会为以后埋下隐患。很多学者把美国、欧洲的法律直接拿过来抄。互联网安全的立法不能妄自菲薄、崇洋媚外，那样只能永远跟着别人后面，国外也是很尊重有独立创新精神，比他做得好的，不人云亦云，有自己的想法人，因此中国的互联网安全立法要适合自己的国情。