中国企业何以摆脱“IOE依赖症”
2015-08-07解放军后勤学院
解放军后勤学院 安 靖 刘 志
中国企业何以摆脱“IOE依赖症”
解放军后勤学院 安 靖 刘 志
近年来,围绕着以互联网和移动通信网为代表的信息基础设施、信息系统以及所连接的关键业务网络,以及使用这些网络或者可能被这些网络所影响的人群,在政治、经济、科技、社会和意识形态等诸多领域出现了一系列的网络对抗活动。有数据显示,截止2014年,我国境内感染恶意程序的主机数量达1.7亿台,平均每天拦截9.8万个新病毒,境外多个组织曾对我国政府网站发起攻击,并先后篡改我国187个政府网站。
2013年,棱镜门事件爆发,美国政府通过直接进入微软、雅虎、谷歌等在内的9家国际网络巨头的中心服务器,进行数据挖掘、情报收集,轻而易举监控全球。同年,CISCO、D-Link和Tenda等多家主流路由器厂商的产品被报留有后门。这些事件充分证明,处于架构层的硬件、操作系统、安全软件,由于特定的基础支撑作用,决定其必然成为网络战争夺的主要“战场”,如果被他国所控,我国的信息系统、网络系统毫无防御能力可言。
但是,由于IT产业的起源在国外,同时,国产硬件、软件产业相对不成熟,这一自然垄断性使得我国信息化发展的现状是:无论硬件还是软件,国外产品均占据着较大份额,尤其是基础软件等一些重要的软件领域,几乎完全被以美国为首的外国公司控制。当前,互联网被以思科为首的美国网络巨头所把持,其占据了中国电信163骨干网络约73%的份额,把持了163骨干网所有的超级核心节点和绝大部分普通核心节点。国内现在用的操作系统、数据库和中间件基本在微软、IBM、Oracle等美国巨头企业的控制下,微软在中国台式电脑操作系统市场占有95%以上的份额,我国政府部门、军队等所有单位,几乎100%使用微软的操作系统和办公软件;IBM以76%的份额占有率在中国Unix服务器市场连续15年稳居第一;Oracle公司以40.7%的市场份额占据应用服务器市场首位。移动互联网更是如此,目前智能手机操作系统主要有Symbian、Windowsmobile、Android、IOS等,市场被完全垄断,使得众多国产手机在核心技术上受制于人。由此可见,我国信息网络体系被国际IT巨头绑架早已是不争的事实,信息安全的巨大隐患深处其中,给国家安全带来严重威胁。
要摆脱控制,只有从体系入手,去除我国信息系统对“IOE”依赖症。“去IOE”对实现国产化替代、维护国家信息安全有着非常重要意义。
“去IOE”风声正劲
2014年5月,中央发布《中央国家机关政府采购中心重要通知》和《关于进行信息类协议供货强制节能产品补充招标的通知》,明确规定中央政府机关不允许采购预装Windows8操作系统的计算机产品。同月,国家互联网信息办公室发布通知,“为维护国家网络安全、保障中国用户合法利益”,我国将实行网络安全审查制度,重点审查“关系国家安全和公共利益的系统使用的重要信息技术产品和服务”的可控性、安全性。2014年7月,公安部科技信息化局通知各地公安机关立即停用并核查赛门铁克“数据防泄漏”等安全产品。2014年8月,政府采购中心将美国防病毒软件供应商赛门铁克、俄罗斯的反病毒软件供应商卡巴斯基实验室排除在软件供应商名单之外,批准使用的五个杀毒软件品牌全为国产品牌。并要求,对于网络设备、服务器、操作系统和存储系统的采购应尽量使用国产品牌。
与此同时,随着国内软件、硬件产业的发展,IT行业以及一些重要领域的企业界也开始打破常规,向国外的技术垄断说“不”。自从2010年起,去IOE运动首先从一些大型互联网企业发端,逐渐辐射到更大范围。其背后,有着中国自主信息技术的快速发展作支撑。2013年,浪潮公司小型机成熟产品量产并大量装备企业级用户,2014年5月,在“863”和“核高基”的专项支持下,曙光公司成功研发出基于国产龙芯的自主知识产权计算机——曙光龙腾L200。该产品支持中标麒麟、中科方德等国产桌面操作系统,从基础架构到操作系统软件都具有完全的自主知识产权。
紧随IT企业之后,通信、金融、能源等重要领域的企业也纷纷跟进“去IOE”。有数据显示,2014年以来,在杀毒软件产品的选择上,上述企业对于360、瑞星和江民等国产杀毒软件产品选择的倾向度越来越高,已接近30%。国产操作系统中标麒麟在电子政务、基础设施等重要信息系统的市场占有率大幅提高。
不仅在国家和企业层面,个人用户对于“去IOE”运动的开展也有着很高的支持度。近年来,国内越来越多的个人用户对国产IT品牌硬件和软件的信任度不断增强。有数据显示:近年来,我国个人用户安全意识明显提高,76.0%的用户认为在使用国外软件产品时存在安全隐患,57.5%的用户认为选择国产软件产品非常必要,仅有三成用户面对“去IOE必要性”的问题时显现出矛盾。
纵观我国各个层面,“去IOE”运动日益深入,IT产品的国产化掀起一股新的浪潮,发展自主产权的IT产品迎来了重大机遇。
去IOE的步骤和措施
(1)技术替换三部曲
技术层面的“去IOE”,其实质是使用分布式架构+开源系统代替集中式架构+商用系统。可分为三步走:第一步掌握新型IT架构的基础知识,建立团队,储备和选拔相关的专业人才;第二步选择特定领域作为试点,进行定制开发、并行迁移、压力测试,从而总结和掌握稳妥的开发经验;最后采用逐步推进的方式,用新型架构替代现有核心业务的“IOE”架构,从而真正实现“去IOE”,从技术层面构建现代化、立体式的国家信息安全体系。
(2)政府该出手时就出手
现阶段,我国信息化建设发展迅速,政府应在信息产品的采购方面,提高防范意识,以国家利益至上的原则采取限定性的措施,对于涉及国家机密或国家安全的产品,网络基础设施等支撑领域产品应该强制实行采购国产化技术。立足国家安全战略的高度,通过立法等手段,针对网络信息关键技术和核心产业发展制订相关的保护政策,让本土IT企业成为技术创新主体,成为信息产业发展的主体。
这一方面可充分借鉴美国,美国的信息产品市场采用的正是“胡萝卜加大棒”的激励方式。比如,美国政府明令禁止具有核心技术的企业给予国外技术支持。美国政府曾禁止Fireeye公司向中国出售技术支持,作为回报,美国五角大楼、国防机构都采购了Fireeye公司的APT防护工具。同时,美国一方面限制和阻挠国外企业并购具有核心和敏感安全技术的美国企业,另一方面却积极鼓励本土企业对外进行并购,消灭可能存在的竞争对手。2010年,华为欲收购美国三叶系统公司(3Leaf)云计算领域的知识产权资产,但五角大楼和美国外国投资委员会(CFIUS)进行审查之后,建议华为撤回对其收购,华为公司被迫终止收购计划。与之相反,1998年Mcafee凭借美国良好的资本市场和投融资环境迅速发展,完成对欧洲知名反病毒厂商Dr.Solomon的成功收购,使自身在反病毒领域取得优势地位。
(3)发展国产产品,抢占关键领域
近年来,中国信息化产业发展迅速,总量已位居世界前列。但是,在核心支撑层面,尤其是桌面和移动操作系统领域,基本还属空白。这是因为,软件具有自然垄断性,每种操作系统在长时间的运行中已构建了包含无数应用软件、工具和服务的完整体系。操作系统之间的竞争其实是其完整体系之间的竞争。国产操作系统一直原地踏步的根本原因正是在于没有支撑其运行的完整体系。因此,必须突破操作系统这一关键核心领域,打破国产软件业发展的僵局。通过研发世界领先水平的操作系统产品,全面实现操作系统国产化,使我国在操作系统领域不再受制于人,从而构建以该操作系统为支撑的完整软件体系,逐步替换进口软件和服务,推动国产软件市场良性发展。可以采取以下措施形成产业支撑。
第一,成立战略联盟。最大限度地整合各界资源,协同创新,群策群力,以促进操作系统、数据库、中间件和芯片等领域国内IT企业的全面合作,尽快构建国产操作系统的完整体系,更好地推动国产软件市场的体系化。第二,强化安全可信。在信息安全的底线面前,性价比、体系支撑等都要退居次位。因此,以建立可信操作系统为抓手,突破软件自然垄断性的僵局,提高我国信息系统的本质安全。第三,优化替代战略。对于政府、企业,通过试点应用逐步完成国产软件的替代。对于个人用户,应尽量降低用户转换操作系统、软件替代更换的代价,并建设覆盖全国的服务支撑体系。
(4)强化产品可控,推行代码审计
虽然“去IOE”运动已在国内开了个好头,但“去IOE”是长期的博弈,尤其像高端服务器、数据库的国产化替代短期内仍存难度。同时,如何能够保证国产化替代后的国产产品的安全可靠,业界也需要拿出令人信服的结论。此外,还需要强化在用国内外IT产品的可控性,推行源代码审计。以现在软硬件的复杂度,如果不可控,那么要想通过测试手段,在有限的时间里证明其安全性,基本上是做不到的。但是,“可控”的产品也可能存在漏洞,所以还需要通过源代码的安全审计,针对产品特点和架构进行分析,发现系统漏洞,修复安全隐患,提高产品的安全防护能力,使在用的IT产品真正能够满足增强信息安全的需求。