卫士通公司总经理助理 钟 博

自主可控战略下信息安全产业发展壮大的思考

卫士通公司总经理助理 钟 博

回顾2014年，中国发生了很多值得回顾的信息安全事件，如WindowsXP停止提供技术支持服务，还有OpenSSL代码的“心脏滴血”漏洞，再就是某电视台播控平台被攻击造成的恶劣影响。除此之外，我们经常使用的公共场所WIFI，会把个人隐私通过公共平台泄露出去。如今这个世界上可以说没有一个人是绝对安全的，有人戏称：当在网络空间中只有两种人，一种是知道自己被黑了，一种是不知道自己被黑了。

实事求是地讲，我国在网络空间中尚不具备控制权，现在很多信息系统基本处于裸奔的状态。在骨干网络方面，现在的网络运营商呈现出国产网络设备替换国外设备的现象，因为我们在自身技术积累上存在缺陷，在骨干网络中还是继续采用国外设备，在CPU上面，在通用处理器上，在全面满足计算需求上面，不管是在产业水平上，还是设计生产上，还是在供应链上与国外相比我们都处于落后的局面。国外在操作系统、Windows系统、Unix系统等，在个人应用和企业用户市场上占据绝对控制权。

在工业控制方面，很多的核心系统，包括我们工厂的机床设备都是国外做的，现在安全手段想融入确实存在困难，导致工业控制系统面临的风险直接关系到经济运行和社会安定，我们不得不对这些问题加大重视，我们无法放心的利用国外的东西构建自己的安全保障体系。综上所述，我们现在的信息安全态势并没有随着国产化软硬件的普及而从根本上发生态势上的扭转，我们现在面临的信息安全现实还是很严峻的。

所以我在这里总结一个教训，我们要想保卫自己国家的安全，说的严重一点就是要“不择手段”。在这里，我引用一句话，“不能把自己安全建立在对别人的道德假设上”，因此中国必须加强信息安全保障和信息作战能力。

总的来说，信息技术领域我国还是处于追赶阶段，在这种情况下我们应当如何应对，我们认为，现阶段首先要知道安全风险和隐患在什么地方，安全风险已经桎梏了以云计算、物联网、移动互联网为代表的新一代信息技术产业的发展。新一代信息技术的快速演进带来了新的安全风险。原来所设想的大产业规模并没有真正实现，这里面比较大的问题还是安全问题。再加上云计算本身的基础还是网络计算，在原有问题没有解决的情况下又引入新的问题，全社会的信息安全意识比较薄弱，信息安全保障工作缺乏顶层规划和设计，信息核心技术的缺乏，大量核心产品还是掌握在国外厂商手里，这些问题都导致我国的对信息安全威胁的控制力较低。再就是我们往外输出信息安全的能力几乎没有，现在我们在网络空间还是处于被动防御状态，固守是相对较小的空间。如果不能把安全能力输出出去，在全球范围展开市场竞争，我国在信息化领域也就没有形成有利的保护空间，这也是值得我们认真思考的一个问题。

所以我们认为要破解这样一个难题，要按照这样一个思路，实现信息控制为聚焦的发展策略，我们要抢占国家信息战略制高点，需要构建自主可控的网络体系，来掌握信息控制权。另外，网络安全也是一种服务性，一种融合性的东西，我们希望把安全和应用融合到一起实现让信息系统天生就具备安全的基因，保证信息系统安全有效的运行。

构筑自主可控的网络信息系统，现有的互联网概念本质上控制权还是在美国手里，我们是依附在美国遍布全球的网络里面，在这样底层不牢固的基础上做自己的安全，我们要改变依附态势形成对等的关系，这是未来信息安全产业发展需要着重去考虑的重大问题，只有解决好这个问题，才能真正有效实现信息有效控制。这其中涉及到像域名管理、根服务器、基础软硬件等技术。

我们不止要会设计信息安全解决方案，还必须实现能够把产品做出来在现实中发挥作用。这就引出供应链方面的问题，我们要具备持续的信息技术产品的供应能力。同时，就是要输出我们的信息安全能力，这里就是攻防能力，能够输出信息安全能力获得信息网络边界和疆域。以前大家总是觉得数据不是自己的资源，所以是没有多少意识保护数据的意识，这种做法对于个人来讲情有可原。在国家层面，发展信息技术保护海量数据还是有优势的，具体讲就是通过应用迁移带动技术发展，充分发挥后发优势。而且当前自主可控成为整个国家战略思想，所以说现在信息安全需求很大，不管是从行业还是企业，还有传统IT领域乃至整个工业领域都有很大的需求，我觉得我们完全可以利用规模化应用实现从追赶到跨越的转变，国内互联网企业发展就可以发现，其实现在咱们在国内做得比较好的互联网企业在信息安全上面技术和实力都很强，我的理解源于他们自身业务，这些企业本身都有数亿的用户，通过广大用户的安全想法变成实现的技术，形成很多好的案例，作为传统信息安全企业来讲，也可以遵循这样的思路来扩大在产业上面的能力。

关于我这个行业的叫法：原来叫作信息安全，现在经过发展应该叫作安全信息，信息本身就是安全，天生下来就是安全，结合现在态势有两个方面，一个是平民化，通过现在态势变化，用案例来提升平民的安全意识，让我们的安全产品、安全理念真正形成平民化，加上融合形成安全信息，我们的存储天生就是安全，我们的计算天生也是安全，我们的网络天生还是安全，我们现在未来发展思路不再依赖打补丁的方式，刚才所说的自主可控战略目标都比较宏大，那么，要实现自主可控的战略目标可行性在哪里，首先要从整个国家发展来讲，我们认为实现自主可控的战略目标是可行的，可行到底可行在什么地方，我们认为，虽然新一代信息技术的诸多核心被美国掌控和控制，互联网实际上控制在美国手里，我国在网络空间中没有太多话语权。我国仍处在基础产品不对称，基础设施不对称，数据不对称的巨大落差中。但是，我国在基础软硬件上已经不是空白，而且我们具备了一定技术和产业基础，国内也有诸如存储设备、网络设备、操作系统像等关键产品的生产能力，一些国内企业在残酷信息技术产品市场竞争中存活下来就证明了这样一种能力。其实部分满足了国家在安全保障体系建设的需求，另外咱们现在在商业模式上其实是不落后的，甚至比较领先的。所以我们是有条件通过商业模式领先，通过应用迁移的技术模式，我们有条件创造出更多优秀自主产品。

另外总结一下，我们完全可以通过重大应用牵引技术发展，实现自主可控。新一代信息技术是现阶段社会生产力核心要素，需要从发展生产力的角度来看待和研究信息安全问题。这些方面就回到生产力、生产关系、生产要素要相互适应，共同匹配促进信息安全产业发展。什么叫自主可控，一是指经济合理前提下的自主可控，我们所实现安全功能都是我们自己可以设计和实现的，且我们想要的这些功能一定按照我们设想的路径在执行；二是我们设想出来的产品最终一定能够以产品形态提供给社会，不能只是停留在空想阶段。

不可控的部件是有安全风险的，可控一定是相对的。所以实现自主可控有这么几个路径，短期要实现基础技术和核心产品的自主有一定难度。实现信息系统的全面可控也是有很大难度，实现信息系统的相对可控是很可行性的。寻找到改善高安全级信息技术安全可控，安全可控战略目标为我国信息安全产业提供难得的发展契机，建设国家信息安全保障体系需要强大的信息安全产业为支撑，技术、产品、服务、市场、资本缺一不可，这本身也是对我国信息安全产业、信息产业乃至整个工业体系的挑战。要认识到自主不一定就更安全，自主可控不能闭关锁国，所有东西都由我们自己生产，这个实际上是不现实的。我们势必要面临开放博弈的挑战，我们未来面对的是开放环境下提升自己的能力。

另外我想表达一个观点，在中国做信息安全产业，其实不只是所谓狭义信息安全企业的事情，这是摆在整个信息技术领域从业相关单位面前共同要去做的事情。再有就是企业之间要加强分工协作，大企业，尤其是国有大企业集团要承担起主体支撑的使命，中小企业则应不断跟进新技术的发展，积极开展原始、自主的创新性工作。