工程勘察设计行业信息安全问题再认识——从中兴通讯被制裁事件谈起
2018-01-13
近年来,国际上发生的一些以网络攻击为主要特征的信息安全事件,轻则对受攻击国家或地区的人民生活和财产造成危害,重则造成政府危机。例如,2007年4月底至5月,爱沙尼亚成为首个遭受全国性网络攻击的国家。总统和议会网站,政府各部门、各政党网站等在短期内访问量激增,导致服务器瘫痪,全国6大新闻机构中的3家、两家全国最大的银行以及多家通讯公司的网站也受到攻击,大量网站被迫关闭;2010年9月,利用计算机操作系统的漏洞作为主要传播途径的“震网”病毒,使伊朗大约3万个网络终端被感染,核设施也被攻击,离心机在失控状态下不断加速而最终损毁,受损离心机超过1000台;2015年12月,乌克兰电力部门遭受到恶意代码攻击,导致约8万用户断电数小时并陷入恐慌的严重事故。这不是科幻小说里描述的故事情节,而是已经发生的活生生的信息安全事件,它们就像警钟一样长鸣,时刻警醒着我们,在信息化、网络化时代,必须高度重视信息安全问题。
今年以来,中美贸易争端剧情持续上演,一波未平一波又起,事态发展扣人心弦,也令世界经济增长蒙上了阴影。特别是美国政府制裁中兴通讯,停止提供包括芯片和操作系统等核心技术服务,几乎使中兴陷入绝境。目前,这场发端于“美国优先”的贸易争端,虽经几轮艰难磋商,在包括解除中兴制裁等在内的重大问题上取得了一些进展,出现一丝缓和的迹象,最终,由于美方的反复无常而使中美贸易摩擦真的擦出了“火花”。作为工程勘察设计行业的一名从业人员,面对这场贸易争端,特别是目睹中兴通讯被制裁的事实,痛定思痛,笔者对行业信息化建设的安全问题有了更深的认识和思考,希望能引起行业有志之士的共鸣。
工程勘察设计行业的信息化建设历程,始于上世纪80年代开始的“甩图板”运动。计算机和CAD制图软件的应用,极大地提高了行业的技术能力和劳动生产力,开启了行业快速发展的新局面。随后,在政府部门的倡导下、在行业协会的大力推动下,工程勘察设计行业的信息化建设由二维设计到三维设计,由局域网协同设计到互联网远程协同设计,由简单的计算机辅助设计到BIM设计,取得了跨越式发展,再加上云计算、物联网、大数据、知识管理等前沿信息技术的研究与应用,支撑了我国勘察设计行业信息化建设水平由跟跑到并跑的进步,在某些领域的信息化应用已经出现了领跑的趋势。这是一个经过几代勘察设计人艰苦奋斗取得的可喜可贺的成绩,它使得我国勘察设计行业在改革开放40年来,在超过世界总量50%的大规模工程建设中,圆满完成了提供先导性技术服务的艰巨任务,为我国国民经济和社会发展高速发展作出了无愧于时代的巨大贡献。
然而,行业信息化建设也存在一些问题,如发展不平衡、信息安全有待进步加强等。其中,信息安全问题对信息化建设的影响最大,必须引起足够的重视。信息安全是一个与信息化建设如影随行、不可回避的重要问题,在2014年4月举行的中央国家安全委员会第一次会议上,习近平总书记发表了重要讲话,将“信息安全”作为国家安全体系重要组成部分,充分说明信息安全的重要性。如果没有信息安全作为保障,信息化建设做得再好也是建在沙堆上的大厦,随时都有倾覆的危险。
近年来,在政府主管部门的指导下,我国勘察设计行业的信息安全意识有所增强,信息安全防护手段不断更新升级,对行业信息化建设起到了重要的“防火墙”作用。但是,我们还应该清醒地认识到,行业信息安全的基础还不扎实,因为支撑信息化建设的基石——芯片和平台系统还不能完全实现自主,这必然导致行业信息化建设在企业综合信息系统、数字设计模式、BIM信息等3个方面存在巨大的安全隐患。目前,综合信息系统已经成为大中型勘察设计企业重要的管理工具。企业经营规模越大,业务覆盖地域越广,综合信息系统应用就越深,有些企业甚至将办公系统和业务系统融为一体,实现企业经济管理与技术管理的融合,即无纸化运行,大幅度提高了企业综合管理效率,也为企业跨界、跨地域转型发展提供了有力支撑。但在这种模式下,一旦支撑综合信息系统的平台出现问题,企业管理必然出现包括企业运作瘫痪、技术和商业机密泄露等在内的安全风险,且企业办公无纸化程度越高,风险就有可能越高。数字设计模式是被很多设计企业推崇的设计模式创新,数字交付和数字存档是这项创新的重要组成部分,它们被视为是行业信息化的一种必然趋势。然而,一旦支撑这项创新的平台系统出现问题,其带来的后果不仅是设计成果不能展现和交付,已有工程项目的存档图纸都会变成“一堆乱码”,危及工程项目的运行和维护。BIM是以建筑工程项目的各项相关信息数据作为基础,通过数字信息仿真模拟建筑物所具有的真实信息,通过三维建筑模型,实现工程监理、物业管理、设备管理、数字化加工、工程化管理等功能。以BIM应用为载体的项目管理信息化,能够显著提升项目生产效率,提高建筑质量,缩短工期,降低建造成本,因而被视为建筑设计的未来方向。在政府主管部门的指导和推动下,我国的BIM研发与应用有了长足的进步,已经形成了一个超越BIM本身,集成绿色建筑、智能建筑等技术的BIM技术体系,一批工程设计企业正在加快应用以锻造企业的核心竞争力;一批以BIM为技术手段的标志性建筑和城市基础设施以及工业类项目,如上海中心大厦、凤凰中心等建筑以及大型桥梁、地铁、大型水电站等相继建成,标志着我国目前的BIM设计与应用水平已经基本与西方发达国家相当,处于同一水准。今天,在我国大力发展BIM研究与应用的同时,也有不少有识之士对BIM信息的安全问题感到忧心忡忡,因为我国BIM的研发和应用基本上都是依赖国外的平台系统。如果包括BIM平台在内的平台系统遭受像中兴手机操作系统的“掐脖子”局面,会造成什么样的后果呢?存档的BIM打不开,新款的硬件与老款的BIM平台又存在兼容性问题,或BIM平台系统有漏洞但人家“就是不说”,到那时我们的BIM信息还安全吗?前南斯拉夫经典电影《桥》所讲述的故事,想必50岁左右的中国人尚记忆犹新:在缺少设计图纸的情况下,只有设计师知道桥的“命门”在哪里,也只有在设计师的指导下才能完成以最小的炸药量炸毁桥梁以阻挡敌军的任务。而在今天,情况则完全不同。一位资深的BIM专家就曾说过:如果谁拿到了一个建筑的BIM,那么,这个建筑从里到外、从上到下将毫无秘密可言。
中兴通讯被制裁事件,使安全隐患真实地摆在我们面前,“狼”真的来了!或许会有人说,发生这类事件的可能性很小,但是我们要知道,无论概率多小,事情一旦发生,行业信息受损的概率就是100%。因为作为关键技术的平台软件是人家的,不是我们自己的,发生与否并不以我们自己的意志为转移,主动权不在我们自己手里。这绝对是一个值得行业必须认真面对的问题。
笔者认为,解决这个问题的关键在于:进一步加强和完善行业信息安全体系,同时要立足于大力发展我国具有自主知识产权的信息化基础技术,从根本上根除被“掐脖子”的风险。不可否认,加强行业信息安全体系建设需要投入大量的人力、物力和财力,而从头做起、从零开始研发平台软件难度更大。但为了我国信息化事业乃至工程勘察设计行业的健康持续发展,再难也要下定决心勇往直前。我国CAD软件的发展就是一个很好的例子。近年来,国产设计软件PKPM逐步打破国外CAD软件的垄断地位,在国内设计行业占据优势,拥有用户上万家,市场占有率达90%以上,成为国内应用最为普遍的CAD系统。当初,发展PKPM也很难,经过长期的艰苦努力才获得今天的成功。尽管目前它还只是一个二维的CAD软件,但它的成长过程无疑是一个可以引以为傲的“PKPM故事”,它让我们现在不再惧怕在CAD软件上被人家“掐脖子”,可谓功德无量。
有鉴于此,笔者提出以下建议:
其一,政府要未雨绸缪,下定决心,大力推动行业信息安全体系建设,通过科研经费投入和包括税收优惠等在内的政策激励措施,鼓励行业大力发展我国具有自主知识产权的信息化基础技术,研发行业信息化平台软件;要大张旗鼓地鼓励具有自主知识产权的信息化基础技术的推广和应用,营造发展自主知识产权信息基础技术的良好氛围。
其二,行业协会要充分发挥“提供服务、反映诉求”的职能作用,充分了解企业的信息安全体系建设需求,通过提供优质、高效的咨询服务,帮助企业强化信息安全意识,建立适合企业自身需求的信息安全机制;要探索建立并实施行业信息化安全认证机制,汇聚行业顶尖专家团队的信息安全智慧,对行业信息化应用软件进行安全认证,为企业提供信息化建设基础安全支撑。要搭建信息安全交流推广平台,使成功的经验得到充分交流和宣传,为其他企业提供有益的借鉴。
其三,行业信息化专业软件企业要加强自主创新意识,积极投入具有自主知识产权的信息化基础技术研发,为行业提供平台软件产品;要加强与勘察设计企业的合作,使研发软件从一开始就具有勘察设计技术的基因,更贴近工程实践,形成局部的技术特色和优势,增强行业软件市场的竞争力。
回溯中兴通讯被制裁事件,从某个角度讲并不是一件坏事,它至少在提醒勘察设计行业,关键技术绝对不能受制于人!在这一点上,我们得到这样的认识是有些晚,但从现在开始行动则是“亡羊补牢,未为晚矣”。