走好信息系统安全的中国之路

走好信息系统安全的中国之路

作者：杨春燕陈荣国蒋志翔《光明日报》（ 2016年01月15日11版）

本期专家

中国软件行业协会共创软件分会秘书长杨春燕

中国科学院资源与环境信息系统国家重点实验室研究员陈荣国

中国航天科工集团二院研究员、副总工程师蒋志翔

编者按

关于处理器和操作系统对计算机的重要性，有一种形象的说法：处理器是计算机的“心”，操作系统是计算机的“魂”。但是，“心”和“魂”是否健康、安全和可靠？是否留有后门？是否植入木马？这是当前信息安全面临的严峻问题。近年来，Windows XP停止提供服务、Windows 8存在重大安全漏洞等关乎个人隐私、信息和网络安全的事件频繁发生，敲响了信息安全的警钟。本期我们邀请三位专家围绕这些问题为中国信息系统安全把脉。

1.信息系统安全的核心是什么

杨春燕：我认为信息系统安全的核心之一是基础软件开发源头的安全性，也就是说，系统软件当中基础软件的开发手段是否安全十分重要。举个例子来说，就像要建设一个大楼，钢筋水泥是最基本的建筑材料，但是如果钢筋、水泥不安全，图纸设计得再好，后面装修的再好，门窗再安全，防盗系统再先进，这个大楼也是不安全的。所以我认为基础软件的底层开发技术，是决定信息系统安全与否的核心。

那什么叫基础软件？基础软件指的就是软件体系架构中一个核心架构层面的软件部件，包括像操作系统、数据库、中间件，还有办公软件office等，此外还包括一部分主要应用软件和软件工具。实际上我认为存储软件、浏览器等等都应归到基础软件这个层面来，这些是一个系统当中最不可缺少的，而且是最核心的软件部分。

从我们国家来说，基础软件是软件产业中最具技术含量和市场价值的部分，对加快我国信息化建设以及信息安全具有十分重要的意义。当前中国基础软件的开发，多数是基于开源软件技术的发展而来，因此研究信息安全决不能忽略基础软件的安全，更不能忽略基于开源软件的创新性源头的技术开发与安全应用。

开源软件和闭源软件的竞争由来已久，以微软为代表的闭源操作系统与以Linux为代表的开源操作系统是典型的两大阵营。由于微软的操作系统开发时

间较早，我们国家在过去二十多年时间里使用的都是微软的操作系统，而微软是以闭源著称的，其源代码不开放，所有产品只是授权给用户使用，用户看不到源代码，里面每一行代码的功能、作用，用户是不了解的。而Linux操作系统源代码都是开放的，全世界懂软件开发的人都能看到每一行代码代表了什么意思、有什么含义、什么功能，所以它是以开源著称的一款操作系统，而源代码开放的软件就是我们常说的开源软件。

开源软件开发模式实际上从20年前就已经存在，并一直延续到了现在。由于它是以开源技术为主，以开源社区大规模协作的开发模式为特征，由此衍生和迭代出了更多更优化的开源操作系统版本，给用户提供了更多的选择。美国、南非、俄罗斯等国，都号召政府部门要采取开源策略，政府里面的系统要求用开源软件来构建，以避免类似棱镜门那样隐藏不为人知的功能，偷取信息的事件发生。另外，如果用户安装了闭源操作系统，只能使用其功能，不掌握其深层次的技术含义，一旦对方告知版本升级，用户只能付费购买，或者是更新换代继续升级，完全是被动的。微软公司的Windows XP系统全面停止服务就是一个典型事件。

为推动信息安全，实际上我国从“十一五”期间已投入了上亿元经费，就是希望推动我国自主可控的安全基础软件产品的研发与应用，给包括政府部门、军队等用户提供更安全的选择。

2015年7月国务院出台了《关于积极推进互联网+行动指导意见》，其中特别提到要做产业基础中的突破，例如在高端服务器，数据中间件等薄弱环节，在智能终端操作系统、云计算操作系统等方面提倡自主可控。其中还提到要鼓励企业自主研发，国家科技经费，专项基金支持企业形成的软件成果向互联网、向社会开放，并引导一些教育机构、社团，包括个人发起一些开源项目，还要跟国际合作，支持组建开源社区和开源基金会，并鼓励企业依托互联网开源模式构建新型的生态，政府要大量的推动和应用开源软件，我认为这是一个新的动向，需要引起科技界和产业界的高度重视与广泛关注。

2.信息系统安全应着重关注哪几个方面

陈荣国：在技术层面，我们还很落后。我们网络空间的核心技术依然掌握在欧美发达国家手中，网络空间缺乏顶层设计，网络安全产品过度依赖进口，导致像棱镜门之类的威胁始终存在。以服务器市场为例，Unix服务器主要是IBM 占领，包括银行、证券部门，关键部门的核心部件还掌握在美国人手上。我们的核心交换机，美国的思科公司掌握70%，像数据库这块更严重了，85%以上是Oracle、IBM DB2，或者是微软的SQL Server来掌握，我们的核心数据装在别人的篮子里头，甚至用美国的数据库来存储我们的涉密数据。

在技术层面，要提升我国信息安全的自主自控水平，一个是建立安全可操控的网络信息安全保障体系，提高网络空间安全的保障能力。另外也要建立一个具备感知能力的网络防御与对抗体系，一旦有入侵，要能够感知这些威胁，并

阻挡这种入侵。网络对抗也是一场很残酷的战争。所以在技术上，民用技术和军用技术要融合起来，要做到自主可控、安全可信、高效可用。

美国是最重视网络空间安全的国家，也是最早提出相关规划的国家。美国2003年就出台了《确保网络空间的国家安全的战略》、2006年有《网络电磁空间作战国家的军事战略》、2009年有《国家网络安全战略报告》，也成立了网络电磁空间司令部。欧盟也非常重视，欧盟在2004年就成立了欧洲网络与信息安全局，发展了可信计算、电子追踪等等。俄罗斯在2000年就发展了国家信息安全学说《俄罗斯信息发展纲要》。日本也很重视，2015年成立了网络安全中心。巴西2013年有了网络安全立法。印度2015年有一个《信息权力法》，也是涉及网络安全的。

十八大以来，我国提出了网络空间安全、信息安全、太空安全等概念。2015年新的《国家安全法》颁布，明确了网络空间主权的概念，网络空间安全已经成为新时期国家安全一个焦点。尽管在战略层面已经做了大量的工作，我认为还应该加强，应制定和颁布我们国家的网络与信息安全战略，并在战略上参与国际网络空间规则的制定。

3.计算机系统“国产化”进展如何