信息安全必须建立在自主的基础上
信息安全必须建立在自主的基础上
——访中国工程院院士李国杰
随着信息化与网络的发展,特别是政府上网工程和电子商务的开展,保护信息与网络安全已成为摆在我们面前的刻不容缓的课题。如何构筑我国的信息与网络安全体系?日前,记者就此问题访问了刚刚推出我国第一个拥有自主知识产权安全服务器的曙光公司的董事长兼总裁、中国工程院院士李国杰。
问:曙光公司作为一家以国家863计划重大成果为基础、研制高性能计算机的公司,为何把研制拥有自主知识产权的安全产品放在重要位置,并率先在全国开展安全万里行的科普活动?
答:计算机产业自从因特网诞生以来发生了很大变化,信息共享比过去多多了,不再是越是社会底层的人获得信息越少。社会更加扁平化,信息的获取更公平了,但同时也带来了信息安全问题,信息的控制更加困难了。
安全包括几个方面。一个是信息本身的安全,在信息传输的过程中是否有人把信息截获,尤其是国家公文的传递。这样就有一个信息本身加密的问题。
另一个是系统本身的安全,一些人出于恶意或好奇、表现欲,进入系统,把系统搞瘫痪,或者在网上传播病毒,所以系统本身存在一个防止入侵的问题。
而更高层次的则是信息战。现在国与国之间交战已不一定是靠海、陆、空军去攻占对方的领土,可以通过破坏对方的信息系统,使对方经济瘫痪,调度失灵。网上攻防已成为维护国家主权的重要一环。科索沃战争使我们更加感到了信息安全的紧迫性。
越是大型的服务器里边存储的信息越多,服务的面越广,一旦破坏造成的损失越大。几年前,中国科学院院士王大珩和著名经济学家马宾到我们这儿参观,就提出高性能计算机的作用不亚于两弹一星,要高度重视它的信息安全,把它作为战略资源。
问:在建立我国信息与网络安全体系中,如何处理引进与自主技术的关系?
答:发展一般高技术也有如何处理引进与自主技术的关系问题。我们不可能一切从头做起,也不主张机械地强调国产化的比例要占多少,而是要看从器件、主板到系统到应用这样一条很长的增值链上,哪一个环节自己去做,技术创新在哪一段,我们可以获得更好的经济效益。
做安全产品则不能完全以经济效益作为判断依据,首先应当考虑的是攻防问题,即如何确保安全,做到让别人攻不破。如果我们的安全产品全都是引进的,那么就相当于别人给了我们一把锁,而钥匙却在别人手中,那就没有安全可言。所以安全产品一定要建立在自主技术的基础上
。
当然,我们需要有条件地引进国外先进的安全技术和产品,作为学习和借鉴,但这只是手段和方法。某些产品如果不造成大的妨碍,可以引进,但整个安全体系的设计是我们自己的。要害部门、关键技术一定要掌握在自己手中,这一点丝毫不能动摇。不可能期望一个国家的信息与网络安全可以通过引进来解决。
问:国外一些厂商的芯片和操作系统存在不安全隐患,您怎样看这个问题?
答:我认为必须首先弄清不安全的隐患在哪里。比如芯片存在不安全隐患,就要组织人去分析,找出问题才有对策。
国外芯片在不断升级,我们不能因为安全问题就一切用自己的,或者在技术上放慢一些。在这个问题上要避免片面性。
安全与可靠不完全是一回事,但有一定关系。从安全角度讲,自己造可能更安全,但从可靠性上讲,市面上容易得到的、大量使用的东西更可靠,从而更不容易瘫痪。
希望国家今后在大的项目中,组织人力去研究我们国家不安全因素的隐患究竟在哪里,制定出对策。在国家财力允许的情况下,组织自己的芯片和操作系统的研制。
问:在安全问题上,曙光下一步还打算做哪些工作?
答:安全是无止境的。不可能造出一个盾,以后什么矛都刺不进去。攻防双方都在不断提高。曙光安全服务器是针对整个体系的安全。计算机最核心的软件是操作系统,我们下一步要做自己的安全操作系统,把操作系统的安全级别从C2级提高到B1级;另外还要做安全网关,保证信息在传输路上的安全;同时还准备做一些安全软件。
最新的安全措施是量子通讯,建议国家把它列入到基础研究计划中。
我们要在市场上下大工夫,如开展安全万里行活动,主要是要提高全民族的安全意识,同时组成安全联盟或俱乐部。安全涉及众多学科,不是哪一个公司可以包打天下。要加强交流,把一些案例公布出来,了解的信息越多,案例越多,才能积累更多的经验。
在安全领域,必须有自主的技术、专利和标准,而不是靠一两个产品去和国外竞争。
摘自《光明日报》1999年07月21日