倪光南院士:网络安全的核心是技术安全
关键技术是要不来、买不来、讨不来的。
中兴事件告诉我们不管什么样短板补齐,要不随时被人“卡脖子”,长板要继续发扬我们的优势。
网络安全的核心是技术安全,核心基础是软件。
中兴事件给我们的教训
这些日子大家都比较关注中兴事件,现在虽然告一段落了,但也给了我们一些经验教训:关键技术是要不来、买不来、讨不来的。大国重器一定要掌握在自己的手里;从短期看,采用市场上可买 到的芯片在经济上似乎有利,但一旦被人禁运,就会陷入困境。第三,中兴事件充分暴露了目前我们在供应链方面容易被人卡脖子。
这是对我们国家这些年来在实践之中得到的总结,经验的总结。所以我们看到有时候从短期来看,大家倾向于市场上买一些比较容易得到的技术产品,很难去很好的评估它的安全性。但是我们知道这个从长期来看,中兴事件表明,如果有问题就会产生很严重的问题。我们特别要指出的下面说的中兴事件最明显的问题就是供应链可能会被“卡脖子”。但是“卡脖子”的地方不光是供应链,主要是有两方面,一个是供应链,另外一个方面就是安全。在安全方面,供应链也是安全的一部分。另外,我们可以更清楚的看到安全根本不需要通过供应链,可能通过远程发生问题,系统出了问题等造成很大的风险。
我们每个人用的传统操作系统,我们来看看它的风险。如果从安全风险来讲,我这里匹配有八个方面风险。还是从一般用户碰到的,大家感受到的一些风险来源,不一定最合适,应该是客观存在的。第一是被监控,我们知道监控就很厉害了,斯诺登事件五周年了,斯诺登事件给全球看到的,我们现在有很大的被监控的风险。最近德国总理默克尔也被人家监控,何况一般的老百姓。所以监控的风险其实是通过操作系统,也通过应用软件,通过应用商店,商业模式都可能会监控。
第二被劫持,像黑屏事件。我们2008年时候知道,有人说盗版,不一定是真正盗版,就是黑屏了,这是通过后面的那个系统。
第三常见的就是运动木马。去年这一年中大家知道勒索病毒,使我们成百上千的单位就瘫痪掉了,全世界都一样,中国也是受到挺大的影响,现在网络上依然有这个可能。
第四方面就是中兴事件表明了以前没想到的,人家不卖给你,或者停止服务,我们知道停止服务也是一种手段。
第五第六就是对widows10,第五第六两个风险,以前没有。第五是什么,你的密码控制在人家手里,如果密钥控制权没有,你加密其实是形式,没用的。这个对windows10来讲最大的问题,密码都是厂商控制的,不是中国这个国家控制的。
第六,我们的可信技术挺强的,安全的加护,你可以加在其他系统上,但是加不到windows10上,因为它不可控,不是你可控的。
最后两个也是大家知道的,你明知道漏洞,别人给你打补丁,你没有办法,没法自己加以补救,让人家给你解决方案。最后我们从技术体系,我们知道在网信领域一般情况下都会形成各自的技术体系,比如说windows加上英特尔的CPU构成,我们这个手机上有安卓的体系,有苹果的体系,各种体系。所以我们国产体系要有国产CPU一起形成,但是我们知道有一些操作系统没有知识产权,没法支持国产CPU,形成不了中国自己的体系。
我们有一个评估体系,不一定全面。但是我刚才说的不是标准,但是至少有一个参考。我们这个评估体系对三种桌面操作系统,目前中国现有主要三种,第一我们知道国产操作系统windows7和windows10。通过这三个评估指标大家看到什么呢?windows10包括政府版风险最大的,为什么风险是最大的8呢?每条都占上了。像第五第六密钥的控制权问题,没法加固,很难加固的问题。windows7没有这两个,级别是6,国产有什么风险呢?木马的风险还是存在,但是其他方面风险基本上小。所以大家不要看轻国产操作系统,全世界都认为基于国产的操作系统,即使和windows彼此都是同等的水平,windows应该好一点,windows多年建立生态体制,要比国产好。但是国产在安全上远远的超过了windows,我们建议重要的部分,建议用国产的,至少你不要用windows10,这个是挺大的问题。
我们现在来看,中兴事件以后有关部门要求相关的这些部门,包括工程院评析一下,我们有哪些短板被人家“卡脖子”,中兴事件卡的挺严重的。到底我们有什么短板找出来,及早的进行补齐短板。有长板的利用长板,弯道超车。
图片新闻
发表评论
请输入评论内容...
请输入评论/评论长度6~500个字
暂无评论
暂无评论