1.倪光南-构建安全可控的信息技术体系.ppt

1、构建安全可控的信息技术体系,倪光南 2017.11.9,一、构建安全可控的信息技术体系,最近习主席提出“加快推进国产自主可控替代计划、构建安全可控的信息技术体系、实施网络信息领域核心技术设备攻坚战略等举措”。其中，“构建安全可控的信息技术体系”是我国网信领域的一项重大任务。 众所周知，网信技术具有高度的垄断性。例如全世界近百亿台的智能终端（包括桌面电脑、移动手机等等）基本上被三家操作系统（Windows、Android和iOS）所控制。,2,网信技术体系及其生态系统,在网信领域，一些技术、标准、知识产权、文献资料、产品、服务、解决方案，往往形成一个信息技术体系，该体系及其关联的经济社会环境构成

2、了一个生态系统。 相应地，市场竞争也从产品或服务之间的竞争上升到生态系统之间的竞争，造成了网信技术的高度垄断。 要想打破网信领域现有的垄断，靠单项技术的突破是不够的，必须在信息技术体系及其生态系统的竞争中取胜。 近年来在实施国产自主可控替代计划中，各个软硬件之间的适配问题耗费了大量人力物力，为此，不但需要设置专门的攻关基地，来解决各个软硬件之间的适配问题，更需要在顶层设计中统筹规划，从根本上予以解决。,3,为什么要构建安全可控的信息技术体系？,（一）为了达到核心技术不受制于人 习主席指出：“核心技术受制于人是我们最大的隐患”，“要紧紧牵住核心技术自主创新这个牛鼻子，抓紧突破网络发展的前沿技术和

3、具有国际竞争力的关键核心技术”。 我国网信领域几十年的实践证明，真正的核心技术是买不来的，是市场换不到的。最关键最核心的技术必须靠自研发、自己发展，这实际上不是一个理论问题而是实践经验的总结。 在网信领域构建安全可控的信息技术体系是打破现有垄断，使核心技术能发挥作用、有用武之地，最终达到核心技术不受制于人的必要条件。,4,（二）为了建设网络强国的需要 今天，中国虽然已经是网络大国，但还不是网络强国，一个重要原因就是我们还缺乏安全可控的信息技术体系的支撑，我国的信息基础设施以及信息化所需的软硬件和服务，大量地来自于外国跨国公司。由此构成的基础设施或信息系统就像沙滩上的建筑，在遭到攻击时顷刻间便会

4、土崩瓦解。 随着中国与发达国家的技术差距迅速缩短，外国对我们的方针也从封锁禁运变为 “技术合作”，但往往是以“合作” 之名，行 “穿马甲” 之实。实际上是希望中国放弃追赶，停止构建安全可控的信息技术体系，这样，中国就会永远依赖外国，永远不能建成网络强国。,5,二、市场化引导,日前，习主席在国家安全工作座谈会上要求“加大核心技术研发力度和市场化引导”，这里将“核心技术研发”和“市场化引导”联在一起，具有重大意义。这是因为，网信核心技术往往都是用出来的。人们常说“软件到3.0版才好用”，这对硬件也基本适用，说明任何核心技术如不通过大量使用，没有进入市场的良性循环，不能发展成熟。 为此，在自主核心技

5、术刚研发出来、还未进入市场良性循环时，如何帮助它打破垄断，进入市场，具有特别重要的意义，这就需要有“市场化引导”。例如：政府采购目录向自主可控的核心技术倾斜，在信息化项目的招投标中加入自主可控评估，实施网络安全审查制度，实施国产自主可控替代计划。,6,创新成果从“不可用”“可用”“好用”,实施市场化引导对于构建信息技术体系来说非常必要。不能想象，将刚自主研发出来的一些软硬件凑在一起就能正常工作，只有通过实际使用，发现问题，解决问题，才能做好所有软硬件之间的适配，最终形成一个可实际使用的信息技术体系。 这个过程一般要经历“不可用”“可用”“好用”三个阶段，特别是处在“不可用”阶段时，如果没有市场

6、化引导，很可能根本无法进入市场，没人应用也就不可能得到改进和发展。 这时特别需要为其提供市场化支持（例如通过政府采购）,使这些开始“不可用”的技术也能有得到应用的机会，并在应用中发现问题，不断改进，最终从“不可用”发展到“可用”、“好用”。,7,有人担心加大市场化引导，会违背WTO原则，其实这种担心是多余的。由于现阶段中国政府采购市场并不需要开放，运用政府采购实行市场化引导与WTO没有矛盾。此外，这些市场化引导措施往往与安全有关，在WTO中属于例外情况。 请看美国的情况，它的一般消费品市场是充分开放的，但是美国的网信领域市场基本上都用美国自己的产品和服务，以软件为例，美国几乎100%用本国软件

7、，大型软件中有影响的几乎只有德国SAP一家。以硬件为例，即使中国华为、中兴的通信产品性价比最高，却被以安全为由，不许进入美国市场。相比之下，中国网信市场的实际开放程度远远超过了美国。,加大市场化引导不违背WTO原则,三、桌面计算机领域信息技术体系之争,（一）智能终端操作系统是本领域技术体系的核心,9,在云计算环境下操作系统按“云、管、端”可分成三类： 云：服务器、数据中心和高性能计算机（HPC）的操作系统。这类操作系统提供各种服务； 管：如面向SDN的ODL和ONOS等等； 端：包括智能终端操作系统（桌面和移动终端）、嵌入式操作系统和物联网操作系统等等。,维基解密曝CIA窃听全球智能设备,在勒

8、索病毒Wannacry肆虐期间，维基解密曝光了美国中央情报局（CIA）的间谍软件“雅典娜”和“赫拉”。它们可以入侵从Windows XP一直到Windows 10在内的所有主流版本Windows操作系统，并且能够劫持整个系统的权限，进而植入更多恶意程序、删除文件资料，或者将特定数据发送至CIA的服务器。 可见操作系统如不能实现自主可控，将会成为网络攻击或监控计划的突破口。鉴于操作系统无处不在，量大面广，在信息系统中又往往拥有最高权限，所以必须将操作系统的自主可控问题，予以高度重视。 2015年9月奥巴马在谈到美中网络战时说，“我保证，只要我们想赢，就一定能赢。”他这样说的根据是因为他们掌控着智

9、能终端操作系统等这些垄断性的关键核心技术，目前我们还不得不用。今后我们必须打破他们的垄断，实现国产自主可控替代计划，否则就会成为我国网络安全的软肋。,10,（二）桌面计算机领域的竞争态势,1. 中国安全可控的信息技术体系的雏形已经出现 桌面操作系统是桌面信息技术体系的核心，目前占垄断地位的“Wintel体系”的核心是Windows操作系统，而中国要构建的安全可控的信息技术体系的核心是国产Linux操作系统。 Windows和Linux的技术难分高下。当前在云中心和服务器端，Linux占优势；在桌面端，Windows占优势。这主要是由它们的生态系统决定的。 有人吹捧Win10先进，并不符合实际情

10、况，Win10在服务器和移动领域的表现都不行，它虽在桌面领域垄断但并不代表先进。,11,自主可控软硬件基本上达到“可用”水平,在中国桌面操作系统领域Windows的份额超过95%。这几年，国产Linux通过政务信息化等工程的市场化引导，已有较大起色，以其为核心，一个安全可控的信息技术体系的雏形已经出现。 已有规模达到万级用户的政务云服务，前后台都基于国产自主可控软硬件，用户体验很接近于Wintel产品，整体水平基本上达到“可用”水平。 不足之处主要是生态支持还不够，这是由于应用少、时间短，只有通过大力推广应用才能发展完善起来。,12,国产桌面计算机技术架构,作为国产安全可控信息技术体系的核心，

11、为了与Wintel相抗衡，有关厂商现正着手制订一个统一的“桌面操作系统参考平台”（“参考平台”。 与3家主力国产CPU，即申威、飞腾和龙芯相结合，国产桌面计算机技术架构是“1+3”：统一的国产操作系统 + 3种国产CPU。 Wintel目前的架构是“1+2”：Windows操作系统+Intel或ARM架构CPU。 目前国产架构计算机的性能指标与“Wintel架构”计算机已经接近，基本达到“可用”。,13,操作系统：正在统一版本，其发行版可能有：中标麒麟、普华、天津麒麟、深度、思普、一铭、红旗、技德 CPU：龙芯、飞腾、申威、众志 BIOS：百敖、太极 虚拟化：华三、华为、云宏、深信服、同方、浪

12、潮、有孚 数据库：南通、达梦、金仓、神通 中间件：东方通、金蝶、中创、普元、中和威 网络安全：华为、启明星辰、深信服、绿盟、360、亚信、卫士通 办公套件、流式文档：金山、福昕 企业管理软件：用友、金蝶、数码大方、宝信 浏览器：360、搜狗、QQ、百度 输入法：搜狗、QQ、百度、讯飞 排版、印章、版式文档：方正、文泰、蒙泰、福昕、书生 系统集成：浪潮、东软、中软、太极、同方、神码、东华、航信 第三方机构：软交所、有关测评中心、有关标准化机构 ,桌面领域国产信息技术体系主要构成,集成电路产业是中国信息技术体系的短板,我国的集成电路产业这些年来虽然已有很大发展，但与其他信息领域相比，仍是短板，尤其

13、是集成电路制造和装备、设计使用的EDA工具基本上依赖进口。 中兴事件表明，集成电路产业受制于人是一重大隐患，必须急起直追、予以弥补。 近年来随着国力的增强，国家政策的倾斜，我国集成电路产业面临极好的发展机遇，如前所述，目前国产CPU的性能与发达国家相比，只差三五年，但由于我国集成电路制造业薄弱，往往还需在境外生产，仍受制于人。,15,四、围绕“Win10政府版”之争,目前尚处于雏形的安全可控的信息技术体系正面临严峻的挑战，主要是“Win10政府版”正千方百计企图打入政府采购市场。 作为国产Linux操作系统市场化引导的政府采购市场，如果被“Win10政府版”占据了，那么国产Linux操作系统将

14、无立足之地，安全可控的信息技术体系将面临灭顶之灾。 政府采购仍可采购Windows的其他版本如Win7、XP等，所以，在这一小块市场里对Win10一个版本的处置根本不影响中国市场是否开放的大局。不采购Win10是出于安全考虑，是为了保障中国安全可控信息技术体系的构建。,16,政府采购对Win8的禁令也适用于Win10,早在2006年时国家基于安全考虑，因Windows的“Vista”版本不可控，中国政府未将其列入政府采购目录；2014年基于同样理由，也未将“Win8”列入。不久前，经我国权威测评机构分析、测评，证明Win10和Win8属于同一架构，名称的不同只是为了销售的需要，因此政府采购对W

15、in8的禁令也适用于Win10。 中国政府对Win10的这种处置在世界上并不特殊。据悉，法国、瑞士等国要求微软Win10 在未经用户同意情况下，立即停止收集过多的用户隐私信息；俄罗斯政府禁止国家和地方政府购买外国软件，杀毒软件厂商卡巴斯基也指控微软Win10捆绑杀毒软件。这些情况都说明，对Win10安全隐患的担忧在世界上是普遍存在的。,17,“Win10政府版”未通过安全审查,Win10采用的可信技术内涵违反中国的电子签名法和商用密码管理条例；根据网络产品和服务安全审查办法，“Win10政府版”未通过安全审查，政府和重要部门不得使用（包括预装和免费升级）。 “Win10政府版”尽管被冠以“技术

16、合作”名义，不过微软已声明“将保留所有关于Win10的技术知识产权”，而短期内中方也不可能消化其海量源代码，与其说是“技术合作”，不如说是代理销售。 总之，不将“Win10政府版”列入政府采购目录，是出于安全考虑，属于WTO的例外情况。,18,发展自主操作系统的意义,基于开源软件发展自主操作系统，可以大大增强网络空间斗争的主动权。 可以事先发现漏洞，预做准备。只要有高水平的科技人员，进行深入的分析研究，完全可以事先发现漏洞，及时进行修补或预防。 发现漏洞或遭到攻击后，可以自打补丁；对发布的任何补丁都可以对其有效性进行评估，从而可以持续地改进安全性。 在条件成熟时，有可能提出创新的架构，发展出创

17、新的安全操作系统，极大地提升系统的抗攻击能力。,实例脏牛漏洞（Dirty Cow）（一）,漏洞简介：Linux内核存储子系统在处理写复制（COW）时出现一个竞争状态可破坏私有只读存储映射，一个非特权本地用户可利用这一漏洞获得对原先为只读存储映射的写权限，从而提升他们在系统中的权限。 该漏洞已存在很久，几乎影响 2007之后的所有Linux版本。但它又非常隐蔽，直到2016.10才被发现。这是因为 利用这一漏洞的攻击是通过操作系统的正常功能实现的，使常规病毒的检测方法无法发现。 使人们认识到掌握操作系统核心技术的重要性。即使是经过无数专家审查的那些开源软件，也存在着这类难以发现、可能产生重大后果

18、的漏洞，至于那些源码不公开（或源码公开不充分/源码没有消化的）的软件，更无法保证不存在这类漏洞了。,2016.10.19国外权威网站发布了Dirty Cow漏洞消息,CVE-2016-5195Impact: Important Public Date: 2016-10-19 IAVA: 2016-A-0306Bugzilla:1384344: CVE-2016-5195 kernel: mm: privilege escalation via MAP_PRIVATE COW breakage A race condition was found in the way the Linux ker

19、nels memory subsystem handled the copy-on-write (COW) breakage of private read-only memory mappings. An unprivileged, local user could use this flaw to gain write access to otherwise read-only memory mappings and thus increase their privileges on the system.,实例脏牛漏洞（Dirty Cow）（二）,鉴于这一漏洞涉及到操作系统和信息安全两个

20、领域的一些深层次问题，受到了业界的广泛重视。今年4月18日，中国网络空间协会（CSAC）在北京召开了一次操作系统漏洞研讨会，有来自各领域的80余名专家出席，就此漏洞及其相关问题进行了交流探讨。 会上，国科大杨力祥教授领衔的操作系统团队，基于多年来对Linux进行的深入研究和积累的丰富经验，向与会专家介绍了该漏洞的机理、对现有补丁的评估以及自行设计的补丁方案。 实际上，现在该漏洞的补丁是Linux的发明者Linus Torvalds本人所提供的。杨教授团队对其评估认为，这一补丁更多地着眼于效率，而并未完全消除竞争。他们团队则提出了一个变通的补丁方案，更多地着眼于安全，而在效率方面仅付出很小的代价

21、。,采用不同操作系统的网络安全效果评估,五、网信事业要实施安全和发展同步推进,习主席的网络安全观强调： 没有网络安全就没有国家安全。 网络安全和信息化是一体之两翼、驱动之双轮。网络安全和信息化是相辅相成的。安全是发展的前提，发展是安全的保障，安全和发展要同步推进。 因此，网信事业应当实施安全和发展同步推进。发展是硬道理，安全也是硬道理。为此，要建立必要的法规制度保障，例如贯彻实施网络安全法、网络产品和服务安全审查办法、实施多维度测评、实行等保制度等等。,24,自主可控的意义,自主可控不等于安全，但不自主可控一定不安全。 自主可控意味着不存在后门，可以主动增强安全（能掌控源代码，能自己分析研究、

22、增强安全），发现了漏洞可以主动打补丁等等，而不自主可控意味着丧失主动权，在网络攻击下完全处于被动挨打地位。 所以应当将自主可控作为网络安全的必然要求，因为在此基础上才能构建安全可控的信息技术体系。 安全可控需要经受实践的检验和时间的考验，随着网络空间形势的发展，对安全可控的要求也在发展，一个系统的安全可控需要贯穿其全生命周期。,25,中国的信息安全等级保护制度,信息安全等级保护制度是国家信息安全保障工作的基本制度、基本策略和基本方法，是促进信息化健康发展，维护国家安全、社会秩序和公共利益的根本保障。 重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统。 信息安全等级保护

23、是当今发达国家保护关键信息基础设施、保障信息安全的通行做法，也是我国多年来信息安全工作经验的总结,事关国家安全、社会稳定、国家利益的重要任务。,26,多维度测评,在网信领域中“安全”的内涵比传统领域中“安全”的内涵更加广泛、更加全面。例如当传统汽车发展成了自动驾驶汽车，那么后者的“安全”性不仅包含了前者的“安全”性，还包含了能抵御网络攻击、能保护用户信息等等内涵，而这些本来对前者来说是不需要考虑的。 为此，有关部门提出了实行多维度测评的要求，包括： 自主可控评估对产品/服务/系统的自主可控性进行评估，这种评估可以是针对CPU、操作系统等核心技术产品，也可以是针对其他软硬件或服务，甚至也可能是针

24、对一个信息系统或一项信息基础设施。 质量测评对产品/服务/系统的功能、性能等等技术指标进行测评； 安全测评对产品/服务/系统的安全性进行测评，这种测评有可能与“等保”、“分保”的测评相结合。,自主可控评估方案的进展,由于党政机关电子公文系统安全可靠应用是“加快推进国产自主可控替代计划，构建安全可控的信息技术体系”的突破点，也是对自主可控软硬件实行市场化引导的切入点，有关方面希望“多维度测评”中的“自主可控评估”首先在这里试行，然后在网信领域中进行推广，使其制度化，从而更好地落实习总书记关于网络安全的系列指示。 为此，今年9月底，中国信息安全测评中心在北京组织召开了“党政机关电子公文系统安全可靠

25、应用自主可控评估方案”专家评审会。由中国工程院副院长陈左宁领衔的专家组对该中心制订的“党政机关电子公文系统安全可靠应用自主可控评估方案”进行了评审。 与会专家听取了项目组的汇报，审阅了相关材料，并进行了质询，经讨论得出了评审结论。,28,自主可控评估方案评审结论,一、自主可控是网络安全的必然要求，自主可控评估作为党政机关电子公文系统安全可靠应用多维度测评的重要环节，应予以制度化。本次评审方案以党政机关电子公文系统安全可靠应用测评体系总体框架为依据制定，包括“中央处理器自主可控评估方案”和“操作系统自主可控评估方案”。二、该方案对中央处理器和操作系统的自主可控评估工作做了较全面的论述，确定了从“

26、知识产权”、“技术能力”、“供应链安全”、“发展主动权”和“国产资质”等方面开展党政机关电子公文系统安全可靠应用自主可控评估。方案内容全面、合理，操作性强，能如实反映中央处理器和操作系统的自主可控程度，可满足党政机关电子公文系统安全可靠应用推进工作的要求。,29,三、该方案可作为开展“党政机关电子公文系统”中的中央处理器及操作系统“自主可控”评估的依据，并视需求情况，将该方案扩展完善，形成其他软硬件产品的自主可控评估依据。与会专家一致同意该方案通过评审，并建议根据专家意见进一步完善。 -按：如希望了解本次评审会通过的、中央处理器和操作系统的自主可控评估方案的详细情况，请与中国信息安全测评中心联

27、系。,30,推进自主可控评估的意义,1. 对即将开展的党政机关党政公文系统安全可靠应用推进工作提供必要的、及时的支持，以更好地保障网络安全。2. 为主要依靠自己研发、自己发展、自主可控程度高的产品和服务，给以更好的市场机会，防止各种打着“国产”、“技术合作”旗号的 “穿马甲”的外国产品和服务，混入政府和重要领域。3. 将“多维度测评”包括其中的“自主可控评估”落实，使其成为网信工作的一项制度，以更好地体现习总书记关于网信工作的系列讲话精神。,31,32,自主可控评估的具体做法（供参考）,图示的自主可控评估方案，比较适合CPU、OS这类产品，如果是对云计算、大数据等云服务，除评估这些指标外，还应

28、重点评估： 所用软硬件是否自主可控？ 基础设施是否部署在境内？ 敏感信息是否不出境？ 用户隐私信息是否不泄露？ 是否能防御网络攻击? ,1. 知识产权（包括标准）自主可控,在当前的国际竞争格局下，知识产权自主可控十分重要，做不到这一点就一定会受制于人。如果所有知识产权都能自己掌握，当然最好，但实际上不一定能做到，这时，如果部分知识产权能完全买断，或能买到有足够自主权的授权，也能满足自主可控。 然而，如果只能买到自主权不够充分的授权，例如某项授权在权利的使用期限、使用方式等方面具有明显的限制，就不能达到知识产权自主可控。 目前国家一些计划对所支持的项目，要求首先通过知识产权风险评估，才能给予立项

29、，这种做法是正确的、必要的。标准的自主可控似可归入这一范畴。,33,2. 技术能力自主可控,能力自主可控，主要指技术能力的自主可控，这意味着要有足够规模的、能真正掌握该技术的科技队伍。 技术能力可以分为一般技术能力、产业化能力、构建产业链能力和构建产业生态系统能力等层次。产业化能力的自主可控要求使技术不能停留在样品或试验阶段，而应能转化为大规模的产品和服务。产业链的自主可控要求在实现产业化的基础上，围绕产品和服务，构建一个比较完整的产业链，以便不受产业链上下游的制约，具备足够的竞争力。产业生态系统的自主可控要求能营造一个支撑该产业链的生态系统。,34,3. 发展主动权自主可控,除了知识产权和能

30、力的自主可控，还需要有发展的自主可控，因为我们不但要着眼于现在，还要求在今后相当长的时期里，对相关技术和产业而言，都能不受制约地发展。 为此，根据我国具体情况，要着眼国家安全和长远发展，制订信息核心技术设备的发展战略。如果某些技术在短期内似乎能自主可控，但长期看做不到自主可控，一般说来是不可取的。只顾眼前利益，有可能会在以后造成更大的被动。,35,4. 供应链自主可控,一个产品的供应链可能很长，如果其中的一个或某些环节不能自主可控，也就不能满足自主可控要求。例如对复杂的CPU芯片来说，即使拥有知识产权，也有技术能力掌握，做到在设计方面不受制于人，但如需依赖外国才能进行生产，那么仍然达不到自主可控的要求。 所以，应当评估一个产品的供应链是否能完全掌控？像上述复杂的CPU芯片，如果必须依赖外国进行生产加工，就不能满足自主可控的要求。如果能够依靠本国厂商生产出来，即使性能指标略低一些，还是可以容许的。,36,5.企业资质,一般说来，“国产”产品和服务容易符合自主可控要求，因此实行国产替代对于达到自主可控是完全必要的。不过现在对于“国产”还没有统一的评估标准。 目前比较常见的是考察企业资质，包括国有大企业集团、国有控股、混合所有、中外合资、外资等等。这里有些问题还需要在实践中明确起来。,37,谢谢大家！,