中美两个互联网大国间的信息安全博弈,似乎有愈演愈烈的趋势。美国官方一直怀疑华为等中国企业,利用所生产的网络设备,在美国从事网络间谍活动。2013年,华为公司唯一出现业绩下降的销售地区便是美国市场。美国司法部也曾以“网络间谍罪”起诉了五名据称隶属于中国人民解放军总参谋部技术侦察部的军人,并公布了他们的照片。
而中国官方近来明确表示:禁止采购安装了“Windows8”操作系统的计算机产品,此后又禁止国有企业与外资咨询公司合作,并呼吁国内银行放弃使用IBM开发的高端服务器产品,掀起了一轮关于“去IOE”(IOE即IBM的服务器、甲骨文Oracle的数据库以及EMC的存储产品)的讨论。对于旗下操作系统被禁止采购,微软中国回应称“非常意外”。
虽然一线从业人员和信息产业研究者倾向认为目前掀起“去IOE”浪潮是技术上的闭关锁国,但亦有人认为斯诺登已揭露美国国家安全局的“棱镜计划”,因此有必要在维护国家信息安全上采取行动。此外这还是国产操作系统的机遇,应当在操作系统研发上大力投入。例如,中国工程院院士倪光南近日曾做出预测,未来3到5年,移动操作系统将实现国产化替代。
困难重重的操作系统国产化
这并不是倪光南第一次呼吁操作系统国产化。早在1999年,他就在《人民日报》上撰文呼吁中国计算机产业发展软件和集成电路芯片技术,并在开放源代码的“Linux”操作系统基础之上,开发拥有自主知识产权的操作系统。
“开放源代码”是指软件的源代码可以被公众使用,并且软件的使用、修改和发行也不受许可证的限制。一般来说,开源软件的开发者越多,软件就越不容易出现安全漏洞,开发者也几乎不可能在软件中植入后门程序。
就在同一年,中科院软件所研制并发布了基于Linux操作系统的“红旗Linux”操作系统,最初主要用于事关国家安全的重要政府部门。红旗Linux的发展主要依赖政府部门的投入。2000年6月,北京中科红旗软件技术有限公司成立,股东分别为中科院软件所和上海联创投资管理有限公司,而后者是由国家计委、经贸委、中科院等控股的企业。2001年3月,信息产业部再次向北京中科红旗公司注资,使其总注册资金达到96万美元。
红旗Linux操作系统的运营收入主要依赖政府采购以及政策支持。2006年,国务院发布《国家中长期科学和技术发展规划纲要(2006-2020年)》,其中红旗Linux操作系统作为基础软件产品,与载人航天、探月工程并列16个重大科技专项。该纲要对“核心电子器件、高端通用芯片及基础软件产品”(简称“核高基”)设立了专项配套资金。今年2月,中科红旗宣布倒闭清算,据称是因为中科院软件所未兑现“核高基”的专项资金,导致公司资金链断裂,负债超过2000万元,最终只能宣布破产清算。
红旗Linux曾经是中国国内发行量最大、最成熟的Linux发行版,早在2004年就获得盈利,并在2006年获得高达1.63亿元的总营收。红旗Linux还获得了包括Oracle(甲骨文)、IBM、惠普在内的多家国际厂商的认证,戴尔和惠普公司甚至还曾出售过预装红旗Linux操作系统的台式机和笔记本电脑。可以说,操作系统国产化不仅早就实现过,还在市场上获得了一定的成功。
但是,依赖政策扶持的企业很难面对市场竞争产生的风险,而市场竞争是产品最终推向大众市场的必经之路。中科红旗等国产软件制造商大量依赖政府和国有企业的采购,以及专项科研资金的支持,一旦政策改变,会影响到企业的生存。此外,由于主要客户是政府机构和企业,因此红旗Linux更加注重安全问题,而对普通用户日常使用中出现的问题并没有及时的很好的解决方案。
应用软件——国产操作系统的痛点
Windows以外的桌面操作系统,以及苹果的iOS、谷歌的android以外的移动操作系统,之所以一直无法市场上流行,原因之一就是缺乏应用软件的支持。例如,微软的office办公套件,多年来已经成为培训和教学的标准。但是,这款软件并没有相应的Linux版本,Linux用户只能选择功能更少、兼容性更差的软件,有时还会出现文字显示错误。
应用软件是操作系统的补足品,操作系统的使用价值随应用软件价值的提升而提升,因此操作系统开发商会鼓励开发者为自己的操作系统开发软件。去年,iOS与android操作系统的应用数量分别都超过了一百万,而在Windows应用商店出现之前,Windows已经拥有了千万级别的软件数量。
缺乏相应的应用软件,导致国产操作系统要么只为单一的功能设计,要么选择兼容其他平台应用软件的策略,否则很难打造一个完整的操作系统生态。日前,市场占有率不断下滑的黑莓移动操作系统,就选择了联手亚马逊,以达到更好地兼容android应用软件的目的,国产操作系统的开发厂商也许可以考虑这样的战略。
操作系统选择的信息安全考量
自从斯诺登曝光美国国安局的“棱镜”监听计划,信息安全已经成为了舆论关注的话题。部分用户认为,微软等美国公司,会在自家的操作系统中安装后门程序,窃取中国用户乃至中国政府的隐私信息。但实际上,中国早在2003年就成立了源代码查看实验室,包括公安部在内的国内七家信息安全部门,能够直接查看Windows操作系统的源代码。
当时,中国信息安全产品测评认证中心主任吴世忠博士表示,“信息技术安全性是我国政府信息化进程中关注的重要问题,对操作系统源代码的研究对加强信息技术安全性起着至关重要的作用。源代码查看实验室的落成将进一步推动我国信息安全技术的开发研究。”另一位负责人也表示,这将增加中国政府对Windows操作系统的信心。对源代码的严格审查是最佳的排除安全隐患的手段,Linux操作系统之所以被认为比Windows操作系统更为安全,原因之一就是Linux的源代码可以直接被所有人查看。
除中国政府外,2002年微软也向俄罗斯情报部门提供了Windows操作系统的源代码。不过,这种形式的开放源代码不一定能像Linux的开放源代码一样解决安全问题,实际情况会复杂很多。一旦某个政府取得操作系统的源代码,在投入足够研究的情况下,可以找到未被其他政府和公司发现的软件漏洞,从而对其他国家发动网络攻击。政府拥有源代码而公众没有源代码,这种安全状况比完全开源的Linux操作系统复杂得多。据悉,北约也与微软签署了同一份源代码审查协议。
如今,在微软的新一代的操作系统Windows8发布后,系统安全问题也变得更加复杂。Windows8操作系统内置了微软的云服务One Drive,可以自动同步相关文件夹下的文件,并在网络上进行相关操作。因此,Windows8操作系统的安全,一定程度上与微软的One Drive服务的安全性有关,如果这项服务本身具有漏洞,那么操作系统的安全就无从谈起。不过,这项服务能够通过一些简单的设置禁用。
信息技术全面国产化布局
除了操作系统,扶植国产芯片、“去IOE”也是信息技术国产化的核心。中国每年进口芯片价值高达2000亿美元,银行等机构的核心业务全面依赖进口高端服务器产品,国产产品在这方面似乎完全没有竞争力。
“去IOE”并非中国政府首先提出的口号,首先提出的是阿里巴巴集团。在这之前,阿里巴巴的业务全面依赖IBM和惠普的小型机、EMC和戴尔的存储设备以及Oracle的数据库软件。这些产品都是市场上技术最为成熟,性能最为可靠的设备。然而,阿里巴巴集团的核心业务是电子商务,这项业务的规模每年都在快速增长,因此“IOE”设备的集中式架构并不能满足阿里巴巴集团不断增长的业务需求,阿里巴巴集团必须通过改进自己的技术架构来满足业务需求。
从银行的主营业务来看,高可靠性和高性能的集中式架构目前还不可替代,银行的IT部门也并不具备互联网企业的技术实力,全面替换核心硬件和技术架构对于银行来说成本过高,对业务的增长也并没有辅助作用,所以在短期内银行等企业并没有驱动力来完成“去IOE”这个口号。重构核心技术架构是非常困难的任务,如果没有市场和用户的需求来驱动,很难想象任何一家企业可以完成。
与“去IOE”相比,国产芯片这个话题已经存在了很长时间。2003年,“汉芯1号”的研制成功曾一度被宣扬为国产芯片在技术上的突破,然而却在2006年被举报造假,该芯片的标签甚至是由民工用砂纸打磨而成;另一个知名国产芯片是“龙芯”,在2005年7月有调研机构发布分析报告称,龙芯架构与“MIPS”近似度达 95%,引起了对龙芯架构独立性的质疑。2009年,龙芯在MIPS架构的专利过期三年后,斥资购买了MIPS的结构授权。可以说,龙芯是在MIPS的结构之上,自主开发了处理器内核的一部分。
但龙芯在市场化的过程中遭受了更大非议。龙芯的笔记本产品发布前,曾三次被发现产品效果图严重出错,一度让人怀疑产品是否真实存在。无锡永中软件公司项目经理陈杰曾说:“笔记本慢的要死,最后是白送都送不出去。”其实国产芯片中也有发展比较成功的,如前一段时间与芯片巨头英特尔合作的瑞芯微,采用“ARM”授权的处理器核心,占据了一定的市场份额。华为为了避免被高通公司控制无线技术专利,也利用ARM核心开发了“海思”处理器,市场广泛看好其发展前景。
信息技术安全出路何在
既往历史在说明:政策倾斜、设备软件全面国产化的道路,成本远超预计,效果也不太理想。低投入水平、低科研能力,将导致封闭的产品体系最终安全水平也许还不及进口系统。采用国产系统只是在一定程度上降低了供应商留下后门的可能性,但却没有增加应对第三方攻击的能力。如果中国全面采用国产芯片和国产操作系统,遭受攻击的可能性也会还会更大。
作者/王昊伟
(图片来源网络)
本期新刊已上架,欲知详情可点击“阅读全文”跳转至亚马逊商城,购买电子版《凤凰周刊》。或关注“香港凤凰周刊APP”的每日更新,与您分享每期周刊精彩内容。
========香港凤凰周刊 ========
香港凤凰周刊 APP新版上线
精彩内容随《凤凰周刊》同步更新
阅读更便捷、更优惠、更及时
修复旧版本BUG,增强了稳定性
