卫士通钟博：新形势下信息安全产业发展的思考

　　12月6日，“2013中国信息产业经济年会”在北京隆重召开。此次年会以“促进信息消费 打造产业经济升级版”为主题，邀请产、学、研、用各领域的代表千余人参加，探讨在错综复杂的经济局面下，如何推动中国信息产业的持续和快速进步，打造“中国经济升级版”。以下内容为卫士通信息产业股份有限公司总经理助理钟博发布题目为《新形势下信息安全产业发展的思考》的主题演讲(速记稿整理)。

　　钟博：各位领导、各位专家大家上午好。大家都知道我们公司1998年成立以来，十五六年一直做信息安全产品。今年有一些比较大的信息安全事件发生，整个产业又面临着新的拐点，在这个新的形势下信息安全产业怎么发展，我在这里把我们的一些思考向各位专家和领导做一个汇报。

　　首先我想我们是做的是信息安全产业，信息安全其实有一个最大的问题。因为安全不是一个孤立的事情，我们不可能为了安全而安全，我们做的事情更多地是为信息技术发展保驾护航。信息安全的发展一定是有一个发展的方向，这个方向是什么呢?我想应该是信息技术本身的发展，国家提出了加强我们国家信息安全的保障。所以说信息安全产业从大的方向上来讲，带未来一定是比较有发展前景的。

　　但是态势实际上是越来越严峻的，因为当前我们面临的信息安全问题和以往的信息安全问题不太一样，最近出现了一些事情，也有一些人出现。出现的事情，大家已经比较清楚的通过工会系统漏洞攻击核电站，包括动态口令卡的文字被窃，从技术角度来讲这种种子问窃，这个整个安全保障体系被攻破掉，基本上没有用了。包括钓鱼网站，个人隐私被入侵，包括阿拉伯之春这样事情。现在有很多跨国企业在国内设立了很多自己的数据中心或者数据分析的机构。实际上这些数据本身从单个数据个体来讲不见得有多少信息，如果有海量的信息会有一些用处。我们一些零售企业本身在从商业角度分析自己的未来的发展策略无可厚非，如果仅从技术角度来讲中间存在比较大的安全隐患和风险。

　　还有一些人，比如阿桑齐，大家都比较了解，前一阶段有一个巴洛米捷克，他所揭露出来的事情，在现在信息技术环境下已经没有任何安全的，他所做的事情从入侵ATM机取现金，到入侵心脏起搏器。当传说已经不在是传说，原来科幻电影里面看到的东西，现在已经成为现实。现在在整个新的老的空间环境下没有任何安全的。

　　更多的是，今年关注最多的还是斯诺登的棱镜事件，美国通过这些监控项目，可以监控到几乎任何一个人的行为，斯诺登说我可以在日本办公室可以监测全球任何通信活动，这不是吹牛，现实来讲肯定是可以做到的，他所借助的手段已经渗透到各个国家，很多核心的信息基础设施里面去了。他想达到这样目的是很容易的。

　　今天早上看到一个消息，美国每天在监控50亿条个人位置信息，其实大家想一想基本上可以说每一个使用手机的人或者智能手机人每天的位置，你的行为和活动都已经被人监控，这是可以做到的。所以我们认为现实很残酷，在信息网络空间里面，我们国家已经没有多少控制权，基本上被处于垄断的状态。在互联网骨干网方面思科占据中国电信163骨干网70%，中国联通80%份额市场，在CPU领域基本上被国外的芯片厂商占据。据统计来看咱们国家最大的商品其实就是芯片，还不是别的东西，每个人每天都在用Windows的操作系统，在服务器端，UNLX、甲骨文、SAP等也握有绝对控制权，前一段传的消息，有一种说法IOE绑架中国银行业，这个不管承认不承认，这是比较确凿的现实。因为我们用的核心设备，高端的软件、数据库，操作系统，基础的硬件设备，包括芯片，包括服务器，存储设备等等，都不能够自给。在不能完全控制的情况下，信息泄露的可能性是很大的。

　　采用进口产品无法构建自主可控的安全保障体系。所以我们得出一个结论，在当前条件下谁要掌握信息供给网络，谁就拥有整个世界。我们来看美国就达到了这样一个地步，他拥有了全球互联网的控制权。有人说，我们现在的国家安全是建设在别人的道德的假设之上的，我们认为别人不会放冷手，不会窃取我们的数据。但是实际上现实是证明了，我们这种假设，这种道德假设是不成立的。这告诉我们必须加强信息安全建设能力。

　　中国现在的信息安全产业，面临着很大挑战，其实也是一个机遇。我们就要有相应的对策和策略。我们要做对策和策略之前要想清楚我们当前处于什么样的环境。有一些国家在说互联网是无国界开放的东西，也拿这样幌子攻击我们，当前互联网公平吗?我自己不这么认为，我觉得互联网业就是某一个国家控制的一个大的网络而已，规模很大，这个网络本身控制权在该国手里，我们在这个过程当中也没有太多话语权——网络设备、服务器，这样的基础设施都不对称，基础设施数据中心也不对称，我们掌握数据不比别人多。

　　诸多新一代核心技术还是被其他国家所掌握和控制，我们说的云计算，这里面最核心的一些技术虚拟化，分步式计算，我们仍然不掌握。所以我们面临着很大的风险，但是也不至于那么悲观，因为IT有一个后发优势，我们在面临风险的时候还是有很多的机会。我们现在技术上暂时的落后，并不等于完全没有翻身的可能，因为我觉得中国有很大的优势，我们在商业模式上并不落后，而且在商业模式上有自己的特色，在有一些领域是领先的，我们可以通过应用来牵引技术发展形成自主创新。

　　比如说在云计算方面，其实说这么多年发展并没有有想象的那么快，那么高速，最大的问题还是安全问题，桎梏了整个云计算的发展，这个原因就是数据和运用环境分离，当时原来PC机在一起，在云计算是网络计算，网络计算下有的在云计算下，这样数据和环境分离又引发出新的安全问题，很多人说银行和云计算，我们现在确实可以把钱放在银行去保管，可以做升值，现在没有多少人有足够的信息把数据资产交给云服务商。

　　在物联网里面也同样存在安全问题，这是我们国家研究机构做所分析，我个人也赞同。以刚才所说的智能远程医疗来说，实际上对于远程医疗，在医疗领域里面每一个人隐私值得保护，我们不可能放纵公认知道我们身体上隐私，包括智能家具，描绘很能耐，你敢用吗，你可以想象没有安全包括下装这么多摄象头，还有我们位置信息监控，同样在移动互联网里面也是，这已经形成一个产业链，这也是知名的网络公司所做的，产业链描述很细，移动互联网，尤其是在智能终端推广下，加上开放性，以及使用智能终端人本身意识上问题差距很大。可以说移动互联网面临安全问题和传统互联网是有过之而无不及，我们在大力建设的下一代互联网，它的安全性上会有一定的增强，但是并不表明IPV6比IPV4更安全，所以不管是从技术领域还是实现领域都有很大问题存在。

　　总结下来现阶段信息存在很多风险和挑战，新的形势带给我们一些挑战。首先新的技术快速引进带来新的安全风险，刚才提到云计算，互联网等等都带来新的安全风险。整个在不管是从企业也好，还是从国家，目前在信息安全顶层设计还是有一些欠缺，缺乏，这是需要加强的。因为这个缺乏使我们现在信息安全更多的是打补丁的方式，哪有问题补那儿，缺乏一个体系化处理。

　　我们现在没有核心技术，大量采用国外产品，信息安全的监管能力也相对欠缺，法律法规还不是很健全。还有之前提到的工业化和信息化紧密融合，原来很多工业化是比较封闭的，现在信息技术引入之后带来很多安全问题，体如说智能电网的安全风险就是这样造成的。

　　我们国家信息安全输出能力，我们是处于被动防御，我们把自己小环境守好，还没有形成反防护，反治理，这是目前所面临的风险和隐患。

　　我们如何解决呢?首先要实现以信息控制为聚焦的发展策略，因为现在数据已经是一个国家战略资源，我们要想尽手段来保护和利用，所以说我们要构建自主可控的网络，而且这种网络应该是一个对等的，而不是依附性的，要保证自主可控，除了技术上还有供应链上安全，我们要能够生产这些产品，而不是说说能够设计出来，我们要有持续的能力，而且我们还需要信息工程，我们不能一味的被动，我们还是需要有反制能力，我们要拓展我们信息安全网络的边界和疆域，使能力输出出去。归根到底整个人的因素。

　　另外一个优势是我们可以通过应用来牵引相应安全技术发展，充分发挥我们后发优势，才能他山之石攻玉。我们应用领域需求很迫切，这能够带来安全拓展，我们最大的消费群体，通过应用带动技术的发展，我们就可以逐渐的改变这种追赶的方式，改变被动的追赶的地位，而慢慢处于一种引领，然后形成超越和引领。

　　我们怎么样做呢?我们坚持这么一点，安全和信息相融合，我们原来的是从信息安全，原来大家一直认为卫士通是做密码设备厂商，信息本身就是安全的，我们要把安全和信息做一个融合，我们多年来安全IT化，IT安全化，你可以叫安全娱乐化或者娱乐安全化都可以。

　　我们现在的想法，不再依赖打补丁的方式，这永远不能解决核心问题，我们要从信息安全向信息安全演进，使之有自主可控的安全机，这是未来发展的目标，也是我们思路和方向。

　　在安全信息里面包括安全的网络，安全的计算，安全的存储等一系列的方向。我们根据这样策略，我们具体在产业发展上怎么样做呢?首先现在的宏观形势比较严峻，我们国家已经把信息安全上升到国家战略高度，也就是说信息安全是直接关系到整个国家的安危层面。我们就要用做两弹一星的信念和态度来做信息安全，而且依靠我们自己来做，这不可能依赖外面人来做。

　　我们要在网络空间中建立全面的话语权，确保国家和民族的权力。信息安全，安全应用永远是一个相互矛盾的，有可能上了安会对应用效率造成一定影响，我们对信息安全要做合理考虑，不同场景下有不同的要求，我们不可能为了安全而安全，尤其是在商业领域，如果完全为了安全，来附加过多的条件或者障碍，一个是推广不下去，通过应用牵引技术发展也不可能带动安全技术本身发展，要理清生产力和生产要素之间的关系，要相互匹配才能形成相互促进，所以产业之间要形成良性的合作关系。

　　实现信息安全产业的扩大，现在面临一个问题，这不应该只是我们信息安全企业从业单位的问题，这应该是整个IT圈所有从业企业的事情。也就是说保证信息安全，要实现安全信息，需要安全信息企业和信息企业共同努力，我们自己也有这种认识，当前的安全信息规模不大，是比较小的，从体量上来说是不足的，影响力还是不足以和国际巨头对抗的。信息安全的技术和产品的水平，当然按照十几年前有很大的提高，但是总体而言对于国际水平相比较，在很多方面是比较大的差距。这些差距首先还是体现在基础和支撑的信息技术本身，比如说刚才提到的我们可以设计出来，但是没有办法实现出来。 而且信息安全顶层不够，这些问题都不是信息安全企业自身就能够很好的解决，这更多的是需要对于市场，对于应用，包括信息技术本身这种信息技术企业相互融合才能解决。因为信息技术的很多从业企业很多支撑信息技术产业发展，我们叫信息安全产业，这本身也是属于信息技术领域范畴之内，很多要依赖基础的信息技术和产品。

　　所以是两者之间，信息技术和信息安全企业紧密的融合才能推动整个国家信息安全产业企业，信息技术企业的应用怎么样做融合，这有其自己的安全。这个需求从哪儿来，更多的企业可以通过信息技术企业来。两者之间要相互引领和扶持，安全技术设计很多，比如说密码技术，安全管理，安全审计，攻击和防范，身份识别，信息安全涉及到的领域很多，在应用领域也有很多，包括增值计算，虚拟化，通信、网络，数据库，存储，这些技术可以做紧密的融合，卫士通公司本身也立足在密码上优势，不断向安全信息领域，我们推出了荣密码，安全航空功能于一体的安全存储系统，还有强身份认证，访问控制，终端的使用权限控制，安全桌面云解决方案。在国内大企业要承担起主体支撑，要站在产业链领头羊高度带动企业发展，民营企业和小企业可以根据技术开创创新，来充分展示一个国家的竞争力，最终通过这样实现举国之力，逐步实施构建完全自主可控的信息安全保障体系，自主可控目标要做到用户自主，用户可控，还有供应链安全，这个自主可控有一定条件限制，我们不可能是为了安全把应用效率降的很低，那样没有任何意义的。

　　实现自主可控路径，现实也很残酷，当前在短期内要实现核心产品自主和售后都有一定难度，但是相对可控还是有可能性的，我们可以通过很多打补丁的方式，但是我们未来的目标，一定是把安全应用和紧密融合实现整个信息系统本身的安全可控。通过长期发展实现新技术自主可控，保证整个国家信息安全保障体系建设，最终支持整个国家信息产业发展。

(本文不涉密)
责任编辑：

转载：感谢您对网站平台的认可，以及对我们原创作品以及文章的青睐，非常欢迎各位朋友分享到个人站长或者朋友圈，但转载请说明文章出处。