神马文学网自主可控不等于安全
来源:百度文库 编辑:神马文学网 时间:2024/04/28 15:22:44
杜跃进:自主可控不等于安全
(2010-11-26 17:16:20) 说到安全战略的时候,很多人会想到自主可控,似乎自主可控就等于安全。但国家互联网应急中心网络与信息安全技术研究所所长杜跃进却指出:自主可控不等于安全。
杜跃进表示:“我们国家从操作系统到芯片,再到大型数据库和设备,用的都是国外的产品,为了解决这些问题,我们国家投入了大量的人力物力财力。很多人提到这个问题就表示:什么都依赖别人的,信息安全就解决不了,这句话没有错,但我今天要说的是反过来的,就算是有一天我们自主可控了,按照现在这种做法的话,我们就解决安全问题了吗?”
自主可控不是安全的充分条件而是必要条件。现在的状况是除了操作系统、芯片之外,大量安全问题出自应用程序。现在的应用程序全部连在网上。大量的应用程序服务平台很容易就被入侵。我们原本需要自主可控,现在用了自己的产品,但我们的产品可能是漏洞百出的。换句话说,从使用不可控的产品到使用“豆腐渣”的产品,安全能提升多少?
客观上说,开发大型系统,软件的缺陷是不可避免的,先抛掉自主可控这几个字来看国外的这种大型系统,比如微软的系统经过了全世界人的考验,他们有大量的挑战和调整,已经相对比较安全,如果要做这样大型的操作系统,我们有没有积累这样的足够的能力?
自主可控要加两个字,要做国家自主可控。
自主可控需要一个很长的时间,而且也不可能做到所有的环节都自主可控。怎么最小化漏洞处置问题?我觉得我们可以加强的一点,就是自助。要建立广泛的联络渠道,从多渠道获得信息,这个信息不光是直接获得漏洞的信息,还可以包括案例的信息,安全事件的信息等,通过这些渠道尽早让自己的漏洞信息获得更全一点。
另外就是互助、资源共享、提升漏洞分析、危害评估、措施评估等工作的表率,较低成本,然后做模拟环境的全面措施,还可以把它用到上线的系统上面去。
对于自主可控,政府也可以做更多的事情。第一,从技术、管理和威信方面,提高信息产业供应链的安全能力;第二如同“自主可控”这种事情任重道远一样,要想做到安全产品同样任务艰巨,是需要多方面长时间的努力,需要国家和社会的重视和支持才可以做得到;第三,面对新形势,面临的威胁更加严重,我们需要联合起来,尽量减低因为产品、服务或者基础设施等受制于人而带来的安全风险,这里面也有很多的具体的工作可以做。