掌握網絡空間安全的主動權

倪光南

（中科院計算所， 北京 100080）

掌握網絡空間安全的主動權

倪光南

（中科院計算所， 北京 100080）

倪光南 (1939-)，浙江鎮海人，中科院計算所研究員，院士。1961 年畢業于南京工學院（現東南大學）,首創在漢字輸入中應用聯想功能，中科院計算所公司（聯想前身）和聯想集團首任總工程師，2011年和2015年分別獲得中國中文信息學會和中國計算機學會終身成就獎。

關注操作系統核心技術

2017年4月18日，中國網絡空間安全協會在北京主辦了一次“操作系統漏洞研討會”。參會的我國網絡空間安全領域的眾多專家，就操作系統漏洞、發展安全可控操作系統和增強網絡空間安全等問題進行了深入的研討，取得了一些重要的共識。

本次研討會重點分析的“Dirty Cow”漏洞是Linux操作系統中的一個隱蔽很深的漏洞，借助這一漏洞的攻擊無法用常規的方法防護。雖然現在開源社區已發布了補丁，但是對其機理還缺乏分析。本次研討會對其進行全面深入的分析在業界尚屬首次。

眾所周知，對于操作系統這種代碼量極大、復雜度極高的軟件，只有真正精通操作系統的專家才能對其漏洞進行透徹的分析。因此本次研討會也顯示出中國專家在Linux領域的水平。這種水平還體現在對Linux開源社區的貢獻上。僅華為一家公司，近年來對Linux核心回饋的補丁數累計超過了1000個，在全世界400多家對Linux社區回饋的公司中，華為的排名一直保持在前30名之內。顯然，說什么中國沒有人懂操作系統，是完全不符合事實的。

不過，如果說中國沒有人懂Windows操作系統，那倒不錯。本來Windows的源代碼不開放，它就是不想讓人讀懂的。所以盡管中國的IT培訓體系歷來向Windows傾斜，可是只能培養出熟練的操作員，培養不出懂Windows的專家。正是鑒于這種情況，中國在操作系統領域要推進開放創新，只能選擇基于開源軟件。

由于操作系統非常復雜，即使是開源的Linux，世界上有無數雙眼睛無時無刻不在注視它、審查它，還會存在某些像“Dirty Cow”這樣隱蔽的漏洞，更不要說那些封閉的操作系統了。最近，國際上黑客組織爆出許多個Windows遠程漏洞利用工具，使Windows用戶面臨極大的風險。對此，人們只能期待微軟發出新補丁來修補，中國即使有高超的操作系統專家也無能為力。

總之，這次研討會顯示了中國對操作系統核心技術安全性的關注，也顯示了中國在操作系統領域的實力。人們看到，中國專家完全有能力與國際上頂級的操作系統專家切磋技藝，共同解決操作系統的安全問題。

發展安全可控的操作系統

在網絡空間安全形勢日益嚴峻的情況下，本次研討會使人們更清楚地看到中國發展安全可控操作系統的必要性。首先要明確，我們的目標是建設網絡強國?，F在中國已經是網絡大國，但是中國并不是網絡強國。習主席關于網絡強國的一個要求是：戰略清晰、技術領先、產業先進、攻防兼備。其中包括了能主動應對現代網絡戰的能力。以這個要求來衡量，我們就應當掌握CPU芯片、操作系統等等網信領域的關鍵核心技術。如果這些核心技術受制于人，那么在網絡戰中我們就會陷于困境——只有招架之功,而無還手之力。實際情況可能比這還要糟，可能連招架能力也沒有了。像這次研討會所討論的“Dirty Cow”這類漏洞，也可能會發生在外國廠商提供的私有操作系統上（如Windows），如果他們不告訴你，你當然不知道，也發現不了，防范不了；如果他們告訴你，你還是防范不了，只能等人家給你發布補??；即使他們給了你補丁，你還是不知道它是否有效？它是否還隱藏著新的漏洞……總之，你的命運完全掌握在別人手中，在網絡空間的攻防戰中就完全喪失了主動權。

2015年9月奧巴馬在談到美中網絡戰時說，“我保證，只要我們想贏，就一定能贏?！眾W巴馬的這種底氣在很大程度上是來自于美國壟斷了許多至關重要的網信核心技術，例如CPU芯片、操作系統等等。現在有許多材料揭露美國CIA在世界范圍內實施監控，而他們對網信核心技術的壟斷為實施這種監控提供了極大的便利。例如，操作系統掌握著對計算機的控制權，現在世界上近百億臺智能終端，包括桌面電腦和移動手機在內，基本上被美國的三家操作系統——Windows、iOS和Android所壟斷，如果要借助這三家操作系統去監控終端用戶信息，應當說是輕而易舉的事。

現實情況要求我們發展自主可控的核心技術，包括CPU和操作系統。但是歷年來，在中國要不要發展操作系統問題上，存在著一些不同的觀點，舉例如下：

1.早在討論國家重大科技專項時，有人說，發達國家花了上千億美元開發了Windows操作系統，中國人花1000元人民幣就能買到，很值得，為什么要自己去研發呢？這個問題當然不應該只算經濟賬。不過即使算經濟賬也行，中國的市場那么大，雖然每份操作系統不算貴，可是中國數以億計的用戶這些年買操作系統花的錢總共已經達到數百億美元了！

2.后來在討論中國重要領域能不能用外國操作系統時，有人說，這些世界上通用的、占據壟斷地位的技術，不可能存在后門，何必限制它們的使用呢？實際上這個問題斯諾登早就揭發出來了，最近，維基解密又曝CIA竊聽全球智能設備。在中國，2008年發生的視窗黑屏事件可以認為是一次操作系統后門的大規模演示，使人們體驗到了操作系統后門的強大威力，何況現在Win10對用戶電腦的控制力又大大超過了Win7、XP等版本了。

3.有人不主張中國自主發展操作系統等核心技術，認為引進發達國家的核心技術解決當務之急是最快、最解決問題，否則就會落后挨打。這個結論在一般領域可能是適用的，但對網信領域卻不適用。網信領域的實踐表明，往往是受制于人挨打而不是落后挨打。例如伊朗核設施受震網病毒攻擊而損失嚴重，可是這不是因為其工控設備落后，而是因為使用了受制于人的系統，能被植入震網病毒所致。

4.有人認為中國不具備發展操作系統核心技術的條件，因為中國沒有人能讀懂操作系統。按這種說法，似乎只有和發達國家進行技術合作才有出路，于是有人就與微軟搞“技術合作”推“Win10政府版”。通過這次研討會足以表明，中國有不少專家，不但能讀懂操作系統，還能分析漏洞、打補丁，甚至有能力研發新的操作系統。當然，如前所述，對于源代碼不開放的、或開放不充分的Windows這類私有操作系統軟件，由于保守商業機密的需要，它們本來就不想被人讀懂，可是這并不表明它們的技術水平高于開源軟件或自主研發的軟件。硬說“中國沒有人能讀懂操作系統”實際上是為了與發達國家搞“技術合作”制造借口。

市場化引導的重要性

當明確了中國應當自主研發操作系統后，我們還需著力解決其產業化問題。對于壟斷性特別強的操作系統，如桌面電腦和移動手機的操作系統，如何打破既有的壟斷格局，進入市場，構建起自己的信息技術體系及生態系統，在某種意義上是一項比研發操作系統本身更為艱巨的任務。

正如習近平主席所指出的，“必須加大操作系統核心技術的研發力度和市場化引導”。如上所述，中國科技人員有能力掌握操作系統核心技術。現在的問題是如何集中力量辦大事，改變過去不合作、助長內耗的局面。我們認為應當從統一國產桌面操作系統版本著手，構建安全可控的信息技術體系及其生態系統。這樣，才有可能逐步打破“Wintel”體系的壟斷，改變我國在這個領域受制于人的局面。

作為一般規律，“軟件是用出來的”。操作系統必須通過市場的良性循環才能發展完善，因此必須實行“市場化引導”。在我國95%以上桌面電腦市場被Windows壟斷的情況下，只能運用政府采購這一小塊市場進行市場化引導，這也是WTO規則所容許的。

現在，有人鼓吹“Win10政府版”，企圖用Windows占領國產桌面操作系統的最后陣地，這除了有極大安全風險外，還將使中國在操作系統上永遠受制于人，無法建成網絡強國。

應當指出，早先中國政府采購對Win8的禁令適用于屬于同一技術架構的Win10；它捆綁微軟可信技術，其內涵違反中國的《電子簽名法》和《商用密碼管理條例》；它也沒有按《網絡產品和服務安全審查辦法》，通過網絡安全審查。至于將“Win10政府版”說成是微軟與我國企業的“技術合作”產品，純屬忽悠。既然中國沒有人懂Windows，微軟已聲明“將保留所有關于Win10的技術知識產權”，而短期內中方幾十號人也不可能消化其海量源代碼，充其量這只是一個穿上“國產馬甲”的“代理銷售”產品而已！

我們相信中國政產學研用各界，一定會發揚“兩彈一星”和載人航天精神，加大自主創新力度，及早解決我們在操作系統上受制于人的問題，為建設網絡強國作出貢獻。

（責任編輯：李曉暉）

TP393.08

A

1001-4225（2017）05-0009-03