信创,即信息技术应用创新,是国家安全可控体系的基础,也是“新基建”的重要内容,已经成为拉动经济发展的重要抓手之一。随着政务领域的成功示范,2020年已成为信创落地元年,相关行业迎来了发展的春天。山西省正致力于将太原打造成为中国主要的自主可控信息产业生产研发基地之一。目前中电子、中电科、中科院、华为四大信息产业巨头已经齐聚山西。政务云计算设备、政府办公电脑已进入快速替换阶段,与之配套的国产化操作系统、基础软件、应用软件、业务软件也迎来了大规模迁移替换。
然而,就国产化软硬件而言,存在部分芯片指令集、操作系统内核、浏览器内核尚未完全自主,大多数应用软件基于开源生态构建等问题,国产计算机软硬件体系在成熟度、安全性方面仍然面临重大挑战。在此背景下,2021年1月9日CCF YOCSEF太原举办了线上技术论坛“数字山西之信创产业落地:如何让自主和安全1+1>2?”
本次论坛邀请了来自信创领域的高校、科研院所、企业界和政府的学者专家围绕山西信息技术应用创新的最新进展、信创产业落地过程中如何平衡自主与安全问题进行讨论。中北大学信创产业学院执行院长秦品乐教授、麒麟软件副总裁李震宁、山西百信信息技术有限公司副总经理兼技术总监唐道光作为引导嘉宾分享了自己的观点。CCF YOCSEF太原AC委员曹晓俊和孙中婵担任本次论坛执行主席。
中北大学秦品乐:未来两年信创产业将迎来黄金发展期,整个产业链将全面受益
中北大学信创产业学院执行院长秦品乐首先发言,他认为,2020年是信创产业全面发展的起点。未来两年信创产业将迎来黄金发展期,整个产业链将全面受益,但是当前的核心技术远未实现安全自主,只有核心技术自主了,才能真正保证信息安全。他还补充到,“自己的”不等于“安全的”,甚至是安全产品也不等于有安全能力;反之,如果利用好开源,可以大大提高软件的安全能力。
针对如何建立新创软件安全体系,秦品乐提出了自己的三点看法:1、整体规划设计体系群策群力实现目标。2、从单领域防御转到全域安全防护。3、完善创新系统产品安全测试体系。他认为,山西信创产业的发展思路应为“企业集聚+平台赋能+应用驱动+群体突破”。只有在以上发展思路的指导下实现聚力突破,才能为信创产业落地提供基石。
麒麟软件李震宁:操作系统作为信息产业中的关键一环,需要完成平台化、安全互联及系统生态环境构建三个步骤
作为奋战在国产操作系统技术创新实践第一线的引路人,麒麟软件副总裁李震宁带来了以“应用创新生态突围 打造安全信创基础软件平台”为主题的引导发言。他认为,操作系统作为信息产业中的关键一环,需要完成平台化、安全互联及系统生态环境构建三个步骤。随后他以金融领域对自主创新产品的需求为例,引出了信息产业操作系统面临“安全”和“漏洞”两个挑战。
在开源软件已经在全球乃至中国广泛应用的背景下,如何客观看待开源软件的安全?从最新的开源软件风险报告中分析得出,在商业软件的检查中没有发现过一例心脏滴血这样严重级别的漏洞。因此,从安全角度看,商业软件较社区版本会具有更多服务保障。
操作系统的生态是当前竞争的关键也是国产操作系统的短板,争夺桌面用户的关键不只是界面还在于生态环境的积累,要依靠资金、人员、伙伴和时间。
山西百信唐道光:多措并举,完善山西信创产业生态难题
第三位引导嘉宾是山西百信信息技术有限公司副总经理兼技术总监唐道光,他带来的题目是“信创产业链生态构建及应用实践”。唐道光指出,信创产业作为新基建的安全之基,与国家十四五规划关系紧密,信创产业能够构建信息技术国内大循环市场,信息技术创新能够推动信息技术产业建设与传统产业现代化转型。
针对信创产业如何落地,唐道光指出当前急需解决的诸多难题:首先应制定相应标准,并引导用户认同,然后构建软硬件协同适配一体化平台,从而实现完整产业链的构建。为构建可持续信创产业环境,应鼓励信创产业人才的教育和培养,并从信创产业链构建过程中的硬件平台种类多、软件平台开发多、具体实践阻力三个方面给出了自己的建议,希望能够更好地完善信创产业生态。
山西在信创产业落地中,可能存在哪些安全挑战?
在人才方面,中北大学秦品乐和百信唐道光都认为人才是信创产业落地山西的关键点。虽然山西已经有本地龙头企业百信,也引进了麒麟,统信等业内知名企业,但是人才匮乏限制了信创产业落地山西。山西大学郭威则从人才培养角度,认为高校专业优质的信创教材非常少,高校与企业交流的机会也非常少。学生往往因为不了解信创产业而不选择从事相关工作,只是根据薪水多少进行职业选择。唐道光进一步补充,高校可以开设一些信创核心课程,科研院所可以根据关键技术进行研发,与企业进行软硬件领域的联合攻关;同时,从人才认证的角度,相关政府部门可以推出一些认证证书,年轻人拿到相关认证后,可以到企业从事相关工作。
从商业运营方面,山西大学郭威、太原科技大学潘理虎和中北大学乔钢柱发表了自己的观点。郭威认为,信创落地不能仅仅依靠政府,也要需要企业的商业模式改革。潘理虎认为企业运营过程中应该更加关注产品本身,进一步提高产品性能,提高我省信创产品的全国竞争力。中北大学乔钢柱认为,安全保障,一方面靠技术,另外一方面靠管理。虽然我们耗费很多精力做技术开发,但是安全体系的管控还需要从业人员的提高意识。从这个方面来看,山西距离北上广深从业人员还有比较大的差距。
马晔补充说,由于国产化操作系统很多资料、文档都不全面,在使用过程中可参考性不高,进而导致自主研发软件中,很多人员对于软件安全概念不强。另外,潘理虎进一步从产业角度,认为面对山西省缺人缺资源的现实情况,更应该集中资金,科研、人才单点突破。
在用户方面,郭威和张向林分析了信创产业落地山西的挑战,郭威认为应该进一步加强宣传,实现普通人能理解的信创;张向林认为很多用户都没有习惯使用国产操作系统,所以在信创产品研发过程中应该体现“用户是上帝”的理念,从用户角度出发进行实现。
国产软件的供应链安全对自主可控有何影响?
山西省超算中心裴向东认为,主要的数据安全应用场景,比如医院,银行,证券等要求保护其客户的数据绝对安全,即使使用了国产化的主机系统,到在数据存储处理流程上还是会选用一些甲骨文等开发的数据库软件。我们在高端应用场景仍然缺少自己真正的平台和行业软件。
山西省科技厅张国业和唐道光都认为安全测试对于自主可控非常重要。山西省科技厅张国业认为从开发过程中的依赖链角度,各种编程语言(Java、python等)还是依赖国外的环境包,国内在进行软件编程的过程中,对于环境的安装包的使用相对随意和无安全测试。因此建议,国家需要对于编程软件的依赖库进行安全测评和安全扫描。唐道光提出高校和科研院所可以考虑对国产软件进行相关合规性的测试,同时也要加强渗透测试队伍的建设,用更具权威性的测试帮助国产软件实现螺旋形上升。
山西百信董事长王宪朝从另一个角度阐述了供应链与自主可控的关系,他认为安全只是信创其中一个环节,最重要的还是整个产业链。先强调自主,才有安全。他以交付的党政办公、军工等敏感领域里的查产品为例,如果相关产业工人有恶意,那么这些产品使用起来非常危险的,因此百信进行了生产过程中的全程监控。从软件层面来说,有些软件是安全和可控的,有些是用开源贴牌,而这些软件风险是非常大的。他提出了倡议,希望有更多的企业加入信创产业中来共同构建生态。
信创产业落地:自主与安全如何协同增益?
针对此辩题,秦品乐认为,应用软件上自主开发未必会带来安全。应用软件上的自主更多基于开源框架,安全很难把控,需要通过测评等方式进行漏洞检测来进一步加强安全。
潘理虎认为,无论什么软件和硬件都存在安全问题,所以安全本身和自主没有关系。目前我国软硬件基本都是自己生产,只是有些关键技术存在夹脖子的情况。现在关键是如何在夹脖子技术上进行突破,只有这样才能真正可控。
李震宁分别从供应链和法律角度进行了阐述。从供应链角度来看,开源软件也会出现断供风险,我们国家一直有这个危机感,所以很早就在进行自主软件的研发。从法律风险角度来看,使用开源软件也要符合法律的规定,在提供给用户使用的过程中,不会因为开源软件许可证的滥用而遭受到法律风险。国内大的开源软件企业,都进行了法律层面的防控。具有一定的防控能力。
张国业从软件的另外一个角度进行了阐述,软件自身的安全主要是经得起频繁使用和业务考验。因此迁移适配,重新开发CS软件,可能会因为没有经得起频繁使用和业务考验带来更多安全风险,盲目推广反而可能造成更多的安全隐患。
欢迎您关注CCF YOCSEF太原微信公众号,和支持CCF YOCSEF太原的各项活动!
如您想与CCF YOCSEF太原进行接洽、交流、报道与合作,请联系我们!
联系人:王中信 (18636830607,yocsef_ty@126.com)