摘要：倪光南院士以中兴事件为例阐明了“网络安全的核心是技术安全”的要义。倪院士表示，新型技术在人工智能、5G、大数据、物联网、云计算、AI等方面我们有相当的后发优势，在世界上也有一定的地位，我们应该迅速补齐短板，继续利用我们的优势实现弯道或者换道超车。指出自主创新是我们攀登世界科技高峰的必由之路。最后表达了通过自主可控达到技术安全，用安全的技术保证网络安全的希望。

倪光南    中国网络安全大会名誉主席，中国工程院院士

中兴事件大家都特别关心。中兴事件对我们的教训是很多方面的，其中比较特殊的，还是习总书记的讲话之中反复强调的，实践反复告诉我们“关键核心技术是要不来、买不来、讨不来的。大国重器一定要掌握在自己手里。”中兴在很多方面，过去没有很好地认识到这方面，遭到的损失很大。

中兴问题暴露出来的供应链问题，也是个安全问题。从网络安全角度来看，有些问题会更加严重。当前政府很多部门都在替代Windows操作系统，替代Wintel体系的工作正在召开。过去桌面操作系统一般都用Windows，现在桌面以外，移动起来了，服务器也用的不是很多，还是一个通用的操作系统。把风险列为8个方面。

1、被监控的风险，最近6月6号是斯诺登事件的5周年，德国总理也被人监控，每个人被监控的风险很大。

2、后门被劫持的风险也很多。

3、网民感到更多的是病毒木马的网络攻击。

4、芯片禁售或者停止服务。

5、Windows10接管了证书、密钥管理。

6、很难加固，安全厂商知道，你的安全软件Windows10上不一定有效。

7、无法打补丁，没有原代码，没有知识产权，发现问题和漏洞基本也没有办法，自己很难发挥主动性。

8、要构建技术体系，我们的芯片，用别人的操作系统，人家不支持你的，你没有办法形成自己的体系，Wintel支持Intel架构的，当然可以用；要用国产的就没人支持你。刚才说的风险，评估了目前桌面上可以拿到的三类操作系统，Win10（Wind10政府版）风险最大。Windows7好一点，因为Windows7没有管密钥、证书，这方面的风险好一点，而且它容易加固。所以，我们认为，Win7比Win10的风险好一些。国产Linux操作系统的风险，除了网络攻击以外，厂商这些问题已经可以控制了，所以不会有这些问题，监控起来就会好得多，除了病毒木马攻击，网络攻击以外，我们主张尽快实现国产操作系统对Windows的替代以及国产体系对Wintel体系的替代。

中兴事件以后，有关部门要求对于相关领域也要检查一下，什么是你的短板，我们应该补齐短板，人才才不能卡你脖子。尽量避免类似“中兴事件”的发生。

网络信息领域，中国这方面整体形势还是不错的，这里列出全世界信息和通信领域上市公司市值排行表，前十家里，美国7家，中国2家，三星1家，华为应该进入这个榜，但因为没上市，华为进去我个人认为比BAT还要高一点，因为华为的产品非常广泛地覆盖了通信、芯片、消费电子类领域，而且华为8万研发人员，全世界没有公司比它厉害。所以，华为进去以后，前十家公司里，美国7家，中国3家，别人还融不进去。客观来讲，中国网信领域，我们处于世界第二位还是比较客观的，没有夸大也不故意降低，这是客观情况。

中兴的短板，我们分析两大块，中兴主要包括芯片。把芯片产业链又分得细一点，没有分得太细，比如测试、封装没有选进去，很多还没有放进去。大体上，可以认为，我们的芯片设计还是可以的，主要的短板是在制造工艺上，目前最好的制造，代工业，中兴国际在世界上排到第五。更差的在材料装备方面，我们的国产化装备是非常低的，百分之十几、百分之二十不到。我们机电工业基本上全部依靠外国，芯片产业还是一个以制造业为代表很大的短板，迅速地普及。

软件方面，我们主要缺了基础软件方面，包括桌面操作系统，移动终端操作系统；此外，还有大型工业软件，CAD、CAM等等都是我们的短板。我们的长板很明显，互联网方面还是可以的，新型技术像人工智能、5G、大数据、物联网、云计算、机器人等等都是可以的，在世界上有一定的地位，当然，美国比我们还是要强，相比其他国家，我们有相当的后发优势，这是我们的长板。我们应该通过中兴事件迅速补齐短板，谈判方面，继续利用我们的优势实现弯道或者换道超车。

按照习总书记最近讲话的要求，我们应当强调网络安全，特别是核心技术是我们最大的命门，核心技术受制于人是我们最大的隐患。中兴事件暴露出，不能有幻想，我们不可能在别人的基础核心技术上发展我们的信息化。中兴事件暴露，即使这个房子再大再漂亮也经不起风雨。这应该要明确，通过中国的自主技术。目前正在进行的，政府部门希望能替代Wintel，目前应该是有可能的，整体从国际潮流来看，Wintel是下坡的。所以，替代Wintel要比替代苹果、Android要容易得多。当然，也很难，但我们相信，现在的潮流是比较合适的替代Wintel的时机。我们也可以克服一些困难，也有办法来保护。

我们替代的对象是Wintel（Windows+Intel），这已经有25年以上的历史，我们现在提出来用什么替代呢？用国产基于开元操作系统和目前比较成熟的三类CPU（申威/飞腾/龙芯），就是国家十多年以来所形成的，申威是太合子（音）用的，飞腾是天河用的，还有龙芯，这三种CPU构成整个国产体系，去替代Wintel，我们希望用这个能实现替代，而且主要问题，目前看来并不是技术问题。操作系统主要是整合的问题，因为国产操作系统有10个左右的100亿美元的公司，而我们的对手是个整体，微软市值7000亿美元，那么大的公司，中国居然七八家还各自为阵，互相内耗，你想怎么可能去替代呢？所以，首先要实现整合，整合以后，技术上其实差异不是很大。

我们特别要强调的是，我们当今替代完全可行的，相信到2020年应该在政府有关领域可以实现替代，目前我们的水平到了可用阶段。三个阶段：不可用–可用–好用，当前中国国产软硬件达到了可用，有些地方达到了好用，比如航天科工的商密网，它有5万左右的用户，2.8万台终端是国产的，后台基本也全是国产的，这样一套规模比较大，几万份日常工作都是基于国产软件、硬件，而且达到了基本好用的程度。按照中办要求的指标是2秒之内，现在基本是1秒之内，个别几项2秒之内。从技术手段来讲，和用Wintel没有多大差别。我们现在老担心国产的不好用，因为我们的市场给垄断，你没机会用，像航天科工集团有决心替代它，你没觉得这个技术差。再举个例子，我们知道，交易型数据库很重要，国际上用TPM，每分钟交易数额来衡量，他们的服务器+操作系统+数据库+中间件+应用起来，跑起来的指标是937万TPM，1000万左右，相当于淘宝“双十一”峰值交易量，相当大。现在轻而易举到了，而且不久他们将会发布更好的数据。这是比较客观的，没有偏向谁，Oracle和X86最新的英特尔白金级的服务系统，用最好的数据库，X86的数据库，最好的，最流行的Oracle加在一起，可以把它们相抵。所以，你不要以为国产的差，因为垄断没机会给你使用，而且他们发展得也快。我这个月讲的，没准下个月他们会发布更新的数据，这是中国目前的情况。主要依靠自主的项目很容易上去，不光是制造，集成电路、制造装备大概也要十年才能赶得上，设计、软件人员都能很快赶上去。

三、自主创新是我们攀登世界科技高峰的必由之路。

北斗给我们很好的榜样，北斗能做的我们也应该能做到。希望大家认识到，中国已经到了现在这个能力，完全有可能在比较短的时间内，在网信领域比较快地可以赶上去，把我们的短板补起来。真正难的，我认为还是回到芯片制造装备，不认为能够几年可以赶上去，像大飞机发动机一样，因为这牵涉到工业的基础，需要相当长时间。但以智力为主的软件技术，芯片技术、芯片设计技术都可以比较快补齐短板。操作系统就不详细讲了，它还是很重要。有人总认为中国不行，说没人懂操作系统，我们不久将看到，中国不仅能看懂、读懂操作系统，而且可以在这方面做出很好的创新。

四、如何达到自主可控？

怎么保证我们技术的安全呢？按照习总书记最近一次讲话，他讲“互联网是新兴技术的产物，网络安全的核心是技术安全”，把网络安全的核心归到技术安全，就是要把技术创新搞好。网络安全决不是依靠制度、规章，人加人就够了，都要保障。假如你的技术不安全，一切全是零，因为你根本没有办法控制。

我们希望，通过自主可控达到技术安全，用安全的技术保证网络安全。怎么保证自主可控呢？自主可控一个先决条件，自主可控不一定安全，但不自主可控一定不安全。首先要达到自主可控，然后要想办法，通过多个方面保证技术安全，还有更多的工作，没有自主可控，不用说，中兴事件就是个教训。中兴没有考虑到这个问题，华为就比较好，搞了自己的芯片。即使自己的产品自己做，差一点你得有备份方案，能够顶上去，关键的时候慢一点也可以，但要顶上去，不能人家一封锁，人家不给你就垮台了，这不行。自主可控包含着供应链可控在内。

我们按照中国工程院陈院长的要求，要实施多维度测评。所谓多维度，就是传统一二项质量测评是常规的，性能加各个方面；安全测评，就是等保、分保所要求的测评、评估和认证。还要加强自主可控评估，单独拿出来，先看看你这个产品能不能过自主可控，供应链、知识产权等等，比如CPU，刚才讲的三家CPU提出的三要素，要评估你这个研制单位是否满足安全保密要求，看你的指令系统是否可持续自主发展，包含我们拿到人家授权，买断或终身买断都可以，但不是到期限不给你，人家可以抨击你。最后，我们希望代码要自己编写，至少完全看得懂，不能买了人家的东西用了之后根本看不懂，出了问题也不知道怎么解决。

大体我们要分成多个指标来评估它，包括供应链、知识产权、能力、资质、发展等等，如果是云服务，我们希望评估知识产权隐私的保护，敏感信息能不能不出境，还有技术体系能不能发展。

最后，我们希望大家再努力，在自主可控方面，政府加大支持的力度，政府加大支持使用推广自主创新技术，企业应该向华为学习，任何时候都要有备份数据，不能把宝全押在哪个进口产品上，进口技术上。个人来讲，也有这个责任，假如替代过程中，国产软件使用情况还不太一样，我们还要能够很好地适应，从安全的角度我们必须工作很有意义。最后达到，通过自主可控达到技术安全，通过技术可控来达到网络安全。