网络信息安全“去外资”转向

2016-08-12 10:06:40

□本刊记者 梁辰/文

持续两年左右的强硬政策后,中国政府有意对外资IT企业网开一面,允许它们以合作的模式将产品或技术引入此前因安全问题而锁死的禁区。这可能是自“棱镜门”事件爆发以来,中国政府在涉及信息安全的政策尺度上最大的放宽。

6月,苏州中晟宏芯信息科技有限公司(下称“中晟宏芯”)宣布永久获得IBM服务器处理器芯片Power 8的授权,可在此基础上更换国产安全模块,以符合中国政府在安全方面的监管要求。中晟宏芯称,正在与中国多家潜在客户进行谈判,包括一些对信息安全度更高的政府部门和重要行业。

今年以来,在信息安全领域,中外产业合作落地的消息接踵而至,涉及处理器芯片、操作系统等多个核心领域。在此之前,因担心留有不安全隐患(业内称之为“后门”),中国政府一度要求政府部门和重要行业在采购时杜绝外资IT企业产品,并引导核心部门采用国产自主产品替代当前使用的设备。

4月19日,在网络安全和信息化工作座谈会(下称“419讲话”)上,中共中央总书记、国家主席、中央军委主席习近平表示,对于关键核心技术项目,“可以探索搞揭榜挂帅”、“英雄不论出处”;成立核心技术研发投资公司,有利于解决上游企业技术推广应用和下游企业“缺芯少魂”问题,但他同时强调,“金融、能源、电力、通信、交通等领域是网络安全的重中之重”。

多数公司管理层和业内专家表示,“419讲话”是现阶段对中国网络安全自主可控定义最明确的回答,也是未来一段时间影响市场变化的主要因素。这意味着,合作模式带来的新玩家将加入产业竞争,也将打破此前采用绝对国产自主产品控制的市场平衡。

最终政策口子能开多大,目前难以预测。如何捍卫信息领域国产自主产品安全可控的问题,仍将是下一个阶段的产业焦点。

两条腿走路

中国政府对网络及信息安全意识的提升,是从“棱镜门”事件爆发后。2013年,爱德华·斯诺登向媒体曝光了美国国家安全局一项自2007年起开始实施的绝密电子监听计划,这令中国政府一度感到紧张:一方面就安全问题对美国公司展开调查,另一方面成立中央网络安全和信息化领导小组,将网络及信息安全上升至国家战略。

中国政府不仅在采购上做出严格的限定,相关法律政策也紧锣密鼓制定出台。针对政务、银行、公安等垂直细分领域,要求更为严格。新的《国家安全法》首次以法律的形式将网络空间上升为第五疆域,明确指出“保障网络空间安全就是保障国家主权安全”。

受到该政策影响的主要是美国IT公司,它们的IT核心技术全球最强,而中国是美国公司最大的市场,不过,去年的数据表明,包括IBM、思科、Oracle、EMC等美国公司,在涉及计算机系统核心技术领域的业务量均锐减。

中国大型网络公司,比如阿里巴巴,也将“去IOE运动”升级,从原有单纯为满足业务需要,转向技术不再受制于人,且提升安全性的目的。IBM是服务器提供商,Oracle是数据库软件提供商,EMC则是存储设备提供商,三者构成了一个从软件到硬件的企业数据库系统。在这场运动发生前,由这三驾马车构成的数据库系统,占领了全球大部分商用数据库系统的市场份额。

这一情况在2015年以后开始逐步改观。一种中国政府部门推动,中美两国企业达成合作的模式正在成为解决信息安全问题的主要方法。最典型的合作案例是,2015年12月,微软公司与中国电子科技网络信息安全有限公司(下称“中国网安”)成立合资公司,为中国政府和关键基础设施国有企业研发专版Windows操作系统。

成立合资公司之前,中央国家机关政府采购中心曾要求,中央机关采购计算机禁止安装微软前代操作系统Windows 8。有消息称,当时成立仅七个月的中国网安的加入,并持股51%,就是为了确保专版操作系统得以进入中国政府、国有企业以及军队的采购渠道。此外,国家互联网信息办公室、国家发展改革委,工业和信息化部(下称“工信部”)等中央级部委均参与推动这项合作。

处理器芯片等其他核心产品市场,也参考了这一模式。1月17日,高通公司与贵州省政府在北京宣布,成立合资公司贵州华芯通半导体技术有限公司,贵州华芯通由贵州省政府控股,中方掌握了主导权,但获得高通和ARM公司授权的服务器技术。按照规划,这家公司研发和生产的ARM服务器将得到一部分中国政企核心市场。

英特尔、AMD等公司紧随其后,分别宣布与政府部门、高等院校和企业成立合资公司或研发联合体,工信部以及部分地方政府参与推动项目落地。

改变“安全”惯性意识

默许合作模式背后,是中国政府对网络和信息安全认识的变化,首先要解决可用的问题。“419讲话”上,中国政府高层已经认可关于发展核心技术的两条路径:一条是“关起门来搞创新”,另一条是“开放合作站在巨人肩膀上”。

中科曙光总裁历军告诉《财经》记者,在另一个更小规模的会议上,一位金融领域的官员甚至提出,“落后才是最大的不安全”这一全新认识。

西安电子科技大学网络与信息学院杨超副教授解读称,合作开放并不意味着中国政府打开对安全的自主可控要求,而是中国在核心领域的设计、制造和生产环节处于相对落后,而自主研发又需要多年实践积累、大量资金投入和完善的产业链。如果继续沿着“完全国产化”的思路,可能造成两个后果:既不能保证真正的安全,又错失发展机遇。

在复杂的企业应用环境下,系统搭建的所有环节均采用国产自主产品,并不意味着带来期望的正向效果。此前政府和中国公司的尝试大多以失败告终。

中国电子2011年启动的“网络安全系统工程”就是一个典型的案例。该公司董事长芮晓武回忆称,当时中国电子将国产芯片、服务器等集成到一个系统并适配优化后,却发现这个系统的反应速度仍比英特尔完整系统慢十倍。

2015年,龙芯中科发布了3A2000、3B2000两款四核处理器,分别面向桌面和服务器市场。该公司总裁胡伟武展示的数据表明,在相同主频下,其新品与2010年的英特尔酷睿i3 550性能相当,性能约为英特尔2014年生产的酷睿i5 4660的60%-70%。

但使用过龙芯的一位国产服务器厂商产品负责人告诉《财经》记者,“龙芯的性能和稳定性其实难以满足需求,我们也得吃饭,也得选择更好的产品。”

那么,如何在使用非国产芯片的基础上保证安全可控?信息工程研究所信息安全国家重点实验室林东岱主任告诉《财经》记者,“以IBM开放架构给中国厂商为例,我们可以用国产的安全模块替换生产。”

从做大到做强

从市场角度来看,此前数年的信息安全导向成就了一批国产IT公司,尤其是芯片领域。

龙芯、飞腾、申威等国产芯片发展得到了中国政府“核高基”(指核心电子器件、高端通用芯片及基础软件产品)专项、国家863计划等资金支持。尤其是“棱镜门”事件后中国政府对安全的管控,使得作为国家信息安全重要保障各个环节的公司普遍受益。

在此期间,一批国产IT企业收入激增,股票疯涨。从2014年11月上市到2015年中旬,中科曙光股价增长31倍;浪潮信息、华胜天成等企业,在2014年、2015年上半年的财报收入、利润增长均超过100%,同时2013年底至2015年5月,股价也创造了超过200%的增幅。

胡伟武披露数据显示,近三年来,龙芯中科业务收入不断增长:2013年开始有小规模收入;2014年收入增长51%,亏损规模缩减58.3%;2015年收入增长57%,首次实现小幅盈利;预计2016年收入仍将保持双位数增长。

如果没有意外,龙芯中科接下来的计划是,在2020年前后至少登上创业板。这就要求,该公司必须在未来两年里继续保持盈利的高速增长。

不过此时引入外资企业,使得享受了两年多政策红利的国产IT公司产生了畏惧。

在数月前举行的中国计算机大会上,谈到关于国内芯片市场的问题时,胡伟武曾说:“政府应该干啥,应该在黑暗森林里围个篱笆墙,构建一个小森林,把国外芯片挡一挡。”尽管胡伟武日后回应称是呼吁政府加强监管,界定何为自主可控的芯片,但外界普遍认为,龙芯中科期望得到政策保护。

可以预见的是,随着政府放开这个口子的趋势成型,国产和混血之间的洗牌竞争将不可避免。

Gartner分析师田宇表示,对于自主安全可控的解读权掌握在政府手中,以后可以收紧,也可以放松,当前的状态是大家做做看,然后再来引导产业。

但有关政府部门的底线在哪里,目前来看尚未可知。

一个变量是,目前不同政府部门对自主安全可控的界定仍有分歧。可以看到的是,引领经济发展的产业部门和地方政府,积极引入外资技术,但负责国家安全相关的军队主管部门和机要部门仍强调自主。

一些政府官员相信,即使完全的物理隔离,并拆掉无线通信模块,信息仍有泄露的可能。

因此业界人士推测,中国有关政府部门不会将自己核心安全管控置于别人手中,所以会出台多种条件、约束或规范 ,提前预防可能存在的后门危害。也就是说,未知的潜在风险可能对政府安全政策做出影响。

6月15日,卡巴斯基实验室宣布发现地下黑市xDedic——贩卖全球超过7万台被感染服务器权限。根据目前掌握的信息,中国位列受影响最严重国家第二名,波及政府、运营商等机构。

本刊记者 梁辰/文
外资 网络 信息