您好,欢迎访问三七文档
当前位置:首页 > IT计算机/网络 > 数据挖掘与识别 > 软件正版化与信息安全-倪光南院士
软件正版化与信息安全2014年地方政府机关软件正版化工作培训班倪光南2014年10月17日北京一、我国软件正版化的进展22006-2013年各口径软件盗版率变化趋势来源:“中国软件盗版率调查”研究项目组我国软件盗版率逐年明显下降八年来(2006-2013),软件盗版率逐年明显下降。相对于软件产业的价值盗版率由2006年的24%下降至8%,相对于软件产品的价值盗版率由2006年的53%下降为22%。按当年安装的应付费计算机软件套数计算,盗版率由2006年的63%下降为34%;按全部安装套数计算,盗版率由2006年的20%下降为11%。来源:“中国软件盗版率调查”研究项目组3BSA夸大我国软件盗版率4商业软件联盟(BSA)历来夸大我国的盗版率,为了揭示真相,从2006年起,国家知识产权局委托超元实验室和互联网实验室共同承担软件盗版率调查课题。该课题组每年发布我国盗版率统计,并公开我们的计算方法和基本数据,以正视听。相比之下,BSA却始终没有公开他们的计算方法和基本数据,他们公布的很高的盗版率数据缺乏公信力。经过这些年的较量,BSA的软件盗版率调查于2012年中止。我国软件盗版率下降的主要原因(1)正版化工作成果得到有效巩固;(2)国产低价和免费软件应用日趋普及;(3)手机网民的快速增加减少了个人用户对于计算机软件的依赖;(4)软件销售渠道的多样化给消费者带来了便利。5来源:“中国软件盗版率调查”研究项目组课题组提出的政策建议(1)把软件正版化工作提高到国家信息安全高度,在巩固软件正版化成果上,扎实推进企业软件正版化工作。(2)针对手机网民的快速增长,应及时制定防止手机软件盗版的预案。(3)重视农村地区的正版软件推广和服务。(4)扶持民族软件企业,促进良性竞争。(5)积极宣传软件产权保护的成果,营造良好的舆论氛围,树立良好国际形象。6来源:“中国软件盗版率调查”研究项目组二、软件正版化和信息安全党的十八大提出“要高度关注网络空间安全”,三中全会成立了中央网络安全和信息化领导小组,这标志着我国网络空间安全国家战略已经确立。不久前习近平主席指出:“没有网络安全就没有国家安全,没有信息化就没有现代化。”这是在新的历史时期我国信息领域工作的指导方针。现在,网络空间已成为国家继陆、海、空、天四个疆域之后的第五疆域,与其他疆域一样,网络空间也需体现国家主权,保障网络空间安全也就是保障国家主权。7网络安全(或网络空间安全)的内涵信息安全。它是网络安全的最重要内涵,保障网络主权就应保障信息主权。IT(信息技术)安全。包括关键核心技术、信息基础设施、相关硬件软件技术……的安全。在IT安全方面,我国目前应及早解决在关键核心技术和设备上受制于人的问题。OT(运作技术)安全。包括法规、标准、制度、管理……物理安全。指与技术无关的安全。IoT(物联网)安全。……参照Gartner8网络安全的内涵图示(数字安全是网络安全在数字业务中的体现)来源:9数据安全治理:数据存取治理;数据库审计和保护;数据丢失防止;数字版权管理;移动数据保护。数据安全治理是信息安全治理的基础来源:1011参照Gartner网络主权与自主可控基于现在我国公众使用的网络是接入因特网的,在基础资源方面不能自主可控(如根服务器及域名解析、地址分配等等),所以对国家主权、安全、发展利益提出了新的挑战,必须认真对待。习主席指出:“各国都有权维护自己的信息安全,不能一个国家安全而另一部分国家不安全,更不能牺牲别国安全谋求自身所谓绝对安全”。因此,除了通过积极有效的国际合作,共同构建和平、安全、开放、合作的网络空间的努力外,我们应当在未来网络架构、网络基础设施和网络应用服务等各方面,努力实现自主可控,以维护我国的网络主权。12网络安全、信息安全不同于传统安全传统安全是在自然环境下的安全,这种环境下不存在人为对抗,而网络安全、信息安全是在对抗环境下的安全,一般存在着人为对抗,形成攻防两方。在英语中,传统安全的“安全”用“Safety”,而网络安全、信息安全的“安全”用“Security”。不过在中文中,一般不区分两者,有的场合则需要将“Security”翻译成“保安”。传统安全往往可以度量、预测、态势较少变化,而网络安全、信息安全取决于对抗情况,往往难以度量、预测、态势快速变化。13自主可控是保障网络安全、信息安全的前提正因为网络安全、信息安全存在着攻防两方,所以关键核心技术设备、信息产品和服务等的自主可控,是保障网络安全、信息安全的前提。自主可控的好处:信息安全容易治理、产品和服务一般不存在恶意后门并可以不断改进或修补漏洞……。反之,不能自主可控就意味着具“他控性”,就会受制于人,其后果是:信息安全难以治理、产品和服务一般存在恶意后门并难以不断改进或修补漏洞……。14自主可控的内涵通常我们认为某项信息技术、产品、服务或系统是自主可控的,可以包含以下内容:1.知识产权自主可控2.能力自主可控3.发展自主可控4.满足“国产”资质151.知识产权(包括标准)自主可控在当前的国际竞争格局下,知识产权自主可控十分重要,做不到这一点就一定会受制于人。如果所有知识产权都能自己掌握,当然最好,但实际上不一定能做到,这时,如果部分知识产权能完全买断,或能买到有足够自主权的授权,也能达到自主可控。然而,如果只能买到自主权不够充分的授权,例如某项授权在权利的使用期限、使用方式等方面具有明显的限制,就不能达到知识产权自主可控。目前国家一些计划对所支持的项目,要求首先通过知识产权风险评估,才能给予立项,这种做法是正确的、必要的。标准的自主可控似可归入这一范畴。162.能力自主可控能力自主可控,主要指技术能力的自主可控,这意味着要有足够规模的、能真正掌握该技术的科技队伍。技术能力可以分为一般技术能力、产业化能力、构建产业链能力和构建产业生态系统能力等层次。产业化能力的自主可控要求使技术不能停留在样品或试验阶段,而应能转化为大规模的产品和服务。产业链的自主可控要求在实现产业化的基础上,围绕产品和服务,构建一个比较完整的产业链,以便不受产业链上下游的制约,具备足够的竞争力。产业生态系统的自主可控要求能营造一个支撑该产业链的生态系统。173.发展自主可控有了知识产权和能力的自主可控,还需要有发展的自主可控,因为我们不但着眼于现在,还要求在今后相当长的时期里,对相关技术和产业而言,都能不受制约地发展。这里会涉及哪些问题,还需要进行深入探讨。为此,根据我国具体情况,当前要着眼国家安全和长远发展,制订信息核心技术设备的发展战略。如果某些技术在短期内似乎能自主可控,但长期看做不到自主可控,一般说来是不可取的。只顾眼前利益,有可能会在以后造成更大的被动。184.满足“国产”资质一般说来,“国产”产品和服务容易符合自主可控要求,因此实行国产替代对于达到自主可控是完全必要的。不过现在对于“国产”还没有统一的界定标准。某些界定标准显然是不合适的。例如:只要公司在中国注册、交税,就是“中国公司”,它的产品和服务就是“国产”;“本国产品是指在中国关境内生产,且国内生产成本比例超过50%的最终产品”。显然,这样的标准完全不适用于高技术领域。美国国会在1933年通过的《购买美国产品法》,要求联邦政府采购要买本国产品,即在美国生产的、增值达到50%以上的产品,进口件组装的不算本国产品。美国采用上述“增值”准则来界定“国产”,比较合理。19满足“国产”资质(续)现在实际上大多根据产品和服务提供者资本构成的“资质”进行界定,包括内资(国有、混合所有制、民营)、中外合资、外资等,如果是内资资质,则认为其提供的产品和服务是“国产”的。由于历史原因,中国网络公司很多是外资控股,为了改进资质,有的引入了“实际控制人”概念,即在公司章程中规定,某人具有特殊投票权,例如某董事的1票=10票,那么他在10人董事会中就享有了控制权。不过,对这种做法存在着争议。实际上光考察资质可能不够。建议“国产”的界定既考察其资质,又用“增值”准则加以评估,因为如某项产品和服务在中国的增值很小,意味着它可能就是从国外进口的,达不到自主可控要求。这里,说明了“国产”不等同于自主可控,也提出了更全面地界定“国产”的建议。20开源软件和自主可控运用开源软件进行开放创新、协同创新,是当前世界潮流。知识产权自主可控对于开源软件而言,就要做好:遵循开源许可证。要求相关科技人员融入开源社区,掌握开源软件,与全世界开源人士进行开放创新、协同创新。与支持开源社区的商业公司建立适当的商业关系,处理好商业利益问题。正确运用开源软件往往能以较小的代价达到知识产权自主可控和技术能力自主可控,但还需做到关于自主可控的其他各项要求。这里,说明了运用开源软件不等同于自主可控,也说明了正确运用开源软件的好处。21在自主可控基础上努力增强网络安全、信息安全小结:自主可控是达到网络安全、信息安全的前提,但这只是必要条件而非充分条件。如果做到了自主可控,就有可能在此基础上采取各种措施去增强网络安全、信息安全。这些措施包括系统的、技术的、管理的、立法的等等:系统的,如可信计算、拟态计算……技术的,如防火墙、漏洞扫描……管理的,如物理隔离、权限分配……立法的,如数字签名法、电子商务法…………总之,我们应强调自主可控,并在自主可控基础上,加大自主创新力度,采取各种措施,不断地增强网络安全、信息安全。22鼓励基于国产软件推进软件正版化国产软件一般满足自主可控的要求,有利于增进信息安全。国产软件价格低,有利于推进正版化,进一步降低软件盗版率。推广国产软件能扩大国产软件市场,促进本国软件业的发展。推广国产软件能增加对软件开发和维护人才的需求,提高软件人才就业率。使用国产软件有助于增强民族自信心。总之,基于国产软件推进软件正版化有利于信息安全和推进信息化。23对软件正版化形势的展望软件盗版率在今后一些年里将会持续降低:软件的商业模式从“收取授权费”向“免费使用/收取服务费”转变。移动终端的比重不断增大。软件服务化(SaaS)继续发展。国产软件业发展壮大,国产软件比重增大。增强信息安全,实施国产软件替代进口软件。国民收入增加。国家推行正版化力度加大,国民正版意识增强。24三、以国产操作系统替代Windows云计算环境下的操作系统(OS)主要可分成三类:1.服务器和云计算中心使用的操作系统。这类操作系统在数据中心/云计算中心使用,向用户提供各种服务;2.智能终端操作系统。用于各种智能终端,包括PC、智能手机、平板电脑、可穿载设备、车载电脑、机顶盒、智能电视……;3.嵌入式操作系统。用于工控设备、物联网设备和消费电子设备等等。2526中国桌面操作系统被微软Windows垄断的情况:以WindowsXP为主,Windows7次之(2014Q2)。(来源:缔元信)中国智能终端操作系统实施方案发展中国智能终端操作系统是为了解决在这一关键核心技术上受制于人的问题,应着眼国家安全和长远发展,召集有关部门和单位,积极制订信息核心技术设备的战略规划。要吸取过去一些科技计划搞“撒胡椒面”的支持方式,导致创新资源碎片化,助长内耗而不能形成合力的教训,现在我们应当发扬“两弹一星”和载人航天精神,加大自主创新力度,这就是要以举国之力发展一个系统,而不是分散力量搞多个系统,要使中国的智能终端操作系统成为世界上继苹果、谷歌和微软后的第四家系统。我们的工作要立足于自主创新,除了推进科技创新外,还需要推进产品创新、产业创新、品牌创新和商业模式创新等。27组建智能终端操作系统产业联盟目前中国单个企业还无力承担起发展智能终端操作系统的任务。应吸取“北斗”和“TD”等产业联盟的经验,进行产业创新,发挥市场在资源配置中的决定性作用,通过组建“中国智能终端操作系统产业联盟”(“联盟”),在中央网络安全和信息化领导小组办公室的指导下,整合中国各界资源,协同创新,承担起这一任务。联盟可吸收民间资本,设立便于支持开源软件
本文标题:软件正版化与信息安全-倪光南院士
链接地址:https://www.777doc.com/doc-4275597 .html