网络安全 频道

张焕国:我国可信计算发展趋势探讨

  【IT168 评论】9月11日,日前,RSA信息安全大会成功举办。在本届RSA2012大会上,有幸采访到了武汉大学计算机学院教授张焕国。就可信计算的发展趋势和方向进行了深入的探讨。以下是本次采访的实录:


▲武汉大学计算机学院教授张焕国

  记者:您觉得推动可信计算发展的驱动因素有哪些?

  张焕国:就是社会信息化,各个行业都在用计算机,然而计算机的安全就成了很大的问题。如今,餐馆点菜也用电脑,银行取款也是电子化的,所以整个社会信息化了,而这个信息化的核心就是计算机,所有的控制都是计算机,所以说这个计算机安全的问题就出来了,怎么样提高计算机的安全这就是一个需求,迫切的需求。就是在这样的情况下TC技术,99年是叫TCP,由七家公司发起说要搞计算机安全,后来到了03年发现计算机不够,得要有网络吧,得要有软件吧!可以叫可信技术网络联盟,后来又了,改成可行性技术联盟。

  记者:为什么可信计算目前处于低潮阶段?

  张焕国:主要是三个原因,一个就是说早期主要是完成或者说相对完善的硬件平台,关键的芯片,把这个芯片弄到主板上,PC机这一块比较成熟了,你想给你一个机子什么都不装,你怎么用啊,老百姓不方便啊,缺操作系统,缺网络,缺数据库,还缺应用软件,这些东西都没有,这个与应用就还差一定的距离。为什么我高度评价W8呢?W8里边有很多的方便的应用。W10之后改进了,现在W8成功了,微软自动就把原来的办公软件,加密保护这些都有了,甚至可以做到,我这个报表做好了,别人从你的笔记本上拷走了,但是拷走他也用不了。如果W8能成功这样就好了。有了这样的一个应用,保护就更好了。W8出现是一个好的现象。

  记者:您怎么看待信息安全人才缺失的问题?

  张焕国:现在我们国家已经有90多所大学都建立了信息安全专业了,目前不很准确的统计已经培养的信息安全专业生一万人,是毕业的。武汉大学01年招生,04年就有毕业的了。信息安全人才的培养,从10年开始之后发展非常快。但是信息安全人才的问题,他讲的我基本同意,现在我们人才的培养要解决这些大学办专业,这是一部分,这个信息安全人才他应该是全方位的,第一位重要的我认为是提高我们全民的信息安全意识,我认为这个要做很多很多的工作,这个比我们大学办的专业要难。

  社会的信息安全人才培养是多层次的,刚刚我们介绍武汉大学全国90多个大学都有信息安全本科层次的,学历的教育这一块有了,现在缺什么呢?就是缺非学历这一块的。比如说我就是学通信的,我现在政府部门,或者是国企工作了,这些部门你怎么样来提高他的信息安全意识,你让他具备一定的信息安全技术能力这个可以,就是说信息安全非学历教育很重要,这一块高效率要跟企业联合。因为培养这些人不能按学历教育,按技术各专业一上几年这种说法,不可能。一是让他学他工作当中最急需的,经过半年的培训就能解决一些基本的问题,你不能按照学历这个来培养嘛!这样来补这个缺口。

  记者:我跟一些学校的学生了解了一下,我发现他们很多学生首选还是去政府的部门里边从事安全保障的工作,到企业里头去做的其实很少。

  张焕国:信息安全是这样的,从我们学校毕业的去向比较多的是政府职能部门,因为有很多都要考公务员的,本科的也好、博士的也好、硕士的都有考公务员的,另外就是金融系统,各大银行这样的学生也愿意去,银行业确实需要。另外就是信息安全企业,像软件,网络安全,企业宣传,腾讯的这些宣传企业每年吸纳的人也比较多。也有一些是他虽然不是,企业名称不是说信息安全,但是他学了信息安全和不学信息安全不一样,因为他有了这个意识,也掌握了一些技术了,哪怕他就是坐那儿工作的名称不是叫什么信息安全企业,他在开发软件,在做管理的时候,因为他有信息安全的意识和技术,那么就要比没有学过的人一是要高。

  比如说华为,华为的公司也不叫信息安全,但是这里边涉及到的信息安全的东西非常多,我们的学生到他那儿的也比较多。目前非学历信息安全这一块比较少,我觉得这一块前途还是很大的,如果哪个企业看准了,这是一个很大的市场,是一个商机。

  记者:您刚刚说W8成功之后对可行性计算是越过这个低潮?

  张焕国:为什么说是低潮呢?它83、04年美国国防部出版的橘皮书,叫《信息系统安全等级评价标准》也就是说你的系统我要来测评你,你安全到什么程度了,它分了ABCD四层,然后7个级别,到了D的这个就是不安全的了,像早期的PC机的一个系统,还有W3、W3.0都属于不安全的系统,然后到了C,C有C1、C2,W的XP就属于比较保密的了,然后再晚上B有B1B2,我们说安全操作系统要到了B2以上才是安全的,可测评的。

  记者:您对我们和国外的,不管是政府也好,企业也好,有哪些合作的建议分享?

  张焕国:信息安全不像别的,信息安全我们可以说国际交流,可以国际合作的这个是不限制在设密,我们商用这个范围的东西可以大量的合作,这个实际上我们国家的秘密,涉及到秘密的东西那是不能交流的,也不允许交流,同样的美国人也好,俄罗斯人也好,美国人也好你也不能批评中国,你反过来问他就行了,你把你们的东西也拿来交流,他也不会拿来交流的。就是说不泄密这个方面的是可以交流的,这对大家是有好处的。

  记者:现在对很多的企业来说他们的恶意代码库,就有可能成为他们产品当中的核心技术,然后他们对这些都是比较讳莫如深,不愿意去共享的一个东西?

  张焕国:作为一个企业它涉及到自己的商业利益和知识产权的东西,它是有保守,这个是允许的,也是正当的。但是不涉及到这一块的技术那是应当交流的。你涉及到人家的专利了,经济利益了,对于企业来说是保护自己的经济利益出发,这个也是属于正常的要求,也要尊重人家。同样的我们的企业我也要注意保护我们的知识产权和经济利益是一样的。

  记者:对于信息安全还处于一个基础,我觉得这是必须共享的,反而对于厂商来说应该寻求一种经济发展模式,我不是通过我的核心技术,我是通过厂商之间或者是通过服务来提升我企业的竞争力。刚刚您的观点不是说,如果病毒库涉及到企业的专利不公开,我的观点是其实这些东西我觉得必须是公开,因为它是作为信息安全产业的基础,而厂商应该寻求更多的发展模式。

  张焕国:企业追求经济效益,知识产权,把知识产权申请专利后来产生效益。在变成应用当中企业的利益,我们不是说一流的企业是卖标准,二流的企业是卖什么来者?三流的企业才是卖产品。这个企业有专利有核心技术,假如说他来制定技术标准,他把他的技术标准写到标准当中去,一旦形成了标准了,标准都要遵从,这个技术是属于某一个公司的专利,这样他就坐着拿钱了,其他公司用那就缴钱,所以我们公司也是要,就是我们的标准的建立这个也是企业之间的经济利益和知识产权的一种保护策略。

0
相关文章