當(dāng)前，隨著網(wǎng)絡(luò)信息技術(shù)的創(chuàng)新發(fā)展和應(yīng)用，網(wǎng)絡(luò)空間不可信問題越來越突出。例如，我國重要領(lǐng)域還在使用國外的基礎(chǔ)軟件和關(guān)鍵設(shè)備，一些國外企業(yè)也在他們的產(chǎn)品中留有“后門”。網(wǎng)絡(luò)主體身份與現(xiàn)實社會身份關(guān)聯(lián)，網(wǎng)絡(luò)主體行為無法追溯到個人和機構(gòu)也帶來了較為嚴(yán)重的問題，使得現(xiàn)在出現(xiàn)了比較普遍的網(wǎng)絡(luò)詐騙、個人信息泄漏等，以及網(wǎng)絡(luò)空間傳播不可信的信息、網(wǎng)絡(luò)服務(wù)提供者不誠信、實施損害用戶利益的行為等。可見，網(wǎng)絡(luò)空間可信是個大的概念，它不僅涉及到網(wǎng)絡(luò)基礎(chǔ)設(shè)施可信，也包括網(wǎng)絡(luò)主體身份可信和網(wǎng)絡(luò)行為可追溯，還包括網(wǎng)絡(luò)應(yīng)用服務(wù)提供者承擔(dān)網(wǎng)民權(quán)益保護、公共秩序維護和法律法規(guī)執(zhí)行的責(zé)任等。

網(wǎng)絡(luò)基礎(chǔ)設(shè)施可信和網(wǎng)絡(luò)主體身份可信是網(wǎng)絡(luò)空間可信的重要前提。網(wǎng)絡(luò)基礎(chǔ)設(shè)施是構(gòu)成網(wǎng)絡(luò)空間的物理基礎(chǔ)，只有網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全可信，網(wǎng)絡(luò)空間安全才有根本保障。網(wǎng)絡(luò)身份是主體參與網(wǎng)絡(luò)活動的基礎(chǔ)，只有網(wǎng)絡(luò)身份可信，與現(xiàn)實社會真實身份相關(guān)聯(lián)，網(wǎng)絡(luò)空間主體之間才能建立信任關(guān)系，實現(xiàn)網(wǎng)絡(luò)空間系統(tǒng)和行為的可信。

網(wǎng)絡(luò)基礎(chǔ)設(shè)施可信是網(wǎng)絡(luò)空間可信的根本保證

網(wǎng)絡(luò)基礎(chǔ)設(shè)施可信根本的問題就是核心技術(shù)自主可控。我們國家最高領(lǐng)導(dǎo)人對核心技術(shù)發(fā)展多次做出明確指示，強調(diào)核心技術(shù)是國之重器，最關(guān)鍵、最核心的技術(shù)要立足自主創(chuàng)新、自立自強；強調(diào)市場換不來核心技術(shù)，有錢也買不來核心技術(shù)，必須要靠自己研發(fā)、自己發(fā)展。在一系列國家科技重大專項的支持下，目前我國核心技術(shù)自主可控取得了顯著進步，處理器操作系統(tǒng)等基礎(chǔ)軟硬件實現(xiàn)了從無到有的根本轉(zhuǎn)變，填補了很多領(lǐng)域的空白，初步具備了自主軟硬件研發(fā)能力，成果在黨政軍項目、社會網(wǎng)絡(luò)安全領(lǐng)域有所應(yīng)用。

當(dāng)前，我國在核心技術(shù)領(lǐng)域發(fā)展有兩種路線。一種是以自主研發(fā)為主。另外一種是以引進消化吸收作為主線。自主研發(fā)具有良好的安全基礎(chǔ)優(yōu)勢，可以避開知識產(chǎn)權(quán)的問題，確實也更加適用于黨、政、軍核心領(lǐng)域的安全。但它的產(chǎn)品性能與國際一流產(chǎn)品存在著差距，特別是產(chǎn)業(yè)生態(tài)不夠完善，難以快速實現(xiàn)產(chǎn)業(yè)化。引進消化吸收的路線更容易吸收借鑒國外的先進技術(shù)，具有良好的生態(tài)環(huán)境，可以迅速實現(xiàn)產(chǎn)業(yè)化。但是，也確實存在著基礎(chǔ)安全隱患。核心知識產(chǎn)權(quán)如果受制于人，基礎(chǔ)安全可控問題是解決不了的。知識產(chǎn)權(quán)問題一直是我們關(guān)心的自主可控的核心問題。在目前的引進、消化、吸收過程中，絕大部分國外公司的做法都是向國內(nèi)企業(yè)提供授權(quán)，很少直接轉(zhuǎn)移知識產(chǎn)權(quán)，一般都是授權(quán)，幾年以后再談。即便是這種授權(quán)，有些廠商為了長遠利益考慮，也沒有在核心技術(shù)和知識產(chǎn)權(quán)上對我國完全開放。何況目前面臨著國外高技術(shù)出口的管控壓力，有些國外的廠家愿意轉(zhuǎn)讓授權(quán)，但本國的出口管制是非常嚴(yán)厲的，很難通過。特別是信息技術(shù)領(lǐng)域收購國外高技術(shù)是困難重重。

存在難以解決的黑盒子問題。國外廠商即便愿意把部分代碼授權(quán)給國內(nèi)，表明了開放合作的態(tài)度，但開放程度是有限的。對一些關(guān)鍵代碼，很難做到完全的公開透明。即便全部開放，短期內(nèi)也很難吃透、看懂，更沒有相應(yīng)的分析機制。微軟自己的人都很難把自己的軟件看明白，從技術(shù)上也是不可行的。

關(guān)于上述兩種路線，業(yè)界確實有不同的認識。有的支持靠自主創(chuàng)新發(fā)展，也有支持引進消化吸收的?，F(xiàn)階段，這兩條路線應(yīng)該共同探索。信息技術(shù)領(lǐng)域引進國外技術(shù)是十分活躍的，IBM、英特爾、ARM等國際巨頭都通過指令授權(quán)、資本合作成立合資公司等，與國內(nèi)企業(yè)建立合作關(guān)系。很多地方政府也大力支持上述合作，中國電子科技集團公司與微軟公司成立合資公司，國內(nèi)企業(yè)引進國外技術(shù)，希望通過引進消化吸收分析和借鑒國外核心技術(shù)，在此基礎(chǔ)上進行再創(chuàng)新，形成具有自主知識產(chǎn)權(quán)的新技術(shù)。我們要強調(diào)的是引進不等于完全能消化吸收并自主創(chuàng)新、獨立發(fā)展。比如，芯片設(shè)計本身是非常復(fù)雜的過程，完全掌握核心技術(shù)再創(chuàng)新是一個長期艱巨的學(xué)習(xí)攻關(guān)過程，絕不是短期內(nèi)使用國外成熟的知識產(chǎn)權(quán)就能夠形成完全自主可控又安全的產(chǎn)品。

對待這兩種路線要辯證的看。市場和金錢換不來核心技術(shù)，必須靠自己研發(fā)、自己發(fā)展，但自主創(chuàng)新并不是什么事情都要自己做，特別是不能關(guān)起門來搞低水平的研發(fā)。同時，引進消化吸收最終的目的還是站在別人的肩膀上，站得更高，進行自主創(chuàng)新，希望能夠消化吸收再創(chuàng)新?？偠灾?，這些都需要我們棄而不舍、長期攻關(guān)。解決核心技術(shù)自主可控的問題，我們的建議：一是要從全產(chǎn)業(yè)鏈整體布局，關(guān)鍵核心環(huán)節(jié)要堅持自主創(chuàng)新；二是加強國家對企業(yè)和地方政府引進國外IT核心技術(shù)的統(tǒng)籌規(guī)劃，建立健全審查審批制度，事先審查，避免以經(jīng)濟效益為唯一指標(biāo)，盲目重復(fù)引進；三是建立健全自主可控的評測認證標(biāo)準(zhǔn)，對已經(jīng)引進或者引進后的IT項目進行分級認證，嚴(yán)格確保黨政機關(guān)、關(guān)鍵行業(yè)的信息安全；四是加強本土信息產(chǎn)業(yè)的生態(tài)體系建設(shè)，確保行業(yè)話語權(quán)。最終能夠建成自主可控、健康健全的信息產(chǎn)業(yè)生態(tài)體系。

網(wǎng)絡(luò)身份可信建立與現(xiàn)實社會真實身份的對應(yīng)和關(guān)聯(lián)

在現(xiàn)實社會中，每個社會成員都有身份，這是個體成員參與社會活動的基礎(chǔ)。網(wǎng)絡(luò)社會中使用網(wǎng)絡(luò)服務(wù)的主體也被賦于了相應(yīng)的身份。無論是電子商務(wù)交易，還是政府網(wǎng)絡(luò)內(nèi)部授權(quán)，確定對象身份都是前提。當(dāng)前，越來越多的國家制定了國家層面的網(wǎng)絡(luò)身份戰(zhàn)略和行動規(guī)劃。2011年美國發(fā)布了《網(wǎng)絡(luò)空間可信身份戰(zhàn)略》，推廣安全有效利用網(wǎng)絡(luò)可信身份，構(gòu)建網(wǎng)絡(luò)空間可信身份生態(tài)體系。歐盟2006年發(fā)布了《2010年泛歐洲電子身份標(biāo)識管理框架路線圖》，提出歐盟全境范圍內(nèi)適用AID電子設(shè)施。很多領(lǐng)先的大公司也積極布局網(wǎng)絡(luò)身份市場，OpenID身份管理平臺、Facebook也在展開一賬號N用途的服務(wù)，任何擁有賬號的人都可以通過賬號登錄其網(wǎng)站。我國也較早地開展了網(wǎng)絡(luò)身份管理工作，制定出臺了《電子簽名法》、《電子認證服務(wù)管理辦法》、《網(wǎng)絡(luò)電子身份標(biāo)識載體功能總體要求》等一批法律規(guī)章和標(biāo)準(zhǔn)規(guī)范，網(wǎng)絡(luò)身份管理取得了積極進展和成效。

首先，國產(chǎn)身份認證技術(shù)產(chǎn)品基本成熟。以非對稱加密算法、散列算法為主的基礎(chǔ)密碼技術(shù)逐漸替代傳統(tǒng)算法?；趪a(chǎn)SM系列的算法產(chǎn)品不斷豐富，基于數(shù)字身份認證技術(shù)日益成熟，涌現(xiàn)了生物特征識別、區(qū)塊鏈、多因素身份認證等新技術(shù)。

其次，我國電子政務(wù)領(lǐng)域基本建立了以PKI為基礎(chǔ)的數(shù)字證書認證體系，覆蓋了稅務(wù)、工商、社保、采購、招投標(biāo)，實現(xiàn)了遠程報稅、電子執(zhí)照、進出口貨物網(wǎng)上申報，縮短了網(wǎng)民辦事時間，提高了辦事效率，讓老百姓真正享受到了互聯(lián)網(wǎng)發(fā)展帶來的實惠。

再之，多模式身份認證在確保電子商務(wù)、網(wǎng)絡(luò)社交等應(yīng)用安全中發(fā)揮了重要作用。很多網(wǎng)絡(luò)應(yīng)用都采用了口令+手機驗證碼、指紋識別、聲紋識別等不同的身份認證。領(lǐng)先的互聯(lián)網(wǎng)企業(yè)基于大數(shù)據(jù)行為分析，架構(gòu)了企業(yè)級的身份認證管理系統(tǒng)，在滿足自身業(yè)務(wù)需求之外，向其他互聯(lián)網(wǎng)業(yè)務(wù)開放身份接口，促進業(yè)務(wù)發(fā)展。

但是，目前我國網(wǎng)絡(luò)可信身份建設(shè)中還存在一些突出的問題。比如，區(qū)域部門業(yè)務(wù)條塊分割的現(xiàn)狀，我國基礎(chǔ)身份資源、網(wǎng)絡(luò)可信身份體系還不能實現(xiàn)互聯(lián)互通和信息共享，重復(fù)認證現(xiàn)象嚴(yán)重，有的企業(yè)為了辦理政務(wù)業(yè)務(wù)不得不申請多個網(wǎng)絡(luò)身份憑證，成本高，使用不方便。不少網(wǎng)絡(luò)服務(wù)提供者過度收集用戶信息，但安全保護工作又跟不上，常常發(fā)生用戶賬號被盜、用戶敏感信息泄漏事件。還有一些網(wǎng)絡(luò)服務(wù)提供者在用戶注冊審核環(huán)節(jié)把關(guān)不嚴(yán)，個人身份很容易被冒用惡意注冊，導(dǎo)致真實的本人反而無法使用網(wǎng)絡(luò)服務(wù)。這些問題都是需要亟待解決的。

2016年11月公布的《網(wǎng)絡(luò)安全法》明確規(guī)定了國家實施網(wǎng)絡(luò)可信身份戰(zhàn)略，支持研究開發(fā)安全方便的電子身份認證技術(shù)，推動不同電子身份認證之間的互認，明確指出了國家可信網(wǎng)絡(luò)身份戰(zhàn)略，并對網(wǎng)絡(luò)可信身份建設(shè)思路做出了原則規(guī)定。要落實法律的要求，加快統(tǒng)籌規(guī)劃，制定實施國家網(wǎng)絡(luò)可信身份戰(zhàn)略是當(dāng)前的一項緊迫任務(wù)。我們建議：一是要構(gòu)建多元開放的網(wǎng)絡(luò)可信身份體系，構(gòu)建兼容多種技術(shù)手段能滿足不同業(yè)務(wù)安全需求的網(wǎng)絡(luò)可信身份體系；二是將不同網(wǎng)絡(luò)可信身份體系的互聯(lián)互通作為基本方向。目前，我國建設(shè)了一大批信息化應(yīng)用系統(tǒng)及關(guān)聯(lián)網(wǎng)絡(luò)可信身份系統(tǒng)，但還不能實現(xiàn)互聯(lián)互通和共享。在實踐中，應(yīng)當(dāng)認真總結(jié)經(jīng)驗，通過研究共性技術(shù)，建設(shè)必要的關(guān)聯(lián)互通支撐系統(tǒng)，將分散獨立的系統(tǒng)打通互聯(lián)，形成有機整體。

自主可控與構(gòu)建網(wǎng)絡(luò)空間可信的關(guān)鍵

自主可控是實現(xiàn)網(wǎng)絡(luò)空間可信的根本，網(wǎng)絡(luò)空間是由各種軟硬件設(shè)備為基礎(chǔ)構(gòu)成的，核心技術(shù)產(chǎn)品的自主可控是網(wǎng)絡(luò)空間可信的根本，掌握核心技術(shù)有利于網(wǎng)絡(luò)空間可信。例如，在核高基項目，利用掌握了對CPU及其套片的設(shè)計技術(shù)，將可信根做在了硬件，同時硬件支持可信鏈的動態(tài)度量。還有最新的技術(shù)，從可信安全架構(gòu)上來講，英特爾XGS可信安全架構(gòu)，只信任CPU本身是安全的?；赬GS的強安全工作模式可以從頁表、分值預(yù)測等部件進行計算環(huán)境的保護，涉及到CPU內(nèi)部結(jié)構(gòu)的功能部件的可信。英特爾在物聯(lián)網(wǎng)、移動終端戰(zhàn)略上，強調(diào)硬件可作為一種方式來改善相關(guān)技術(shù)及其實施。目前，它的兩大弱點就是信任和安全性。2017年10月份，ARM推出的安全可信架構(gòu)PSA用于打造安全的互聯(lián)設(shè)備，這一全新的架構(gòu)包含了安全部件、可編程安全核心和一條安全條數(shù)通道，為廣大采用ARM架構(gòu)的物聯(lián)網(wǎng)設(shè)備提供了可靠的安全保障。沙箱能不能做在CPU里，硬件做多余的盒子。這比軟件在現(xiàn)有硬件上的可信性更強。可信身份認證同樣是英特爾的XGS技術(shù)，實現(xiàn)了在線連接。在CPU硬件XGS受保護驅(qū)動存儲密鑰，雙因子身份認證僅僅使用MPC就可以。蘋果最新的iPhoneX搭載強大的AII生物神經(jīng)網(wǎng)絡(luò)引擎芯片，主要功能是識別身份認證功能，快速進行面部識別。掌握了核心技術(shù)，可以從基礎(chǔ)上做好可信。鄔賀銓院士提出的擬態(tài)概念非常好，但落實在工程上需要做很多工作。如果掌握了核心技術(shù)，對擬態(tài)是非常好的支撐。真正構(gòu)建安全可信的網(wǎng)絡(luò)，不掌握核心技術(shù)是不可能的。

另外一個方面來講，可信也能夠促進自主可控的發(fā)展。在網(wǎng)絡(luò)空間中，不僅每一個自然人、每一家法人有身份，每一臺設(shè)備、每一種應(yīng)用也應(yīng)該有相應(yīng)的身份。與自然人、法人之間建立信任關(guān)系一樣，網(wǎng)絡(luò)空間中的設(shè)備之間、應(yīng)用之間也存在信任問題。目前，已經(jīng)有機構(gòu)通過簽發(fā)設(shè)備證書建立對軟硬件設(shè)備身份驗證機制，建立信任環(huán)境。很多電子認證服務(wù)機構(gòu)簽發(fā)的服務(wù)器證書，在網(wǎng)站服務(wù)器上部署的設(shè)備證書，實現(xiàn)網(wǎng)站身份驗證和數(shù)據(jù)加密傳輸雙重功能。在建立設(shè)備等實體關(guān)系中，還有一種通過可信認證方式進行。比如，Win8系統(tǒng)加強了環(huán)境信任的檢驗。任何軟件產(chǎn)品和硬件接入都要通過微軟體系的可信認證，不許未經(jīng)授權(quán)的修改。這種做法對整個自主可控產(chǎn)業(yè)而言具有極大的影響，可以實現(xiàn)對微軟整個產(chǎn)業(yè)鏈各個環(huán)節(jié)的嚴(yán)格掌控，導(dǎo)致我國發(fā)展的主導(dǎo)權(quán)喪失，自主可控產(chǎn)業(yè)發(fā)展將難以有立足之地。自主可控產(chǎn)業(yè)發(fā)展需要通過相應(yīng)的機制建立類似的可信系統(tǒng)，通過對軟硬件產(chǎn)品進行可信認證，使得本國企業(yè)能夠掌控產(chǎn)業(yè)生態(tài)的主導(dǎo)權(quán)。

關(guān)注讀覽天下微信， 100萬篇深度好文， 等你來看……