【正文】 分也是依賴進(jìn)口的。另外對于操作系統(tǒng)、數(shù)據(jù)庫、服務(wù)器和存儲設(shè)備，我國的自主力更低了，這主要看核心的技術(shù)，比如在操作系統(tǒng)這塊，%，數(shù)據(jù)庫還不到5%，服務(wù)器相對來說好一點(diǎn)，%，對于存儲設(shè)備，%。那么從這個數(shù)據(jù)上可以看核心的東西，信息和產(chǎn)品設(shè)備的擴(kuò)充大腦的操作系統(tǒng)，以及芯片都是依賴國外的。從芯片集中鍵位這個角度來看，我國的高端芯片應(yīng)該是95%以上都是依賴進(jìn)口的。但是通用芯片對外的程度也達(dá)到80%左右。從芯片這塊，因為整個市場上1萬多億美元的銷售規(guī)劃，但是中國在國內(nèi)能夠生產(chǎn)也僅僅是2000多億而已，也有七八千億的芯片都是依賴進(jìn)口。另外對工業(yè)控制系統(tǒng)，前兩年在工信部信息安全系統(tǒng)司的組織下，我們對這幾個行業(yè)進(jìn)行了一個摸底調(diào)研。比如我們對鋼鐵、有色、化工還有裝備制造四個行業(yè)進(jìn)行了一個信息安全檢查的調(diào)研。但從調(diào)研的數(shù)據(jù)來看，從數(shù)控機(jī)床來看，西門子、馬扎克占據(jù)了5個市場，80%以上的份額；SCADA這個系統(tǒng)，%，%，%，在排名前十位的硬件廠商中有8家為國外廠商。分布式的DCS系統(tǒng)當(dāng)中，年銷售額100億以上的大型企業(yè)的DCS系統(tǒng)國產(chǎn)化的不到20%，國外知名品牌如西門子、霍尼韋爾等產(chǎn)品在大型、關(guān)鍵項目當(dāng)中的優(yōu)勢是非常明顯的，在咱們最常用的和編程邏輯控制機(jī)POC這個系統(tǒng)當(dāng)中，可編程邏輯控制器（PLC）系統(tǒng)中，國外廠商幾乎壟斷了國內(nèi)市場，占據(jù)了99%以上的份額，其中西門子占據(jù)近一半的市場。從這四各行業(yè)的統(tǒng)計數(shù)據(jù)來看，大家可以看形勢還是非常的嚴(yán)峻。那么還有其他的一些數(shù)據(jù)，比如說在互聯(lián)網(wǎng)核心資源，互聯(lián)網(wǎng)核心資源是域名解析服務(wù)器，目前全球有13臺根服務(wù)器，其中10臺位于美國、2臺分別位于歐洲的英國和瑞典、1臺位于亞洲的日本。在整個互聯(lián)網(wǎng)解析這塊，我國的話語權(quán)應(yīng)該說是零話語權(quán)，在這塊主要的掌控權(quán)是在美國。那么從這個產(chǎn)業(yè)這一塊來看，應(yīng)該說這個產(chǎn)業(yè)的實(shí)力差距還是非常大的。信息安全與信息基礎(chǔ)產(chǎn)業(yè)緊密結(jié)合，我國信息安全問題的根源在于技術(shù)產(chǎn)業(yè)的落后，如，雖然我國當(dāng)前通信產(chǎn)業(yè)相對比較先進(jìn)，達(dá)到世界先進(jìn)水平，但是仍離不開國外零部件。在這給大家舉個例子，剛才也提到了，華為是讓我們每個人都感到非常驕傲的企業(yè)，我感覺華為確實(shí)做得很棒，但問題就在于華為的電信設(shè)備中關(guān)鍵的一些芯片，關(guān)鍵的一些零部件還是需要從美國采購。假如說，美國不給華為提供零部件的話，我估計華為的設(shè)備可能一臺都出不來。大家可以想像，就華為技術(shù)創(chuàng)新能力這么強(qiáng)的一個企業(yè)，它的整個供應(yīng)鏈這個環(huán)節(jié)當(dāng)中最主要的還是依賴美國，可以想想，其他的一些企業(yè)的這種對外依賴程度。所以我國的產(chǎn)業(yè)實(shí)力的差距不僅僅是在操作系統(tǒng)和芯片上，應(yīng)該說我國的關(guān)鍵的一些技術(shù)含量比較高的或者價值比較高的東西，現(xiàn)在我國對國外的依賴程度確實(shí)還是非常大的。另外還有雖然說我國現(xiàn)在已經(jīng)提出來了要去IOE化，就IBM去IOE化，相對來說就是推國產(chǎn)化的一些東西，但從目前來看，雖然說高層領(lǐng)導(dǎo)也意識到，現(xiàn)在對國外跟隨型的這些問題肯定是有問題的，但從現(xiàn)在來看的話，這個國產(chǎn)化的替代還是非常艱難。目前少數(shù)設(shè)備可以實(shí)現(xiàn)自主，但是技術(shù)體系并沒有改變，而且經(jīng)過多年的發(fā)展已經(jīng)產(chǎn)生了非常嚴(yán)重的“路徑依賴”，如銀行，IBM軟硬件高度耦合，更換現(xiàn)有信息系統(tǒng)體系幾乎已經(jīng)不可能。就是說現(xiàn)在的IT產(chǎn)品跟其他的東西也是一樣的，它的慣性是非常強(qiáng)烈。如銀行系統(tǒng)是采用IBM的一些架構(gòu)、一些體系，讓它性能發(fā)揮比較好的話，它可能都要采用IBM東西。如服務(wù)器或者一些關(guān)鍵設(shè)備，它可能要采用IBM的東西，它的硬件和它的整個體系架構(gòu)或者這個系統(tǒng)耦合性這個性能發(fā)揮比較好，采購日本的一些東西可能系統(tǒng)的尖銳性就比較差，大家可以想一想要把它替換掉，是多么難的一件事情，除非是完全推倒重來。但是現(xiàn)在來看，推倒重來的機(jī)會已經(jīng)沒有了。所以說國產(chǎn)化的替代這個想法是好的，但現(xiàn)在這個慣性是非常強(qiáng)，要實(shí)現(xiàn)完全國產(chǎn)化替代的這樣一個目標(biāo)現(xiàn)在還非常困難。（五）技術(shù)實(shí)力較弱，應(yīng)對安全威脅面臨挑戰(zhàn)從這個技術(shù)實(shí)力來看，我國是缺乏自主體系。從最近我們在幾個專家在討論過程當(dāng)中，我也感覺到中國的核心問題確確實(shí)實(shí)是現(xiàn)在為什么會導(dǎo)致這樣的問題，所以我們現(xiàn)在感覺中國的這個技術(shù)是跟隨型的，或者中國在技術(shù)上一二十年以來，不僅僅是IT產(chǎn)業(yè)，包括汽車工業(yè)，其他地方都有類似這樣的一些失敗的教訓(xùn)。我國現(xiàn)在基本采用跟隨型的，尤其是在IT產(chǎn)品里邊，我國沒有什么技術(shù)體系上的一些創(chuàng)新，都是采用美國提出的一些體系、一些標(biāo)準(zhǔn)，然后去采購他們一些核心的設(shè)備，這樣就導(dǎo)致不可能脫離美國控制，因為你已經(jīng)是跟著別人在跑，所以說沒有自己的一個東西。那么目前我們也在反思，為什么會出現(xiàn)這種情況，當(dāng)然可能與前幾年中國的技術(shù)實(shí)力相對比較弱有關(guān)，現(xiàn)在大家也意識到了，那么這種跟隨型的技術(shù)或者叫產(chǎn)業(yè)發(fā)展戰(zhàn)略，對中國來說已經(jīng)是嚴(yán)重的失敗教訓(xùn)，下一步我們該怎么做？我們一定要避開跟隨型，一定要實(shí)現(xiàn)自主體系上創(chuàng)新，比將來在有些新的領(lǐng)域，一定得有中國自己的一個獨(dú)特的一個體系，這樣的話，可能才有機(jī)會去擺脫美國的一個控制。那么還有一個問題就是中國對新型技術(shù)的信息安全反應(yīng)比較慢。如說云計算、移動互聯(lián)網(wǎng)等新型的技術(shù)，研究是盲目跟風(fēng)。其實(shí)云計算的移動互聯(lián)網(wǎng)包括互聯(lián)網(wǎng)這些概念也都是來自于國外，也是把國外的一些東西照搬進(jìn)來?，F(xiàn)在做產(chǎn)業(yè)，但面安全問題，現(xiàn)在中國還沒有引起足夠的重視。如在云計算的研究當(dāng)中，我們與美國在時間上相差不是太多，而云計算信息安全相關(guān)標(biāo)準(zhǔn)的推出，遠(yuǎn)遠(yuǎn)落后于歐美等國家。同時對各類網(wǎng)絡(luò)犯罪記錄缺乏有效的應(yīng)對。如去年9月19日，國外發(fā)布了2013年網(wǎng)絡(luò)威脅態(tài)勢中心報告顯示，網(wǎng)絡(luò)犯罪逐步采用匿名技術(shù)和分布式技術(shù)等先進(jìn)技術(shù)，而且網(wǎng)絡(luò)攻擊更多的與移動技術(shù)和云計算技術(shù)等新型技術(shù)聯(lián)系起來。但是我國對這些智能化的技術(shù)，對這些采用大數(shù)據(jù)分析的網(wǎng)絡(luò)犯罪技術(shù)，我現(xiàn)還缺乏有效的一個應(yīng)對的手段，還沒有提出怎么樣去應(yīng)對。（六）信息安全經(jīng)費(fèi)投入分散，經(jīng)費(fèi)使用效率不高這是剛才從產(chǎn)業(yè)上，但也有其他的一些問題，比如在信息安全的投入上，在人才上應(yīng)該說也都存在這些問題?，F(xiàn)在在信息安全個經(jīng)費(fèi)投入上來講，我們認(rèn)為現(xiàn)在經(jīng)費(fèi)投入雖然說經(jīng)過很多年973和863，應(yīng)該說包括國家發(fā)改委的一些信息專項，及工信部的計改計劃，還有備周計劃等等，應(yīng)該說國家投的錢不少，但為什么中國不管是產(chǎn)業(yè)發(fā)展的核心技術(shù)裝備，還是安全上都導(dǎo)致這樣的問題，目前來看，我們感覺信息安全投入到處都是撒胡椒面，比較分散，經(jīng)費(fèi)的使用效率是不高的。我們分析了幾個方面，各部門信息安全經(jīng)費(fèi)投入分散，信息安全研究、工程項目、工作管理等經(jīng)費(fèi)的歸口管理部門不同，彼此間的經(jīng)費(fèi)投入缺乏協(xié)調(diào)，難以形成合力。第二，信息安全經(jīng)費(fèi)投入相對還是比較少，現(xiàn)有的經(jīng)費(fèi)主要用于網(wǎng)絡(luò)運(yùn)行的監(jiān)控等內(nèi)容審查方面，對國產(chǎn)的信息技術(shù)、信息安全產(chǎn)品等的支持力度是不夠，還不能滿足我國信息安全產(chǎn)業(yè)和市場發(fā)展的需要，影響信息安全產(chǎn)業(yè)化進(jìn)程。最主要一個問題，中國的信息安全經(jīng)費(fèi)的使用效率不足，當(dāng)然都是一個表面的現(xiàn)象。但是現(xiàn)在為什么會產(chǎn)生這樣的一個問題，前兩天，我們也是就這樣一些問題，找了幾個專家進(jìn)行了一些座談。有些人可能分析得更加到位、更加透徹。有些人存在的一個觀點(diǎn)是什么樣？中國的經(jīng)費(fèi)為什么使用效率不高，比如有些人的觀點(diǎn)非常犀利，認(rèn)為是中國的現(xiàn)有的這種經(jīng)費(fèi)的管理體制上的問題。他們認(rèn)為現(xiàn)在的中國的經(jīng)費(fèi)的分配基本上被現(xiàn)有的利益集團(tuán)綁架了。這個是怎么理解，就是現(xiàn)在這個經(jīng)費(fèi)的投入，每個部門都有每個部門的利益，每個部門的每個項目在從立項到使用到驗收，每個環(huán)節(jié)都有一些專家團(tuán)隊，但是現(xiàn)在確實(shí)有人反映是怎么樣的？你比如說有些項目在立項之前會形成一個專家團(tuán)隊，提前就有些利益集團(tuán)或者有些專家提前就把這個框框限定好了，在這個項目立項之前可能就把有些東西、有些門檻做好。就是說真正需要錢的這些人，或者這些企業(yè)入不了這個專家團(tuán)隊，入不了這個圈的話，很難根據(jù)他們的需求去申請到項目。有些大的項目它可能提前三五年的時候就需要運(yùn)作，這是一個問題。那么第二個問題，而且這些人基本上是為了拿錢而拿錢，并不是說真的是需要這些經(jīng)費(fèi)，所以就導(dǎo)致現(xiàn)在中國把國外錢拿了很多，然后把國外的一些產(chǎn)品禁封、封裝或者包裝，沒有進(jìn)行實(shí)質(zhì)性的一些創(chuàng)新，導(dǎo)致現(xiàn)在這個使用效率是非常不高的。所以說我們現(xiàn)在提的，可能目前這個經(jīng)費(fèi)管理上，現(xiàn)在可能要進(jìn)行一些調(diào)整，打破現(xiàn)有的利益集團(tuán)，完成現(xiàn)在經(jīng)費(fèi)模式，但是這話說得可能比較重一點(diǎn)。（七）信息安全意識薄弱，高端信息安全專業(yè)人才缺失那么從人才上講，應(yīng)該說信息安全人才缺口還是非常大的，我國現(xiàn)在信息安全的意識還比較薄弱，高端信息安全專業(yè)人才還比較匱乏。全面的安全意識是比較薄弱，一些部門和人員對信息安全的戰(zhàn)略地位認(rèn)識不到位?！罢f起來重要，干起來次要”的情況普通存在。像我們信息安全研究所也是承擔(dān)一些信息安全方面的一些研究課題，這塊我感受也非常深，現(xiàn)在從高層領(lǐng)導(dǎo)再加上各部門的 領(lǐng)導(dǎo)甚至各地方的一些領(lǐng)導(dǎo)，對信息安全都說是非常重要。但現(xiàn)在我們統(tǒng)一來講，對各地方來講，比如各個省、各個地市，現(xiàn)在真正拿出錢來去支持信息安全的一些研究性的東西，或者一些規(guī)劃性的東西，應(yīng)該說目前我還沒有看到哪個地方有類似這樣的一些動作，所以現(xiàn)在我的感覺都是口頭上說起來重要，但實(shí)實(shí)在在真金白銀拿出去，或者真正做幾件事的我感覺確實(shí)還比較少。另外通過人才這塊，信息安全人才供給是嚴(yán)重不足，復(fù)合型高端人才是比較缺乏的，遠(yuǎn)遠(yuǎn)滿足不了社會各界對高層次專門人才一個需要。同時我國信息安全人才的培機(jī)制善不健全，尚未形成高校、企業(yè)的聯(lián)合培養(yǎng)機(jī)制，培訓(xùn)體系不健全。目前可能在高校當(dāng)中現(xiàn)在有關(guān)信息安全的一級學(xué)科目前還沒有，信息安全沒有拿一級學(xué)科。另外社會上的信息安全培訓(xùn)也不是太多。信息安全方面的人才，我們在底下聊的時候，也感覺為什么中國的信息安全這么缺乏，大家可能還有另外其他的一些觀點(diǎn)，比如有些人的觀念是認(rèn)為現(xiàn)在中國對人才這一塊不僅僅是體驗信息安全，說到一個大問題，可能中國現(xiàn)在對人才這一塊的普遍上的一個尊重不夠，怎么來講呢？就是說現(xiàn)在中國現(xiàn)在不管是資本運(yùn)作，還是產(chǎn)業(yè)上，有些企業(yè)技術(shù)人員的話語權(quán)，有些企業(yè)比如說這個技術(shù)人員他看中的一個方向，非常好的一個方向，他認(rèn)為需要持續(xù)的研究一段時間，但有可能和管理層面的一些領(lǐng)導(dǎo)意見相悖的時候，可能這個領(lǐng)導(dǎo)說這個事要停下來就要停下來，這樣就是技術(shù)人員的話語權(quán)可能比較弱一點(diǎn)，這是第一。那么第二還有一些問題在哪呢？就是咱們現(xiàn)在有些以知識產(chǎn)權(quán)投入在整個資本運(yùn)作當(dāng)中，知識產(chǎn)權(quán)的價值相對說大家給的回報還不是太多，所以信息安全應(yīng)該說從人才匱乏來看確確實(shí)實(shí)還存在諸多問題，導(dǎo)致有些技術(shù)人員慢慢就不太樂意去做一些技術(shù)工作，慢慢去做管理，或者是專項一些資本運(yùn)作這個方面的事，很少靜下心來去做一些技術(shù)研發(fā)的事情。五、健全我國信息安全保障體系的對策剛才從產(chǎn)業(yè)、技術(shù)、人才、經(jīng)費(fèi)等管理體制、法律各方面來講我國信息安全存在一些問題。那么接下來的話就是給大家提幾個，也是我們一個研究成果，就是下一步，健全我國信息安全保障體系的這個對策，就是提的幾點(diǎn)建議是什么？（一）強(qiáng)化網(wǎng)絡(luò)與信息安全統(tǒng)一協(xié)調(diào)指揮，構(gòu)建統(tǒng)領(lǐng)黨政軍的信息安全管理體系信息安全的問題確確實(shí)實(shí)是非常重要，中國的問題也非常的嚴(yán)重，然后現(xiàn)在面臨的形勢也非常的嚴(yán)峻，我們現(xiàn)在首先是從管理體制這一塊的華，我們提出一個建議就是要強(qiáng)化網(wǎng)絡(luò)與信息安全統(tǒng)一協(xié)調(diào)的指揮，構(gòu)建統(tǒng)領(lǐng)黨政軍信息安全管理體系。其實(shí)2月27號的時候，中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組第一次會議已經(jīng)召開了，應(yīng)該說也是習(xí)主席做這個領(lǐng)導(dǎo)小組的組長，那么這個體制已經(jīng)形成了，我們建議的話就是強(qiáng)化網(wǎng)絡(luò)信息安全的統(tǒng)一協(xié)調(diào)指揮，由總書記掛帥統(tǒng)領(lǐng)黨政軍各項信息安全工作，統(tǒng)籌協(xié)調(diào)國家信息安全的頂層設(shè)計、信息安全工程等重大事項。進(jìn)一步明確信息安全管理各部門的職責(zé)，明確網(wǎng)絡(luò)外交、宣傳培訓(xùn)等信息安全工作的涉及部門及相互配合機(jī)制，構(gòu)建中央決策統(tǒng)一、各部門分工明確的管理結(jié)構(gòu)。這個建議第一條，現(xiàn)在由總書記掛帥的高規(guī)格的協(xié)調(diào)機(jī)制，應(yīng)該協(xié)調(diào)的部門應(yīng)該建立了，但下一步怎么樣讓各個部門明確各個部門的管理職責(zé)，界定每個部門究竟該干什么事情，可能是中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組下一步重中之重的一個事情。目前來說，在信息安全管理或者政策支持各個方面各個部門應(yīng)該是存在很大的交叉，導(dǎo)致有些事情都在去做，有些事情有些困難卻沒有人去管這樣的一個局面。（二）加快信息安全立法步伐，建設(shè)適應(yīng)新形勢發(fā)展的信息安全法律體系那么第二個建議就是要加快信息安全的立法步伐，建設(shè)適應(yīng)新形勢發(fā)展的信息安全法律體系。根據(jù)這個新形勢變化，國務(wù)院法制辦牽頭、信息安全各管理部門參與，建立評估小組，評估現(xiàn)有信息安全相關(guān)立法，對可適用于信息安全的現(xiàn)有立法予以適用，并通過出臺立法解釋、司法解釋和判例等形式，增強(qiáng)現(xiàn)有法律的適用性。第二，在理清信息安全各管理部門職責(zé)的基礎(chǔ)上，統(tǒng)一各部門的立法思路，明確信息安全未來立法方向或規(guī)劃。第三，針對立法需求迫切的領(lǐng)域，如關(guān)鍵基礎(chǔ)設(shè)施保護(hù)、政府信息安全管理等，按照優(yōu)先順序加快制定專門法律，明確相關(guān)保護(hù)制度、相關(guān)主體的法律責(zé)任和義務(wù)。（三）加快構(gòu)建關(guān)鍵基礎(chǔ)設(shè)施安全防護(hù)體系，建設(shè)攻防兼?zhèn)洹f(xié)同聯(lián)動的積極防御體系第三條建議，加快構(gòu)建關(guān)鍵基礎(chǔ)設(shè)施安全防護(hù)體系，建設(shè)攻防兼?zhèn)?、協(xié)同聯(lián)動的積極防御體系。應(yīng)該說現(xiàn)在的信息安全防護(hù)這塊多年來，防護(hù)思想應(yīng)該說都是以堵為主，從信息技術(shù)的發(fā)展趨勢和國際上的大事來看，以堵為主的這個形勢越來越不適用于這個新形勢、新變化了，所以我們下一步的話，要構(gòu)建一個關(guān)鍵基礎(chǔ)設(shè)施安全防護(hù)的主動防護(hù)的一個體系，建立關(guān)鍵基礎(chǔ)設(shè)施保護(hù)清單，開展關(guān)鍵基礎(chǔ)設(shè)施使用的信息技術(shù)產(chǎn)品和服務(wù)的安全審查。對于這條，應(yīng)該說前一段時間中央網(wǎng)信辦已經(jīng)采用了網(wǎng)信辦推出來的要對國外的技術(shù)和產(chǎn)品進(jìn)行網(wǎng)絡(luò)安全審查的事情，但是接下來的問題也會很大，比如說有沒有去審，誰去審？怎么審？相關(guān)的一些后續(xù)事情確實(shí)還是比較多的。第二，針對我國關(guān)鍵基礎(chǔ)設(shè)施核心技術(shù)產(chǎn)品受制于人的現(xiàn)狀，加強(qiáng)信息安全防護(hù)技術(shù)研發(fā)，落實(shí)信息安全等級保護(hù)制度，制定基線安全標(biāo)準(zhǔn)，根據(jù)對國外產(chǎn)品依賴程度采取不同的安全管理和技術(shù)防護(hù)。第三，建立關(guān)鍵基礎(chǔ)設(shè)施建模仿真分析、安全監(jiān)測等技術(shù)基礎(chǔ)設(shè)施，實(shí)時監(jiān)測關(guān)鍵基礎(chǔ)設(shè)施安全狀況，開展?jié)B透測試等活動，提高關(guān)鍵基礎(chǔ)設(shè)施安全保障能力。同時整合現(xiàn)有技術(shù)手段和信息資源，構(gòu)建國家網(wǎng)絡(luò)空間積極防御協(xié)作機(jī)制，建設(shè)國家網(wǎng)絡(luò)空間戰(zhàn)略預(yù)警和積極防御平臺，實(shí)現(xiàn)對網(wǎng)絡(luò)攻擊威脅的全局感知、精確預(yù)警、準(zhǔn)確溯源、有效反制，提升對國家級、有組織網(wǎng)絡(luò)攻擊威脅的發(fā)現(xiàn)能力。第五，完善國家級網(wǎng)絡(luò)與信息安全應(yīng)急處置體系，