自主研发水平亟待提高 中国安全厂商须补钙

　　国内信息安全厂商在政府招标采购，在向企业推荐，接受媒体采访时，都极力表明"我们是本土信息安全厂商，我们是民族产业"，"其他软件可以用国外公司的产品，但是杀毒软件不可以"……以此博得政府、企业和媒体的支持和同情。

　　但与其叫喊"我们是本土厂商，我们是民族产业"，远不如喊"我们的产品比国外的强"更有说服力。然而要喊出这样的口号却并不容易，业内资深人士指出，理论基础不足、技术研发力量薄弱，导致了国内外信息安全产品的差距越来越大。正所谓"失之毫厘，差之千里"。

　　防火墙"照葫芦画瓢"

　　北京一家专做防火墙产品的代理商--朝圣信华公司的业务代表在接受采访时表示，目前国内大部分防火墙产品都是把思科产品作为主攻方向和研究模板，其产品多是在思科PIX架构基础上，用工控机或PC机改装而成，操作系统也多是由Linux改写而成。虽然多数厂商都宣称自主研发防火墙产品，但没有一家是真正自己开发的，而且其产品由于是在Linux基础之上改造而成，其系统所占内存、CPU资源也较大。

　　在专家看来，国内厂商的产品属于高不成，低不就的产品：在高端国产千兆及以上的防火墙，其产品性能、技术指标低于同档国外产品；在低端，国产产品价格下不来，像NetScreen 5TG产品仅7000元多，不到8000元，而国内产品大部分在1万元以上。

　　另一家销售防火墙的亚联美讯公司业务也代表表达了类似观点。他指出，由于国内产品很多都是在"照葫芦画瓢"，而且价格相比之下比国外产品还要贵一些，所以企业要买防火墙，最好还是买国外产品。

　　而北京首信股份有限公司虽然避开了思科，在2003年9月23日宣布研发生产出基于ASIC技术、具有自主知识产权的CF2000-CG600线速千兆防火墙，成为国内第一家具有ASIC芯片设计能力的厂商，但是国外NetScreen公司（今年2月被Juniper Networks公司收购）早已推出第4代基于ASIC芯片设计的防火墙产品，而且双方在产品性能上的差距也不在同一档次之中。

　　两位被采访对象分别代理NetScreen和思科产品，但同时也代理中软、联想、天融信等厂商的产品。在采访时他们表示，如果是企业用户购买，国内厂商产品并不值得推荐。"因为我们不光销售产品还要做维护，所以我们肯定会找一个性能好、售后服务方便的产品去推荐。"中科院一位不愿透露姓名的专家指出，为什么国内防火墙产品总是在跟随，根本原因在于核心技术研发能力不足。因此，政府、信息安全厂商都应该加大理论研究和技术研发，在理论研究和核心技术研发上有所突破，避免停留在产品模仿和依靠价格、人际关系销售层面。

　　安全操作系统研发滞后

　　中科院信息安全技术工程研究中心原主任卿斯汉曾指出，操作系统是信息系统安全的基础，在信息安全方面起着决定性作用。

　　但是，操作系统漏洞本身给网络信息安全却带来了很大问题。用户不能幻想依赖防病毒产品彻底解决安全问题，必须对操作系统打补丁，否则起不到根本作用。去年发生的各种针对微软操作系统进行攻击，造成全世界很多企业系统瘫痪就是很好的证明。如果企业事前做好系统升级工作，损失将大为减少，前期做好预防的话甚至可以达到零损失。

　　但对于政府、军队和企业来说，要彻底解决病毒入侵等安全问题，紧紧依靠普通的操作系统还远远不够，他们需要更安全的操作系统。但是，中科院信息安全技术工程研究中心主任贺也平指出，对于安全操作系统，由于认识上的不足和没有明显的经济利益，没有得到政府和企业的足够重视和发展。

　　他指出，目前国际上把系统安全标准划分为C1、C2、B1、B2、B3、A1等安全级别，安全性能逐层提高（低层次的还有D级），通常所说的WINDOWS NT都是C2级操作系统。国际上规定，安全操作系统是指B1级以上（包括B1级）的操作系统。B1级操作系统即标记保护器，通俗的讲就是，主体可以访问客体，每个主体和客体都有标签，主体和客体加密级别不同，访问权限也不同。

　　中科院信息安全技术工程研究中心1999年就开始在安全操作系统方面进行研发，是全国第一家开始研发安全操作系统的单位，也是第一家做出安全操作系统的单位。目前开发出的B1级产品已经商品化，很多国家重要部门和军队都在使用。2002年其成功开发出B2级产品，现在正在验收，是国内唯一一家推出第三级安全操作系统（第三级为中国安全标准，与之对应的是B2级产品）的单位。但美国已成功开发出A1级安全操作系统，而且已经处于商品化阶段。

　　安全市场存在虚火

　　我国在信息安全理论研究和技术研发方面起步比较晚，导致我国信息安全产品在技术方面落后，这是不争的事实。但是我国在安全理论和技术研发上的投入缺陷和企业急功近利的心态更是制约安全产品技术提升的绊马索。目前，我国在基础理论研究方面，研究经费只在3%左右，而美国等发达国家占到了8%到10%，邻近的韩国在安全方面的研发情况也明显好于中国。

　　而在"863"、"九五"项目中，很多项目由研究单位转到了企业，如东软的Neteye防火墙雏形来自国家"九五"攻关的一个项目，该项目当时叫"具有信息分析功能的防火墙"。1996年立项，当时由东北大学软件中心承担研究，1998年，该项目转到了东软手里。虽然最后东软推出了Neteye，但是这样的嫁接经常会导致技术水平的降低，因为企业要在产品技术和市场利益方面进行取舍。而更有甚者，把技术研发交给国外厂商去做，自己只卖产品，不知道这样的厂商是否还敢自称"自主研发"或"民族产业"。

　　另外，信息安全的研发和投入受制于最终用户的使用状况。虽然国内大型企业在信息安全方面的投入很大，但更多的中小企业用户对信息安全的认识和建设明显滞后，很多中小企业在信息安全方面还仅仅使用单机版的防病毒软件。最终用户的需求不旺，使得政府和厂商在产品研发上的重视程度明显不足，而且直接影响了研发投入。

　　中科院信息安全技术工程研究中心贺主任指出，信息技术是一项整体技术，只有信息技术整体发展起来，信息安全建设和研发能力才能提高。如果国内还是单机应用，那么信息安全也就无从谈起。国外企业由于信息化起步比较早，使用率高，所遇到的问题也多，使得国外厂商在解决问题的方法、观点的原创性比较高，产品也相对成熟。但是，随着中国互联网的快速发展和中国企业信息化水平的提高，伴随中国政府和企业信息化共同成长的本土厂商也将获得快速发展，产品和技术水平将逐步提高。最终将会赶上甚至超过国外厂商，这仅仅是时间问题。

　　与入侵检测、防火墙、安全操作系统、身份验证和授权技术等防御产品相比，国内杀毒软件厂商的产品与国外产品的差距相对要小一些。这一方面是因为杀毒是一项被动应付工作，通常都是先发现病毒，然后把他们从文件中分离出来进行查杀或预防。目前，国内外在杀毒技术上均没有特别好的突破。另一方面也因为杀毒软件厂商对软件研发方面比较重视。以江民、金山为例，江民每年在研发上的投入占到公司销售额的60%左右，而金山在2004年3月10日举行的金山SUG2004年信息安全新战略发布会上宣布，金山将依靠珠海研发基地与北京金山软件研究院，成立金山信息安全研究中心，而今年的规模也将从年初的100人扩大到200人，研发投入将达2000万元两家公司对研发的重视程度远高于其他类安全产品厂商。

　　在信息安全防范中，防火墙、入侵检测、身份识别等技术要比杀毒软件在技术上复杂得多，他们更需要理论作为研发的基础，其研发人员需要对操作系统、数据传输和安全知识有更深的理解。而这不仅是信息安全厂商的问题，也是国家科研体制和研发投入的问题。

　　目前，我国在信息安全理论研究方面，基本上可以分为3部分，一个是"863"，其更注重安全技术，理论产品化，偏向高新技术研发，由科研单位、院校和企业共同承担，另外两部分是基金委和"973"项目，其更偏重基础理论研究，相关人士称，政府在三方面的投入的人力，财力都在加强，但企业重视程度还明显不足。