铁流:与国外科技巨头成立合资公司,就能快速提升中国核心技术?未必!

灰暗的星星灰暗的星星灰暗的星星灰暗的星星灰暗的星星
 
上一级分类: 参考消息 分类:时事热点
信息产业在宏观上表现有明显的生态性,如产品生态、应用生态、开发环境生态等等,其健康有序发展不是仅仅依靠几项核心技术的突破就能保证的,而需要从产业链上下游协作和生态体系建设等方面实现。

  虽然部分源代码和技术的开放,为我们提供了加快技术发展的机遇,但目前的这种浅层次的合作授权模式,难以做到期望的核心技术消化吸收,难以改变核心技术受制于人、信息安全受制于人的现状。

  近年来,随着网络安全和自主可控等政策的出台,在催生了规模可观的国产化IT市场的同时,也重创了国外企业级IT厂商的在华业务,为此,IBM、Intel、AMD、惠普、思科、微软、高通、EMC、VIA等境外IT巨头纷纷积极寻找中国本土的战略合作伙伴。

  有观点认为,通过和境外IT巨头合作,有可能通过这样的合作帮助其掌握核心技术,借力IT巨头的成功生态圈加速管理变革并与国际接轨,同时也能够顺应中国政府“保障信息安全、核心技术自主可控”的科技发展战略。

  不过从长远发展角度分析,这种做法对中国的信息技术水平提升,虽有一定作用,但对整个国家的信息安全来说,却存在挑战和隐患。

来华合资的主因是国家出台自主可控政策

  随着西方经济持续低迷不振和中国经济的蓬勃发展,加速国家相继出台一系列网络安全和自主可控政策,越来越多的境外IT巨头赴华寻找战略合作伙伴,以成立合资公司的方式将品牌本土化。

  于是自2012年开始,EMC、VIA、惠普、IBM、思科、ARM、高通、Intel、AMD、微软先后在中国设立合资公司或开展技术合作,推出所谓“符合中国安全可控标准”的产品,一些产品甚至还打进了党政军市场。

  这种以共同组建合资公司的形式,积极推行境外品牌本土化战略,既显示了境外巨头对中国市场的重视,某种程度上也是对中国市场做出的重要让步。但本质上是境外IT巨头在国家出台对自主可控的政策要求下的妥协产物。

  由于境外IT巨头无法舍弃中国这个全球第二大IT市场,遂借助合资的方式取得合法身份,减少国家政策和当地社会对外来资本的危机情绪,深度介入蒸蒸日上的中国IT市场甚至敏感行业市场,从而获取丰厚利润。

  这种做法虽然对外资有利,但对中国未必有利可图。虽然部分源代码和技术的开放,为我们提供了加快技术发展的机遇,但目前的这种浅层次的合作授权模式,难以做到期望的核心技术消化吸收,难以改变核心技术受制于人、信息安全受制于人的现状。

  更为重要的是,如果没有合理有效的监管和引导,还容易造成国外IT生态对国内产业的进一步垄断,无助于国内产业发展与技术能力的培养,影响我国信息安全产业的自主发展进程,动摇自主产业格局和生态。

成立合资公司会带来三大隐患

  虽然在理想状态下,通过和境外IT巨头合作,引进国外IT品牌固然可以充分利用国外IT产品业已形成的软硬件生态,在短期取得一定的进展,但中国只能在现有的产业格局中取得一定的经济利益,不可能形成自主的软硬件能力,反而容易造成国内企业继续依赖现有国外IT生态的惰性。

  此外,这种做法还存在三大隐患。

  1、无法掌握核心技术

  对于国外IT品牌的本土化,目前其绝大部分做法都是向国内企业提供“授权”而非“转移”知识产权,“授权”的目的仅仅在于可供国内企业能够合法地使用国外企业的知识产权,国内企业并不真正拥有该知识产权。

  因此在核心技术及其发展决策方面,即便合资企业由国内资本控股,国内企业也仍然不具备核心技术及其发展的话语权。

  举例来说,近期微软和中电科的主要合作内容,并没有涉及核心技术和知识产权,也不涉及Windows系统内核开发能力培训、以及技术共享和转让。而微软Windows和设备集团副总裁Yusuf Mehdi也表示,“微软将保留所有关于Windows 10的技术知识产权”。

  

信息已.jpg

  另外,即便是“授权”,国外厂商为了长远自身利益考虑,目前也并没有在核心技术或知识产权上对中国进行开放:IBM在针对Power CPU的对外授权中,浮点运算单元等关键部件是受到美国出口限制的;Intel公司也并不向任何第三方提供X86指令集授权;虽然ARM公司在授权方面相对Intel更加开放,但也在授权同时提供了很多限制性条款,如非永久性授权、授权指令集不得自行修改扩充、被限制使用范围等……

  从实践上看,与境外IT巨头的合资或合作,大多没能掌握核心技术。这样的例子不少……

  目前信息产业大部分核心技术掌握在以美国为首的西方国家中,美国对中国的遏制策略是长期国策,对于真正重要的信息产业核心技术,即使美国企业出于自身利益考虑希望出口,美国政府层面也不可能同意。

  2、存在安全隐患

  过去,国内应用系统生长在国外基础技术平台之上,Intel和微软等国外厂商把基础软硬件做成了黑盒子,导致应用软件研发人员对软硬件底层机理不清,安全无法得到保障。

  现在,国外厂商愿意把部分代码授权给国内,使过去的黑盒子变成灰盒子,以表明开放合作态度。但事实上,国外厂商的开放只是有限程度的开放,对于一些关键的代码或者说明,很难做到完全公开透明,所谓灰盒子相对于黑盒子仅仅是五十步和一百步的区别,依旧存在一定安全风险。

  举例来说,早些年微软就号称把所有Windows源代码交给了中国政府审查备案,但即便如此,中国并未完全掌握对Windows全部代码的解读吸收能力。

  再如我国一公司与AMD合资,本质上是AMD向中国出售IP核授权,如果是购买硬核授权,那么安全就无从谈起;如果是购买软核授权,其安全性也非常值得商榷,因为对软核做安全后门与隐患分析是非常困难的事情,需要完全读懂上千万行代码,其困难程度可能不亚于建立自主的产业生态系统。

  购买CPU核在安全方面的隐患在于发展权不在自己手里,CPU软核一般2-3年就升级一次,老的软核还没有分析完,新的软核又要做安全分析,从最坏的前景考虑,国外还有可能停止供应软核......

  另外,X86指令集也存在安全风险。经国内单位实测,发现X86指令集存在未公开指令,包括加解密、浮点操作在内共计二十余条,其中,有三条指令在用户模式就可以使机器死机或重启,作用机制直接穿透各种软件保护措施,防护软件不能感知;普通应用程序中嵌入一条即可使系统宕机。

  从黑盒子到灰盒子,虽然看似国外厂商在开放程度上有所进步,但更多的还只是国外厂商所体现的一个姿态,把部分代码授权给国内公司的做法始终存在一定安全隐患。

  3、扼制自主技术发展

  信息技术产品与一般的工业产品不同,信息化产品软硬件之间互相依存,构成了一个庞大的信息产业生态体系。而这个体系中的任何一个点技术(芯片或软件)都不是目的,而是控制产业生态的手段。

  IT基础产品的应用不但涉及到产品自身,还涉及到由该产品平台所承载的信息内容,网络文化甚至意识形态,而单纯地采取国外品牌本土化策略,容易造成国外IT生态对国内产业的进一步垄断,反而不利于我国信息安全产业的自主发展。

  目前,国产自主软硬件发展到了关键阶段,经过“十五”、“十一五”、“十二五”的努力,已经在武器装备、指挥系统、党政军信息化等方面做到了基本可用。但国外垄断企业在以CPU和操作系统为代表的基础软硬件产品中已经形成很强的垄断,国内的力量还比较薄弱。这些国外品牌现在进入中国,并对引进与合作表现出开放的态度,其根本目的是为了进一步加强自身产业生态形成的垄断。

  这些国外品牌厂商在进入中国后,可更加方便地打着“国产”旗号,进入与国家安全有关的重要行业,对我国在相关安全领域发展自主可控产业的已有布局带来干扰,同时也对国内自主企业的发展造成了不利局面,也对真正自主企业的发展造成了市场、舆论以及人才培养方面的干扰。

亡羊补牢,为时未晚

  习近平总书记曾多次强调信息安全和产业发展要统筹兼顾,指出“安全和发展是一体之两翼、驱动之双轮。安全是发展的保障,发展是安全的目的”、“没有网络安全就没有国家安全,没有信息化就没有现代化”,明确提出中国“要有自己的技术,有过硬的技术”,号召建设“战略清晰、技术先进、产业领先、攻防兼备”的世界一流网络强国。

  为确保国家信息安全战略的实施和我国信息产业的持续发展,可实施以下措施:

  一是加强国家对国企和地方政府引进国外IT核心技术的思想引导和统筹规划,建立健全审查审批制度,事先审查,避免以经济效益为唯一指标盲目、重复引进。

  信息产业的发展不仅仅需要考虑到经济因素,也要考虑到国家信息安全战略因素。因此,在企业和地方政府引起国外IT核心技术、与国外厂商成立合资公司的问题上,国家宜加强统筹规划和指导,兼顾安全与发展、市场效益与本土保护,避免企业和地方政府盲目、重复引进,造成安全隐患,甚至对本土信息产业的健康发展造成冲击。

  二是建立健全自主可控测评认证标准,对已引进或引进后的IT项目进行分级认证,严格确保党政机关、关键行业的信息安全。自主可控是我国信息化发展的重要目标,同时也是对相关企业、科研院所自身能力和进入党政机关、关键行业市场资质的重要评估标准。自主可控包含的范围很广,除了关键核心技术自主可控外,还包括技术能力自主可控、发展主动权自主可控、供应链自主可控等。

  最基本的,在党政机关和关键行业,需要从本土或合资厂商对体系架构修改能力、核心技术掌握程度、核心技术修改能力、关键模块自主替换能力等方面做定量评估。建议有关部门深入探讨,以自主可控、安全可信为基本原则,兼顾生态建设、产业发展,制定相关测评认证标准,在政府机关和关键行业建立严格的审查制度,强化国家信息安全战略得到有效实施。

  同时,该测评认证标准可以倒逼引进国外技术、与国外厂商成立合资公司的本土厂商加强自身能力建设,做好国外先进技术的承接和真正落地。在具体实施过程中,各厂商也要做好规划,可以按照安全透明、安全可控、自主安全的步骤实施。

  其中,安全透明是对引进的设计从实现原理上进行分析,确保没有不掌握的黑盒子和恶意后门。安全可控是持续消化吸收,进行针对性地安全分析,如果有安全问题能够自主修改。自主安全是在坚持自主发展原则的基础上,引进消化吸收国外先进技术所要实现的最终目的,全面形成自主设计能力,融入自主的安全技术和安全标准。

  三是加强本土信息产业生态体系的建设与扶持力度,确保行业话语权,最终建成自主可控、健康健全的信息产业生态体系。

  信息产业在宏观上表现有明显的生态性,如产品生态、应用生态、开发环境生态等等,其健康有序发展不是仅仅依靠几项核心技术的突破就能保证的,而需要从产业链上下游协作和生态体系建设等方面实现。

  因此,我国信息化发展过程中要积极布局产业生态体系的建设,尤其是政府有关部门要从政策制定、产业引导、资金投入上积极部署,逐步摆脱对国外核心知识产权与生态系统的依赖。加大技术创新投入力度,在国际和国内市场争取更多的行业话语权。