1、软件正版化与信息安软件正版化与信息安全倪光南院士全倪光南院士一、我国软件正版化的进展2 2006-2013年各口径软件盗版率变化趋势 来源:“中国软件盗版率调查”研究项目组我国软件盗版率逐年明显下降 八年来(2006-2013),软件盗版率逐年明显下降。相对于软件产业的价值盗版率由2006年的24%下降至8%,相对于软件产品的价值盗版率由2006年的53%下降为22%。按当年安装的应付费计算机软件套数计算,盗版率由2006年的63%下降为34%;按全部安装套数计算,盗版率由2006年的20%下降为11%。来源:“中国软件盗版率调查”研究项目组3BSA夸大我国软件盗版率4 商业软件联盟(BSA)
2、历来夸大我国的盗版率,为了揭示真相,从2006年起,国家知识产权局委托超元实验室和互联网实验室共同承担软件盗版率调查课题。该课题组每年发布我国盗版率统计,并公开我们的计算方法和基本数据,以正视听。相比之下,BSA却始终没有公开他们的计算方法和基本数据,他们公布的很高的盗版率数据缺乏公信力。经过这些年的较量,BSA的软件盗版率调查于2012年中止。我国软件盗版率下降的主要原因(1)正版化工作成果得到有效巩固;(2)国产低价和免费软件应用日趋普及;(3)手机网民的快速增加减少了个人用户对于计算机软件的依赖;(4)软件销售渠道的多样化给消费者带来了便利。5来源:“中国软件盗版率调查”研究项目组课题组
3、提出的政策建议(1)把软件正版化工作提高到国家信息安全高度,在巩固软件正版化成果上,扎实推进企业软件正版化工作。(2)针对手机网民的快速增长,应及时制定防止手机软件盗版的预案。(3)重视农村地区的正版软件推广和服务。(4)扶持民族软件企业,促进良性竞争。(5)积极宣传软件产权保护的成果,营造良好的舆论氛围,树立良好国际形象。6来源:“中国软件盗版率调查”研究项目组二、软件正版化和信息安全 党的十八大提出“要高度关注网络空间安全”,三中全会成立了中央网络安全和信息化领导小组,这标志着我国网络空间安全国家战略已经确立。不久前习近平主席指出:“没有网络安全就没有国家安全,没有信息化就没有现代化。”这
4、是在新的历史时期我国信息领域工作的指导方针。现在,网络空间已成为国家继陆、海、空、天四个疆域之后的第五疆域,与其他疆域一样,网络空间也需体现国家主权,保障网络空间安全也就是保障国家主权。7网络安全(或网络空间安全)的内涵 信息安全。它是网络安全的最重要内涵,保障网络主权就应保障信息主权。IT(信息技术)安全。包括关键核心技术、信息基础设施、相关硬件软件技术的安全。在IT安全方面,我国目前应及早解决在关键核心技术和设备上受制于人的问题。OT(运作技术)安全。包括法规、标准、制度、管理 物理安全。指与技术无关的安全。IoT(物联网)安全。参照Gartner8网络安全的内涵图示(数字安全是网络安全在
5、数字业务中的体现)来源:9数据安全治理:数据存取治理;数据库审计和保护;数据丢失防止;数字版权管理;移动数据保护。数据安全治理是信息安全治理的基础来源:1011参照Gartner网络主权与自主可控 基于现在我国公众使用的网络是接入因特网的,在基础资源方面不能自主可控(如根服务器及域名解析、地址分配等等),所以对国家主权、安全、发展利益提出了新的挑战,必须认真对待。习主席指出:“各国都有权维护自己的信息安全,不能一个国家安全而另一部分国家不安全,更不能牺牲别国安全谋求自身所谓绝对安全”。因此,除了通过积极有效的国际合作,共同构建和平、安全、开放、合作的网络空间的努力外,我们应当在未来网络架构、网
6、络基础设施和网络应用服务等各方面,努力实现自主可控,以维护我国的网络主权。12网络安全、信息安全不同于传统安全 传统安全是在自然环境下的安全,这种环境下不存在人为对抗,而网络安全、信息安全是在对抗环境下的安全,一般存在着人为对抗,形成攻防两方。在英语中,传统安全的“安全”用“Safety”,而网络安全、信息安全的“安全”用“Security”。不过在中文中,一般不区分两者,有的场合则需要将“Security”翻译成“保安”。传统安全往往可以度量、预测、态势较少变化,而网络安全、信息安全取决于对抗情况,往往难以度量、预测、态势快速变化。13自主可控是保障网络安全、信息安全的前提 正因为网络安全、
7、信息安全存在着攻防两方,所以关键核心技术设备、信息产品和服务等的自主可控,是保障网络安全、信息安全的前提。自主可控的好处:信息安全容易治理、产品和服务一般不存在恶意后门并可以不断改进或修补漏洞。反之,不能自主可控就意味着具“他控性”,就会受制于人,其后果是:信息安全难以治理、产品和服务一般存在恶意后门并难以不断改进或修补漏洞。14自主可控的内涵 通常我们认为某项信息技术、产品、服务或系统是自主可控的,可以包含以下内容:1.知识产权自主可控2.能力自主可控3.发展自主可控4.满足“国产”资质151.知识产权(包括标准)自主可控 在当前的国际竞争格局下,知识产权自主可控十分重要,做不到这一点就一定
8、会受制于人。如果所有知识产权都能自己掌握,当然最好,但实际上不一定能做到,这时,如果部分知识产权能完全买断,或能买到有足够自主权的授权,也能达到自主可控。然而,如果只能买到自主权不够充分的授权,例如某项授权在权利的使用期限、使用方式等方面具有明显的限制,就不能达到知识产权自主可控。目前国家一些计划对所支持的项目,要求首先通过知识产权风险评估,才能给予立项,这种做法是正确的、必要的。标准的自主可控似可归入这一范畴。162.能力自主可控 能力自主可控,主要指技术能力的自主可控,这意味着要有足够规模的、能真正掌握该技术的科技队伍。技术能力可以分为一般技术能力、产业化能力、构建产业链能力和构建产业生态
9、系统能力等层次。产业化能力的自主可控要求使技术不能停留在样品或试验阶段,而应能转化为大规模的产品和服务。产业链的自主可控要求在实现产业化的基础上,围绕产品和服务,构建一个比较完整的产业链,以便不受产业链上下游的制约,具备足够的竞争力。产业生态系统的自主可控要求能营造一个支撑该产业链的生态系统。173.发展自主可控有了知识产权和能力的自主可控,还需要有发展的自主可控,因为我们不但着眼于现在,还要求在今后相当长的时期里,对相关技术和产业而言,都能不受制约地发展。这里会涉及哪些问题,还需要进行深入探讨。为此,根据我国具体情况,当前要着眼国家安全和长远发展,制订信息核心技术设备的发展战略。如果某些技术
10、在短期内似乎能自主可控,但长期看做不到自主可控,一般说来是不可取的。只顾眼前利益,有可能会在以后造成更大的被动。184.满足“国产”资质一般说来,“国产”产品和服务容易符合自主可控要求,因此实行国产替代对于达到自主可控是完全必要的。不过现在对于“国产”还没有统一的界定标准。某些界定标准显然是不合适的。例如:只要公司在中国注册、交税,就是“中国公司”,它的产品和服务就是“国产”;“本国产品是指在中国关境内生产,且国内生产成本比例超过50%的最终产品”。显然,这样的标准完全不适用于高技术领域。美国国会在1933年通过的购买美国产品法,要求联邦政府采购要买本国产品,即在美国生产的、增值达到50%以上
11、的产品,进口件组装的不算本国产品。美国采用上述“增值”准则来界定“国产”,比较合理。19满足“国产”资质(续)现在实际上大多根据产品和服务提供者资本构成的“资质”进行界定,包括内资(国有、混合所有制、民营)、中外合资、外资等,如果是内资资质,则认为其提供的产品和服务是“国产”的。由于历史原因,中国网络公司很多是外资控股,为了改进资质,有的引入了“实际控制人”概念,即在公司章程中规定,某人具有特殊投票权,例如某董事的1票=10票,那么他在10人董事会中就享有了控制权。不过,对这种做法存在着争议。实际上光考察资质可能不够。建议“国产”的界定既考察其资质,又用“增值”准则加以评估,因为如某项产品和服
12、务在中国的增值很小,意味着它可能就是从国外进口的,达不到自主可控要求。这里,说明了“国产”不等同于自主可控,也提出了更全面地界定“国产”的建议。20开源软件和自主可控运用开源软件进行开放创新、协同创新,是当前世界潮流。知识产权自主可控对于开源软件而言,就要做好:遵循开源许可证。要求相关科技人员融入开源社区,掌握开源软件,与全世界开源人士进行开放创新、协同创新。与支持开源社区的商业公司建立适当的商业关系,处理好商业利益问题。正确运用开源软件往往能以较小的代价达到知识产权自主可控和技术能力自主可控,但还需做到关于自主可控的其他各项要求。这里,说明了运用开源软件不等同于自主可控,也说明了正确运用开源
13、软件的好处。21在自主可控基础上努力增强网络安全、信息安全小结:自主可控是达到网络安全、信息安全的前提,但这只是必要条件而非充分条件。如果做到了自主可控,就有可能在此基础上采取各种措施去增强网络安全、信息安全。这些措施包括系统的、技术的、管理的、立法的等等:系统的,如可信计算、拟态计算技术的,如防火墙、漏洞扫描管理的,如物理隔离、权限分配立法的,如数字签名法、电子商务法总之,我们应强调自主可控,并在自主可控基础上,加大自主创新力度,采取各种措施,不断地增强网络安全、信息安全。22鼓励基于国产软件推进软件正版化 国产软件一般满足自主可控的要求,有利于增进信息安全。国产软件价格低,有利于推进正版化
14、,进一步降低软件盗版率。推广国产软件能扩大国产软件市场,促进本国软件业的发展。推广国产软件能增加对软件开发和维护人才的需求,提高软件人才就业率。使用国产软件有助于增强民族自信心。总之,基于国产软件推进软件正版化有利于信息安全和推进信息化。23对软件正版化形势的展望 软件盗版率在今后一些年里将会持续降低:软件的商业模式从“收取授权费”向“免费使用/收取服务费”转变。移动终端的比重不断增大。软件服务化(SaaS)继续发展。国产软件业发展壮大,国产软件比重增大。增强信息安全,实施国产软件替代进口软件。国民收入增加。国家推行正版化力度加大,国民正版意识增强。24三、以国产操作系统替代Windows 云
15、计算环境下的操作系统(OS)主要可分成三类:服务器和云计算中心使用的操作系统。这类操作系统在数据中心/云计算中心使用,向用户提供各种服务;2.智能终端操作系统。用于各种智能终端,包括PC、智能手机、平板电脑、可穿载设备、车载电脑、机顶盒、智能电视;3.嵌入式操作系统。用于工控设备、物联网设备和消费电子设备等等。2526中国桌面操作系统被微软Windows垄断的情况:以Windows XP为主,Windows 7次之(2014 Q2)。(来源:缔元信)中国智能终端操作系统实施方案 发展中国智能终端操作系统是为了解决在这一关键核心技术上受制于人的问题,应着眼国家安全和长远发展,召集有关部门和单位,
16、积极制订信息核心技术设备的战略规划。要吸取过去一些科技计划搞“撒胡椒面”的支持方式,导致创新资源碎片化,助长内耗而不能形成合力的教训,现在我们应当发扬“两弹一星”和载人航天精神,加大自主创新力度,这就是要以举国之力发展一个系统,而不是分散力量搞多个系统,要使中国的智能终端操作系统成为世界上继苹果、谷歌和微软后的第四家系统。我们的工作要立足于自主创新,除了推进科技创新外,还需要推进产品创新、产业创新、品牌创新和商业模式创新等。27组建智能终端操作系统产业联盟目前中国单个企业还无力承担起发展智能终端操作系统的任务。应吸取“北斗”和“TD”等产业联盟的经验,进行产业创新,发挥市场在资源配置中的决定性
17、作用,通过组建“中国智能终端操作系统产业联盟”(“联盟”),在中央网络安全和信息化领导小组办公室的指导下,整合中国各界资源,协同创新,承担起这一任务。联盟可吸收民间资本,设立便于支持开源软件和开源软件工作者的产业基金,联盟的运作可与国家科技项目互相支持、互相补充,更好地推动国产操作系统的产业化。目前联盟已有以CETC为首的、包括“产学研用”各界的近百个成员单位,CETC熊群力总经理担任联盟理事长,中央网信办作为联盟指导单位。28选准突破点 实践表明,智能终端操作系统具有高度垄断性,中国如不抓机遇,很难取得成功。例如,PC被微软操作系统垄断了30年,无人能够动摇,只是乘移动因特网兴起之机,苹果和
18、谷歌从新的、移动领域切入市场,才打破了微软的垄断。今天中国的机遇:微软在已停止对XP的支持服务,企图迫使用户升级到“视窗8”,中国有2亿台XP电脑,据统计,85%用户都不想升级到“视窗8”。现中国政府采购禁用Windows 8,这样,以国产操作系统替代XP就是一个极佳的突破点。29明确时间表 我们希望在一二年内从替代XP开始,首先在桌面实现国产化替代,包括对XP和Windows 7的替代。然后,在三五年内,从桌面扩展到移动终端,逐步替代移动终端的操作系统,最终使中国智能终端操作系统成为世界上继苹果、谷歌和微软后的第四家系统。经验表明,替代的时间窗口不会太长,如果我们不能在较短时间里实现这一替代
19、,那么智能终端操作系统领域也可能会像PC领域一样,在以后的许多年里被这三家外国系统牢牢地控制。30采用先进的“应用商店”模式国产智能终端操作系统要采用先进的商业模式。在移动市场上安卓和苹果的系统能占据优势,主要不是它们的技术比微软强多少,而是它们采用的“应用商店”模式优于微软传统的那种卖软件许可证、捆绑销售的商业模式。尽管微软操作系统进入市场早30年,但是安卓和苹果系统凭借应用商店模式,在开发人员和应用软件数量方面已经远远超过了微软。实际上,智能终端操作系统不仅仅是一个操作系统,围绕它的是一个庞大的生态环境,智能终端操作系统成功与否在很大程度上取决于它的生态环境。为此,国产操作系统应采用“应用
20、商店”模式,并大力发动中国广大软件人员共同来构建国产智能终端操作系统的生态环境。中国拥有世界数一数二的软件人才资源和市场资源,这是构建以“应用商店”为核心的国产操作系统生态环境的强大支撑。31国产操作系统生态环境的主要内涵1、完善国产操作系统及其工具链2、开发国产操作系统上的各种应用软件3、将原Windows操作系统上应用软件移植到国产操作系统上4、做好国产操作系统与原有信息系统的整合5、提供帮助用户从Windows系统迁移到国产操作系统的工具6、建立和推进有关标准(如国产操作系统服务标准、国家流式和版式文档格式标准等等)7、建设相应的服务、培训、测评和认证等体系8、其他32以产业基金支持构建
21、生态环境 联盟通过吸取民间资金、企业资金,并争取国家的支持,设立产业基金,支持构建国产操作系统的生态环境:对构建操作系统的生态系统的相关项目进行投资。根据联盟的要求,对生态系统中的某些项目实行招标。根据第三方评审,对生态系统中的某些优秀项目实行奖励。基金资助可采取无偿拨款、无息贷款或有息贷款等方式。接受联盟产业基金支持取得的项目成果,其知识产权归属由项目承担方和产业基金协商确定。任何机构或个人致力于构建国产操作系统的生态系统,在工作的各个阶段均可向联盟产业基金提出资助申请。33以产业基金支持构建生态环境 联盟通过吸取民间资金、企业资金,并争取国家的支持,设立产业基金,支持构建国产操作系统的生态
22、环境:对构建操作系统的生态系统的相关项目进行投资。根据联盟的要求,对生态系统中的某些项目实行招标。根据第三方评审,对生态系统中的某些优秀项目实行奖励。基金资助可采取无偿拨款、无息贷款或有息贷款等方式。接受联盟产业基金支持取得的项目成果,其知识产权归属由项目承担方和产业基金协商确定。任何机构或个人致力于构建国产操作系统的生态系统,在工作的各个阶段均可向联盟产业基金提出资助申请。3435方案比较项目用“联盟”操作系统用“视窗8”安全可信性很高,自主可控有后门,具他控性每台电脑需化代价免费使用,服务费约100元/年,中国企业获得5003000元/台(按每年更新20%电脑计算,合100600元/台/年),微软获得对产业带动成为中国软件生态系统核心无法构建中国软件生态系统对就业贡献需大批软件人员支持只需几个软件代理营销对精神文明影响提升民族自信心助长崇洋媚外心理对正版化贡献大大降低桌面操作系统及其应用软件盗版可能增加盗版用国产操作系统替代Windows的好处谢谢大家!Thank You世界触手可及世界触手可及携手共进,齐创精品工程携手共进,齐创精品工程