中国经济导报记者|王晓涛

    我国准备实施IT新规，即要求向中国银行出售计算机设备的公司提供源代码，接受侵入性检查，并使用中国自己制定的加密技术和安全标准。有国家认为此举是对中国企业的偏袒，违反了中国的贸易承诺。对此，中标软件公司政府关系总监李震宁在接受中国经济导报记者采访时表示，银监会此举更多只是希望能确保银行业使用的IT设备所有代码可控，确保里边没有任何木马漏洞和后门。美国政府可以明确地指出来自中国的华为、中兴设备影响美国国家安全而加以封杀，中国政府只是要求所有国内外产品供应商提供源代码，并没有专门针对国外企业，因此不应被国外一些媒体过度解读。

国产软件与国外软件相比还有差距

    国产软件的重要性，在资本市场得到了最直接的反映。去年中国信息安全相关的上市企业股价都大幅度增长，个别软件企业股票甚至达到3到4倍的暴涨。李震宁在介绍时提到了这个细节。
    不过，作为国产操作系统的领军企业，中标软件也感受到了较大的压力。李震宁坦承道：“实际上，国产软件在用户体验、技术细节上跟外国的软件相比还是有差距的，操作系统要完全达到或超过国外产品目前来看还做不到。”
    现在许多人一说到IT产品国产化就会提信息安全问题，李震宁解释道：“国产化应该是一个最终的目标而非结果。社会上有人认为，有了国产软件这个结果，我的信息系统就安全了，这是对国产软件理解上的偏差。我们强调软件国产化，是因为国产化后所有的软件代码都是中国用户可控可见的，在任何情况下都是可以进行定制化修改和编制的，这也是软件国产化的意义所在，而多数国外软件则没有这样的优势。”
    李震宁特别强调：“用户不会为了追求国产化而国产化。同时国产软件企业也要认清自己的地位，不能因为大势趋向国产，就降低自身的产品质量和服务标准，软件产品没有民族性，所有软件最终的目的是要解决用户的信息化问题，提供安全、高效率、高可用性的服务，用户短时间可能会被国产化概念打动，但最终还是会为有使用价值的产品付费的。”
    据李震宁透露，目前中标麒麟的操作系统已经应用到了金融、电信和电力部门，在多个城市的城商行和某些国有大型银行中运行，但目前主要还是集中在一些清算、反洗钱等非核心业务系统。在银行的核心业务中还只是测试阶段。“金融业对操作系统软件有一个验证期，一个新的IT系统特别是软件系统至少要提前两三年进行全方面的压力测试，有很多系统在正常的实验环境下表现非常好，但是一旦应用于实际交易，可能就承受不了巨大的交易量了。因此银行业还是本着成熟先上的原则，目前多数应用部署在非核心系统，未在核心业务系统实际部署。”他说。
    金融系统的软件国产化非常艰难，此前曾为金融行业提供技术服务的李震宁深有感触。他说：“在柜台办业务时大家都会用到的那个密码小键盘，刷存折的磁条读写器，银行柜员操作的无盘终端，这些看似简单的小玩意，都需要基于国产操作系统重新开发配套的驱动程序和应用，系统厂商在银行部署一年内要解决的软硬件适配的兼容问题成百上千，这对任何国内系统企业来说压力都非常大。”据了解，目前中标软件已经与南天、实达、紫光、联想、IBM、HP等多个国内银行应用较多的软硬件厂家进行了适配。
    对于国产软件与国外软件的差距，李震宁估计国产软件在乐观情况下两三年内就能够在部分核心领域内进行应用，2020年有和国外产品同台竞争的实力，最终可实现完全替代的目标。

源代码报备是国际通行做法

    李震宁对中国经济导报记者说：“从正当的市场竞争角度来看，国外所有的银行都会要求对所使用的软件源代码可见可控，这是完全合理的要求。”
    据李震宁介绍，在国外，即使软件公司不向银行、商业机构或政府公开源代码，但至少要向相关机构做源代码备案报备，以便使用单位发现问题时去查询源代码中是否有漏洞。“我们得有途径和方法看到所有的源代码，确保对方是不是植入了恶意的后门或有漏洞，毕竟银行、电信和能源等都是核心的国计民生领域，这是一个国家的正常诉求。”他说。
    据了解，按照国外银行的做法，软件公司报备的对象可能不是政府或银行，而是一个有公信力的第三方，即将软件源代码托管给第三方，在需要的时候可以进行查阅检索。李震宁说：“目前国内还没有这种第三方托管机构，源代码在托管的时候不能拷贝，只能进行检索，但是操作系统都有上千万行的源代码，看的话能记住多少呢？而且即使检索也不是百分之百完全开放，可能只有百分之八九十公开，剩下的会以商业机构的保密条例为由不让检索。”

系统源代码开放是安全可靠的

    众所周知，近些年来，国内多个软件企业都推出了自己的操作系统，但这些系统都是基于国际开源社区公开的源代码，进行的二次开发。有相当多的人担心，这样二次开发出来的系统会影响我国信息的安全可控。2014年，中标软件的Linux操作系统在国内的市场占有率高居榜首，对于人们的担心，李震宁给予了否定的回答。
    为什么源代码开放反而更加安全呢？李震宁解释说：“源代码开源虽然可能意味着所有的系统代码都对黑客开放，但实际上黑客在攻击系统时，可以利用反汇编器快速发现系统漏洞而完全不必去分析代码。而历史经验证明，闭源的加密算法最终还是会被破解的，现在流行的AES等加密算法反而是开源的，真正的安全强度依赖密码长度而无关是否开源。同样道理，相关协议可以通过分析技术最终解析出来，可见开源与否与是否可被破解没有必然联系。
    另一方面，代码开源有助于快速发现bug，修复漏洞。Linux操作系统每天有全球上万名精英黑客在进行改进和代码阅读，发现漏洞和修复漏洞的速度都远高于传统的闭源软件。国外曾经统计过，Linux发现错误到修正的时间是商业操作系统的1/3。
    事实上，据李震宁介绍，现在美国军方的大量设备和武器后台采用的都是开源的系统，而且世界很多证券和银行都使用的是开源操作系统，全球排行前500名的超级计算机有90%以上使用的是开源操作系统。因此，开源操作系统的安全性和稳定性，在国际领域是得到专业人士认可的。
    当然，开源操作系统不是仅靠安全就能获得市场的，还需要大量的产业链配合。中标软件在大力发展开源技术的同时，也在积极和国内外企业进行合作。去年夏天，中标软件宣布与戴尔公司进行合作，戴尔商用电脑系列产品将预装中标麒麟软件操作系统，去年下半年进一步扩展到戴尔的云计算瘦客户机领域。AWS在进入中国后，选择的唯一操作系统合作企业就是中标软件。
    而李震宁也对记者透露，在公布了与奇虎360以及联想的合作后，中标软件未来还将与更多的IT巨头进行合作。马上将会有两家全球领先的IT方案供应商加入中标软件的合作伙伴队伍，届时国产操作系统的产业链优势将进一步凸显。