知识产权策略：信息安全产业发展的强力助推器

知识产权策略：信息安全产业发展的强力助推器 中国政法大学 张 楚 贾亚磊 张楚，男，中国政法大学教授、博士 生 导 师， 知 识 产权法研究中心理事长，科学技术教学部主任。 当今世界，信息资源日益成为重要生产要素、无形资产和社会财富，其应用已渗透到国防、金融、医疗等各个领域。在互联网已遍及千家万户的时代，信息网络的安全和可靠，已成为公众生存与发展的重要条件，在任何状况下都必须予以保证。网络安全问题已上升为国家安全战略的重要组成部分。影响我国网络安全的重要因素众所周知，网络系统的构建涉及到许多方面，要用到很多硬件设备和软件系统、技术标准，以及服务团队等。因此，网络安全措施的落实，也必须涉及诸如物理硬件、网络结构、操作系统、应用系统等一系列的技术与设施，同时还涉及对研发与应用团队的管理。就目前情况来看，其中的绝大部分关键技术都被跨国公司申请了专利或登记了著作权，受到知识产权的保护。尤其是美国的IT 企业，拥有的关键技术最多，他们不仅主导制定了有利于其自身的知识产权保护的国际游戏规则，而且掌握着全球网络资源的管理权 ( 譬如，域名管理 )。许多事实表明，这些关键技术的利用，已经大大超出了和平的民用范围，甚至成为了新型战争的利器。伊拉克战争之前，美国就曾秘密地将嵌入病毒的打印机输入伊拉克，并在战争的关键时刻通过无线电遥控激活病毒，破坏了伊军军事信息系统，使百万伊军瞬间瓦解1。近年，美某家公司在中国实施“黑屏行动”表明，它可随时激活某个早已安装的程序“定时炸弹”，控制对方系统、瘫痪对方网络。我国在加入 WTO 之后，要受《与贸易有关的知识产权协议》( 又称 TRIPS 协议 )的约束，许多受知识产权保护的关键性信息技术与产品，不能轻易在我国直接使用实施，核心技术买不来，常常只能从国外进口其产品。如果通过这些技术生产的产品被植入了某种病毒或者留有“后门”，是很难马上察觉的。要知道，一个芯片由几百万个甚至几亿个晶体管构成，每个晶体管的功能和用途对于使用者来说不仅很难明晰了解，而且也不易一一检测查实。如果晶体管上存在“后门”，且使用者不易察觉，那么使用者的信息安全将受到威胁2。因此，对于网络安全来说，在关键技术上采用自主研制、开发、生产的产品，尤其在政府采购的安全产品中，供应商要保证是由中国企业为主，其产品的核心技术、关键部件具有我国自主知识产权，产品研制没有故意设置漏洞、后门、木马等，以降低安全风险。如果在网络系统中不具有自主知识产权的核心技术，那么信息安全就如同没有地基的空中楼阁。 1. 在硬件技术方面在硬件技术方面，尤其是计算机、服务器、交换机和各种终端设备的硬件中的许多核心部件都是外国厂商制造的。例如，虽然我国联想集团是全球最大的 PC 生产厂商，电脑销售量居世界第一，但是计算机中的核心部件——中央处理器 (CPU)，却一直是美国的英特尔公司提供的。我国绝大部分国产手机制造商用的是美国高通公司生产的芯片。而在交换机和路由器领域，虽然华为、中兴等通信设备制造业巨头，在世界范围内为各地通信运营商及专业网络拥有者提供硬件设备、软件、服务和解决方案，却制造不出一块路由器芯片。而芯片在这些产品中的作用，就好比人身上的基因，如果基因有问题，存在病毒或者留有后门，那么，无论在软件上做什么变化和改进，都无法排除其安全隐患。 2. 在软件技术方面 在应用软件方面，我国的网络安全防护有着不错的成绩。我国绝大部分的 PC 机和移动智能终端都能使用自主知识产权的系统防护软件，如金山公司的金山毒霸、奇虎 360 公司的 360 安全卫士和百度公司的百度杀毒软件等。这些系统防护软件在一定程度上也确实在保护网络 安全，防止木马袭击，隔离病毒等方面有着优秀的表现，为我国网络安全在应用层面的防护作出了不小的贡献。但是，仅仅依靠应用层的软件防护还是有限的，利用软件做出的防火墙是虚拟的，是程序性的，只要是程序，就会有漏洞，而这些漏洞往往会被利用，从而形成攻入网络系统的通道。况且，我国大部分 PC 机上都会安装国外公司开发的应用软件，如我国绝大部分公司和国家机关的办公软件都在使用美国微软公司开发的 Office 系列办公软件，这也可能是很好的入侵网络系统的切入口。令人担忧的是，我国的 PC 机操作系统绝大部分采用微软公司的 Windows 系列操作系统，其余的采用 Unix和类 Unix 操作系统，这两大类操作系统都来自美国的企业或机构。而在移动终端的主要设备——智能手机的操作系统方面，则被谷歌公司的安卓、苹果公司的 iOS和微软公司的 Windows Phone 所垄断。虽然我国有许多非常优秀的手机制造企业，如联想、华为、中兴、小米、魅族等，但这些企业旗下的智能手机产品所采用的操作系统，要么直接采用原生态的安卓系统，要么是基于安卓系统进行开发的具有自身特性的操作系统，但这些并没有改变一个基本事实，那就是我国庞大的智能手机产业中，没有一个中国自主知识产权的操作系统。操作系统的非自主化对于网络的安全性是致命的，因为这些操作系统的制造商可以很随便地改变某个程序代码来植入病毒或者留下后门而不会被发觉，这种成本低、操作方便、隐蔽性好的特点，很容易被利用，成为我国网络安全的“定时炸弹”。以上可以看出，我国的网络系统基本上依靠国外技术，在计算机软硬件的生产领域，我们在关键部位和环节上受制于人，从网络安全的角度来讲，对国外技术的过于依赖存在安全方面的隐患，如果不摆脱这方面的困境，不能从根本上解决我们的网络安全问题。3. 在涉密人员管理方面 一个企业可以没有自己的专利，但是不能没有自己的商业秘密。任何一个企业在获取专利技术之前，其产品研发的构思、配方、手段等等，都应属于商业秘密范畴。近年来，在我国司法实践中，由于科技人才跳槽而引发的 IT 企业之间的商业秘密民事纠纷案，层出不穷，并且我国司法系统每年商业秘密刑事案件的受理量，也在逐年大幅度上升。前几年国内某著名杀毒软件企业技术总监被挖墙角而酿成的刑事案件，我们还记忆犹新。2013年，美国全球网络监测计划雇佣人员爆发的“斯诺登”事件，其实也是外国在 IT 人员管理方面的一个反面教训。就笔者所了解的高科技企业知识产权应用状况调查数据来看，商业秘密 ( 包括技术秘密 ) 保护措施的使用频率是最高的。遗憾的是，许多机构只局限于在聘用合同中规定宽泛的条款，员工出入使用门禁等最常见的手段，缺乏与之配套实施的与时俱进的长效机制。具体而言，就是在移动智能终端普遍应用的情况下，还没有实行与之相匹配的保密措施。比如，研发人员在咖啡厅、机场等公共场所使用 WIFI，被监控的风险就很大。又比如，由于移动终端的大量应用，研发人员的上班时间与个人休息时间出现交叉 ( 特别是在大城市的上下班途中 )，个人通讯与保密数据发生混同。这些都是当前网络安全企业在商业秘密保护方面的弱点，甚至是盲点。在产品迭代日益加剧的背景下，许多企业着眼于追求高效运转，往往忽视了新技术更替带来的安全漏洞。知识产权策略在网络安全产业中的运用：1) 在关键性信息技术方面，建立以我国为主导的技术标准。IT 领域的现实情况是：三流企业卖产品，二流企业卖技术，一流企业卖标准。我国企业目前在硬件技术方面与跨国公司相比还有较大的差距，单靠国内某一两家 IT 企业从技术上全面赶超，建立标准，短期来看并不现实。我们应抓住 IT 技术与产品更新快，对市场规模依赖大等特点，通过产业联盟的形式，抱拳出击，适时地在关键领域里建立其具有自主知识产权的技术标准。政府支持产业发展的重点应从具体的技术、产品与项目，转向行业协调与引导，让市场主体冲锋在第一线。同时，还应在技术标准的建立方面，尽快抓住国际化的趋势，主动联络亚洲、南美、非洲等第三世界国家的 IT 企业，以形成具有国际应用市场的技术标准。网络无国界，信息安全产业天生就是全球化的产业。这种国际技术联盟与标准的建立，其意义绝不亚于中石油等央企在海外开拓石油、天然气等资源。甚至其意义还要超过有形资源的获取，因为它更容易让当地民众接受，而且更具有长远效益。所以政府的重点应从重视海外有形资源开拓，转向国际技术联盟与标准的建立。2) 保护软件著作权，倒逼企业练就内功。对于软件行业，一方面我国政府要履行 TRIPS 协议，实行软件正版化。按照 TRIPS 协议的标准保护知识产权，严厉打击盗版行为，增强企业与用户的知识产权保护意识，不能贪图眼前利益，让外国的系统软件通过盗版渠道大举占领我国市场。从信息经济学来看，免费往往是信息产品首选的推广手段。上个世纪 90 年代，我国自主品牌操作系统 WPS 被挤出市场的事实已经说明，降低保护水平，实际上是一种自废武功，饮鸠止渴的行为。另一方面，政府也应当对我国企业研发的具有自主知识产权的软件系统予以扶持，采取诸如优先采购、资金引导、贴息贷款等措施，以培育出具有自主知识产权的软件行业。也就是说，要以我国广大的市场来扶持自主可控的信息产品和研发能力。核心技术买不来，同样，也换不来。以前那种在吸引外资时实行“市场换技术”的政策，过于天真。 3) 通过对人的管理，强化技术秘密保护，防患于未然。相对于硬件与软件系统而言，在信息技术这一高科技行业里，人的因素是第一位的。堡垒最容易从内部攻破，最具杀伤力的安全风险，往往来自于网络安全系统内部的研发与操作人员。除了给予IT科技人员思想教育，道德教化等软约束之外，制度化的刚性约束不可缺少。具体而言，就是要在所有涉及网络安全的机构建立商业秘密 ( 包括技术秘密 ) 保护体系，绝不可掉以轻心。在物理隔离、保密区域设定的同时，更关键的是对涉密人员的管理。首先，对所有涉及技术秘密的人员，既要在聘用合同中设立保密条款，还要专门签订保密协议，并确立竞业禁止规定。其次，还要建立商业秘密制度实施审计体系，以考察、监督其持续落实，避免由于人员的更替、系统的更新，而产生漏洞。同时，还要研发适合于移动办公的安全系统，把涉密信息和个人数据相隔离， 保证在提高效率的同时，不降低安全标准。本文获教育部哲学社会科学研究重大项目支持 ( 批准号：08JZD0009) 1 胡文龙 . 靠自主知识产权赢得信息安全主导权 [N]. 解放军报，2010-09-29。 2 刘宝亮 . 用自主创新构建信息安全 [N]. 中国经济导报，2008-09-04(B03)。