“中央机关采购中心禁止计算机类安装Windows 8操作系统”,一纸禁令,又一次激起在社交媒体上的涟漪。算来这是自2006年以来政府第二次对微软的Windows系统进行明文抵制,上一次持续的时间并不久,可以从当下政府机构采用的操作系统仍然为Windows系列看出没有得到有效执行。
八年过去了,今天时局下有更多复杂因素要考虑,这种举措会有什么样的影响,以及如何持续,值得反思一下。
曾经有一段时间,因为纠结于国产操作系统,滋养了一批“口号鼓吹家”和“国产操作系统企业”,他们打着国产的旗号,兜售民族产业的招牌,却丝毫没有任何真正底牌,如果说有操作系统,也大多是国际开源软件换个外壳,实则确实利用这些对政府进行欺瞒。多年后,潮水退去,除了剩下裸身,连旗帜都撑不起来了。
历史上看,汉芯、WAPI、IPV9、绿坝,甚至TD-SCDMA不都是在这种“国产”旗号下的赝品吗?所以之前有红旗Linux破产,员工到工信部投诉,也引发了网络上哗然。曾经如此高调的国家资助项目,竟然落得如此地步,砸了招牌,更错失良机。当然也许政府非常宽宏大量,并没有追究这些口头鼓吹家和骗取公弩却没有任何成果的企业。但是如果没有问责则是后患无穷,仍然有纵容这些不良个体或机构故伎重演的危险。
自从斯诺登事件以来,互联网安全真的成为了全球的政治话题之一,有外界猜测中央机关采购电脑设备不能选择Windows 8,是基于国家的信息安全考虑,这个立足点当然又是无法推翻的。但是一个国家的的信息安全分为几个层面:政治信息安全、商业信息安全和个人信息安全,这几个板块是构成整体国家信息安全不可或缺的整体,需要全面考量。
政府关键的部门内部,可能需要复杂的信息加密、信息隔离、网络防火墙、认证软件,以及严格的训练和全面监管措施,这不是简单通过一个操作系统就能够解决的问题。而中国更缺乏的是商业信息安全和民众的个人信息安全机制,更会波及政府部门的安全,别忘了网络是互联的。
年初爆发的SSL(Secure Sockets Layer,安全套接层)安全模块漏洞,令全世界的商业服务大为恐慌。到了中国的情况则更加啼笑皆非,很多商家或政府网站根本没有受到波及,只是因为就连这个级别的安全模块都没有提供。当你看到很多网站的注册和登录界面仍然使用http开始的网址而不是https,那就要小心了,一个简单的黑客工具就能够将所有用户的账户密码一锅端。
Windows操作系统,在过去数代发展中已经不断加固,实际上安全性并不差。但是国内软件市场上充斥的各种冒牌杀毒软件,实则是个人电脑的木马或后门,就足以让任何兼顾的操作系统瞬间失效。在政府窗口办事,工作人员的电脑桌面就可以看到这种随时弹出的各种安全警告窗口(外加花式广告诱饵)的劣质杀毒工具。这就像买了一把最好的防盗门锁,却开着门让盗贼进来喝茶一样吊诡。
国家信息安全一定是建立在个体信息安全基础上,如果纵容此类软件,乃至在盗版的Windows系统下工作,那么安全问题就不能简单归咎为操作系统,更多情况下,很多传统和低级的漏洞也会导致高成本的安全策略失效。正如NSA(National Security Agency,美国国家安全局)自身设计了很多可以揩油互联网大数据的监控手段,但是却被斯诺登一人的简单手法窃取了大量的信息,本身就是一个对美国政府信息安全的反讽。
但大量的政府机构长期采纳同一个操作系统,尤其是长期以来只是微软公司一家,本身就不合理。一方面,Windows的许可费用并不便宜,即使在很多机构并没有采用正版系统,仍然存在着系统的学习成本,也包括传统数据和周边投入的依赖性。由于“口头鼓吹家”和“民族企业”的耽搁,让多样性采购的策略根本没有行之有效。另一方面,微软在云计算和移动计算两个飞速发展领域已经处于劣势,Windows在整体计算市场的份额本身也在节节退缩,理应在政府采购中采纳多种方案。
假设这一次政府采购明文规定不能采购Windows 8,并不是如同以往一样走个形式,也并不是请媒体再次胡乱宣传一下了事,那么就应当要回答到底采购什么操作系统的问题。公共政策的制定过程都在避免用“短小精悍”却模棱两可的禁令方式,那样又会陷入”政策-对策“的悖论中:因为不允许采购Windows 8,还可以采购Windows Vista,还可以采购Windows 7。
要摆脱这个悖论,首先要看有什么选择:基于中国政府和谷歌公司的怨结,除了Windows,也必然不会选择Chrome OS。而因为过去数年的耽搁,目前也不存在“国产操作系统”的可能性。开发一个完整的操作系统,不但需要天文数字的工程技术人员,更需要高端的系统架构设计师。Windows 8 大约有5000万行源代码(SLOC),而Linux内核(3.6版)大约1590万行源代码(Linux的核心代码少是因为有更精巧的设计)。就算从头开始的“国产操作系统”已经完全不可行,第三条路呢?
红旗Linux失败后,工信部转向Canonical公司合作,发布了优麒麟(Ubuntu Kylin)桌面操作系统,虽然在中国的电脑用户群中,尚未对Ubuntu桌面操作系统有特别强烈的拥趸,但是这个策略比传统的方法合理一些。首先开源的Linux体系基本上不从属于任何公司,即使是Canconical公司也只是负责版本的发布和社群支持,和维基百科并不从属于维基媒体基金会一样,Ubuntu操作系统的所有代码属于整个开放源码的社群。
整体来说,Linux在云计算领域证明了自身的安全性,所以总体来说在操作系统层面的安全顾虑会降低;其次,Ubuntu在全球的桌面装计量仍然在不断上升,大量桌面软件功能和Windows已经没有太大差别,对中国用户来说,学习曲线比以往降低许多。如果能够就此次采购政策发布机会,推动Ubuntu在中国政府部门,乃至更多领域(包括教育和科研),那么从总体拥有成本(TCO)来说,这个策略或能够消除成本顾虑。
不过优麒麟仍然不是“国产操作系统”,因为很多人仍然把这个命题看得非常重要,那么这里有一个基于可持续性考量的思路供政策部门参考。如果从今天开始,中国誓言参与国际操作系统的竞争,就要找到切实的切入点。首先要接受在公认足够安全的开源操作内核可以提供选择基础上,没有必要重新发明轮子。要做的是,鼓励更多工程技术人员从学生时期开始了解和参与全球的开放源码操作系统的行动,而且先从大学的体系中建立操作系统的多样性选择。
另外,如果真正希望用户(无论是官方用户还是最终用户)接纳一个桌面操作系统,就必须在产品的设计上切入。必须关注产品设计师群体,同样鼓励个体参与来增强国际范围内开源操作系统的易用性。这种措施也会大大提升中国未来产品设计师群体的能力,在其他领域涌现更多有竞争力的产品。
用更国产的人才化策略,而不是把别人的系统装入一个国产外壳,则不会再次重蹈红旗Linux的覆辙,走出新的模式。用参与的方式将国人的开发和设计能力融入到国际主流操作系统的开放源码中,不但可以站在巨人们的肩膀上,建立新一代安全的操作系统内核,保护用户的隐私和关键部门的安全,又能够放眼未来几十年,影响全球未来的操作系统和计算设备的大趋势,何乐而不为呢?
作者:毛向辉,哈佛大学伯克曼互联网与社会中心研究员。主要研究方向:社会性媒体、互联网自由、数字民主、数字神经系统、群体智能。