品牌本土化不等于安全可控
中国科技网 程华
中国科技网讯 过去两年,为满足我国政府自主可控的需求,IBM、微软、惠普、思科、EMC等企业都积极寻找中国本土的战略合作伙伴。可以说,跨国IT企业与本土企业合资,是2015年中国IT市场最引人注目的动向。
作为一名土生土长, 从事了16年一线测试工作,其中5年为安全产品测试、5年为国产高性能计算测试、最近6年为国产IT产品测试的一线测试人员和体验人员,近来有一些所思所想,趁着春节放假几天写出来,纯属个人观点。
IT品牌本土化大潮
近年来,网络安全和自主可控等政策的出台,在催生了规模可观的国产化IT市场的同时,也重创了国外企业级IT厂商的在华业务。
面对中国这个全球第二大IT市场的新情况,特别是在全球IT购买力持续下滑的大背景下,为了分享这场由国产化带来的IT盛宴,IBM、惠普、思科、微软、戴尔等国外IT巨头纷纷开始了本地化的步伐,以合资方式将品牌本土化,按时间顺序简略如下:
2012年,EMC与联想宣布成立合资公司LenovoEMC Limited(联想占股51%,EMC占股49%),携手进军服务器和存储市场;
2014年,IBM通过Openpower基金会向中国本土企业开放Power技术,同年,苏州中晟宏芯发布了Power CPU芯片CP1,IBM并与华胜天成合资成立新云东方,2015年,基于Power微处理器以及AIX操作系统的全系列新云东方国产服务器上市;
2015年,惠普公司出售其中国大陆服务器和储存系统51%的股权给清华紫光,并与清华紫光合资成立新华三公司;
2015年,思科与浪潮在中国成立合资公司(浪潮占股51%、思科占股49%),业务范围包括网络、数据中心、云服务、物联网等领域的产品及技术;
2015年年底,微软与中国电子科技集团(CETC)成立合资公司C&M信息科技公司(中国电科占股51%,微软占股49%),为中国政府机构和负责国家基础设施的国有企业提供操作系统技术与服务。
对于外资企业来说,借助合资的方式取得合法身份,减少当地社会对外来资本的危机情绪,深度介入蒸蒸日上的中国IT市场甚至敏感行业市场,从而获取丰厚利润,无疑能够达到此轮合作的根本目标。事实上,“思考全球化,行动本土化 (Think Globally, Act Locally) ”一直是大型跨国公司争取全球市场的重要理念。
很多媒体将这种通过与本土企业联姻成立合资公司的方式,称为跨国企业的本地化。事实上,真正意义上的本地化要求很高,涉及到产品研发、产品制造、供应链、人力资源、品牌、营销管理、市场开拓等多个方面,如:
产品本土化:如预装汉化软件,提供中文输入法,提供中文说明书等;
本土营销方式本土化:如考虑到中国销售渠道的特殊性,构建以中国人为主的销售体系和销售渠道;
人力资源本土化:在企业的各部门各层次大量使用本地人才;
研究开发本土化:实现研发主体的本地化,本土人员深入参与产品研发过程的全流程并起到重要、甚至主导作用。
其中,人力资源本土化和研究开发本土化是最根本最深刻的本土化,也是我们最需要的本土化。而成立合资公司,充其量只是实现了品牌本土化。
对中国本土IT企业来说,理想情况下,有可能通过这样的合作帮助其掌握核心技术,借力IT巨头的成功生态圈加速管理变革并与国际接轨,同时也能够顺应我国政府“保障信息安全、核心技术自主可控”的科技发展战略。
品牌本土化不等于安全可控
不可否认,这是一个开放合作的时代,我们也有过高铁合作的成功案例。相比美国政府八九十年代的超算禁运、2015年初的超算芯片禁运,IT巨头们品牌本土化的做法无疑显示了对中国市场的重视,某种程度上,这也是对中国市场做出的让步。
可是,在进行以自主可控为目标的新一轮IT基础设施建设时,面对这些穿上国产化马甲的IT巨头以合资企业的名义发布的产品和服务,我们是否真的能够放心地为其贴上安全可控的标签呢?疑虑当然是存在的。
让我们以微软的本地化为例简单分析一下。
微软和中电科的合作声明包含三点内容:
(一)新成立的公司将作为中国境内微软产品的唯一代理;
(二)双方将展开合作,为中国政府机构和负责国家基础设施的国有企业提供操作系统技术与服务;
(三)中国电科相关子公司将加盟“微软合作伙伴网络”,签署“微软开发者高级支持服务协议”,微软将对其提供Windows部署、支持和最佳实践方面的技术培训与认证。
首先,该轮合作不能改变中国不掌握微软操作系统核心技术的现实,不能解决“可控”的问题。历史已经多次证明,产品和技术可以买,能力却是买不来的。微软和中电科的主要合作内容并没有涉及核心技术和知识产权,也不涉及Windows系统内核开发能力培训、以及技术共享和转让。微软Windows和设备集团副总裁Yusuf Mehdi也撰文称,微软将保留所有关于Windows 10的技术知识产权。
其次,该轮合作不能解决“安全”问题。有关Windows是否存在后门,已经是老生常谈的话题。只要还有国家利益存在,就无法从根本上杜绝后门。申明中的特殊领域是指能源、通信和交通等负责国家基础设施的国有企业(相关原文是“critical infrastructure state-owned enterprises”,某些媒体翻译有误)。当前,大数据已成为国家战略,半结构化、结构化的可用数据正在各行各业快速积累,负责国家基础设施建设运行的国有企业,其数据更是重要的国家战略资源,而信息系统作为存储和处理这些数据的载体,其安全可控尤为重要。自己家的保险柜,最好还是不要委托一个强邻来造。
虽然微软的Windows和设备集团副总裁Yusuf Mehdi表示,Windows10的安全性和隐私标准绝对值得信赖,但是美国国家安全局(NSA)曾与Windows 7开发人员就安全性展开合作也是事实。美国电子隐私信息中心(EPIC)执行官Marc Rotenberg就此事还发表过谴责:“关键问题是NSA肩负着双重使命,COMPUSEC(计算机安全)和通信情报(SIGINT)换句话说就是监控”,“NSA是否强迫微软之类的企业在他们的代码中留有后门,以方便NSA监控用户、拦截通信数据?”他还指出:“微软很难抗拒NSA的‘建议’,除了某些显而易见的原因,美国政府机构还是他们的大客户。”
申明里没有提到公开源代码,事实上,即使公开源代码也不能解决安全可控的问题。Linux已经开源24年,基于Linux开发的本土品牌操作系统厂商,仍然不敢说掌握了系统的所有细节。
外企品牌本土化对本土品牌的影响
应该说,我们已经用过去的10年走了国外产品20年的发展道路,实现了从无到有的根本转变,填补了很多该领域的空白,我们有了申威、龙芯、飞腾、等处理器,有中标麒麟、普华、深度等操作系统,有达梦、金仓,神州通等数据库系统、有金山、永中等办公软件。我们也初步具备了自主研发软硬件的能力,虽然没有Windows好用,也可以满足基本的办公需求。应该说,已经度过了婴儿期,正在茁壮成长的儿童期,正是应该加强营养、摔打锻炼的时候。可以预见的是,联姻后的合资公司将与本土公司展开激烈竞争,进一步拉低产品价格。而国产系统与国外同类产品的市场竞争,如同小学生和大学生赛跑,结果可想而知。
笔者认为,发展自主服务器和桌面计算机的难度有别于“两弹一星”和高铁,表现在两方面:第一,种类繁多的应用软件,需要多个相关基础软硬件厂商的长期磨合,因而需要培育构建复杂有序的生态环境,这是一个长期深耕、不断发展的过程;第二,IT关键软硬件的产品的最终成功和稳步发展,取决于在开放市场的成功,基础软硬件研发费用巨大,只有市场的成功才能够为企业带来发展所需的庞大资金。在市场上,前有Wintel联盟、后有Apple,它们经过多年的有序发展,技术方面绝对领先、用户习惯占据绝对主导地位,中国用户的用户体验都是Windows和Apple培养的,在这种情况下,国产计算机无论是功能、性能、兼容性、可靠性、易用性,以及应用方面,都还有8~10年的差距,力量的悬殊,更加需要我们的耐心和坚持。
尽快建立可控度评估体系,促进消化吸收
理想情况下,可控的软件产品应该是国内自主设计软件架构,采用完全正向设计开发方法,使用自主的编程环境开发源代码。
那么,如何评估国外软件产品的可控程度呢?笔者认为,要达到可控的目的,拥有设计开发文档和源代码只是一个必要前提,更重要的是:合资企业中的中方技术人员要有能力了解实现细节、掌握核心技术,辨别安全风险和漏洞。所谓可控,一定是强调本国人员对技术和产品的掌握和控制程度。
这就需要对引进产品进行深入的消化吸收,需要有关部门对消化吸收的程度和效果进行客观评价。因此,需要制定相应的评估指标和方法,对产品可控度和消化吸收程度进行定性和定量分析。仅仅公开源代码是远远不够的。
对可控度的评价,应尽快建立可控度评估体系,至少应该从本国开发人员对体系架构修改能力、核心技术掌握程度、核心技术修改能力、关键模块自主替换能力四个方面衡量。
在架构设计方面,主要通过人员访谈等方法,评估所提供技术文档的全面性、设计方案对本国相关人员的公开透明性,本国研发人员对总体架构设计、模块设计、算法设计的消化吸收程度,对设计思想的理解和掌握程度,以及对体系架构的修改能力;
对于后三个方面,要评估对各级模块/子模块的理解掌握程度和修改能力,重点评估对安全模块的掌握程度和修改能力,以及自主替换能力的积累情况和发展计划。可以将源代码按系统结构功能分解为模块、子模块分别进行评估,然后根据各模块的重要性系数,加权得到该软件在代码设计方面的可控度评估结果。
可控度评估体系的建立,一方面可以指导合资企业开展可控度自评估,促进对核心技术的掌握,从而提高软件产品的可控度;另一方面,可以为可控度评估提供依据,为应用部门了解产品可控程度、产品选型提供依据。
呼吁政策扶持,加速民族品牌发展
前有“两弹一星”,后有高铁,让我们充分感受到了拥有自主研发能力的巨大好处。龙芯公司总裁胡伟武老师对此也有过一段精辟的总结:“自主可控的意义,就是推翻两座大山:一是国家安全受制于人;二是产业发展受制于人。要改变目前中国IT产业受制于人的局面,光靠其中一、两项核心技术或一、两个产品的突破是不管用的,必须建立起自主可控的信息产业体系,就像‘两弹一星’时代我们的先辈建立起自主可控的工业体系。只有建立自主可控的软硬件技术体系,才能基于该技术体系进行持续改进,形成螺旋上升,否则在别人的技术体系中跟着升级,永远没有超越的机会,只能永远落后。”
所谓掌握核心技术,我理解,就是我们拥有、掌握、主导了完整的技术体系和生态环境,有一系列完整生态的软硬件厂商围绕这个技术体系进行研制、开发、升级和市场推广。拥有自己的技术体系,同时也意味着可以自己主导技术发展方向,不用不断跟踪国外的产品、不断被动升级换代,即使被长期封锁,我们也仍然可以依靠自己的技术和生态不断向前发展,生产出满足祖国和老百姓需要的好的产品。
正如路风老师在研究报告中所言,“中国必须坚持自主创新道路的理由,不是因为核心技术买不来,而是因为能力买不来。因为能力买不来,所以中国企业和中国工业对于中国技术进步的作用不是外资能够替代的,所以中国政府和中国工业对于技术发展的主导权是任何其他因素都不可替代的。”
基础研发需要大量的资金和人才投入,据不完全统计,Intel、AMD、微软、华为今年来的研发投入如下图所示:
Figure 1 2012~2015年度IT巨头们的研发投入不完全统计
以上任何一家的年研发投入,都超过了目前所有国产关键软硬件厂商的年研发经费总和。基础研发所需的巨大经费缺口,目前还难以通过市场满足,几乎成为影响国产化厂商前进的最大困难。
今天的中国,智能手机拥有量已经超过美国人口的2倍,Lenovo已经收购了IBM 的PC 和 x86服务器业务,在2014年的PC出货量已经达到1440万台,占全球PC销售总量的19.7%,位居世界第一。浪潮、曙光也已经成长为重要的整机厂商。IT领域已经和众多消费电子类产品一样,全面进入了“中国制造”的时代。我们也期待IT领域能够像高铁一样,在不久的将来,实现从“中国制造”到“中国研发”的转变。
俗话说“自己的孩子还要自己疼”,这些年工信部等政府部门出台了“核高基”、“863”等一批科研扶持计划,投入了大量的资金,出台了一系列产业扶持政策,起到了比较明显的作用。在国产化初见规模、已经进入艰难爬坡期的时候,希望有关部门酝酿新的举措,送上马扶一程。
外国企业激烈竞争、用户对国内企业技术实力的疑虑,使得几十年来国产IT软硬件系统的发展举步维艰。
新的一年,在强大的竞争对手面前,希望政府和国人能够给予中国IT企业更多的扶持和关怀,自主的IT企业也必须认清形势,拿出更强大的耐力和韧劲。在逆境中完成更深厚的积累。
作者简介:程华,女,安徽舒城人,国防科技大学计算机学院学士和硕士,中国科学院计算技术研究所博士,清华大学计算机系博士后,中国计算机学会理事、高专委委员、女计算机工作者委员会秘书。长期从事计算机系统评测工作,主要研究方向为性能评价、评测体系、自主可控度评估和低功耗评测,研究成果被采纳为关键软硬件自主可控度评估、软硬件集成、操作系统、办公软件共5项评测类国家军用标准、4项操作系统/整机评测类国家标准。
转载来源:中国科技网