4.5 为何推荐使用自主可控产品

斯诺登“棱镜门”事件告诉我们，软件和硬件可以买来，但安全是买不来的。“微软XP”事件再次向我们敲响警钟，使用国外基础软件必将受制于人。信息化越发展，对安全的要求越高，对数据库的安全要求也就越强烈。中央领导指出：“在关系国民经济命脉和国家安全的关键领域，真正的核心技术和关键技术只能依靠我们自己，只能依靠自主创新”。数据库等系统软件是信息系统的核心，是整个信息系统的基石，是国家战略必争的高新技术，只有拥有了自主可控的系统才能不受制于人，才能确保信息安全。选择国产数据库，符合国家“自主可控、安全可靠”的政策，也把安全牢牢地掌握在自己手中。

随着信息技术的快速发展和广泛应用，计算机已经渗透到我们工作、生活、娱乐的方方面面，信息安全已经与政治安全、经济安全、国防安全、文化安全共同成为国家安全的重要组成部分。为此，各国纷纷将信息技术和信息安全的自主可控能力与维护国家安全的能力紧密联系在一起。数据库作为基础软件体系的三大支柱之一已经成为信息安全的一个制高点，成为世界信息技术强国占领弱国的一块战略高地。美国未来学家托尔勒说过：“电脑网络的建立和普及将彻底改变人类生存及生活的模式，控制与掌握网络的人就是未来命运的主宰。谁掌握了信息，控制了网络，谁就拥有整个世界。”我国的数据库应用市场96%以上被国外主流数据库所垄断，存有严重的安全隐患。如何发展并推广使用我国自主可控的数据库系统，确保我们国家赛伯（Cyber）空间的信息安全，已经成为当前我们亟待解决的一个重大现实问题。

4.5.1 当前国际主流数据库的安全隐患

众所周知，数据库是信息系统的基础软件，是信息系统的核心部件，负责数据的存储、管理、检索与挖掘。数据库软件的安全等级由低到高分为D1、C1、C2、B1、B2、B3、A共7个等级。国外数据库在出口时，由于出口国在对自身信息安全保护以及技术壁垒等方面的考虑，使得数据库产品限制较多，从而也导致产品安全级别较低，对于达到B1安全级别的软件，美国是限制向中国出口的。所以，目前国内90%以上的用户使用的数据库其实没有达到B1的安全级别。据了解，“C2级安全标准”的要求在我国的政府甚至军方采购中非常普遍，其中的信息安全令人担忧。

数据库系统通常包含数千万行源代码，是一个复杂的大系统，如果不是自主开发的，仅依靠“黑箱测试”，则现有的测试手段和方法不能确保其没有“后门”和“漏洞”。从这个意义上讲，信息产品如果不是“自主”的，就做不到“可控”。微软公司曾与我国政府签订了“政府安全计划”（又称“政府源代码备案计划”），允许在其实验室里“观看”约97%的源代码，但不能下载研究、不能重构验证，还有核心的3%源代码连“观看”也不允许。就保障安全而言，“观看”部分的源代码没有什么用处，实践也证明这样做无助于改进信息安全。

数据库的安全性早已被世界所重视。在美国，政府核心部门使用的数据库安全等级要求至少是B1、B2级，甚至是A级。据易观国际报道，目前我国广泛使用的国外主流数据库产品我国不能自主可控，或存在类似于Windows的“NSA密钥现象”的蓄意“后门”，如果我们的计算机被人远程控制，我们将会束手无策，只能坐以待毙。从超越经济意义的更深层次上来讲，掌握数据库的主动权可以造成敌对国的严重混乱或导致巨大的经济损失，这种破坏不亚于原子弹的破坏，已经成为摧毁敌方战斗力的一种最有效的方式。海湾战争、阿富汗战争中美军完全控制战场局面、准确掌握敌方信息、“兵不血刃”取得胜利的事实一再为我们敲响安全警钟。长期以来，我们的许多行业、许多部门都采用国外数据库作为关键支撑，运行核心应用，这无疑为我们国家的信息安全埋下了重大隐患。

4.5.2 信息安全最终要落实到数据库安全

信息安全问题最关键的就是实现自主可控，最终要落实到数据安全。并且，随着云计算技术在中国的成功落地，基于云计算环境的应用日渐丰富，云安全也被越来越多的人关心。云计算除了具有一般网络计算同样的安全问题以外，由于其信息资源高度集中，也就使安全问题更为突出。中国工程院院士倪光南表示，保障云安全问题最关键的就是实现自主可控，应当从顶层设计开始来构建云计算安全体系以及信息安全测评、评估体系，这就势必需要用到国产软件，包括国产基础软件。在云计算产业链的重组、扩张和融合的过程中，数据中心成了云计算产业链汇聚、交融的关键。可以说，云安全问题最终要落实到数据库的安全问题。国产数据库作为重要的基础软件肩负着保障云计算信息安全的重大使命，由于国产数据库可提供源代码和根据用户特殊需求进行定制等，使用户能够真正实现自主可控、自主维护和更新系统，因此较国外软件更加安全。

据了解，目前包括Oracle、SQL Server、DB2等在内的所有国外数据库产品最高只达到EAL4级的安全级别，国产数据库已达到了安全四级，相当于EAL5级别。倪光南院士对此评论说，目前国产数据库在安全级别上已经赶超国外，国产数据库的安全级别完全可以保障数据，尤其是国家敏感数据的安全。软件是用出来的，希望越来越多的用户使用我们的国产数据库产品。

4.5.3 满足需求就好

1989年，甲骨文公司的Oracle数据库正式进入中国。“选信息产品就要选最知名的，这样即便出现问题也可以避免承担责任”这一理念也随之漂洋过海，落地中国。甲骨文公司的理念与策略与不愿担当、不敢担当的一些“掌门人”一拍即合。从客观上讲，那时我们别无选择。此后，甲骨文公司在几年间就快速占领了我国企业市场。

这种现象在当时的诸多国内巨头企业体现得尤为明显。其对甲骨文公司产品的一致选择造成了一种事实垄断，形成了默认的选择标准，这种选择进而会传导到一些非关键性的行业，例如医疗、社保等领域，导致后者并不会去选择最合适的，而是不假思索地选择甲骨文公司的产品。换句话说，这种选择并不一定是对甲骨文公司产品的认可，而是对其知名度的跟风。

甲骨文公司对国内企业的压力不仅仅体现在数据库环节，当其完成对整条业务链的全部整合，形成事实上对国内企业的压制性胜利以后，后者将真的寸步难行了。

以GIS（地理信息系统）为例，这是一种十分重要的空间信息系统。ArcGIS公司是全球领先的GIS软件提供商，其研发的GIS只支持在一些国外数据库上运行，对于国产数据库并不支持。这就意味着一旦企业选择了ArcGIS软件，国产数据库甚至没有进入竞争环节就已经输掉了整场战争。中地数码集团、超图软件股份有限公司等国内知名GIS生产厂商正是由于这些原因很难在某些领域实现实质性的推广。

事实上，国产数据库功能和性能并非不能完全满足用户的需求，而是强势的国外企业不给中国数据库开放端口，导致国产数据库和国外的软件不能实现互通。同时，国内相关硬件、软件还不够健全的业务链也使得其发展之路举步维艰。在国外大型数据库企业的打压下，国内数据库企业一直在默默地遭受煎熬。业内人士已经达成了这样的共识：国产数据库一旦被市场认可，后劲会很大，但攻克市场的“第一战”已经把它们压得喘不过气。随着大数据时代的到来，国产数据库与国外数据库站在同一起跑线上，获得难得的发展机遇。今天，国产数据库管理系统在功能、性能上已经与国外产品相当，在可用产品的安全级别上通常高于国外产品。因此，国外品牌不一定就是最佳选择，价格高不一定代表实用性好，我们要转变一个观念，那就是只买满足要求的产品，不买贵的产品，花钱买用不到的功能只能是一种浪费。

4.5.4 一站式服务方式是优势

在大数据时代，用户的需求已不仅仅局限于数据存储，更是向数据管理、分析、展现、挖掘等多元化方向发展。为保障大数据时代的国家信息安全，成都欧冠、人大金仓、武汉达梦、南大通用、神州通用等国产数据库生产厂商都在精心打造、努力提供一站式服务，有问必答、有求必应，针对不同行业的个性化需求进行定制，建设单位的技术问题可以在第一时间得到解决，大大方便了建设单位；不仅产品价格有优势，而且后期的维护与服务成本优势更大。与选用国外数据库产品相比，国产数据库产品的这种优势是不容置疑的。