日前,微軟大中華區CEO柯睿杰表示:基于“安全可控”原則打造的中國政府版W in10正處于上市銷售前的準備當中,該版本Win10已經通過3家大型企業的用戶測試,證明該版本系統擁有可靠的安全性,接下來將進行大規模的部署。接著有報道呼應說,“Win10政府版已經在國內完成安全測試”。
人們要問:他們為什么要大肆宣傳Win10通過“用戶測試”、“安全測試”呢?
眾所周知,我國《網絡安全法》已正式施行,它要求“我國關鍵信息基礎設施的運營者采購網絡產品和服務,可能影響國家安全的,應當通過國家網信部門會同國務院有關部門組織的國家安全審查”。對照這個法規,人們不難理解,宣傳Win10通過“用戶測試”、“安全測試”,可能是想造成“Win10政府版”已通過國家安全審查的假象,從而為它進入政府采購敞開大門。
按照網信辦發布的《網絡產品和服務安全審查辦法》,網絡安全審查有嚴格的程序,并需由國家統一認定網絡安全審查第三方機構,承擔網絡安全審查中的第三方評價工作。
2015年,早在CETC與微軟的合資公司成立前,微軟就做出了“Win10政府版”。那時,《網絡產品和服務安全審查辦法》正在制訂中,有關方面對“Win10政府版”進行了一次網絡安全審查,結果沒有通過。此后,對“Win10政府版”并沒有再做此類審查。因此,不管后來它做了什么“用戶測試”、“安全測試”,它至今仍是一個沒有通過網絡安全審查的產品。
那時專家們還特別指出,當前不具備對Win10進行網絡安全審查的主客觀條件,因為:
一、中國雖然不缺少操作系統專家,不過因為Windows是不開放源代碼的專有軟件,微軟以外的專家誰也無法精通W indow s.現在想指望一些不精通Windows的人,在短時間里對億行源代碼規模的“Win10政府版”的安全性、可控性作出準確評估,顯然是不現實的。
二、要對一個軟件進行安全審查至少應獲得該軟件的可重構的全部源代碼,但微軟從未對中方提供過W indow s的全部源代碼,更談不上可重構了。而如果一個軟件有數以百萬計的源代碼不開放,這就像一個黑盒子,根本無法對其安全性、可控性作出準確評估。
今天,專家陳述的上述情況并沒有發生實質變化,即使對“Win10政府版”再作網絡安全審查,其難度也沒有減少。而且由于Win10的架構集成了可信計算,審查需驗證它與我國《電子簽名法》和《商用密碼管理條例》的合法、合規性。此外,還需調查國內外信息安全廠商對Win10捆綁可信計算和殺毒軟件、實施不正當競爭的投訴問題。可見,“Win10政府版”要想再作網絡安全審查,也將是曠日持久的事。
在2005年和2014年,我國政府因Vista和Win8不可控,都明令禁止采購。后來到2015年,微軟快速更新版本號,推出了Win10.對此,我國幾家權威安全測評機構進行測評后認為,“Win8 .1與Win10內核基本一致,并不存在較大幅度的變化,而版本號的大幅度升級更多是為了商業宣傳的需要”。(按:這里的測評只需判斷兩者是否一致,不涉及安全性、可控性的評估,因而較易實施。)
綜上所述,鑒于Win10等同于Win8以及“Win10政府版”并未通過網絡安全審查,希望有關方面予以關注,應依法繼續禁止政府采購和使用Win10(包括“Win10政府版”在內)。
倪光南(中國工程院首批院士,一直致力于自主可控的信息核心技術和產業,曾獲得中國中文信息學會與中國計算機學會終身成就獎)
京公網安備 11010502049343號