圍繞微軟所謂“Win10政府版”是否安全的爭論仍在持續進行。針對筆者此前公開發表的聲明,微軟合作方雖公開回應,但未直面問題要害。事實上,筆者此前發表的言論并非刻意針對微軟一家企業,只是想指出當前我國網絡安全體系的一大疏漏。
網絡安全一般有兩大指標:安全性和可控性。假如一個產品的功能、性能等都正常,安全性可以通過,但若它可被廠商所操控或監控,可控性就通不過。由于歷史原因,我國黨政公文系統使用的軟硬件大多為進口,存在著很大的安全隱患。前些年“棱鏡門”事件剛爆發時,部分人還不太重視,仍然覺得大規模監聽只是政府行為,針對的大多是與國家安全密切相關的目標。直到最近勒索病毒爆發,社會公眾才對網絡攻擊的嚴重性有切身體會。
為解決網絡安全可控性不足的問題,習主席在去年10月就做出“加快推進國產自主可控替代計劃”的重要指示。這些年來,有關方面一直在大力推進電子公文系統安全可靠應用的試點,希望以此作為實施國產自主可控替代的突破點,取得成效后再推廣到其他領域。其中,國產Linux操作系統是核心,國產軟硬件都圍繞它構建起一個安全可控的信息技術體系。
在CPU等關鍵技術領域,發達國家處于領先地位,中國要強調“自主可控”是由國情決定的,因為我們的常態是“不可控的”。從這個角度看,如果跳出這一體系推所謂的外國軟件政府版,相當于推倒重來,容易打亂好不容易建立起來的國產CPU、其他國產軟硬件以至整個技術體系。
信息軟硬件的“安全可控”同樣關系國家安全。有鑒于此,我國《國家安全法》和《網絡安全法》都強調“網絡和信息核心技術”關鍵信息基礎設施“重要領域信息系統及數據”等要達到“安全可信”。
之所以強調“核心技術”“基礎設施”這類基礎性的信息軟硬件,是因為任何信息系統和應用都建立在它們之上。如果它們受制于人,那么由此構成的信息系統就像沙灘上的建筑,在遭到攻擊時頃刻間便會土崩瓦解。另外,重要領域信息系統及數據如果遭到攻擊所造成的損害顯然遠大于一般領域。筆者之所以關注政府采購,正是因為這個市場雖然不大,但安全影響卻很大。
為實現上述目標,國家網絡安全審查不可或缺。我國的網絡安全審查法規是從發達國家學來的。2011年11月,隨著華為、中興在美國市場競爭力越來越強,美國眾議院特別情報委員會發起對華為、中興的調查,得出“華為和中興提供給美國關鍵基礎設施建設的設備帶來的風險可能會損害美國國家安全利益”的審查結論,并據此在美國市場上封殺華為、中興。
不過當時我國并沒有相應的機構做這類工作,對華為、中興受到的不公正待遇無法反制,因此吃了啞巴虧。后來,正是出于增強網絡安全的需要(包括上述應對外國制裁的需求在內),網信辦組織制定了日前發布的《網絡產品和服務安全審查辦法》。
該辦法付諸實施以來,審查機構權威性不足的問題較為突出。事實上,不是隨便哪個單位的測試就可代替網絡安全審查,微軟等公司最近的做法有以“用戶測試”冒充網絡安全審查之嫌。
目前要實現全系統的自主可控、安全可控,確實有一定難度,這要求我們先實現主機、主板等部分的自主可控,然后再推及芯片、操作系統乃至整個生態系統。但這并非意味著可以在這一過程中放松對操作系統層面的安全審查。▲(作者是中國科學院計算所研究員、中國工程院院士)
京公網安備 11010502049343號