“在Win8架構(gòu)下,一個(gè)軟件是否能被信任,這可能是由微軟說(shuō)了算,而不是用戶說(shuō)了算,會(huì)導(dǎo)致用戶對(duì)計(jì)算機(jī)失去控制權(quán)。”
新華社消息稱,為維護(hù)國(guó)家網(wǎng)絡(luò)安全、保障中國(guó)用戶合法利益,我國(guó)即將推出網(wǎng)絡(luò)安全審查制度。該項(xiàng)制度規(guī)定,關(guān)系國(guó)家安全和公共利益的系統(tǒng)使用的重要技術(shù)產(chǎn)品和服務(wù),應(yīng)通過(guò)網(wǎng)絡(luò)安全審查。21世紀(jì)經(jīng)濟(jì)報(bào)道記者獲悉,對(duì)信息技術(shù)產(chǎn)品的安全審查,國(guó)內(nèi)一直低調(diào)研究多年。但在2月27日,中央成立網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組,并由中共中央總書記習(xí)近平親自擔(dān)任組長(zhǎng)后,這項(xiàng)制度的建設(shè)開始提速。
習(xí)近平在上述領(lǐng)導(dǎo)小組第一次會(huì)議上提出,“沒(méi)有網(wǎng)絡(luò)安全就沒(méi)有國(guó)家安全,沒(méi)有信息化就沒(méi)有現(xiàn)代化”。由此有關(guān)部門提出,網(wǎng)絡(luò)安全審查制度是國(guó)家網(wǎng)絡(luò)安全的基本保障,也是國(guó)家安全的重要屏障。
近期,就網(wǎng)絡(luò)安全審查制度的目標(biāo)對(duì)象、中國(guó)政府部門放棄采購(gòu)Win8系統(tǒng)和針對(duì)移動(dòng)通訊工具的相關(guān)行動(dòng),引起市場(chǎng)持續(xù)廣泛關(guān)注。就上述問(wèn)題,21世紀(jì)經(jīng)濟(jì)報(bào)道專訪了長(zhǎng)期參與我國(guó)網(wǎng)絡(luò)安全重大政策研究起草工作的專家,中國(guó)信息安全研究院副院長(zhǎng)左曉棟。
過(guò)去審查制度有兩種不足
《21世紀(jì)》:2001年,中央決定重新組建“國(guó)家信息化領(lǐng)導(dǎo)小組”。2003年又在領(lǐng)導(dǎo)小組之下成立了國(guó)家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組。直到2014年2月27日,中央成立網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組,相關(guān)概念也經(jīng)歷了從信息安全到網(wǎng)絡(luò)安全的轉(zhuǎn)變,你能否介紹下其中的背景?
左曉棟: 對(duì)于具體提法,不同時(shí)期有不同的認(rèn)識(shí)和解釋,比如我們用過(guò)計(jì)算機(jī)安全、信息安全、網(wǎng)絡(luò)與信息安全等概念,這與歷史的認(rèn)識(shí)有關(guān),也與不同部門的工作重點(diǎn)有關(guān)。2003年,時(shí)任國(guó)家信息化領(lǐng)導(dǎo)小組組長(zhǎng)溫家寶提出,信息安全包括基礎(chǔ)網(wǎng)絡(luò)安全、重要系統(tǒng)安全和信息內(nèi)容安全。現(xiàn)在網(wǎng)絡(luò)安全的概念,在范圍上與信息安全沒(méi)有本質(zhì)區(qū)別,也指的是總體性的安全,既包含網(wǎng)絡(luò)與信息系統(tǒng)的技術(shù)安全,也包含信息內(nèi)容安全。但網(wǎng)絡(luò)安全審查制度不涉及信息內(nèi)容安全,與輿論管控、內(nèi)容審查無(wú)關(guān)。
《21世紀(jì)》:從技術(shù)角度分析,網(wǎng)絡(luò)安全審查制度的重要性在什么地方?
左曉棟:現(xiàn)在的信息系統(tǒng)基本是在線運(yùn)行,哪怕不是在線運(yùn)行,往往也需要直接或間接在線升級(jí),至少要與外界有交互。經(jīng)過(guò)多年的信息化建設(shè),目前涉及國(guó)計(jì)民生的重點(diǎn)行業(yè)如金融、通信等都全部依賴信息技術(shù),信息網(wǎng)絡(luò)已經(jīng)成為這些行業(yè)的神經(jīng)系統(tǒng)。理論上,遠(yuǎn)程都可以控制這些系統(tǒng)、竊取其中的信息,這是信息系統(tǒng)的本質(zhì)特點(diǎn)決定的。前幾年出現(xiàn)的微軟“黑屏”事件中,盜版Windows會(huì)宕機(jī),這在本質(zhì)上就是一種遠(yuǎn)程控制功能。而一旦信息系統(tǒng)出現(xiàn)問(wèn)題,就可能導(dǎo)致整個(gè)行業(yè)癱瘓,引發(fā)嚴(yán)重的后果。當(dāng)前,我國(guó)網(wǎng)絡(luò)安全面臨的嚴(yán)重風(fēng)險(xiǎn)隱患就是受制于人,原因就在于產(chǎn)品和服務(wù)是別人的,我們不清楚底數(shù)。
信息系統(tǒng)安全的基礎(chǔ)是產(chǎn)品和服務(wù)的安全,也就是說(shuō)信息系統(tǒng)首先要追求本質(zhì)安全。我們有很多后天保障安全的手段,但如果在根子里不安全,自身千瘡百孔,指望后天解決,這樣的思路是不對(duì)的。然而以前我們沒(méi)有對(duì)這些信息技術(shù)產(chǎn)品的安全進(jìn)行管理,這相當(dāng)于我們網(wǎng)絡(luò)安全的大門是洞開的。
《21世紀(jì)》:在網(wǎng)絡(luò)安全審查制度以前,我國(guó)有沒(méi)有類似的審查機(jī)制?
左曉棟:我國(guó)以前有信息安全產(chǎn)品測(cè)評(píng)認(rèn)證制度,這項(xiàng)制度建設(shè)了很多年,涉及多個(gè)部門,比如公安部、保密局、密碼管理局等,甚至還有地方、行業(yè)都在搞相關(guān)的認(rèn)證。信息安全產(chǎn)品測(cè)評(píng)認(rèn)證的成果可以為網(wǎng)絡(luò)安全審查制度所用,但這項(xiàng)制度有兩個(gè)不足。
首先是它只針對(duì)信息安全產(chǎn)品,而不是所有信息技術(shù)產(chǎn)品。信息安全產(chǎn)品只是為了確保系統(tǒng)安全的附加產(chǎn)品,比如防火墻,這只能保證外圍安全,涉及系統(tǒng)本質(zhì)安全的重要組件,包括服務(wù)器、操作系統(tǒng)、數(shù)據(jù)庫(kù)、應(yīng)用軟件等,都沒(méi)有納入認(rèn)證制度。
其次,以前的制度叫做標(biāo)準(zhǔn)符合性驗(yàn)證,也就是測(cè)評(píng)時(shí)對(duì)照標(biāo)準(zhǔn),進(jìn)行逐條比對(duì),如果全部符合就通過(guò)了認(rèn)證。但問(wèn)題是,如果標(biāo)準(zhǔn)中沒(méi)有寫某個(gè)要求怎么辦?所以說(shuō)標(biāo)準(zhǔn)只是一個(gè)基礎(chǔ),不能全面反映出一個(gè)產(chǎn)品的安全性,特別是如果面對(duì)一個(gè)居心叵測(cè)的攻擊者,在產(chǎn)品的標(biāo)準(zhǔn)之外加了一些東西,就不可能發(fā)現(xiàn)問(wèn)題。
政府不安裝Win8的技術(shù)原因
《21世紀(jì)》:近日,中央政府采購(gòu)網(wǎng)公告稱,所有計(jì)算機(jī)類產(chǎn)品不允許安裝Win8操作系統(tǒng)。有觀點(diǎn)稱,中央政府采購(gòu)放棄Win8的原因就是與網(wǎng)絡(luò)安全有關(guān),事實(shí)是否如此?
左曉棟:一個(gè)重要因素的確是出于安全考慮,Win8采用了全新的安全架構(gòu),叫做可信計(jì)算(TC)技術(shù),這是個(gè)先進(jìn)的技術(shù),國(guó)內(nèi)也在積極推廣。在這個(gè)安全架構(gòu)下,計(jì)算機(jī)上要有一個(gè)硬件模塊,作為信任根,以此構(gòu)建一個(gè)信任鏈,一級(jí)信任一級(jí),確保系統(tǒng)處于安全的運(yùn)行狀態(tài)。但這可能會(huì)帶來(lái)一個(gè)問(wèn)題,就是有的軟件因?yàn)椴槐恍湃危谶@個(gè)平臺(tái)上無(wú)法運(yùn)行。在Win8架構(gòu)下,一個(gè)軟件是否能被信任,這可能是由微軟說(shuō)了算,而不是用戶說(shuō)了算,這就會(huì)導(dǎo)致用戶對(duì)自己的計(jì)算機(jī)失去控制權(quán)。
《21世紀(jì)》:即將推出的網(wǎng)絡(luò)安全審查制度,主要審查什么內(nèi)容?
左曉棟:網(wǎng)絡(luò)安全審查制度的范圍是關(guān)系國(guó)家安全和公共利益的重要信息技術(shù)產(chǎn)品和服務(wù),目標(biāo)是要做到產(chǎn)品和服務(wù)的安全性、可控性。網(wǎng)絡(luò)安全審查制度要確保重點(diǎn),一般公眾使用的產(chǎn)品和服務(wù)不在審查范圍內(nèi)。還要再次強(qiáng)調(diào),網(wǎng)絡(luò)安全審查不是對(duì)互聯(lián)網(wǎng)信息的內(nèi)容審查。
涉及到具體的審查技術(shù),我認(rèn)為,基于標(biāo)準(zhǔn)的符合性驗(yàn)證是必要的,但還涉及到非技術(shù)方面,比如一個(gè)企業(yè)的聲譽(yù)好,聘用的技術(shù)人員背景清白,那么在客戶眼中自然其安全性、可控性就高。所以,除了審查技術(shù)指標(biāo),還要考察企業(yè)的很多方面,歸根結(jié)底是要確保企業(yè)及其產(chǎn)品可信。
《21世紀(jì)》:如果產(chǎn)品和服務(wù)提供商的部分?jǐn)?shù)據(jù)涉及商業(yè)秘密,與網(wǎng)絡(luò)安全審查制度發(fā)生沖突時(shí)怎么辦?
左曉棟:不是所有的產(chǎn)品都需要進(jìn)行審查。但接受審查的,一定是用在關(guān)系國(guó)家安全和公共利益的領(lǐng)域。我相信這個(gè)制度會(huì)充分保護(hù)企業(yè)的商業(yè)秘密。是否提供數(shù)據(jù)或資料,是企業(yè)的自由,但供應(yīng)商恐怕要接受通不過(guò)審查的后果。事實(shí)上,國(guó)外早就有要求,對(duì)于高等級(jí)產(chǎn)品的安全性,要審查到源代碼,而我們以前是沒(méi)有這樣的要求的,也就是說(shuō)國(guó)外的審查比我們嚴(yán)。
在國(guó)際上,IT產(chǎn)品安全測(cè)評(píng)使用的《通用準(zhǔn)則》,簡(jiǎn)稱CC標(biāo)準(zhǔn)。有些國(guó)家就曾對(duì)中國(guó)提出,中國(guó)不能搞自己的認(rèn)證制度,應(yīng)該用國(guó)際的這個(gè)通用制度。
但我們國(guó)內(nèi)的企業(yè)拿到了CC證書后,在歐美一些國(guó)家的采購(gòu)商那里卻仍然不被采信,原因是他們要求中國(guó)公司解釋其和中國(guó)政府、黨委、軍隊(duì)的關(guān)系。這個(gè)時(shí)候,一張CC證書是沒(méi)有任何意義的。這時(shí)候的審查就和技術(shù)無(wú)關(guān),但對(duì)方認(rèn)為他們關(guān)心的內(nèi)容與你產(chǎn)品的可控性有關(guān)。對(duì)于國(guó)外實(shí)施的這些制度,我們要勇敢、大膽地全部學(xué)過(guò)來(lái)。
但需要強(qiáng)調(diào)的是,網(wǎng)絡(luò)安全審查制度不是針對(duì)特定國(guó)家、企業(yè)和產(chǎn)品的,不是為了針對(duì)某個(gè)國(guó)家、某個(gè)事件的報(bào)復(fù)措施,而是維護(hù)國(guó)家網(wǎng)絡(luò)安全的應(yīng)有之義。
《21世紀(jì)》:如果我們的技術(shù)水平達(dá)不到審查的需要怎么辦?
左曉棟:在理論上,一個(gè)產(chǎn)品是不可能杜絕所有BUG的,指望網(wǎng)絡(luò)安全審查制度發(fā)現(xiàn)一個(gè)產(chǎn)品的全部“后門”,不是這項(xiàng)制度的目的。我們有很多其他的角度來(lái)衡量產(chǎn)品和服務(wù)的安全性、可控性,而且審查之中也有動(dòng)態(tài)的管理,比如接受用戶、社會(huì)舉報(bào)等。我們也應(yīng)樹立這樣的理念:產(chǎn)品提供商有責(zé)任向用戶證明,他們的產(chǎn)品是安全、透明的。
《21世紀(jì)》:能否介紹一下未來(lái)的網(wǎng)絡(luò)安全審查制度如何實(shí)施?
左曉棟:這是主管部門考慮的具體問(wèn)題,但根據(jù)國(guó)際經(jīng)驗(yàn),肯定要有一個(gè)辦事機(jī)構(gòu)負(fù)責(zé)日常工作,其下要設(shè)立專家委員會(huì),再之下要有第三方評(píng)價(jià)機(jī)構(gòu),負(fù)責(zé)具體技術(shù)性檢測(cè)。
不是“市場(chǎng)準(zhǔn)入”,不是“行政許可”
《21世紀(jì)》:網(wǎng)絡(luò)安全審查制度既關(guān)乎國(guó)家安全和公共利益,又可能對(duì)市場(chǎng)主體的利益造成重大影響,你覺得這樣一項(xiàng)制度的實(shí)施,是否應(yīng)該取得法律上的授權(quán)?
左曉棟:我認(rèn)為網(wǎng)絡(luò)安全審查制度,最終一定要上升到法律層面,來(lái)明確各方面的權(quán)利和義務(wù)。當(dāng)然立法是一個(gè)過(guò)程,需要各方面的條件都具備時(shí)才能出臺(tái)。
那么,網(wǎng)絡(luò)安全審查制度的效力體現(xiàn)在什么地方?它絕不是一種市場(chǎng)準(zhǔn)入制度,不是一項(xiàng)行政許可,而是要把網(wǎng)絡(luò)安全貫徹到采購(gòu)方對(duì)產(chǎn)品和服務(wù)的要求中去,審查的要求更多地應(yīng)通過(guò)采購(gòu)方去落實(shí)。這實(shí)際上就是一個(gè)采購(gòu)方和提供方的合同行為,任何產(chǎn)品和服務(wù)的提供商都可以進(jìn)入這個(gè)市場(chǎng),但進(jìn)入市場(chǎng)后,采購(gòu)方要提出安全性的審查。
《21世紀(jì)》:你能否簡(jiǎn)單介紹一下近年來(lái)關(guān)于網(wǎng)絡(luò)安全的立法情況?
左曉棟:2003年中辦發(fā)(2003)27號(hào)文最早明確提出,“抓緊研究起草《信息安全法》”,但由于這項(xiàng)法律涉及到的問(wèn)題太多,立法難度很大,后來(lái)決定首先起草《信息安全條例》,在起草的幾年時(shí)間里,《信息安全條例》連續(xù)數(shù)年列入了國(guó)務(wù)院法制辦的二類立法計(jì)劃,但考慮到很多問(wèn)題在行政法規(guī)的層面解決不了,后來(lái)又提出起草《信息安全法》。中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組成立以后,這項(xiàng)工作繼續(xù)進(jìn)行,更名為《網(wǎng)絡(luò)安全法》。
我認(rèn)為,網(wǎng)絡(luò)安全立法可能會(huì)突出重點(diǎn),不會(huì)用一部法律解決所有問(wèn)題,比如當(dāng)前國(guó)家提出要制定關(guān)鍵基礎(chǔ)設(shè)施保護(hù)的法律法規(guī),我們就應(yīng)該針對(duì)突出矛盾、重點(diǎn)問(wèn)題,制定專門法。解決一個(gè)問(wèn)題總比所有問(wèn)題都解決不了要好,綜合性的法律法規(guī)一時(shí)不好出,就應(yīng)加強(qiáng)專門法的研究起草工作。
《21世紀(jì)》:那么未來(lái)的網(wǎng)絡(luò)安全審查制度,會(huì)是一個(gè)綜合性的制度,還是由各個(gè)專門審查構(gòu)成的體系?
左曉棟:我認(rèn)為網(wǎng)絡(luò)安全審查制度是一個(gè)框架,有必要針對(duì)不同的產(chǎn)品和服務(wù),在具體工作中有一些特性化的要求,包括流程方面。比如,我們正在就政府采購(gòu)云計(jì)算服務(wù)制定兩個(gè)國(guó)家標(biāo)準(zhǔn),目前已經(jīng)開始試點(diǎn),標(biāo)準(zhǔn)已經(jīng)報(bào)批到國(guó)標(biāo)委,還要建立專家機(jī)構(gòu),發(fā)展第三方云服務(wù)評(píng)估機(jī)構(gòu)等。云計(jì)算服務(wù)的這兩個(gè)標(biāo)準(zhǔn)就是整個(gè)網(wǎng)絡(luò)安全審查制度的組成部分。其中規(guī)定,政府部門使用的云服務(wù),要確保機(jī)房位于中國(guó)境內(nèi),確保云計(jì)算服務(wù)器以及運(yùn)行關(guān)鍵業(yè)務(wù)和數(shù)據(jù)的物理設(shè)備也要位于中國(guó)境內(nèi)。這都是在充分借鑒國(guó)外已有的良好經(jīng)驗(yàn)。
《21世紀(jì)》:未來(lái)網(wǎng)絡(luò)安全審查會(huì)不會(huì)也成為一個(gè)市場(chǎng)?
左曉棟:我認(rèn)為很有可能,比如代碼審查,就需要有專門服務(wù),相關(guān)的咨詢行業(yè)也會(huì)發(fā)展起來(lái),很多產(chǎn)品開發(fā)商往往不懂安全、忽視安全,咨詢公司會(huì)指導(dǎo)他們?nèi)绾伟旬a(chǎn)品做得更安全,相關(guān)的評(píng)估服務(wù)業(yè)也會(huì)發(fā)展起來(lái)。(編輯 衣鵬 張凡 譚翊飛 申劍麗)
