“在Win8架構下,一個軟件是否能被信任,這可能是由微軟說了算,而不是用戶說了算,會導致用戶對計算機失去控制權。”
新華社消息稱,為維護國家網絡安全、保障中國用戶合法利益,我國即將推出網絡安全審查制度。該項制度規(guī)定,關系國家安全和公共利益的系統(tǒng)使用的重要技術產品和服務,應通過網絡安全審查。21世紀經濟報道記者獲悉,對信息技術產品的安全審查,國內一直低調研究多年。但在2月27日,中央成立網絡安全和信息化領導小組,并由中共中央總書記習近平親自擔任組長后,這項制度的建設開始提速。
習近平在上述領導小組第一次會議上提出,“沒有網絡安全就沒有國家安全,沒有信息化就沒有現代化”。由此有關部門提出,網絡安全審查制度是國家網絡安全的基本保障,也是國家安全的重要屏障。
近期,就網絡安全審查制度的目標對象、中國政府部門放棄采購Win8系統(tǒng)和針對移動通訊工具的相關行動,引起市場持續(xù)廣泛關注。就上述問題,21世紀經濟報道專訪了長期參與我國網絡安全重大政策研究起草工作的專家,中國信息安全研究院副院長左曉棟。
過去審查制度有兩種不足
《21世紀》:2001年,中央決定重新組建“國家信息化領導小組”。2003年又在領導小組之下成立了國家網絡與信息安全協(xié)調小組。直到2014年2月27日,中央成立網絡安全和信息化領導小組,相關概念也經歷了從信息安全到網絡安全的轉變,你能否介紹下其中的背景?
左曉棟: 對于具體提法,不同時期有不同的認識和解釋,比如我們用過計算機安全、信息安全、網絡與信息安全等概念,這與歷史的認識有關,也與不同部門的工作重點有關。2003年,時任國家信息化領導小組組長溫家寶提出,信息安全包括基礎網絡安全、重要系統(tǒng)安全和信息內容安全?,F在網絡安全的概念,在范圍上與信息安全沒有本質區(qū)別,也指的是總體性的安全,既包含網絡與信息系統(tǒng)的技術安全,也包含信息內容安全。但網絡安全審查制度不涉及信息內容安全,與輿論管控、內容審查無關。
《21世紀》:從技術角度分析,網絡安全審查制度的重要性在什么地方?
左曉棟:現在的信息系統(tǒng)基本是在線運行,哪怕不是在線運行,往往也需要直接或間接在線升級,至少要與外界有交互。經過多年的信息化建設,目前涉及國計民生的重點行業(yè)如金融、通信等都全部依賴信息技術,信息網絡已經成為這些行業(yè)的神經系統(tǒng)。理論上,遠程都可以控制這些系統(tǒng)、竊取其中的信息,這是信息系統(tǒng)的本質特點決定的。前幾年出現的微軟“黑屏”事件中,盜版Windows會宕機,這在本質上就是一種遠程控制功能。而一旦信息系統(tǒng)出現問題,就可能導致整個行業(yè)癱瘓,引發(fā)嚴重的后果。當前,我國網絡安全面臨的嚴重風險隱患就是受制于人,原因就在于產品和服務是別人的,我們不清楚底數。
信息系統(tǒng)安全的基礎是產品和服務的安全,也就是說信息系統(tǒng)首先要追求本質安全。我們有很多后天保障安全的手段,但如果在根子里不安全,自身千瘡百孔,指望后天解決,這樣的思路是不對的。然而以前我們沒有對這些信息技術產品的安全進行管理,這相當于我們網絡安全的大門是洞開的。
《21世紀》:在網絡安全審查制度以前,我國有沒有類似的審查機制?
左曉棟:我國以前有信息安全產品測評認證制度,這項制度建設了很多年,涉及多個部門,比如公安部、保密局、密碼管理局等,甚至還有地方、行業(yè)都在搞相關的認證。信息安全產品測評認證的成果可以為網絡安全審查制度所用,但這項制度有兩個不足。
首先是它只針對信息安全產品,而不是所有信息技術產品。信息安全產品只是為了確保系統(tǒng)安全的附加產品,比如防火墻,這只能保證外圍安全,涉及系統(tǒng)本質安全的重要組件,包括服務器、操作系統(tǒng)、數據庫、應用軟件等,都沒有納入認證制度。
其次,以前的制度叫做標準符合性驗證,也就是測評時對照標準,進行逐條比對,如果全部符合就通過了認證。但問題是,如果標準中沒有寫某個要求怎么辦?所以說標準只是一個基礎,不能全面反映出一個產品的安全性,特別是如果面對一個居心叵測的攻擊者,在產品的標準之外加了一些東西,就不可能發(fā)現問題。
政府不安裝Win8的技術原因
《21世紀》:近日,中央政府采購網公告稱,所有計算機類產品不允許安裝Win8操作系統(tǒng)。有觀點稱,中央政府采購放棄Win8的原因就是與網絡安全有關,事實是否如此?
左曉棟:一個重要因素的確是出于安全考慮,Win8采用了全新的安全架構,叫做可信計算(TC)技術,這是個先進的技術,國內也在積極推廣。在這個安全架構下,計算機上要有一個硬件模塊,作為信任根,以此構建一個信任鏈,一級信任一級,確保系統(tǒng)處于安全的運行狀態(tài)。但這可能會帶來一個問題,就是有的軟件因為不被信任,在這個平臺上無法運行。在Win8架構下,一個軟件是否能被信任,這可能是由微軟說了算,而不是用戶說了算,這就會導致用戶對自己的計算機失去控制權。
《21世紀》:即將推出的網絡安全審查制度,主要審查什么內容?
左曉棟:網絡安全審查制度的范圍是關系國家安全和公共利益的重要信息技術產品和服務,目標是要做到產品和服務的安全性、可控性。網絡安全審查制度要確保重點,一般公眾使用的產品和服務不在審查范圍內。還要再次強調,網絡安全審查不是對互聯網信息的內容審查。
涉及到具體的審查技術,我認為,基于標準的符合性驗證是必要的,但還涉及到非技術方面,比如一個企業(yè)的聲譽好,聘用的技術人員背景清白,那么在客戶眼中自然其安全性、可控性就高。所以,除了審查技術指標,還要考察企業(yè)的很多方面,歸根結底是要確保企業(yè)及其產品可信。
《21世紀》:如果產品和服務提供商的部分數據涉及商業(yè)秘密,與網絡安全審查制度發(fā)生沖突時怎么辦?
左曉棟:不是所有的產品都需要進行審查。但接受審查的,一定是用在關系國家安全和公共利益的領域。我相信這個制度會充分保護企業(yè)的商業(yè)秘密。是否提供數據或資料,是企業(yè)的自由,但供應商恐怕要接受通不過審查的后果。事實上,國外早就有要求,對于高等級產品的安全性,要審查到源代碼,而我們以前是沒有這樣的要求的,也就是說國外的審查比我們嚴。
在國際上,IT產品安全測評使用的《通用準則》,簡稱CC標準。有些國家就曾對中國提出,中國不能搞自己的認證制度,應該用國際的這個通用制度。
但我們國內的企業(yè)拿到了CC證書后,在歐美一些國家的采購商那里卻仍然不被采信,原因是他們要求中國公司解釋其和中國政府、黨委、軍隊的關系。這個時候,一張CC證書是沒有任何意義的。這時候的審查就和技術無關,但對方認為他們關心的內容與你產品的可控性有關。對于國外實施的這些制度,我們要勇敢、大膽地全部學過來。
但需要強調的是,網絡安全審查制度不是針對特定國家、企業(yè)和產品的,不是為了針對某個國家、某個事件的報復措施,而是維護國家網絡安全的應有之義。
《21世紀》:如果我們的技術水平達不到審查的需要怎么辦?
左曉棟:在理論上,一個產品是不可能杜絕所有BUG的,指望網絡安全審查制度發(fā)現一個產品的全部“后門”,不是這項制度的目的。我們有很多其他的角度來衡量產品和服務的安全性、可控性,而且審查之中也有動態(tài)的管理,比如接受用戶、社會舉報等。我們也應樹立這樣的理念:產品提供商有責任向用戶證明,他們的產品是安全、透明的。
《21世紀》:能否介紹一下未來的網絡安全審查制度如何實施?
左曉棟:這是主管部門考慮的具體問題,但根據國際經驗,肯定要有一個辦事機構負責日常工作,其下要設立專家委員會,再之下要有第三方評價機構,負責具體技術性檢測。
不是“市場準入”,不是“行政許可”
《21世紀》:網絡安全審查制度既關乎國家安全和公共利益,又可能對市場主體的利益造成重大影響,你覺得這樣一項制度的實施,是否應該取得法律上的授權?
左曉棟:我認為網絡安全審查制度,最終一定要上升到法律層面,來明確各方面的權利和義務。當然立法是一個過程,需要各方面的條件都具備時才能出臺。
那么,網絡安全審查制度的效力體現在什么地方?它絕不是一種市場準入制度,不是一項行政許可,而是要把網絡安全貫徹到采購方對產品和服務的要求中去,審查的要求更多地應通過采購方去落實。這實際上就是一個采購方和提供方的合同行為,任何產品和服務的提供商都可以進入這個市場,但進入市場后,采購方要提出安全性的審查。
《21世紀》:你能否簡單介紹一下近年來關于網絡安全的立法情況?
左曉棟:2003年中辦發(fā)(2003)27號文最早明確提出,“抓緊研究起草《信息安全法》”,但由于這項法律涉及到的問題太多,立法難度很大,后來決定首先起草《信息安全條例》,在起草的幾年時間里,《信息安全條例》連續(xù)數年列入了國務院法制辦的二類立法計劃,但考慮到很多問題在行政法規(guī)的層面解決不了,后來又提出起草《信息安全法》。中央網絡安全和信息化領導小組成立以后,這項工作繼續(xù)進行,更名為《網絡安全法》。
我認為,網絡安全立法可能會突出重點,不會用一部法律解決所有問題,比如當前國家提出要制定關鍵基礎設施保護的法律法規(guī),我們就應該針對突出矛盾、重點問題,制定專門法。解決一個問題總比所有問題都解決不了要好,綜合性的法律法規(guī)一時不好出,就應加強專門法的研究起草工作。
《21世紀》:那么未來的網絡安全審查制度,會是一個綜合性的制度,還是由各個專門審查構成的體系?
左曉棟:我認為網絡安全審查制度是一個框架,有必要針對不同的產品和服務,在具體工作中有一些特性化的要求,包括流程方面。比如,我們正在就政府采購云計算服務制定兩個國家標準,目前已經開始試點,標準已經報批到國標委,還要建立專家機構,發(fā)展第三方云服務評估機構等。云計算服務的這兩個標準就是整個網絡安全審查制度的組成部分。其中規(guī)定,政府部門使用的云服務,要確保機房位于中國境內,確保云計算服務器以及運行關鍵業(yè)務和數據的物理設備也要位于中國境內。這都是在充分借鑒國外已有的良好經驗。
《21世紀》:未來網絡安全審查會不會也成為一個市場?
左曉棟:我認為很有可能,比如代碼審查,就需要有專門服務,相關的咨詢行業(yè)也會發(fā)展起來,很多產品開發(fā)商往往不懂安全、忽視安全,咨詢公司會指導他們如何把產品做得更安全,相關的評估服務業(yè)也會發(fā)展起來。