國家互聯(lián)網(wǎng)信息辦公室近期宣布我國即將推出網(wǎng)絡(luò)安全審查制度,將對關(guān)系國家安全和公共利益的系統(tǒng)使用重要信息技術(shù)產(chǎn)品和服務(wù)進(jìn)行網(wǎng)絡(luò)安全審查。這是在今年初中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組成立后,我國在網(wǎng)絡(luò)安全領(lǐng)域推出的一項(xiàng)戰(zhàn)略性舉措,對于維護(hù)國家網(wǎng)絡(luò)安全、建設(shè)網(wǎng)絡(luò)強(qiáng)國具有重大推動作用。
這意味著我國網(wǎng)絡(luò)安全管理的視野進(jìn)一步擴(kuò)大,更加強(qiáng)調(diào)對形成網(wǎng)絡(luò)安全基本要素的技術(shù)和產(chǎn)品的管控與規(guī)制。網(wǎng)絡(luò)安全審查制度的出臺對于構(gòu)筑我國全方位、立體、綜合網(wǎng)絡(luò)安全保障能力有著十分重大的意義,對于加強(qiáng)我國網(wǎng)絡(luò)安全自主創(chuàng)新能力、激發(fā)產(chǎn)業(yè)創(chuàng)新也有著十分積極的推動作用。
互聯(lián)網(wǎng)是現(xiàn)代信息技術(shù)高度發(fā)展的產(chǎn)物,中國在加入網(wǎng)絡(luò)大潮、分享到互聯(lián)網(wǎng)絡(luò)高速發(fā)展帶來的巨大社會經(jīng)濟(jì)效益的同時(shí),也承受著隨之而來的風(fēng)險(xiǎn)。尤其是由于產(chǎn)業(yè)格局不對等,在中國的信息化建設(shè)中,大量使用國外產(chǎn)品,特別是美國的“八大金剛”(微軟、思科等8家美國公司)的計(jì)算機(jī)和網(wǎng)絡(luò)設(shè)備產(chǎn)品,未經(jīng)審查卻大量部署在我國基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng)中,種種“漏洞”和預(yù)置的“后門”給我國的關(guān)鍵信息基礎(chǔ)設(shè)施帶來很大威脅。正如“棱鏡門”事件所揭示的,包括我國前領(lǐng)導(dǎo)人在內(nèi)的重要網(wǎng)絡(luò)信息均受到美國情報(bào)機(jī)構(gòu)的監(jiān)控。
為應(yīng)對這種嚴(yán)峻的形勢,國家在制度層面強(qiáng)化對網(wǎng)絡(luò)技術(shù)產(chǎn)品的規(guī)制管控,對于加強(qiáng)我國關(guān)鍵信息基礎(chǔ)設(shè)施保障能力,無疑十分必要而且勢在必行??v觀美國、歐盟,在大力發(fā)展ICT(信息通信技術(shù))產(chǎn)業(yè)的同時(shí),均建立了類似的技術(shù)產(chǎn)品審查制度,均規(guī)定凡是政府信息系統(tǒng)中采購的設(shè)備必須經(jīng)過相應(yīng)的技術(shù)審查和產(chǎn)品認(rèn)證。我國推出這一審查制度,符合國際趨勢及網(wǎng)絡(luò)發(fā)展的客觀規(guī)律。
技術(shù)和產(chǎn)品本身的安全是構(gòu)筑網(wǎng)絡(luò)安全的基本前提,從技術(shù)和產(chǎn)品層面實(shí)施安全審查,可謂是正本清源,抓住了網(wǎng)絡(luò)安全治理的要害和關(guān)鍵。其中,相對于產(chǎn)品安全而言,技術(shù)安全還要更為基本。從ICT產(chǎn)業(yè)規(guī)律而言,往往是技術(shù)發(fā)明在先,相應(yīng)的工程實(shí)現(xiàn)和產(chǎn)品開發(fā)在后。計(jì)算機(jī)、服務(wù)器、網(wǎng)絡(luò)設(shè)備集成了大量事先發(fā)明的技術(shù),才具備計(jì)算和聯(lián)網(wǎng)通信的能力。如果說計(jì)算機(jī)、服務(wù)器和網(wǎng)絡(luò)設(shè)備是“面包”的話,集成在這些產(chǎn)品中的“芯片架構(gòu)”、“網(wǎng)絡(luò)協(xié)議”、“安全協(xié)議”等基礎(chǔ)技術(shù)就是 “小麥種子”,由它種出小麥,進(jìn)而加工成面包。
因此,在我們貫徹實(shí)施網(wǎng)絡(luò)安全審查制度之時(shí),尤其要重視“種子”層面的審查規(guī)制,在謹(jǐn)防“毒面包”的同時(shí),還要加大力氣解決管控“毒種子”的問題。很多時(shí)候,“毒種子”比“毒面包”更可怕,其散播面更廣,隱藏更深,因此危害更大。
就構(gòu)成網(wǎng)絡(luò)安全的基本技術(shù)層面而言,我國目前使用的網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)都是美國政府和企業(yè)主導(dǎo)開發(fā)的,比如保證網(wǎng)絡(luò)安全連接和數(shù)據(jù)安全傳輸?shù)木W(wǎng)絡(luò)安全協(xié)議技術(shù);銀行網(wǎng)銀使用的認(rèn)證技術(shù)和簽名技術(shù)。大量這類未經(jīng)嚴(yán)格技術(shù)審查的基礎(chǔ)安全技術(shù),廣泛應(yīng)用在我國的基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng)中。有些技術(shù)在近些年陸續(xù)被驗(yàn)證有重大安全漏洞,如近期曝光的“SSL心臟出血漏洞”等,對我國政府、企事業(yè)單位和廣大網(wǎng)民造成極大的網(wǎng)絡(luò)威脅和安全隱患;斯諾登披露的文件也顯示出,美國國家安全局等情報(bào)機(jī)構(gòu)正是利用IPSec、SSL等技術(shù)漏洞設(shè)置后門和實(shí)施網(wǎng)絡(luò)監(jiān)控的。
這些網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)在技術(shù)方案本身及其工程實(shí)現(xiàn)的軟件代碼層面,均存在嚴(yán)重的“漏洞”。這些“漏洞”很大程度上是蓄意為之。這些漏洞不同于普通應(yīng)用軟件和網(wǎng)絡(luò)設(shè)備中的“后門”,其影響范圍之廣、危害程度之深超出想象。技術(shù)方案層面的漏洞能夠通過產(chǎn)業(yè)鏈逐級傳遞,好比種子有毒,從麥子到面粉到饅頭,全產(chǎn)業(yè)鏈都受到污染。因此,解決網(wǎng)絡(luò)安全核心技術(shù)問題,需從網(wǎng)絡(luò)安全協(xié)議等網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)這一國家戰(zhàn)略資源抓起。
這一問題的重要性在中美之間圍繞WAPI標(biāo)準(zhǔn)長達(dá)十余年的博弈中可見一斑:中國推出自主可控的網(wǎng)絡(luò)安全協(xié)議技術(shù)標(biāo)準(zhǔn)WAPI之后,美國3位內(nèi)閣部長聯(lián)名致信我國政府,并連續(xù)在中美貿(mào)易談判中施壓,要求中國放棄WAPI標(biāo)準(zhǔn),背后深層的原因是美國認(rèn)識到在產(chǎn)業(yè)鏈源頭掌握基礎(chǔ)安全技術(shù)控制力的重要性及戰(zhàn)略意義。
從技術(shù)源頭保證網(wǎng)絡(luò)安全的自主可控,才能從根本上加強(qiáng)我國網(wǎng)絡(luò)安全的縱深防御能力。因此,網(wǎng)絡(luò)安全審查制度的貫徹落實(shí)須從產(chǎn)業(yè)鏈源頭抓起,除了要對計(jì)算機(jī)、服務(wù)器、路由器等計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備及其操作系統(tǒng)和應(yīng)用軟件行審查之外,還要加強(qiáng)對網(wǎng)絡(luò)安全協(xié)議等基礎(chǔ)安全技術(shù)的審查規(guī)制。