圍繞微軟所謂“Win10政府版”是否安全的爭(zhēng)論仍在持續(xù)進(jìn)行。針對(duì)筆者此前公開(kāi)發(fā)表的聲明,微軟合作方雖公開(kāi)回應(yīng),但未直面問(wèn)題要害。事實(shí)上,筆者此前發(fā)表的言論并非刻意針對(duì)微軟一家企業(yè),只是想指出當(dāng)前我國(guó)網(wǎng)絡(luò)安全體系的一大疏漏。
網(wǎng)絡(luò)安全一般有兩大指標(biāo):安全性和可控性。假如一個(gè)產(chǎn)品的功能、性能等都正常,安全性可以通過(guò),但若它可被廠商所操控或監(jiān)控,可控性就通不過(guò)。由于歷史原因,我國(guó)黨政公文系統(tǒng)使用的軟硬件大多為進(jìn)口,存在著很大的安全隱患。前些年“棱鏡門(mén)”事件剛爆發(fā)時(shí),部分人還不太重視,仍然覺(jué)得大規(guī)模監(jiān)聽(tīng)只是政府行為,針對(duì)的大多是與國(guó)家安全密切相關(guān)的目標(biāo)。直到最近勒索病毒爆發(fā),社會(huì)公眾才對(duì)網(wǎng)絡(luò)攻擊的嚴(yán)重性有切身體會(huì)。
為解決網(wǎng)絡(luò)安全可控性不足的問(wèn)題,習(xí)主席在去年10月就做出“加快推進(jìn)國(guó)產(chǎn)自主可控替代計(jì)劃”的重要指示。這些年來(lái),有關(guān)方面一直在大力推進(jìn)電子公文系統(tǒng)安全可靠應(yīng)用的試點(diǎn),希望以此作為實(shí)施國(guó)產(chǎn)自主可控替代的突破點(diǎn),取得成效后再推廣到其他領(lǐng)域。其中,國(guó)產(chǎn)Linux操作系統(tǒng)是核心,國(guó)產(chǎn)軟硬件都圍繞它構(gòu)建起一個(gè)安全可控的信息技術(shù)體系。
在CPU等關(guān)鍵技術(shù)領(lǐng)域,發(fā)達(dá)國(guó)家處于領(lǐng)先地位,中國(guó)要強(qiáng)調(diào)“自主可控”是由國(guó)情決定的,因?yàn)槲覀兊某B(tài)是“不可控的”。從這個(gè)角度看,如果跳出這一體系推所謂的外國(guó)軟件政府版,相當(dāng)于推倒重來(lái),容易打亂好不容易建立起來(lái)的國(guó)產(chǎn)CPU、其他國(guó)產(chǎn)軟硬件以至整個(gè)技術(shù)體系。
信息軟硬件的“安全可控”同樣關(guān)系國(guó)家安全。有鑒于此,我國(guó)《國(guó)家安全法》和《網(wǎng)絡(luò)安全法》都強(qiáng)調(diào)“網(wǎng)絡(luò)和信息核心技術(shù)”關(guān)鍵信息基礎(chǔ)設(shè)施“重要領(lǐng)域信息系統(tǒng)及數(shù)據(jù)”等要達(dá)到“安全可信”。
之所以強(qiáng)調(diào)“核心技術(shù)”“基礎(chǔ)設(shè)施”這類(lèi)基礎(chǔ)性的信息軟硬件,是因?yàn)槿魏涡畔⑾到y(tǒng)和應(yīng)用都建立在它們之上。如果它們受制于人,那么由此構(gòu)成的信息系統(tǒng)就像沙灘上的建筑,在遭到攻擊時(shí)頃刻間便會(huì)土崩瓦解。另外,重要領(lǐng)域信息系統(tǒng)及數(shù)據(jù)如果遭到攻擊所造成的損害顯然遠(yuǎn)大于一般領(lǐng)域。筆者之所以關(guān)注政府采購(gòu),正是因?yàn)檫@個(gè)市場(chǎng)雖然不大,但安全影響卻很大。
為實(shí)現(xiàn)上述目標(biāo),國(guó)家網(wǎng)絡(luò)安全審查不可或缺。我國(guó)的網(wǎng)絡(luò)安全審查法規(guī)是從發(fā)達(dá)國(guó)家學(xué)來(lái)的。2011年11月,隨著華為、中興在美國(guó)市場(chǎng)競(jìng)爭(zhēng)力越來(lái)越強(qiáng),美國(guó)眾議院特別情報(bào)委員會(huì)發(fā)起對(duì)華為、中興的調(diào)查,得出“華為和中興提供給美國(guó)關(guān)鍵基礎(chǔ)設(shè)施建設(shè)的設(shè)備帶來(lái)的風(fēng)險(xiǎn)可能會(huì)損害美國(guó)國(guó)家安全利益”的審查結(jié)論,并據(jù)此在美國(guó)市場(chǎng)上封殺華為、中興。
不過(guò)當(dāng)時(shí)我國(guó)并沒(méi)有相應(yīng)的機(jī)構(gòu)做這類(lèi)工作,對(duì)華為、中興受到的不公正待遇無(wú)法反制,因此吃了啞巴虧。后來(lái),正是出于增強(qiáng)網(wǎng)絡(luò)安全的需要(包括上述應(yīng)對(duì)外國(guó)制裁的需求在內(nèi)),網(wǎng)信辦組織制定了日前發(fā)布的《網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查辦法》。
該辦法付諸實(shí)施以來(lái),審查機(jī)構(gòu)權(quán)威性不足的問(wèn)題較為突出。事實(shí)上,不是隨便哪個(gè)單位的測(cè)試就可代替網(wǎng)絡(luò)安全審查,微軟等公司最近的做法有以“用戶(hù)測(cè)試”冒充網(wǎng)絡(luò)安全審查之嫌。
目前要實(shí)現(xiàn)全系統(tǒng)的自主可控、安全可控,確實(shí)有一定難度,這要求我們先實(shí)現(xiàn)主機(jī)、主板等部分的自主可控,然后再推及芯片、操作系統(tǒng)乃至整個(gè)生態(tài)系統(tǒng)。但這并非意味著可以在這一過(guò)程中放松對(duì)操作系統(tǒng)層面的安全審查。▲(作者是中國(guó)科學(xué)院計(jì)算所研究員、中國(guó)工程院院士)