左晓栋:网络安全审查制度不涉及内容审查

“在Win8架构下,一个软件是否能被信任,这可能是由微软说了算,而不是用户说了算,会导致用户对计算机失去控制权。”

新华社消息称,为维护国家网络安全、保障中国用户合法利益,我国即将推出网络安全审查制度。该项制度规定,关系国家安全和公共利益的系统使用的重要技术产品和服务,应通过网络安全审查。21世纪经济报道记者获悉,对信息技术产品的安全审查,国内一直低调研究多年。但在2月27日,中央成立网络安全和信息化领导小组,并由中共中央总书记习近平亲自担任组长后,这项制度的建设开始提速。

习近平在上述领导小组第一次会议上提出,“没有网络安全就没有国家安全,没有信息化就没有现代化”.由此有关部门提出,网络安全审查制度是国家网络安全的基本保障,也是国家安全的重要屏障。

近期,就网络安全审查制度的目标对象、中国政府部门放弃采购Win8系统和针对移动通讯工具的相关行动,引起市场持续广泛关注。就上述问题,21世纪经济报道专访了长期参与我国网络安全重大政策研究起草工作的专家,中国信息安全研究院副院长左晓栋。

过去审查制度有两种不足

《21世纪》:2001年,中央决定重新组建“国家信息化领导小组”.2003年又在领导小组之下成立了国家网络与信息安全协调小组。直到2014年2月27日,中央成立网络安全和信息化领导小组,相关概念也经历了从信息安全到网络安全的转变,你能否介绍下其中的背景?

左晓栋: 对于具体提法,不同时期有不同的认识和解释,比如我们用过计算机安全、信息安全、网络与信息安全等概念,这与历史的认识有关,也与不同部门的工作重点有关。2003年,时任国家信息化领导小组组长温家宝提出,信息安全包括基础网络安全、重要系统安全和信息内容安全。现在网络安全的概念,在范围上与信息安全没有本质区别,也指的是总体性的安全,既包含网络与信息系统的技术安全,也包含信息内容安全。但网络安全审查制度不涉及信息内容安全,与舆论管控、内容审查无关。

《21世纪》:从技术角度分析,网络安全审查制度的重要性在什么地方?

左晓栋:现在的信息系统基本是在线运行,哪怕不是在线运行,往往也需要直接或间接在线升级,至少要与外界有交互。经过多年的信息化建设,目前涉及国计民生的重点行业如金融、通信等都全部依赖信息技术,信息网络已经成为这些行业的神经系统。理论上,远程都可以控制这些系统、窃取其中的信息,这是信息系统的本质特点决定的。前几年出现的微软“黑屏”事件中,盗版Windows会宕机,这在本质上就是一种远程控制功能。而一旦信息系统出现问题,就可能导致整个行业瘫痪,引发严重的后果。当前,我国网络安全面临的严重风险隐患就是受制于人,原因就在于产品和服务是别人的,我们不清楚底数。

信息系统安全的基础是产品和服务的安全,也就是说信息系统首先要追求本质安全。我们有很多后天保障安全的手段,但如果在根子里不安全,自身千疮百孔,指望后天解决,这样的思路是不对的。然而以前我们没有对这些信息技术产品的安全进行管理,这相当于我们网络安全的大门是洞开的。

《21世纪》:在网络安全审查制度以前,我国有没有类似的审查机制?

左晓栋:我国以前有信息安全产品测评认证制度,这项制度建设了很多年,涉及多个部门,比如公安部、保密局、密码管理局等,甚至还有地方、行业都在搞相关的认证。信息安全产品测评认证的成果可以为网络安全审查制度所用,但这项制度有两个不足。

首先是它只针对信息安全产品,而不是所有信息技术产品。信息安全产品只是为了确保系统安全的附加产品,比如防火墙,这只能保证外围安全,涉及系统本质安全的重要组件,包括服务器、操作系统、数据库、应用软件等,都没有纳入认证制度。

其次,以前的制度叫做标准符合性验证,也就是测评时对照标准,进行逐条比对,如果全部符合就通过了认证。但问题是,如果标准中没有写某个要求怎么办?所以说标准只是一个基础,不能全面反映出一个产品的安全性,特别是如果面对一个居心叵测的攻击者,在产品的标准之外加了一些东西,就不可能发现问题。

政府不安装Win8的技术原因

《21世纪》:近日,中央政府采购网公告称,所有计算机类产品不允许安装Win8操作系统。有观点称,中央政府采购放弃Win8的原因就是与网络安全有关,事实是否如此?

左晓栋:一个重要因素的确是出于安全考虑,Win8采用了全新的安全架构,叫做可信计算(TC)技术,这是个先进的技术,国内也在积极推广。在这个安全架构下,计算机上要有一个硬件模块,作为信任根,以此构建一个信任链,一级信任一级,确保系统处于安全的运行状态。但这可能会带来一个问题,就是有的软件因为不被信任,在这个平台上无法运行。在Win8架构下,一个软件是否能被信任,这可能是由微软说了算,而不是用户说了算,这就会导致用户对自己的计算机失去控制权。

《21世纪》:即将推出的网络安全审查制度,主要审查什么内容?

左晓栋:网络安全审查制度的范围是关系国家安全和公共利益的重要信息技术产品和服务,目标是要做到产品和服务的安全性、可控性。网络安全审查制度要确保重点,一般公众使用的产品和服务不在审查范围内。还要再次强调,网络安全审查不是对互联网信息的内容审查。

涉及到具体的审查技术,我认为,基于标准的符合性验证是必要的,但还涉及到非技术方面,比如一个企业的声誉好,聘用的技术人员背景清白,那么在客户眼中自然其安全性、可控性就高。所以,除了审查技术指标,还要考察企业的很多方面,归根结底是要确保企业及其产品可信。

《21世纪》:如果产品和服务提供商的部分数据涉及商业秘密,与网络安全审查制度发生冲突时怎么办?

左晓栋:不是所有的产品都需要进行审查。但接受审查的,一定是用在关系国家安全和公共利益的领域。我相信这个制度会充分保护企业的商业秘密。是否提供数据或资料,是企业的自由,但供应商恐怕要接受通不过审查的后果。事实上,国外早就有要求,对于高等级产品的安全性,要审查到源代码,而我们以前是没有这样的要求的,也就是说国外的审查比我们严。

在国际上,IT产品安全测评使用的《通用准则》,简称CC标准。有些国家就曾对中国提出,中国不能搞自己的认证制度,应该用国际的这个通用制度。

但我们国内的企业拿到了CC证书后,在欧美一些国家的采购商那里却仍然不被采信,原因是他们要求中国公司解释其和中国政府、党委、军队的关系。这个时候,一张CC证书是没有任何意义的。这时候的审查就和技术无关,但对方认为他们关心的内容与你产品的可控性有关。对于国外实施的这些制度,我们要勇敢、大胆地全部学过来。

但需要强调的是,网络安全审查制度不是针对特定国家、企业和产品的,不是为了针对某个国家、某个事件的报复措施,而是维护国家网络安全的应有之义。

《21世纪》:如果我们的技术水平达不到审查的需要怎么办?

左晓栋:在理论上,一个产品是不可能杜绝所有BUG的,指望网络安全审查制度发现一个产品的全部“后门”,不是这项制度的目的。我们有很多其他的角度来衡量产品和服务的安全性、可控性,而且审查之中也有动态的管理,比如接受用户、社会举报等。我们也应树立这样的理念:产品提供商有责任向用户证明,他们的产品是安全、透明的。

《21世纪》:能否介绍一下未来的网络安全审查制度如何实施?

左晓栋:这是主管部门考虑的具体问题,但根据国际经验,肯定要有一个办事机构负责日常工作,其下要设立专家委员会,再之下要有第三方评价机构,负责具体技术性检测。

不是“市场准入”,不是“行政许可”

《21世纪》:网络安全审查制度既关乎国家安全和公共利益,又可能对市场主体的利益造成重大影响,你觉得这样一项制度的实施,是否应该取得法律上的授权?

左晓栋:我认为网络安全审查制度,最终一定要上升到法律层面,来明确各方面的权利和义务。当然立法是一个过程,需要各方面的条件都具备时才能出台。

那么,网络安全审查制度的效力体现在什么地方?它绝不是一种市场准入制度,不是一项行政许可,而是要把网络安全贯彻到采购方对产品和服务的要求中去,审查的要求更多地应通过采购方去落实。这实际上就是一个采购方和提供方的合同行为,任何产品和服务的提供商都可以进入这个市场,但进入市场后,采购方要提出安全性的审查。

《21世纪》:你能否简单介绍一下近年来关于网络安全的立法情况?

左晓栋:2003年中办发(2003)27号文最早明确提出,“抓紧研究起草《信息安全法》”,但由于这项法律涉及到的问题太多,立法难度很大,后来决定首先起草《信息安全条例》,在起草的几年时间里,《信息安全条例》连续数年列入了国务院法制办的二类立法计划,但考虑到很多问题在行政法规的层面解决不了,后来又提出起草《信息安全法》。中央网络安全和信息化领导小组成立以后,这项工作继续进行,更名为《网络安全法》。

我认为,网络安全立法可能会突出重点,不会用一部法律解决所有问题,比如当前国家提出要制定关键基础设施保护的法律法规,我们就应该针对突出矛盾、重点问题,制定专门法。解决一个问题总比所有问题都解决不了要好,综合性的法律法规一时不好出,就应加强专门法的研究起草工作。

《21世纪》:那么未来的网络安全审查制度,会是一个综合性的制度,还是由各个专门审查构成的体系?

左晓栋:我认为网络安全审查制度是一个框架,有必要针对不同的产品和服务,在具体工作中有一些特性化的要求,包括流程方面。比如,我们正在就政府采购云计算服务制定两个国家标准,目前已经开始试点,标准已经报批到国标委,还要建立专家机构,发展第三方云服务评估机构等。云计算服务的这两个标准就是整个网络安全审查制度的组成部分。其中规定,政府部门使用的云服务,要确保机房位于中国境内,确保云计算服务器以及运行关键业务和数据的物理设备也要位于中国境内。这都是在充分借鉴国外已有的良好经验。

《21世纪》:未来网络安全审查会不会也成为一个市场?

左晓栋:我认为很有可能,比如代码审查,就需要有专门服务,相关的咨询行业也会发展起来,很多产品开发商往往不懂安全、忽视安全,咨询公司会指导他们如何把产品做得更安全,相关的评估服务业也会发展起来。