倪光南

圍繞微軟所謂“Win10政府版”是否安全的爭論仍在持續(xù)進行。針對筆者此前公開發(fā)表的聲明，微軟合作方雖公開回應(yīng)，但未直面問題要害。事實上，筆者此前發(fā)表的言論并非刻意針對微軟一家企業(yè)，只是想指出當前我國網(wǎng)絡(luò)安全體系的一大疏漏。

網(wǎng)絡(luò)安全一般有兩大指標：安全性和可控性。假如一個產(chǎn)品的功能、性能等都正常，安全性可以通過，但若它可被廠商所操控或監(jiān)控，可控性就通不過。由于歷史原因，我國黨政公文系統(tǒng)使用的軟硬件大多為進口，存在著很大的安全隱患。前些年“棱鏡門”事件剛爆發(fā)時，部分人還不太重視，仍然覺得大規(guī)模監(jiān)聽只是政府行為，針對的大多是與國家安全密切相關(guān)的目標。直到最近勒索病毒爆發(fā)，社會公眾才對網(wǎng)絡(luò)攻擊的嚴重性有切身體會。

為解決網(wǎng)絡(luò)安全可控性不足的問題，習(xí)主席在去年10月就做出“加快推進國產(chǎn)自主可控替代計劃”的重要指示。這些年來，有關(guān)方面一直在大力推進電子公文系統(tǒng)安全可靠應(yīng)用的試點，希望以此作為實施國產(chǎn)自主可控替代的突破點，取得成效后再推廣到其他領(lǐng)域。其中，國產(chǎn)Linux操作系統(tǒng)是核心，國產(chǎn)軟硬件都圍繞它構(gòu)建起一個安全可控的信息技術(shù)體系。

在CPU等關(guān)鍵技術(shù)領(lǐng)域，發(fā)達國家處于領(lǐng)先地位，中國要強調(diào)“自主可控”是由國情決定的，因為我們的常態(tài)是“不可控的”。從這個角度看，如果跳出這一體系推所謂的外國軟件政府版，相當于推倒重來，容易打亂好不容易建立起來的國產(chǎn)CPU、其他國產(chǎn)軟硬件以至整個技術(shù)體系。

信息軟硬件的“安全可控”同樣關(guān)系國家安全。有鑒于此，我國《國家安全法》和《網(wǎng)絡(luò)安全法》都強調(diào)“網(wǎng)絡(luò)和信息核心技術(shù)”“關(guān)鍵信息基礎(chǔ)設(shè)施”“重要領(lǐng)域信息系統(tǒng)及數(shù)據(jù)”等要達到“安全可信”。

之所以強調(diào)“核心技術(shù)”“基礎(chǔ)設(shè)施”這類基礎(chǔ)性的信息軟硬件，是因為任何信息系統(tǒng)和應(yīng)用都建立在它們之上。如果它們受制于人，那么由此構(gòu)成的信息系統(tǒng)就像沙灘上的建筑，在遭到攻擊時頃刻間便會土崩瓦解。另外，重要領(lǐng)域信息系統(tǒng)及數(shù)據(jù)如果遭到攻擊所造成的損害顯然遠大于一般領(lǐng)域。筆者之所以關(guān)注政府采購，正是因為這個市場雖然不大，但安全影響卻很大。

為實現(xiàn)上述目標，國家網(wǎng)絡(luò)安全審查不可或缺。我國的網(wǎng)絡(luò)安全審查法規(guī)是從發(fā)達國家學(xué)來的。2011年11月，隨著華為、中興在美國市場競爭力越來越強，美國眾議院特別情報委員會發(fā)起對華為、中興的調(diào)查，得出“華為和中興提供給美國關(guān)鍵基礎(chǔ)設(shè)施建設(shè)的設(shè)備帶來的風(fēng)險可能會損害美國國家安全利益”的審查結(jié)論，并據(jù)此在美國市場上封殺華為、中興。

不過當時我國并沒有相應(yīng)的機構(gòu)做這類工作，對華為、中興受到的不公正待遇無法反制，因此吃了啞巴虧。后來，正是出于增強網(wǎng)絡(luò)安全的需要（包括上述應(yīng)對外國制裁的需求在內(nèi)），網(wǎng)信辦組織制定了日前發(fā)布的《網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查辦法》。

該辦法付諸實施以來，審查機構(gòu)權(quán)威性不足的問題較為突出。事實上，不是隨便哪個單位的測試就可代替網(wǎng)絡(luò)安全審查，微軟等公司最近的做法有以“用戶測試”冒充網(wǎng)絡(luò)安全審查之嫌。

目前要實現(xiàn)全系統(tǒng)的自主可控、安全可控，確實有一定難度，這要求我們先實現(xiàn)主機、主板等部分的自主可控，然后再推及芯片、操作系統(tǒng)乃至整個生態(tài)系統(tǒng)。但這并非意味著可以在這一過程中放松對操作系統(tǒng)層面的安全審查。▲

（作者是中國科學(xué)院計算所研究員、中國工程院院士）