围绕微软所谓“Win10政府版”是否安全的争论仍在持续进行。针对笔者此前公开发表的声明,微软合作方虽公开回应,但未直面问题要害。事实上,笔者此前发表的言论并非刻意针对微软一家企业,只是想指出当前我国网络安全体系的一大疏漏。
网络安全一般有两大指标:安全性和可控性。假如一个产品的功能、性能等都正常,安全性可以通过,但若它可被厂商所操控或监控,可控性就通不过。由于历史原因,我国党政公文系统使用的软硬件大多为进口,存在着很大的安全隐患。前些年“棱镜门”事件刚爆发时,部分人还不太重视,仍然觉得大规模监听只是政府行为,针对的大多的是与国家安全密切相关的目标。直到最近勒索病毒爆发,社会公众才对网络攻击的严重性有切身体会。
为解决网络安全可控性不足的问题,习主席在去年10月就作出“加快推进国产自主可控替代计划”的重要指示。近年来,有关方面一直在大力推进电子公文系统安全可靠应用的试点,希望以此作为实施国产自主可控替代的突破点,取得成效后再推广到其他领域。其中,国产Linux操作系统是核心,国产软硬件都围绕它构建起一个安全可控的信息技术体系。
在桌面电脑领域,我国历来被“不可控”的Wintel体系所垄断,一般应用领域也许还可接受,但政府等重要领域强调要逐步用“自主可控”的技术体系替代,正像我们从军用领域开始,要用“自主可控”的北斗系统代替GPS一样。大家知道,Wintel体系的核心是Windows操作系统,而国产自主可控体系的核心是国产Linux操作系统,从这个角度看,如果推所谓的Win10政府版,相当于挖了国产体系的墙踋,把它推倒重来,打垮了一二十年里好不容易建立起来的国产CPU、其他国产软硬件以至整个技术体系。
信息软硬件的“安全可控”关系国家安全。有鉴于此,我国《国家安全法》和《网络安全法》都强调“网络和信息核心技术”“关键信息基础设施”“重要领域信息系统及数据”等要达到“安全可控”或“安全可信”。
之所以强调“核心技术”“基础设施”这类基础性的信息软硬件,是因为任何信息系统和应用都建立在它们之上。如果它们受制于人,那么由此构成的信息系统就像沙滩上的建筑,在遭到攻击时顷刻间便会土崩瓦解。另外,重要领域信息系统及数据如果遭到攻击所造成的损害显然远大于一般领域。笔者之所以关注政府采购,正是因为这个市场虽然不大,但安全影响却很大。
为实现上述目标,国家网络安全审查不可或缺。可以说我国的网络安全审查法规是从发达国家学来的。2011年11月,随着华为、中兴在美国市场竞争力越来越强,美国众议院特别情报委员会发起对华为、中兴的调查,得出“华为和中兴提供给美国关键基础设施建设的设备带来的风险可能会损害美国国家安全利益”的审查结论,并据此在美国市场上封杀华为、中兴。
不过当时我国并没有相应的机构做这类工作,对华为、中兴受到的不公正待遇无法反制,因此吃了哑巴亏。后来,正是出于增强网络安全的需要(包括上述应对外国制裁的需求在内),网信办组织制订了日前发布的《网络产品和服务安全审查办法》。
该办法要求审查机构有权威性。显然不是随便哪个单位的测试就可代替网络安全审查,微软等公司最近的做法有以“用户测试”冒充网络安全审查之嫌。说白了,是想入围中国的政府采购。
实际上Win10在中国一般市场推广没有任何障碍,当然也不需要做任何审查。2015年时,以将Win10裁剪成“Win10政府版”,供中国政府使用为由,有关方面确实对Win10政府版(或裁剪版)做了审查(当时有关网络安全审查办法正在制订中),结果未通过。这个审查当然不是对在一般市场上已经大量销售的Win10版本做的。总之,现在Win10政府版要想入围政府采购仍应走这一流程。(作者是中国科学院计算所研究员、中国工程院院士)