“在Win8架構(gòu)下，一個軟件是否能被信任，這可能是由微軟說了算，而不是用戶說了算，會導(dǎo)致用戶對計算機(jī)失去控制權(quán)。”

新華社消息稱，為維護(hù)國家網(wǎng)絡(luò)安全、保障中國用戶合法利益，我國即將推出網(wǎng)絡(luò)安全審查制度。該項制度規(guī)定，關(guān)系國家安全和公共利益的系統(tǒng)使用的重要技術(shù)產(chǎn)品和服務(wù)，應(yīng)通過網(wǎng)絡(luò)安全審查。21世紀(jì)經(jīng)濟(jì)報道記者獲悉，對信息技術(shù)產(chǎn)品的安全審查，國內(nèi)一直低調(diào)研究多年。但在2月27日，中央成立網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組，并由中共中央總書記習(xí)近平親自擔(dān)任組長后，這項制度的建設(shè)開始提速。

習(xí)近平在上述領(lǐng)導(dǎo)小組第一次會議上提出，“沒有網(wǎng)絡(luò)安全就沒有國家安全，沒有信息化就沒有現(xiàn)代化”.由此有關(guān)部門提出，網(wǎng)絡(luò)安全審查制度是國家網(wǎng)絡(luò)安全的基本保障，也是國家安全的重要屏障。

近期，就網(wǎng)絡(luò)安全審查制度的目標(biāo)對象、中國政府部門放棄采購Win8系統(tǒng)和針對移動通訊工具的相關(guān)行動，引起市場持續(xù)廣泛關(guān)注。就上述問題，21世紀(jì)經(jīng)濟(jì)報道專訪了長期參與我國網(wǎng)絡(luò)安全重大政策研究起草工作的專家，中國信息安全研究院副院長左曉棟。

過去審查制度有兩種不足

《21世紀(jì)》：2001年，中央決定重新組建“國家信息化領(lǐng)導(dǎo)小組”.2003年又在領(lǐng)導(dǎo)小組之下成立了國家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組。直到2014年2月27日，中央成立網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組，相關(guān)概念也經(jīng)歷了從信息安全到網(wǎng)絡(luò)安全的轉(zhuǎn)變，你能否介紹下其中的背景？

左曉棟： 對于具體提法，不同時期有不同的認(rèn)識和解釋，比如我們用過計算機(jī)安全、信息安全、網(wǎng)絡(luò)與信息安全等概念，這與歷史的認(rèn)識有關(guān)，也與不同部門的工作重點(diǎn)有關(guān)。2003年，時任國家信息化領(lǐng)導(dǎo)小組組長溫家寶提出，信息安全包括基礎(chǔ)網(wǎng)絡(luò)安全、重要系統(tǒng)安全和信息內(nèi)容安全?，F(xiàn)在網(wǎng)絡(luò)安全的概念，在范圍上與信息安全沒有本質(zhì)區(qū)別，也指的是總體性的安全，既包含網(wǎng)絡(luò)與信息系統(tǒng)的技術(shù)安全，也包含信息內(nèi)容安全。但網(wǎng)絡(luò)安全審查制度不涉及信息內(nèi)容安全，與輿論管控、內(nèi)容審查無關(guān)。

《21世紀(jì)》：從技術(shù)角度分析，網(wǎng)絡(luò)安全審查制度的重要性在什么地方？

左曉棟：現(xiàn)在的信息系統(tǒng)基本是在線運(yùn)行，哪怕不是在線運(yùn)行，往往也需要直接或間接在線升級，至少要與外界有交互。經(jīng)過多年的信息化建設(shè)，目前涉及國計民生的重點(diǎn)行業(yè)如金融、通信等都全部依賴信息技術(shù)，信息網(wǎng)絡(luò)已經(jīng)成為這些行業(yè)的神經(jīng)系統(tǒng)。理論上，遠(yuǎn)程都可以控制這些系統(tǒng)、竊取其中的信息，這是信息系統(tǒng)的本質(zhì)特點(diǎn)決定的。前幾年出現(xiàn)的微軟“黑屏”事件中，盜版Windows會宕機(jī)，這在本質(zhì)上就是一種遠(yuǎn)程控制功能。而一旦信息系統(tǒng)出現(xiàn)問題，就可能導(dǎo)致整個行業(yè)癱瘓，引發(fā)嚴(yán)重的后果。當(dāng)前，我國網(wǎng)絡(luò)安全面臨的嚴(yán)重風(fēng)險隱患就是受制于人，原因就在于產(chǎn)品和服務(wù)是別人的，我們不清楚底數(shù)。

信息系統(tǒng)安全的基礎(chǔ)是產(chǎn)品和服務(wù)的安全，也就是說信息系統(tǒng)首先要追求本質(zhì)安全。我們有很多后天保障安全的手段，但如果在根子里不安全，自身千瘡百孔，指望后天解決，這樣的思路是不對的。然而以前我們沒有對這些信息技術(shù)產(chǎn)品的安全進(jìn)行管理，這相當(dāng)于我們網(wǎng)絡(luò)安全的大門是洞開的。

《21世紀(jì)》：在網(wǎng)絡(luò)安全審查制度以前，我國有沒有類似的審查機(jī)制？

左曉棟：我國以前有信息安全產(chǎn)品測評認(rèn)證制度，這項制度建設(shè)了很多年，涉及多個部門，比如公安部、保密局、密碼管理局等，甚至還有地方、行業(yè)都在搞相關(guān)的認(rèn)證。信息安全產(chǎn)品測評認(rèn)證的成果可以為網(wǎng)絡(luò)安全審查制度所用，但這項制度有兩個不足。

首先是它只針對信息安全產(chǎn)品，而不是所有信息技術(shù)產(chǎn)品。信息安全產(chǎn)品只是為了確保系統(tǒng)安全的附加產(chǎn)品，比如防火墻，這只能保證外圍安全，涉及系統(tǒng)本質(zhì)安全的重要組件，包括服務(wù)器、操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用軟件等，都沒有納入認(rèn)證制度。

其次，以前的制度叫做標(biāo)準(zhǔn)符合性驗證，也就是測評時對照標(biāo)準(zhǔn)，進(jìn)行逐條比對，如果全部符合就通過了認(rèn)證。但問題是，如果標(biāo)準(zhǔn)中沒有寫某個要求怎么辦？所以說標(biāo)準(zhǔn)只是一個基礎(chǔ)，不能全面反映出一個產(chǎn)品的安全性，特別是如果面對一個居心叵測的攻擊者，在產(chǎn)品的標(biāo)準(zhǔn)之外加了一些東西，就不可能發(fā)現(xiàn)問題。

政府不安裝Win8的技術(shù)原因

《21世紀(jì)》：近日，中央政府采購網(wǎng)公告稱，所有計算機(jī)類產(chǎn)品不允許安裝Win8操作系統(tǒng)。有觀點(diǎn)稱，中央政府采購放棄Win8的原因就是與網(wǎng)絡(luò)安全有關(guān)，事實是否如此？

左曉棟：一個重要因素的確是出于安全考慮，Win8采用了全新的安全架構(gòu)，叫做可信計算（TC）技術(shù)，這是個先進(jìn)的技術(shù)，國內(nèi)也在積極推廣。在這個安全架構(gòu)下，計算機(jī)上要有一個硬件模塊，作為信任根，以此構(gòu)建一個信任鏈，一級信任一級，確保系統(tǒng)處于安全的運(yùn)行狀態(tài)。但這可能會帶來一個問題，就是有的軟件因為不被信任，在這個平臺上無法運(yùn)行。在Win8架構(gòu)下，一個軟件是否能被信任，這可能是由微軟說了算，而不是用戶說了算，這就會導(dǎo)致用戶對自己的計算機(jī)失去控制權(quán)。

《21世紀(jì)》：即將推出的網(wǎng)絡(luò)安全審查制度，主要審查什么內(nèi)容？

左曉棟：網(wǎng)絡(luò)安全審查制度的范圍是關(guān)系國家安全和公共利益的重要信息技術(shù)產(chǎn)品和服務(wù)，目標(biāo)是要做到產(chǎn)品和服務(wù)的安全性、可控性。網(wǎng)絡(luò)安全審查制度要確保重點(diǎn)，一般公眾使用的產(chǎn)品和服務(wù)不在審查范圍內(nèi)。還要再次強(qiáng)調(diào)，網(wǎng)絡(luò)安全審查不是對互聯(lián)網(wǎng)信息的內(nèi)容審查。

涉及到具體的審查技術(shù)，我認(rèn)為，基于標(biāo)準(zhǔn)的符合性驗證是必要的，但還涉及到非技術(shù)方面，比如一個企業(yè)的聲譽(yù)好，聘用的技術(shù)人員背景清白，那么在客戶眼中自然其安全性、可控性就高。所以，除了審查技術(shù)指標(biāo)，還要考察企業(yè)的很多方面，歸根結(jié)底是要確保企業(yè)及其產(chǎn)品可信。

《21世紀(jì)》：如果產(chǎn)品和服務(wù)提供商的部分?jǐn)?shù)據(jù)涉及商業(yè)秘密，與網(wǎng)絡(luò)安全審查制度發(fā)生沖突時怎么辦？

左曉棟：不是所有的產(chǎn)品都需要進(jìn)行審查。但接受審查的，一定是用在關(guān)系國家安全和公共利益的領(lǐng)域。我相信這個制度會充分保護(hù)企業(yè)的商業(yè)秘密。是否提供數(shù)據(jù)或資料，是企業(yè)的自由，但供應(yīng)商恐怕要接受通不過審查的后果。事實上，國外早就有要求，對于高等級產(chǎn)品的安全性，要審查到源代碼，而我們以前是沒有這樣的要求的，也就是說國外的審查比我們嚴(yán)。

在國際上，IT產(chǎn)品安全測評使用的《通用準(zhǔn)則》，簡稱CC標(biāo)準(zhǔn)。有些國家就曾對中國提出，中國不能搞自己的認(rèn)證制度，應(yīng)該用國際的這個通用制度。

但我們國內(nèi)的企業(yè)拿到了CC證書后，在歐美一些國家的采購商那里卻仍然不被采信，原因是他們要求中國公司解釋其和中國政府、黨委、軍隊的關(guān)系。這個時候，一張CC證書是沒有任何意義的。這時候的審查就和技術(shù)無關(guān)，但對方認(rèn)為他們關(guān)心的內(nèi)容與你產(chǎn)品的可控性有關(guān)。對于國外實施的這些制度，我們要勇敢、大膽地全部學(xué)過來。

但需要強(qiáng)調(diào)的是，網(wǎng)絡(luò)安全審查制度不是針對特定國家、企業(yè)和產(chǎn)品的，不是為了針對某個國家、某個事件的報復(fù)措施，而是維護(hù)國家網(wǎng)絡(luò)安全的應(yīng)有之義。

《21世紀(jì)》：如果我們的技術(shù)水平達(dá)不到審查的需要怎么辦？

左曉棟：在理論上，一個產(chǎn)品是不可能杜絕所有BUG的，指望網(wǎng)絡(luò)安全審查制度發(fā)現(xiàn)一個產(chǎn)品的全部“后門”,不是這項制度的目的。我們有很多其他的角度來衡量產(chǎn)品和服務(wù)的安全性、可控性，而且審查之中也有動態(tài)的管理，比如接受用戶、社會舉報等。我們也應(yīng)樹立這樣的理念：產(chǎn)品提供商有責(zé)任向用戶證明，他們的產(chǎn)品是安全、透明的。

《21世紀(jì)》：能否介紹一下未來的網(wǎng)絡(luò)安全審查制度如何實施？

左曉棟：這是主管部門考慮的具體問題，但根據(jù)國際經(jīng)驗，肯定要有一個辦事機(jī)構(gòu)負(fù)責(zé)日常工作，其下要設(shè)立專家委員會，再之下要有第三方評價機(jī)構(gòu)，負(fù)責(zé)具體技術(shù)性檢測。

不是“市場準(zhǔn)入”,不是“行政許可”

《21世紀(jì)》：網(wǎng)絡(luò)安全審查制度既關(guān)乎國家安全和公共利益，又可能對市場主體的利益造成重大影響，你覺得這樣一項制度的實施，是否應(yīng)該取得法律上的授權(quán)？

左曉棟：我認(rèn)為網(wǎng)絡(luò)安全審查制度，最終一定要上升到法律層面，來明確各方面的權(quán)利和義務(wù)。當(dāng)然立法是一個過程，需要各方面的條件都具備時才能出臺。

那么，網(wǎng)絡(luò)安全審查制度的效力體現(xiàn)在什么地方？它絕不是一種市場準(zhǔn)入制度，不是一項行政許可，而是要把網(wǎng)絡(luò)安全貫徹到采購方對產(chǎn)品和服務(wù)的要求中去，審查的要求更多地應(yīng)通過采購方去落實。這實際上就是一個采購方和提供方的合同行為，任何產(chǎn)品和服務(wù)的提供商都可以進(jìn)入這個市場，但進(jìn)入市場后，采購方要提出安全性的審查。

《21世紀(jì)》：你能否簡單介紹一下近年來關(guān)于網(wǎng)絡(luò)安全的立法情況？

左曉棟：2003年中辦發(fā)（2003）27號文最早明確提出，“抓緊研究起草《信息安全法》”,但由于這項法律涉及到的問題太多，立法難度很大，后來決定首先起草《信息安全條例》，在起草的幾年時間里，《信息安全條例》連續(xù)數(shù)年列入了國務(wù)院法制辦的二類立法計劃，但考慮到很多問題在行政法規(guī)的層面解決不了，后來又提出起草《信息安全法》。中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組成立以后，這項工作繼續(xù)進(jìn)行，更名為《網(wǎng)絡(luò)安全法》。

我認(rèn)為，網(wǎng)絡(luò)安全立法可能會突出重點(diǎn)，不會用一部法律解決所有問題，比如當(dāng)前國家提出要制定關(guān)鍵基礎(chǔ)設(shè)施保護(hù)的法律法規(guī)，我們就應(yīng)該針對突出矛盾、重點(diǎn)問題，制定專門法。解決一個問題總比所有問題都解決不了要好，綜合性的法律法規(guī)一時不好出，就應(yīng)加強(qiáng)專門法的研究起草工作。

《21世紀(jì)》：那么未來的網(wǎng)絡(luò)安全審查制度，會是一個綜合性的制度，還是由各個專門審查構(gòu)成的體系？

左曉棟：我認(rèn)為網(wǎng)絡(luò)安全審查制度是一個框架，有必要針對不同的產(chǎn)品和服務(wù)，在具體工作中有一些特性化的要求，包括流程方面。比如，我們正在就政府采購云計算服務(wù)制定兩個國家標(biāo)準(zhǔn)，目前已經(jīng)開始試點(diǎn)，標(biāo)準(zhǔn)已經(jīng)報批到國標(biāo)委，還要建立專家機(jī)構(gòu)，發(fā)展第三方云服務(wù)評估機(jī)構(gòu)等。云計算服務(wù)的這兩個標(biāo)準(zhǔn)就是整個網(wǎng)絡(luò)安全審查制度的組成部分。其中規(guī)定，政府部門使用的云服務(wù)，要確保機(jī)房位于中國境內(nèi)，確保云計算服務(wù)器以及運(yùn)行關(guān)鍵業(yè)務(wù)和數(shù)據(jù)的物理設(shè)備也要位于中國境內(nèi)。這都是在充分借鑒國外已有的良好經(jīng)驗。

《21世紀(jì)》：未來網(wǎng)絡(luò)安全審查會不會也成為一個市場？

左曉棟：我認(rèn)為很有可能，比如代碼審查，就需要有專門服務(wù)，相關(guān)的咨詢行業(yè)也會發(fā)展起來，很多產(chǎn)品開發(fā)商往往不懂安全、忽視安全，咨詢公司會指導(dǎo)他們?nèi)绾伟旬a(chǎn)品做得更安全，相關(guān)的評估服務(wù)業(yè)也會發(fā)展起來。