别怕网络安全审查制度不触及内容审查

发布时间：2020-03-10 10:59:58 阅读：次来源：粘度计厂家

A5交易A5任务 SEO诊断淘宝客站长团购

王峰

在Win8架构下，一个软件是不是能被信任，这可能是由微软说了算，而不是用户说了算，会致使用户对计算机失去控制权。

新华社消息称，为保护国家网络安全、保障中国用户合法利益，我国行将推出网络安全审查制度。该项制度规定，关系国家安全和公共利益的系统使用的重要技术产品和服务，应通过网络安全审查。21世纪经济报导记者得悉，对信息技术产品的安全审查，国内一直低调研究多年。但在2月27日，中央成立网络安全和信息化领导小组，并由中共中央总书记习近平亲身担负组长后，这项制度的建设开始提速。

习近平在上述领导小组第一次会议上提出，没有网络安全就没有国家安全，没有信息化就没有现代化。由此有关部门提出，网络安全审查制度是国家网络安全的基本保障，也是国家安全的重要屏障。

近期，就网络安全审查制度的目标对象、中国政府部门放弃采购Win8系统和针对移动通讯工具的相干行动，引发市场延续广泛关注。就上述问题，21世纪经济报导专访了长时间参与我国网络安全重大政策研究起草工作的专家，中国信息安全研究院副院长左晓栋。

过去审查制度有两种不足

《21世纪》：2001年，中央决定重新组建国家信息化领导小组。2003年又在领导小组之下成立了国家网络与信息安全调和小组。直到2014年2月27日，中央成立网络安全和信息化领导小组，相干概念也经历了从信息安全到网络安全的转变，你能否介绍下其中的背景?

左晓栋：对具体提法，不同时期有不同的认识和解释，比如我们用过计算机安全、信息安全、网络与信息安全等概念，这与历史的认识有关，也与不同部门的工作重点有关。2003年，时任国家信息化领导小组组长温家宝提出，信息安全包括基础网络安全、重要系统安全和信息内容安全。现在网络安全的概念，在范围上与信息安全没有本质区分，也指的是总体性的安全，既包括网络与信息系统的技术安全，也包括信息内容安全。但网络安全审查制度不触及信息内容安全，与舆论管控、内容审查无关。

《21世纪》：从技术角度分析，网络安全审查制度的重要性在什么地方?

左晓栋：现在的信息系统基本是在线运行，哪怕不是在线运行，常常也需要直接或间接在线升级，最少要与外界有交互。经过多年的信息化建设，目前触及国计民生的重点行业如金融、通讯等都全部依赖信息技术，信息网络已成为这些行业的神经系统。理论上，远程都可以控制这些系统、盗取其中的信息，这是信息系统的本质特点决定的。前几年出现的微软黑屏事件中，盗版Windows会宕机，这在本质上就是一种远程控制功能。而一旦信息系统出现问题，就可能致使全部行业瘫痪，引发严重的后果。当前，我国网络安全面临的严重风险隐患就是受制于人，缘由就在于产品和服务是他人的，我们不清楚底数。

信息系统安全的基础是产品和服务的安全，也就是说信息系统首先要寻求本质安全。我们有很多后天保障安全的手段，但如果在根子里不安全，本身千疮百孔，期望后天解决，这样的思路是不对的。但是之前我们没有对这些信息技术产品的安全进行管理，这相当于我们网络安全的大门是洞开的。

《21世纪》：在网络安全审查制度之前，我国有没有类似的审查机制?

左晓栋：我国之前有信息安全产品测评认证制度，这项制度建设了很多年，触及多个部门，比如公安部、保密局、密码管理局等，乃至还有地方、行业都在弄相干的认证。信息安全产品测评认证的成果可以为网络安全审查制度所用，但这项制度有两个不足。

首先是它只针对信息安全产品，而不是所有信息技术产品。信息安全产品只是为了确保系统安全的附加产品，比如防火墙，这只能保证外围安全，触及系统本质安全的重要组件，包括服务器、操作系统、数据库、应用软件等，都没有纳入认证制度。

其次，之前的制度叫做标准符合性验证，也就是测评时对比标准，进行逐条比对，如果全部符合就通过了认证。但问题是，如果标准中没有写某个要求怎么办?所以说标准只是一个基础，不能全面反映出一个产品的安全性，特别是如果面对一个居心叵测的攻击者，在产品的标准之外加了一些东西，就不可能发现问题。

政府不安装Win8的技术缘由

《21世纪》：近日，中央政府采购网公告称，所有计算机类产品不允许安装Win8操作系统。有观点称，中央政府采购放弃Win8的缘由就是与网络安全有关，事实是不是如此?

左晓栋：一个重要因素的确是出于安全斟酌，Win8采取了全新的安全架构，叫做可信计算(TC)技术，这是个先进的技术，国内也在积极推行。在这个安全架构下，计算机上要有一个硬件模块，作为信任根，以此构建一个信任链，一级信任一级，确保系统处于安全的运行状态。但这可能会带来一个问题，就是有的软件由于不被信任，在这个平台上没法运行。在Win8架构下，一个软件是不是能被信任，这可能是由微软说了算，而不是用户说了算，这就会致使用户对自己的计算机失去控制权。

《21世纪》：行将推出的网络安全审查制度，主要审查甚么内容?

左晓栋：网络安全审查制度的范围是关系国家安全和公共利益的重要信息技术产品和服务，目标是要做到产品和服务的安全性、可控性。网络安全审查制度要确保重点，一般公众使用的产品和服务不在审查范围内。还要再次强调，网络安全审查不是对互联网信息的内容审查。

涉及到具体的审查技术，我认为，基于标准的符合性验证是必要的，但还涉及到非技术方面，比如一个企业的荣誉好，聘请的技术人员背景清白，那末在客户眼中自然其安全性、可控性就高。所以，除审查技术指标，还要考察企业的很多方面，归根结柢是要确保企业及其产品可信。

《21世纪》：如果产品和服务提供商的部份数据触及商业秘密，与网络安全审查制度发生冲突时怎么办?

左晓栋：不是所有的产品都需要进行审查。但接受审查的，一定是用在关系国家安全和公共利益的领域。我相信这个制度会充分保护企业的商业秘密。是不是提供数据或资料，是企业的自由，但供应商恐怕要接受通不过审查的后果。事实上，国外早就有要求，对高等级产品的安全性，要审查到源代码，而我们之前是没有这样的要求的，也就是说国外的审查比我们严。

在国际上，IT产品安全测评使用的《通用准则》，简称CC标准。有些国家就曾对中国提出，中国不能弄自己的认证制度，应当用国际的这个通用制度。

但我们国内的企业拿到了CC证书后，在欧美一些国家的采购商那里却依然不被采信，缘由是他们要求中国公司解释其和中国政府、党委、军队的关系。这个时候，一张CC证书是没有任何意义的。这时候的审查就和技术无关，但对方认为他们关心的内容与你产品的可控性有关。对国外实行的这些制度，我们要大胆、大胆地全部学过来。

但需要强调的是，网络安全审查制度不是针对特定国家、企业和产品的，不是为了针对某个国家、某个事件的报复措施，而是保护国家网络安全的应有之义。

《21世纪》：如果我们的技术水平达不到审查的需要怎么办?

左晓栋：在理论上，一个产品是不可能杜绝所有BUG的，期望网络安全审查制度发现一个产品的全部后门，不是这项制度的目的。我们有很多其他的角度来衡量产品和服务的安全性、可控性，而且审查当中也有动态的管理，比如接受用户、社会举报等。我们也应建立这样的理念：产品提供商有责任向用户证明，他们的产品是安全、透明的。

《21世纪》：能否介绍一下未来的网络安全审查制度如何实行?

左晓栋：这是主管部门斟酌的具体问题，但根据国际经验，肯定要有一个办事机构负责日常工作，其下要设立专家委员会，再之下要有第三方评价机构，负责具体技术性检测。

不是市场准入，不是行政许可

《21世纪》：网络安全审查制度既关乎国家安全和公共利益，又可能对市场主体的利益造成重大影响，你觉得这样一项制度的实行，是不是应当获得法律上的授权?

左晓栋：我认为网络安全审查制度，终究一定要上升到法律层面，来明确各方面的权利和义务。固然立法是一个进程，需要各方面的条件都具有时才能出台。

那末，网络安全审查制度的效率体现在什么地方?它绝不是一种市场准入制度，不是一项行政许可，而是要把网络安全贯彻到采购方对产品和服务的要求中去，审查的要求更多地应通过采购方去落实。这实际上就是一个采购方和提供方的合同行动，任何产品和服务的提供商都可以进入这个市场，但进入市场后，采购方要提出安全性的审查。

《21世纪》：你能否简单介绍一下近年来关于网络安全的立法情况?

左晓栋：2003年中办发(2003)27号文最早明确提出，抓紧研究起草《信息安全法》，但由于这项法律涉及到的问题太多，立法难度很大，后来决定首先起草《信息安全条例》，在起草的几年时间里，《信息安全条例》连续数年列入了国务院法制办的2类立法计划，但考虑到很多问题在行政法规的层面解决不了，后来又提出起草《信息安全法》。中央网络安全和信息化领导小组成立以后，这项工作继续进行，更名为《网络安全法》。

我认为，网络安全立法可能会突出重点，不会用一部法律解决所有问题，比如当前国家提出要制定关键基础设施保护的法律法规，我们就应当针对突出矛盾、重点问题，制定专门法。解决一个问题总比所有问题都解决不了要好，综合性的法律法规一时不好出，就应加强专门法的研究起草工作。

《21世纪》：那末未来的网络安全审查制度，会是一个综合性的制度，还是由各个专门审查构成的体系?

左晓栋：我认为网络安全审查制度是一个框架，有必要针对不同的产品和服务，在具体工作中有一些特性化的要求，包括流程方面。比如，我们正在就政府采购云计算服务制定两个国家标准，目前已开始试点，标准已报批到国标委，还要建立专家机构，发展第三方云服务评估机构等。云计算服务的这两个标准就是全部网络安全审查制度的组成部分。其中规定，政府部门使用的云服务，要确保机房位于中国境内，确保云计算服务器和运行关键业务和数据的物理装备也要位于中国境内。这都是在充分鉴戒国外已有的良好经验。

《21世纪》：未来网络安全审查会不会也成为一个市场?

左晓栋：我认为很有可能，比如代码审查，就需要有专门服务，相干的咨询行业也会发展起来，很多产品开发商常常不懂安全、忽视安全，咨询公司会指点他们如何把产品做得更安全，相干的评估服务业也会发展起来。