院士反对政府采购和使用“Win10政府版”:不安全!

2017年06月15日 09:43 来源:中国政府采购网打印

  网络安全一般有两大指标:安全性和可控性。假如一个产品的功能、性能等都正常,安全性可以通过,但若它可被厂商所操控或监控,可控性就通不过。由于历史原因,我国党政公文系统使用的软硬件大多为进口,存在着很大的安全隐患。前些年“棱镜门”事件刚爆发时,部分人还不太重视,仍然觉得大规模监听只是政府行为,针对的大多是与国家安全密切相关的目标。直到最近勒索病毒爆发,社会公众才对网络攻击的严重性有切身体会。

  

  

  

  倪光南院士资料图

  为解决网络安全可控性不足的问题,习主席在去年10月就做出“加快推进国产自主可控替代计划”的重要指示。这些年来,有关方面一直在大力推进电子公文系统安全可靠应用的试点,希望以此作为实施国产自主可控替代的突破点,取得成效后再推广到其他领域。其中,国产Linux操作系统是核心,国产软硬件都围绕它构建起一个安全可控的信息技术体系。

  在CPU等关键技术领域,发达国家处于领先地位,中国要强调“自主可控”是由国情决定的,因为我们的常态是“不可控的”。从这个角度看,如果跳出这一体系推所谓的外国软件政府版,相当于推倒重来,容易打乱好不容易建立起来的国产CPU、其他国产软硬件以至整个技术体系。

 

  信息软硬件的“安全可控”同样关系国家安全。有鉴于此,我国《国家安全法》和《网络安全法》都强调“网络和信息核心技术”“关键信息基础设施”“重要领域信息系统及数据”等要达到“安全可信”。

  

  资料图 

  之所以强调“核心技术”“基础设施”这类基础性的信息软硬件,是因为任何信息系统和应用都建立在它们之上。如果它们受制于人,那么由此构成的信息系统就像沙滩上的建筑,在遭到攻击时顷刻间便会土崩瓦解。另外,重要领域信息系统及数据如果遭到攻击所造成的损害显然远大于一般领域。笔者之所以关注政府采购,正是因为这个市场虽然不大,但安全影响却很大。

    

  为实现上述目标,国家网络安全审查不可或缺。我国的网络安全审查法规是从发达国家学来的。2011年11月,随着华为、中兴在美国市场竞争力越来越强,美国众议院特别情报委员会发起对华为、中兴的调查,得出“华为和中兴提供给美国关键基础设施建设的设备带来的风险可能会损害美国国家安全利益”的审查结论,并据此在美国市场上封杀华为、中兴。 

  

  

  资料图

  不过当时我国并没有相应的机构做这类工作,对华为、中兴受到的不公正待遇无法反制,因此吃了哑巴亏。后来,正是出于增强网络安全的需要(包括上述应对外国制裁的需求在内),网信办组织制定了日前发布的《网络产品和服务安全审查办法》。 

  

  该办法付诸实施以来,审查机构权威性不足的问题较为突出。事实上,不是随便哪个单位的测试就可代替网络安全审查,微软等公司最近的做法有以“用户测试”冒充网络安全审查之嫌。

 

  目前要实现全系统的自主可控、安全可控,确实有一定难度,这要求我们先实现主机、主板等部分的自主可控,然后再推及芯片、操作系统乃至整个生态系统。但这并非意味着可以在这一过程中放松对操作系统层面的安全审查。(全文完)

  

  事件回顾

  

  在5月23日的的微软上海发布会上,微软宣布针对中国政府的需求推出政府安全版Windows10系统。根据政府对操作系统的安全要求,微软与中国神州网信公司合作推出了这款可以本地激活并支持离线打补丁的政府安全版Win10系统。

  

  资料图

  在此计划宣布之后,中国工程院倪光南院士第一时间公开发文表示,按照《网络产品和服务安全审查办法》,网络安全审查有严格的程序,并需由国家统一认定网络安全审查第三方机构,承担网络安全审查中的第三方评价工作。所谓的Windows10政府版并未通过安全审查,我国政府应继续禁止采购Windows10。倪院士表示:“今后中国政府等重要领域首先应该使用国产操作系统,在安全性、可控性方面,国产操作系统会大大优于外国的操作系统。” 

  微软中国合作方回应

  对于倪光南院士的观点,微软在中国的合作方之一,神州网信(中国电子科技集团和微软的合资公司。中国电科占51%股份,微软占49%股份)回应称:作为合作方,神州网信可以根据需要随时查阅Windows 10的源代码,并进行深入的系统研究与评估。他们表示说:“我们也看到了倪光南院士的这篇文章,并非常尊重倪光南院士。”

  对于外界对Win 10的质疑,神州网信称,正致力于向中国政府及关键设施领域国有企业提供技术先进、安全可信任的本地化Windows 10中国政府版,并实现了本地激活、补丁、更新和升级,做到敏感数据不出境,实现双签名机制,本地化安全模块替换等。随着工作的不断深入,将会更好地满足中国政府用户安全性的特殊需求。而对于外界称,Win 10源代码不开放,像是个黑盒子,神州网信回应表示:作为合作方,神州网信可以根据需要随时查阅Windows 10的源代码,并进行深入的系统研究与评估。 

  

  神州网信还表示称,Win 10政府版团队已与中央政府、地方政府、国有企业建立了广泛联系。选择中国海关、上海市经济与信息化委员会和卫士通三家机构作为典型用户对Windows 10中国政府版进行了试用测试,接下来将有更多的试点客户进行试用,在确保安全的情况下帮助客户进行应用升级。

  神州网信称,“这些年,我们欣喜地看到国产操作系统取得的长足进步与发展。在我们看来,自主创新是一条路,开放合作也是一条路。神州网信希望通过开放合作,基于先进成熟的技术,满足中国政企客户安全性的特殊需求,同时培养人才,最终促进我国软件产业的发展。”



© 1999- 中华人民共和国财政部版权所有 | 联系我们 | 意见反馈 | ICP10046031-10