核心安全审查专家回应Windows10政府版被建议禁用:现阶段强行切换系统并非最佳选择

南都原创
原创2017-06-12 13:20
关注

20170612110131594_副本.jpg

中国信息安全测评中心总工程师王军。

中国工程院院士倪光南近日在媒体撰文称,Windows 10中国政府版没有通过网络安全审查,应该继续被列在政府采购目录之外。什么是网络安全审查?这项于今年6月1日刚刚正式建立的制度到底如何实施,针对什么样的网络产品?

南都记者近日采访了中国信息安全测评中心总工程师王军。王军从专家层面解答了这些疑问,他表示网络安全审查有一套自己专属的启动和审查程序,对国内国外产品都是一致的,没有分别。

王军还表示,应该在开放的环境中来讨论网络安全。Window 10中国政府版对于解决当前中国国内对操作系统的客观需求,提高自身技术水平实力,不失为一种积极的尝试。

Win10通用版安全审查开始,尚不了解政府版安全审查情况

南都:Windows 10中国政府版有没有经过安全审查?

王军:Windows 10中国政府版的前身是Windows 10通用版,是微软公司的一个商业化产品,对全世界发行的都是通用版。据我了解,我国对Windows 10通用版的网络安全审查(下简称安审),已经开始做了。中国信息安全测评中心受中央网信办的指派,承担了Windows 10通用版第三方评价工作;但目前没有看到主管部门发布安审通过或未通过的结论。

至于Windows 10政府版有没有在走网络安审的程序,尚未了解到这方面的情况。

南都:那么中国信息安全测评中心对Windows 10通用版给出的第三方评价结果是什么呢?

王军:我们得出两方面的主要结论:第一是我们发现,跟win8、win7还有以前的操作系统相比,Windows 10通用版的安全功能有实质性改进。第二,Windows 10通用版确实有若干个安全风险点存在。按照工作的协议,我们现在尚不能够披露细节。

南都:安全审查是最近几年才由法律确定的,那么在此之前我们也有类似的工作吗?

王军:网络安全审查制度是2016年才最终确立的,但此前,类似的工作实际上就已经开展起来了。

2003年,当时国家发改委授权中国信息安全测评中心作为国家的测评机构,代表中国和微软公司签订了一个源代码查看的GSP(Government Security Program)协议,这是一个多边协议,微软跟多国都签署了GSP协议。考虑到不少国家政府对微软操作系统安全性的担心,微软就在GSP项目中同意在小范围里并保密的情况下,开放源代码,但因为涉及知识产权保护,只是小范围内,而不是变成开源。微软一方面展示它积极姿态,对我们而言也多了一个了解的途径。

GSP是双方平等的协议,而安全审查则是在产品存在可能影响国家安全的风险时,代表国家进行审查,安全审查的范围会更宽。

南都:有的专家说Windows 8和 Windows 10 采用的可信技术,会让厂家对操作系统有很强的控制力?

王军:我基本同意这样的看法,在Windows 10通用版操作系统中,厂家是会对系统有更强的控制力。但这种控制力的增强会有双刃剑的效果。如果做的特别强,有可能使用户对于这个系统的可控性减弱;另一方面,如果用户对于操作系统的控制性非常强的话,黑客也同样具有这种能力,这种情况下也可能会带来新的安全风险,因此需要找到一个平衡点。

Windows 10通用版对中国来说,并不完全是黑盒子

南都:所以Windows 10对于中国政府而言,并不完全是一个黑盒子,是吗?

王军:是的。按照GSP协议,微软提供了一个查看源代码的机会,但对于其中查看到的细节是什么,除非双方经过同意约定才能对外发布。在Windows 10通用版国家安全审查中,我们中心承担第三方评价工作,在北京也对通用版的源代码进行查看和审核,而且对其源代码的查看和审核比原来GSP的协议约定的范围更大。

南都:查看源代码就可以确保安全了吗?

王军:进行源代码查看和得出产品是否安全的结论,中间有很多技术性工作要做。不能简单地认为,“给你看了源代码它就一定是安全的”,也不能简单以为,技术测评就一定要把源代码一行行看过去。

南都:得出安全性的判断需要用到哪些技术手段呢?

王军:源代码安全审核,实际上是做网络安全审查或者信息安全测评过程中第三方评价的手段之一。它不是唯一的,对网络产品安全性的判断是综合性的,需要用到多种方法。比如,在实际工作环境中的对程序行为的监测也是一种测评方法,还可以逆向分析可执行的exe文件。

对于网络产品(如果操作系统也看作是一种产品)的安全检测,国际上也有通用准则(common criteria, CC)。我们测评中心对产品安全性的测评,CC也是一个重要的参考指标。

操作系统的源代码有的可达上亿行。看多少、看哪些,如何来判断,是做第三方评价过程当中技术测评方根据目标来做的选择。把每一行源代码都读到,可能是比较理想的,但需要大量的时间和成本。反过来,作为技术测评的方法来说,可能也未必就要把每一行代码都看到,但我们评价方会要求,被评价方要100%地提供源代码,然后由我们在对其程序架构进行分析的基础上,采用人机结合的方式,来选择具体要查看和审核的模块。

网络安全审查需要有人触发,不分国内国外

南都:国家网络安全审查和用户测试、安全测试是不是一件事情?

王军:简单地来说,安全审查和技术测评或者用户测评不是一回事。但是,安全审查的过程中,可能会包含有技术测评或用户测评。安全审查是针对可能存在影响国家安全的网络产品和服务。

根据《网络产品和服务安全审查办法》,安全审查的流程首先要有一个触发的过程,办法里明确了触发的几个条件,一是国家有关部门认为对于一种产品或服务需要网络安全审查;二是全国行业性的协会建议做安审;三是市场反映要做,我们认为市场当中也包含了民众、用户等。

一旦有人提出了安全审查的建议,就要经过一个法定的工作程序,这个工作程序应该是国家主管部门事先确定好的,安全审查是一个严肃重要、不是轻易说动就动的这样一个工作,需要一个工作程序,正式确认,然后启动。

南都:国家网络安全审查的工作程序是怎么样的?

王军:我对相关法规的理解是,一旦启动之后会有几个步骤,首先需要主管部门指定第三方评价机构对这样网络产品或服务相关的安全性、可控性、可信性、材料的真实性,包括用户对产品控制能力等等的,按照这些要素进行第三方的客观评价。

同时,也会有其他的一些配套的工作,比如说相应的审查、背景调查,有没有不正当竞争,或者对国民经济运行和市场的影响,这些综合性的调查工作也会同步进行。

技术测评和综合调查完成之后,会把结果提交到一个专家委员会,请他们提出意见,独立地审核判断。主管机构最后判定通过或者不通过,不可能只听一方的意见,所以会有一个高层次的专家委员会,请他们提出评判性的意见。我们都对各自的结论负责,独立地工作。

最后,网络安全审查办公室会把意见综合在一起,上报网络安全审查委员会,由委员会来作出安全审查的结论,是这样的一个工作流程。

南都:国家网络安全审查只针对国外的网络产品吗?

王军:我根据网络安全法的精神理解,网络安全审查是不分国内和国外的,网络安全审查是没有国籍偏好的,不是说国外的东西就审,国内的东西就不审。

我认为,无论是微软公司Windows通用版还是中外合资的神州网信公司的Windows10中国政府专用版,或者是国产的其他操作系统。如果需要进行相关的安全审查,按照法定的程序,都可以进行相应的网络安全审查。法律的要求是一样的。

那么,如果开始做相应的技术测评或者安全审查,我们所遵循的程序,按照的标准、要求等等也是一致的。当然,根据不同的产品情况,会有不同的侧重点,总的来讲要求是一致的。

“研发Windows 10 政府版是一种尝试”

南都:有不少人认为,应该用国产操作系统来替换,你作为专家是否同意这种看法?

王军:我的个人看法是,我们国家有一部分行业和领域的用户,在目前这个阶段存在着需要使用Windows平台的客观需求。从技术上看,Windows系统有其技术先进的一面,而且它形成了一个生态环境。我们很多的应用也对Windows系统产生了某种程度的依赖性,且不说这种依赖性合不合理,但它是一个客观的存在。我了解有一些行业用户,包括某些关键信息基础设施领域的,一时难以简单地切换到非Windows操作系统上去。

因此,在这种情况下,强行切换到非Windows操作系统上去,未必是最佳的选择。

反过来说,在开放的环境中,对于一项国外的先进技术,如果我们能够确保它是安全可控的,就至少不用排斥它而选择不用。

南都:对于windows 10 中国政府版,你怎么看?

王军:就Windows10中国政府专用版来看,是中国电子科技集团(CETC)和微软是联合开发,成立神州网信这样的合作形式,CETC是控股方有51%股份,微软拿49%股份。据我了解,在合作当中,微软是愿意在能够保护知识产权的情况下开放源代码,包括它的技术。我觉得以这样的方式开发Windows10或者以后的政府专用版,这是一个积极而且有意义的尝试。

我们理解这样做的目的是试图向政府和关键信息基础设施的用户提供一个比通用版更适合我国用户安全要求的改进版。这是一种现阶段探索解决问题的新办法。我觉得是值得期待的。

南都:你认为,研发Windows 10中国政府版和发展国产系统是并不矛盾的?

王军:国产的操作系统的研发,包括投入使用,包形成生态环境是需要一定时间的。

Windows10中国政府专用版的研发和我们大力推广国产的操作系统的应用,包括生态环境的建设,是可以并行进行的。这种并行进行的状态是不是可以认为,它不失为我国提高网络空间安全可控程度和解决用户实际需求的综合性考量?我们应该以一种宽容的态度允许这种尝试。

当然,这里说的是政府部门和关键信息基础设施用户。其他的社会用户、商业用户,可以根据自己的需求决定是用什么样的操作系统。

“国产系统不等于一定是安全的”

南都:国产操作系统的安全性问题,你怎么看?国产操作系统一定更安全吗?

王军:从安全性上来看,国产系统比国外系统在某些方面有一定的优势,但也不能简单认为,国产系统就一定是安全的。有几个原因,首先,任何产品都有漏洞,漏洞是产生网络安全的根本性问题,不存在一定安全的情况。

第二,我们自己国产设计的一些系统在安全性的某些方面可以比国外产品更加使人放心,比如我们不用担心被设计者有意地主动或被动的植入恶意的程序;但是我们也有可能在安全性上的其他方面会和别人有差距,比如我们对于安全问题的认识、掌握、防攻击能力上,还有做的不够的地方。安全性的问题是一种综合的考量。

第三,有一些设备有可能是OEM国外(原始设计是国外,我们只是拿到了生产许可);还有一些国产系统采用了开源的软件,但OEM和开源本身的安全问题也可能会带到国产的系统里面。

而且, 因为开源系统的特殊性,不是某一个厂家的,所以可能会存在漏洞没有人去解决的情况。把这些因素综合在一起,就不能简单地去说,国产的网络产品就一定是安全的了。

南都:那么,你认为windows 10 中国政府版需要网络完全审查吗?

王军:就像刚才说的,网络产品和服务不管是国内的还是国外的,不管是国产的、合资的,都是同样需要按照国家相关的法律法规规定的进行必要的安全测评,甚至是安全审查。Windows 10 中国政府版也应不例外。当然启动安全审查,要按照相关的法定程序进行。如果达到了触发安审的条件,按照法定程序,就有可能进行网络安全审查。

南都:那么是不是政府采购的关键信息网络基础设施就需要进行网络安全审查?安审是否和政府采购是天然绑定在一块的?

王军:据我了解,目前两者并不是天然绑定的。政府采购也有自己的程序性要求。网络安全法中,对采购有一个条款,明确了“未经安全审查或者安全审查未通过的网络产品或者服务”不得采购。我们要注意对于“未经”的理解,应该是从“应该进行而没有进行网络安全审查”这个角度理解。

所以根据目前的法律,我认为可以明确的是,如果对一项产品的安全审查没有通过,而且明确宣布没有通过,那是不能进入到采购目录里面的。

南都:目前对安全的技术性检测通常是抽样性的检测,怎么保证每一台电脑上的操作系统都是安全的呢?

王军:我们目前测试的方法,关注到了动态和静态两个方面,但是受限于目前的技术和方法,比较多的还是侧重在静态的状态下。我们对一定样品和一定时间点的安全结论负责,但不是永久的,也很难做到永久的安全检测。不过,测评机构会设法弥补相关的不足,比如采取持续监督、在线监测或检测的方法,加强对其动态安全状况的了解和掌握。

南都:一些人对于国外产品安全性的担忧,是害怕斯诺登那样的事情发生,这有没有道理呢?

王军:这种担忧是合理的,谁都不敢说没有,这也是我们一直强调安全可控的原因之一。但是,我们不应要求绝对的安全,就像我们不会因为马路上有交通事故的风险,就不开车一样。实际上,我们也有一定的抗风险能力,通过我们的工作,提高对国外产品的安全可控能力,使其风险降到可接受的程度。那么我们就可以使用国外的先进产品。

采写:南方都市报记者吴斌 发自北京


本文版权归南方都市报社所有,且为未见报内容。欢迎转发分享给朋友。未经许可,禁止转载。如需获得转载授权,请点击购买授权

阅读 4540236
热门评论
打开南都自媒体,查看全部评论>>
TA的文章

南都原创

南都原创文章都在这里。