“毒种子”比“毒面包”更可怕
国家互联网信息办公室近期宣布我国即将推出网络安全审查制度,将对关系国家安全和公共利益的系统使用重要信息技术产品和服务进行网络安全审查。这是在今年初中央网络安全和信息化领导小组成立后,我国在网络安全领域推出的一项战略性举措,对于维护国家网络安全、建设网络强国具有重大推动作用。
这意味着我国网络安全管理的视野进一步扩大,更加强调对形成网络安全基本要素的技术和产品的管控与规制。网络安全审查制度的出台对于构筑我国全方位、立体、综合网络安全保障能力有着十分重大的意义,对于加强我国网络安全自主创新能力、激发产业创新也有着十分积极的推动作用。
互联网是现代信息技术高度发展的产物,中国在加入网络大潮、分享到互联网络高速发展带来的巨大社会经济效益的同时,也承受着随之而来的风险。尤其是由于产业格局不对等,在中国的信息化建设中,大量使用国外产品,特别是美国的“八大金刚”(微软、思科等8家美国公司)的计算机和网络设备产品,未经审查却大量部署在我国基础网络和重要信息系统中,种种“漏洞”和预置的“后门”给我国的关键信息基础设施带来很大威胁。正如“棱镜门”事件所揭示的,包括我国前领导人在内的重要网络信息均受到美国情报机构的监控。
为应对这种严峻的形势,国家在制度层面强化对网络技术产品的规制管控,对于加强我国关键信息基础设施保障能力,无疑十分必要而且势在必行。纵观美国、欧盟,在大力发展ICT(信息通信技术)产业的同时,均建立了类似的技术产品审查制度,均规定凡是政府信息系统中采购的设备必须经过相应的技术审查和产品认证。我国推出这一审查制度,符合国际趋势及网络发展的客观规律。
技术和产品本身的安全是构筑网络安全的基本前提,从技术和产品层面实施安全审查,可谓是正本清源,抓住了网络安全治理的要害和关键。其中,相对于产品安全而言,技术安全还要更为基本。从ICT产业规律而言,往往是技术发明在先,相应的工程实现和产品开发在后。计算机、服务器、网络设备集成了大量事先发明的技术,才具备计算和联网通信的能力。如果说计算机、服务器和网络设备是“面包”的话,集成在这些产品中的“芯片架构”、“网络协议”、“安全协议”等基础技术就是 “小麦种子”,由它种出小麦,进而加工成面包。
因此,在我们贯彻实施网络安全审查制度之时,尤其要重视“种子”层面的审查规制,在谨防“毒面包”的同时,还要加大力气解决管控“毒种子”的问题。很多时候,“毒种子”比“毒面包”更可怕,其散播面更广,隐藏更深,因此危害更大。
就构成网络安全的基本技术层面而言,我国目前使用的网络基础安全技术都是美国政府和企业主导开发的,比如保证网络安全连接和数据安全传输的网络安全协议技术;银行网银使用的认证技术和签名技术。大量这类未经严格技术审查的基础安全技术,广泛应用在我国的基础网络和重要信息系统中。有些技术在近些年陆续被验证有重大安全漏洞,如近期曝光的“SSL心脏出血漏洞”等,对我国政府、企事业单位和广大网民造成极大的网络威胁和安全隐患;斯诺登披露的文件也显示出,美国国家安全局等情报机构正是利用IPSec、SSL等技术漏洞设置后门和实施网络监控的。
这些网络基础安全技术在技术方案本身及其工程实现的软件代码层面,均存在严重的“漏洞”。这些“漏洞”很大程度上是蓄意为之。这些漏洞不同于普通应用软件和网络设备中的“后门”,其影响范围之广、危害程度之深超出想象。技术方案层面的漏洞能够通过产业链逐级传递,好比种子有毒,从麦子到面粉到馒头,全产业链都受到污染。因此,解决网络安全核心技术问题,需从网络安全协议等网络基础安全技术这一国家战略资源抓起。
这一问题的重要性在中美之间围绕WAPI标准长达十余年的博弈中可见一斑:中国推出自主可控的网络安全协议技术标准WAPI之后,美国3位内阁部长联名致信我国政府,并连续在中美贸易谈判中施压,要求中国放弃WAPI标准,背后深层的原因是美国认识到在产业链源头掌握基础安全技术控制力的重要性及战略意义。
从技术源头保证网络安全的自主可控,才能从根本上加强我国网络安全的纵深防御能力。因此,网络安全审查制度的贯彻落实须从产业链源头抓起,除了要对计算机、服务器、路由器等计算机网络设备及其操作系统和应用软件行审查之外,还要加强对网络安全协议等基础安全技术的审查规制。(作者:曹军 无线网络安全技术国家工程实验室主任、中国计算机行业协会副会长)