中國工程院院士 倪光南
一、網(wǎng)絡(luò)安全方面一些術(shù)語的討論
1.網(wǎng)絡(luò)安全����、信息安全等所討論的“安全”是在對抗狀態(tài)下的安全�����,這與在自然狀態(tài)下的安全的內(nèi)涵有所不同,在英語中��,前者用“Security”�����,后者用“Safety”���,不過在漢語中是同一個詞。
2.按照Gartner的觀點�����,網(wǎng)絡(luò)安全(“Cybersecurity”)包含信息安全�����,IT(信息技術(shù))安全��,OT(運作技術(shù))安全����,物理安全和IoT(物聯(lián)網(wǎng))安全等內(nèi)涵。換言之�����,網(wǎng)絡(luò)安全不等于信息安全,網(wǎng)絡(luò)安全包含信息安全��,而信息安全是網(wǎng)絡(luò)安全的重要方面����。
3.我國官方文件最早在十八大提出,要高度關(guān)注網(wǎng)絡(luò)空間安全��,三中全會上成立了中央網(wǎng)絡(luò)安全和信息化領(lǐng)導小組����,這里的“網(wǎng)絡(luò)安全”是“網(wǎng)絡(luò)空間安全”的簡稱。在英語中����,前者是“Cybersecurity”后者是“Cyberspace security”。在英語中“Cyberspace security”簡稱為“Cybersecurity”不會有什么歧義����,不過在漢語中“網(wǎng)絡(luò)空間安全”簡稱為“網(wǎng)絡(luò)安全”有可能產(chǎn)生歧義。有的專家曾提出將“Cyberspace”譯成“賽博空間”��,如果是這樣����,“賽博空間安全”簡稱為“賽博安全”也不會有什么歧義���。不過現(xiàn)在“Cyberspace”譯成“網(wǎng)絡(luò)空間”已經(jīng)約定俗成,在這種情況下�,將“網(wǎng)絡(luò)安全”理解為“網(wǎng)絡(luò)空間安全”的簡稱似乎是順理成章的���。
4.有人將“網(wǎng)絡(luò)安全”譯成“Network security”值得商榷���。因為“Network”一般是指具體的物理網(wǎng)絡(luò)或網(wǎng)絡(luò)系統(tǒng),英語的“Network security”應(yīng)當包含在信息技術(shù)安全或物理安全之中�,它只是網(wǎng)絡(luò)空間安全(“Cybersecurity”)的部分內(nèi)涵,而不能代表網(wǎng)絡(luò)空間安全的全部內(nèi)涵�。所以,“網(wǎng)絡(luò)安全”應(yīng)譯成“Cybersecurity”���,而不應(yīng)譯成“Network security”����,同樣�����,也不應(yīng)將“網(wǎng)絡(luò)安全”片面理解為“網(wǎng)絡(luò)系統(tǒng)安全”,而應(yīng)理解為“網(wǎng)絡(luò)空間安全”���。
二����、網(wǎng)絡(luò)安全相關(guān)的評估
在信息化建設(shè)中����,往往要對所采購的貨物、工程和服務(wù)等就是否滿足網(wǎng)絡(luò)安全需求進行評估���。這里我們將被評估的對象分為貨物�����、工程和服務(wù)等�����,是引用《政府采購法》中的類別�。當然����,也可以采用不同的類別�。例如�,與“貨物”類別相似的,可以有產(chǎn)品���、硬件產(chǎn)品����、軟件產(chǎn)品���、網(wǎng)絡(luò)產(chǎn)品……,與“工程”類別相似的�,可以有系統(tǒng)、平臺�����、解決方案……��。不論如何分類��,為了滿足網(wǎng)絡(luò)安全的需求���,除了對它們進行常規(guī)指標(如運算速度�����、容量�����、價格……)的評估外���,還需要進行專門的評估���,目前這方面通常提出的要求是“自主可控、安全可靠”���。也有專家提出要求“自主可控�����、安全可信”�����,這兩種提法很接近����,是否需要加以細分還有待于研究。
那么����,自主可控和安全可靠又有什么關(guān)系呢?
一種觀點認為���,自主可控是安全可靠的前提����,只有做到了自主可控才有可能達到安全可靠�。因為如不能自主可控,就不能排除存在人為的后門�����。當今技術(shù)復雜度越來越高���,一個軟件可能包含千萬行源代碼,一個芯片可能包含幾億個晶體管��,對于這種復雜度的軟硬件����,如果不是自主可控的�,要想通過第三方的測試分析來找出后門�����,基本上是不可行的�����。這種觀點還認為�,自主可控是被評估對象的一種客觀屬性,與應(yīng)用場景無關(guān)��,如同一般技術(shù)指標那樣�,可以不依賴于應(yīng)用場景加以評估,也可以按照某種評估標準進行打分��。
顯然���,自主可控不等于安全可靠�,自主可控只是達到安全可靠的前提�����,是安全可靠的必要條件而非充分條件。通常在一個信息系統(tǒng)中�,如果做到了自主可控,還需要在此基礎(chǔ)上采取各種措施���,才能達到安全可靠。我們主張產(chǎn)品和服務(wù)等等的自主可控���,其好處在于:信息安全容易治理、一般不存在惡意后門并可以不斷地對其進行改進或修補其漏洞���。反之,如果產(chǎn)品和服務(wù)等等不能自主可控�,就意味著具“他控性”�����,即受制于人,其后果是:信息安全難以治理�����、一般存在惡意后門并難以不斷地對其改進或修補其漏洞�����。
相對于自主可控而言,安全可靠不是被評估對象的一種客觀屬性�,而是它們在其應(yīng)用場景中的實際使用效果�����。如果是一個復雜的信息系統(tǒng),既需要評估構(gòu)成系統(tǒng)的重要部件���,還需要評估所有部件構(gòu)成系統(tǒng)后的總效果。安全可靠一般需要通過實驗��、測評����、實際使用����、甚至長期運行的檢驗才能最終得出結(jié)論�。在這個意義上���,安全可靠需要實踐的檢驗。換言之���,安全可靠既需要評估,也需要驗證����,越是復雜的系統(tǒng)�����,驗證越加重要。這樣看來����,安全可靠的評估比自主可控的評估更復雜�,牽涉到更多因素�。因為它與應(yīng)用場景有關(guān)�����,當場景發(fā)生變化,安全可靠的程度也會隨之發(fā)生變化����,所以對于一個信息系統(tǒng)來說�,要達到安全可靠并不能靠做一次評估而一勞永逸�����,而是需要實行科學的�、嚴格的運維�����,持續(xù)地進行漏洞分析、風險評估和安全加固等等工作�。
三�、自主可控的評估標準
如上所述����,自主可控是被評估對象的客觀屬性��,可以制訂一種評估標準,我們建議從以下四個方面進行評估:
1. 知識產(chǎn)權(quán)(包括標準)自主可控
在當前的國際競爭格局下�,知識產(chǎn)權(quán)自主可控十分重要����,做不到這一點就一定會受制于人。如果所有知識產(chǎn)權(quán)都能自己掌握����,當然最好,但實際上不一定能做到��,這時,如果部分知識產(chǎn)權(quán)能完全買斷�����,或能買到有足夠自主權(quán)的授權(quán)��,也能達到自主可控��。
然而�,如果只能買到自主權(quán)不夠充分的授權(quán)�����,例如某項授權(quán)在權(quán)利的使用期限�����、使用方式等方面具有明顯的限制����,就不能達到知識產(chǎn)權(quán)自主可控。
目前國家一些計劃對所支持的項目��,要求首先通過知識產(chǎn)權(quán)風險評估�,才能給予立項��,這種做法是正確的�����、必要的���。標準的自主可控似可歸入這一范疇。
2. 能力自主可控
能力自主可控�����,主要指技術(shù)能力的自主可控�����,這意味著要有足夠規(guī)模的�����、能真正掌握該技術(shù)的科技隊伍�。
技術(shù)能力可以分為一般技術(shù)能力、產(chǎn)業(yè)化能力����、構(gòu)建產(chǎn)業(yè)鏈能力和構(gòu)建產(chǎn)業(yè)生態(tài)系統(tǒng)能力等層次���。產(chǎn)業(yè)化能力的自主可控要求使技術(shù)不能停留在樣品或試驗階段,而應(yīng)能轉(zhuǎn)化為大規(guī)模的產(chǎn)品和服務(wù)���。產(chǎn)業(yè)鏈的自主可控要求在實現(xiàn)產(chǎn)業(yè)化的基礎(chǔ)上����,圍繞產(chǎn)品和服務(wù)�����,構(gòu)建一個比較完整的產(chǎn)業(yè)鏈���,以便不受產(chǎn)業(yè)鏈上下游的制約,具備足夠的競爭力�。產(chǎn)業(yè)生態(tài)系統(tǒng)的自主可控要求能營造一個支撐該產(chǎn)業(yè)鏈的生態(tài)系統(tǒng)。
3. 發(fā)展自主可控
除了知識產(chǎn)權(quán)和能力的自主可控���,還需要有發(fā)展的自主可控��,因為我們不但著眼于現(xiàn)在���,還要求在今后相當長的時期里�,對相關(guān)技術(shù)和產(chǎn)業(yè)而言����,都能不受制約地發(fā)展。這里會涉及哪些問題����,還需要進行深入探討。
為此����,根據(jù)我國具體情況,當前要著眼國家安全和長遠發(fā)展����,制訂信息核心技術(shù)設(shè)備的發(fā)展戰(zhàn)略。如果某些技術(shù)在短期內(nèi)似乎能自主可控�����,但長期看做不到自主可控����,一般說來是不可取的。只顧眼前利益,有可能會在以后造成更大的被動�。
4. 滿足“國產(chǎn)”資質(zhì)
一般說來,“國產(chǎn)”產(chǎn)品和服務(wù)容易符合自主可控要求����,因此實行國產(chǎn)替代對于達到自主可控是完全必要的。不過現(xiàn)在對于“國產(chǎn)”還沒有統(tǒng)一的評估標準��。
過去有人提出的某些評估標準顯然是不合適的����。例如:
認為只要公司在中國注冊、交稅���,就是“中國公司”,它的產(chǎn)品和服務(wù)就是“國產(chǎn)”����;或認為“本國產(chǎn)品是指在中國關(guān)境內(nèi)生產(chǎn),且國內(nèi)生產(chǎn)成本比例超過50%的最終產(chǎn)品”�����。顯然��,這樣的標準完全不適用于高技術(shù)領(lǐng)域。眾所周知�,高技術(shù)產(chǎn)品和服務(wù)的成本主要是開發(fā)成本、智力成本�,生產(chǎn)成本甚至可以忽略不計。
美國國會在1933年通過的《購買美國產(chǎn)品法》�����,要求聯(lián)邦政府采購要買本國產(chǎn)品����,即在美國生產(chǎn)的、增值達到50%以上的產(chǎn)品���,進口件組裝的不算本國產(chǎn)品�。美國采用上述“增值”準則來評估“國產(chǎn)”�,比較合理。這方面我們理應(yīng)學習發(fā)達國家行之有效的做法�。
現(xiàn)在人們大多根據(jù)產(chǎn)品和服務(wù)提供者資本構(gòu)成的“資質(zhì)”進行評估,包括內(nèi)資(國有����、混合所有制、民營)��、中外合資和外資等,對于近來出現(xiàn)的“VIE”這類資質(zhì)還存在不同的觀點�����。
實際上光考察資質(zhì)可能不夠����。建議“國產(chǎn)”的評估既考察其資質(zhì),又用“增值”準則加以評估���,因為如某項產(chǎn)品和服務(wù)在中國的增值很小�����,意味著它可能就是從國外進口的��,達不到自主可控要求。例如進口硬件可能通過“貼牌”�����、“組裝”變成“國產(chǎn)”���,進口軟件和服務(wù)可能通過“集成”變成“國產(chǎn)解決方案”的一部分��。如果實行“增值”估算�,這類“假國產(chǎn)”就難以立足了。為此��,建議有關(guān)方面盡快出臺“國產(chǎn)”的評估準則��。
四�����、安全可靠的評估問題
如上所述���,安全可靠的評估遠比自主可控的評估復雜�,也不能靠做一次評估就一勞永逸��,最終還需要通過實踐的驗證����。這方面現(xiàn)在還沒有通用的評估標準,應(yīng)當特別關(guān)注的是我國重要信息系統(tǒng)推行的安全等級保護工作����。
安全等級保護工作廣義上為涉及到該工作的標準、產(chǎn)品����、系統(tǒng)�����、信息等均依據(jù)等級保護思想的安全工作�����;狹義上是指對國家安全�、法人和其他組織及公民的專有信息以及公開信息和存儲����、傳輸、處理這些信息的信息系統(tǒng)分等級實行安全保護����,對信息系統(tǒng)中使用的信息安全產(chǎn)品實行按等級管理,對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應(yīng)���、處置的綜合性工作。這一工作包括定級�����、備案、安全建設(shè)和整改�、信息安全等級測評、信息安全檢查五個階段���。其中所包含的信息安全等級測評����、信息安全檢查等工作���,為系統(tǒng)的安全可靠評估提供了重要依據(jù)����。一般說來���,一個通過高級別等保的系統(tǒng)��,其安全可靠程度顯然比通過低級別等保的系統(tǒng)高����。在等保實施原則中有動態(tài)調(diào)整原則����,它考慮到應(yīng)用場景的變化����,規(guī)定要跟蹤信息系統(tǒng)的變化情況����,調(diào)整安全保護措施。甚至重新確定信息系統(tǒng)的安全保護等級��,根據(jù)信息系統(tǒng)安全保護等級的調(diào)整情況�,重新實施安全保護。此外���,信息系統(tǒng)安全等級測評還強調(diào)了��,在安全控制測評的基礎(chǔ)上���,要包括系統(tǒng)整體測評。這些當然都與安全可靠的評估密切相關(guān)��。
鑒于安全可靠的評估極其復雜�����,至今這個問題還遠沒有得到全面解決,有待于今后有關(guān)方面的繼續(xù)努力�����。(中國工程院院士 倪光南)
說兩句
