 |
|
|||
|
|
|||
一、網絡安全方面一些術語的討論
1.網絡安全、信息安全等所討論的『安全』是在對抗狀態下的安全,這與在自然狀態下的安全的內涵有所不同,在英語中,前者用『Security』,後者用『Safety』,不過在漢語中是同一個詞。
2.按照Gartner的觀點,網絡安全(『Cybersecurity』)包含信息安全,IT(信息技術)安全,OT(運作技術)安全,物理安全和IoT(物聯網)安全等內涵。換言之,網絡安全不等於信息安全,網絡安全包含信息安全,而信息安全是網絡安全的重要方面。
3.我國官方文件最早在十八大提出,要高度關注網絡空間安全,三中全會上成立了中央網絡安全和信息化領導小組,這裡的『網絡安全』是『網絡空間安全』的簡稱。在英語中,前者是『Cybersecurity』後者是『Cyberspace security』。在英語中『Cyberspace security』簡稱為『Cybersecurity』不會有什麼歧義,不過在漢語中『網絡空間安全』簡稱為『網絡安全』有可能產生歧義。有的專家曾提出將『Cyberspace』譯成『賽博空間』,如果是這樣,『賽博空間安全』簡稱為『賽博安全』也不會有什麼歧義。不過現在『Cyberspace』譯成『網絡空間』已經約定俗成,在這種情況下,將『網絡安全』理解為『網絡空間安全』的簡稱似乎是順理成章的。
4.有人將『網絡安全』譯成『Network security』值得商榷。因為『Network』一般是指具體的物理網絡或網絡系統,英語的『Network security』應當包含在信息技術安全或物理安全之中,它只是網絡空間安全(『Cybersecurity』)的部分內涵,而不能代表網絡空間安全的全部內涵。所以,『網絡安全』應譯成『Cybersecurity』,而不應譯成『Network security』,同樣,也不應將『網絡安全』片面理解為『網絡系統安全』,而應理解為『網絡空間安全』。
二、網絡安全相關的評估
在信息化建設中,往往要對所采購的貨物、工程和服務等就是否滿足網絡安全需求進行評估。這裡我們將被評估的對象分為貨物、工程和服務等,是引用《政府采購法》中的類別。當然,也可以采用不同的類別。例如,與『貨物』類別相似的,可以有產品、硬件產品、軟件產品、網絡產品……,與『工程』類別相似的,可以有系統、平臺、解決方案……。不論如何分類,為了滿足網絡安全的需求,除了對它們進行常規指標(如運算速度、容量、價格……)的評估外,還需要進行專門的評估,目前這方面通常提出的要求是『自主可控、安全可靠』。也有專家提出要求『自主可控、安全可信』,這兩種提法很接近,是否需要加以細分還有待於研究。
那麼,自主可控和安全可靠又有什麼關系呢?
一種觀點認為,自主可控是安全可靠的前提,只有做到了自主可控纔有可能達到安全可靠。因為如不能自主可控,就不能排除存在人為的後門。當今技術復雜度越來越高,一個軟件可能包含千萬行源代碼,一個芯片可能包含幾億個晶體管,對於這種復雜度的軟硬件,如果不是自主可控的,要想通過第三方的測試分析來找出後門,基本上是不可行的。這種觀點還認為,自主可控是被評估對象的一種客觀屬性,與應用場景無關,如同一般技術指標那樣,可以不依賴於應用場景加以評估,也可以按照某種評估標准進行打分。
顯然,自主可控不等於安全可靠,自主可控只是達到安全可靠的前提,是安全可靠的必要條件而非充分條件。通常在一個信息系統中,如果做到了自主可控,還需要在此基礎上采取各種措施,纔能達到安全可靠。我們主張產品和服務等等的自主可控,其好處在於:信息安全容易治理、一般不存在惡意後門並可以不斷地對其進行改進或修補其漏洞。反之,如果產品和服務等等不能自主可控,就意味著具『他控性』,即受制於人,其後果是:信息安全難以治理、一般存在惡意後門並難以不斷地對其改進或修補其漏洞。
相對於自主可控而言,安全可靠不是被評估對象的一種客觀屬性,而是它們在其應用場景中的實際使用效果。如果是一個復雜的信息系統,既需要評估構成系統的重要部件,還需要評估所有部件構成系統後的總效果。安全可靠一般需要通過實驗、測評、實際使用、甚至長期運行的檢驗纔能最終得出結論。在這個意義上,安全可靠需要實踐的檢驗。換言之,安全可靠既需要評估,也需要驗證,越是復雜的系統,驗證越加重要。這樣看來,安全可靠的評估比自主可控的評估更復雜,牽涉到更多因素。因為它與應用場景有關,當場景發生變化,安全可靠的程度也會隨之發生變化,所以對於一個信息系統來說,要達到安全可靠並不能靠做一次評估而一勞永逸,而是需要實行科學的、嚴格的運維,持續地進行漏洞分析、風險評估和安全加固等等工作。
三、自主可控的評估標准
如上所述,自主可控是被評估對象的客觀屬性,可以制訂一種評估標准,我們建議從以下四個方面進行評估:
1.知識產權(包括標准)自主可控
在當前的國際競爭格局下,知識產權自主可控十分重要,做不到這一點就一定會受制於人。如果所有知識產權都能自己掌握,當然最好,但實際上不一定能做到,這時,如果部分知識產權能完全買斷,或能買到有足夠自主權的授權,也能達到自主可控。
然而,如果只能買到自主權不夠充分的授權,例如某項授權在權利的使用期限、使用方式等方面具有明顯的限制,就不能達到知識產權自主可控。
目前國家一些計劃對所支持的項目,要求首先通過知識產權風險評估,纔能給予立項,這種做法是正確的、必要的。標准的自主可控似可歸入這一范疇。
2.能力自主可控
能力自主可控,主要指技術能力的自主可控,這意味著要有足夠規模的、能真正掌握該技術的科技隊伍。
技術能力可以分為一般技術能力、產業化能力、構建產業鏈能力和構建產業生態系統能力等層次。產業化能力的自主可控要求使技術不能停留在樣品或試驗階段,而應能轉化為大規模的產品和服務。產業鏈的自主可控要求在實現產業化的基礎上,圍繞產品和服務,構建一個比較完整的產業鏈,以便不受產業鏈上下游的制約,具備足夠的競爭力。產業生態系統的自主可控要求能營造一個支橕該產業鏈的生態系統。
3.發展自主可控
除了知識產權和能力的自主可控,還需要有發展的自主可控,因為我們不但著眼於現在,還要求在今後相當長的時期裡,對相關技術和產業而言,都能不受制約地發展。這裡會涉及哪些問題,還需要進行深入探討。
為此,根據我國具體情況,當前要著眼國家安全和長遠發展,制訂信息核心技術設備的發展戰略。如果某些技術在短期內似乎能自主可控,但長期看做不到自主可控,一般說來是不可取的。只顧眼前利益,有可能會在以後造成更大的被動。
4.滿足『國產』資質
一般說來,『國產』產品和服務容易符合自主可控要求,因此實行國產替代對於達到自主可控是完全必要的。不過現在對於『國產』還沒有統一的評估標准。
過去有人提出的某些評估標准顯然是不合適的。例如:
認為只要公司在中國注冊、交稅,就是『中國公司』,它的產品和服務就是『國產』;或認為『本國產品是指在中國關境內生產,且國內生產成本比例超過50%的最終產品』。顯然,這樣的標准完全不適用於高技術領域。眾所周知,高技術產品和服務的成本主要是開發成本、智力成本,生產成本甚至可以忽略不計。
美國國會在1933年通過的《購買美國產品法》,要求聯邦政府采購要買本國產品,即在美國生產的、增值達到50%以上的產品,進口件組裝的不算本國產品。美國采用上述『增值』准則來評估『國產』,比較合理。這方面我們理應學習發達國家行之有效的做法。
現在人們大多根據產品和服務提供者資本構成的『資質』進行評估,包括內資(國有、混合所有制、民營)、中外合資和外資等,對於近來出現的『VIE』這類資質還存在不同的觀點。
實際上光考察資質可能不夠。建議『國產』的評估既考察其資質,又用『增值』准則加以評估,因為如某項產品和服務在中國的增值很小,意味著它可能就是從國外進口的,達不到自主可控要求。例如進口硬件可能通過『貼牌』、『組裝』變成『國產』,進口軟件和服務可能通過『集成』變成『國產解決方案』的一部分。如果實行『增值』估算,這類『假國產』就難以立足了。為此,建議有關方面盡快出臺『國產』的評估准則。
四、安全可靠的評估問題
如上所述,安全可靠的評估遠比自主可控的評估復雜,也不能靠做一次評估就一勞永逸,最終還需要通過實踐的驗證。這方面現在還沒有通用的評估標准,應當特別關注的是我國重要信息系統推行的安全等級保護工作。
安全等級保護工作廣義上為涉及到該工作的標准、產品、系統、信息等均依據等級保護思想的安全工作;狹義上是指對國家安全、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統分等級實行安全保護,對信息系統中使用的信息安全產品實行按等級管理,對信息系統中發生的信息安全事件分等級響應、處置的綜合性工作。這一工作包括定級、備案、安全建設和整改、信息安全等級測評、信息安全檢查五個階段。其中所包含的信息安全等級測評、信息安全檢查等工作,為系統的安全可靠評估提供了重要依據。一般說來,一個通過高級別等保的系統,其安全可靠程度顯然比通過低級別等保的系統高。在等保實施原則中有動態調整原則,它考慮到應用場景的變化,規定要跟蹤信息系統的變化情況,調整安全保護措施。甚至重新確定信息系統的安全保護等級,根據信息系統安全保護等級的調整情況,重新實施安全保護。此外,信息系統安全等級測評還強調了,在安全控制測評的基礎上,要包括系統整體測評。這些當然都與安全可靠的評估密切相關。
鑒於安全可靠的評估極其復雜,至今這個問題還遠沒有得到全面解決,有待於今後有關方面的繼續努力。
