“左晓栋：互联网安全审查制度不涉及文案审查”

本篇文章4107字，读完约10分钟

“在windows8体系结构中，软件是否受信任可能是微软而不是客户计算的。 你将失去对计算机的控制权。 ”

根据总公司的信息，为了维护国家的网络安全，保障中国客户的合法利益，中国不久将出台网络安全审查制度。 该制度规定，关系到国家安全和公共利益的系统采用的关键技术产品和服务必须通过互联网安全审查。 21世纪经济报道记者称，新闻技术产品的安全审查，在国内已悄然研究了多年。 但是，2月27日，中央成立了网络安全和新闻化指导小组，在中共中央委员会总书记习大大亲自担任领导后，该制度的建设开始加快。

习在上述领导小组第一次会议上提出:“没有网络安全就没有国家安全，没有新闻化就没有现代化。” 据此，有关部门提出，网络安全审查制度是国家网络安全的基本保障，也是国家安全的重要壁垒。

最近，作为网络安全审查制度的目标对象，中国政府部门放弃购买windows8系统、比较移动通信工具的相关行动，持续受到市场的关注。 针对这些问题，21世纪的经济报道特别采访了长期参与中国网络安全重大政策研究起草工作的专家、中国新闻安全研究院副院长左晓栋。

过去的审查制度有两种不足

《21世纪》: 2001年，中央决定重新组建“国家新闻化领导小组”。 2003年又在领导小组下成立了国家互联网和新闻安全协调小组。 到年2月27日，中央成立了互联网安全和新闻化领导小组，相关概念也经历了从新闻安全向互联网安全的转变。 你能介绍一下它的背景吗？

左晓栋:关于具体的提法，不同时期有不同的认知和解释。 例如，我们使用过计算机安全、新闻安全、互联网和新闻安全等概念。 这与历史的认知有关，也与不同部门的工作要点有关。 2003年，温家宝国家新闻化领导小组组长提出，新闻安全包括基础的互联网安全、重要的系统安全和新闻文案安全。 目前，互联网安全的概念在范围上与新闻安全没有本质的区别，而是指整体的安全，包括了互联网和新闻系统的技术安全和新闻文案的安全。 但是，网络安全审查制度与新闻文案的安全无关，与舆论管理、文案审查无关。

《21世纪》:从技术角度解体后，网络安全审查制度的重要性在哪里？

左晓栋:现在的新闻系统基本上是在线运行的。 即使它们不在线运行，也必须直接或间接在线升级。 至少需要和外部的交流。 经过多年的新闻化建设，目前金融、通信等涉及国家经济民生的重要领域都依靠新闻技术，新闻互联网已经成为这些领域的神经系统。 理论上，可以远程控制这些系统，也可以窃取新闻。 这决定了新闻系统的本质优势。 几年前出现的微软“黑屏”事件，盗版的windows将会瘫痪。 这本质上是远程控制功能。 如果新闻系统出现问题，整个领域都会瘫痪，可能会带来严重的后果。 目前中国互联网安全面临的重大风险是受制于人，原因是产品和服务是别人的，所以我们不知道底数。

新闻系统安全的基础是产品和服务的安全也就是说新闻系统必须首先追求本质的安全 我们有很多后天保障安全的手段，但如果根本不安全，我们自己都是漏洞百出，指望后天处理是不对的。 但是，以前没有管理这些新闻技术产品的安全。 这相当于我们的网络安全之门打开了。

《21世纪》:网络安全审查制度之前，我国有类似的审查机制吗？

左晓栋:中国以前有报纸安全产品评价认证制度。 该制度建立多年，涉及公安部、保安局、密码管理局等多个部门，在地方、领域也进行了相关认证。 新闻安全产品评价认证的成果可以用于网络安全审查制度，但该制度存在两个不足。

首先，我们只比较新闻安全产品，而不是所有的新闻技术产品。 新闻安全产品是用于确保防火墙等系统安全的附加产品，它只保证周边的安全，是服务器、操作系统、数据库、APP等与系统本质安全相关的重要组件

其次，传统的制度叫做标准适用性验证，评价时核对标准，逐条核对，如果一切一致，就通过了认证。 但问题是，如果某个要求没有写在基准上怎么办？ 所以，标准是基础，不能全面反映产品的安全性。 特别是对于感觉不舒服的攻击者，如果在产品标准上添加了什么，就不会发现问题。

政府不安装windows8的技术理由

21世纪》:近日，中央政府采购网公告称，所有计算机类产品均不允许安装windows8操作系统。 有观点认为中央政府购买和放弃windows8的理由与网络安全有关，实际上是这样吗？

左晓栋:一个重要因素确实是为了安全，windows8使用了新的安全结构，被称为可靠的计算( tc )技术。 这是先进的技术，在国内也在积极宣传。 在这种安全体系结构下，计算机需要一个硬件模块作为信任的根，从而建立信任链，在一级建立信任，保证系统安全运行。 但是，这可能会带来一个问题，即由于不被信任，某些软件无法在该平台上运行。 在windows8体系结构中，软件是否可靠可能是微软而不是客户计算的。 结果，客户将无法控制自己的计算机。

《21世纪》:即将上市的网络安全审查制度将首先审查哪些副本？

左晓栋:网络安全审查制度的范围是关系到国家安全和公共利益的重要新闻技术产品和服务，目标是实现产品和服务的安全性、可控性。 网络安全审查制度为了确保要点，通常普遍采用的产品和服务不在审查范围之内。 他还强调，互联网安全审查不是互联网新闻的文案审查。

关于具体的审查技术，我认为基于标准的适应性验证是必要的，但也与非技术方面有关。 例如，如果一家公司的声誉很好，招聘的技术人员背景清白，那么在顾客眼里，安全性、可控性自然会变高。 所以，不仅要考核技术指标，还要考察公司的许多方面，毕竟要确保公司及其产品的可靠性。

《21世纪》:如果产品和服务提供商的部分数据与商业秘密相关，与互联网安全审查制度发生矛盾时该怎么办？

左晓栋:并不是所有的产品都需要审查。 但是，接受审查的必须是关系到国家安全和公共利益的行业。 我相信这个制度将充分保守公司的商业秘密。 是否提供数据和资料是公司的自由，但供应商可能会接受无法通过审查的结果。 事实上，国外要求对高级产品的安全性进行源代码审查，但我们以前没有这样的要求。 也就是说，国外的审查比我们严格。

国际上，it产品的安全性评价采用的“通用指南”，简称为cc标准。 一些国家向中国提出，中国不能建立自己的认证制度，应该使用国际上的这种共同制度。

但是，我们国内的公司在取得抄送证书后，在欧美一些国家的采购商中还不被信任。 因为他们要求中国企业解释与中国政府、党委和军队的关系。 此时，抄送证书没有任何意义。 虽然此时的审查与技术无关，但是对方认为他们在意的副本与你的产品的可控性有关。 关于在海外实施的这些制度，我们必须勇敢而大胆地学习所有的东西。

但是，必须强调的是，网络安全审查制度不是比较特定的国家、公司和产品，不是为了比较某个国家、某件事而采取的报复措施，而是应该保护国家网络安全的义。

《21世纪》:如果我们的技术水平达不到审查的需要怎么办？

左晓栋:理论上，一个产品不可能杜绝所有的bug。 期待网络安全审查制度发现一个产品的所有“后门”，不是这个制度的目的。 为了测量产品和服务的安全性、可控性，还有很多其他的立场。 此外，审查还有动态管理，如接受顾客、社会通报等。 我们还必须树立产品提供者有责任向客户解释产品是安全透明的这一理念

《21世纪》:您能介绍一下未来的网络安全审查制度将如何实施吗？

左晓栋:这是主管部门考虑的具体问题，但根据国际经验，必须有负责日常工作的办事机构，其下设立专家委员会，其下有第三方评估机构，负责具体的技术检查。

不是“市场准入”，不是“行政许可”

《21世纪》:网络安全审查制度不仅关系到国家安全和公共利益，还可能严重影响市场主体的利益。 你认为这种制度的实施应该得到法律上的授权吗？

左晓栋:我认为网络安全审查制度最终必须上升到法律水平，确定各方面的权利和义务。 当然立法是一个过程，只有各方面条件齐全才能公布。

那么，网络安全审查制度的效力体现在哪里？ 它决不是市场准入制度，也不是行政许可，而是要把互联网安全贯彻到购买者对产品和服务的要求上，审查的要求越来越应该通过购买者来执行。 这实际上是购买者和提供者的合同行为，任何产品和服务的提供者都可以进入这个市场，但是进入市场后，购买者必须提交安全性审查。

《21世纪》:能否简要介绍一下近年来互联网安全立法情况？

左晓栋: 2003年年中办发( 2003 ) 27号文，最早确定了“抓紧起草新闻安全法”，但与该法相关的问题太多，立法难度较大。 之后，首先决定起草《新闻安全条例》，在起草的几年里，《新闻安全条例》连续几年列入国务院法制执行的第二类立法计划，但在考虑到诸多问题的中央网络安全保障和新闻化领导小组成立后，这项工作继续进行，“甲

我认为网络安全立法可能会强调要点，不会用一部法律来处理所有问题。 例如，如果当前国家提出制定重要基础设施保护的法律法规，则应与强调矛盾、要点的问题相比较，制定专门法律。 处理一个问题总比不能处理所有问题好。 综合法律法规暂时行不通的，应当加强专门法律的研究起草工作。

《21世纪》:那么，未来的网络安全审查制度，将是一种综合性的制度，还是每一次专业审查所构成的体系？

左晓栋:我认为互联网安全审查制度是一个框架，需要比较不同的产品和服务，在具体的业务中有一点特色化的要求，也包括流程方面。 例如，我们就政府购买云计算服务制定了两个国家标准。 现在已经开始考试了。 基准已经向国家基准委员会报告。 此外，还设立了专家机构，迅速发展第三方云服务判断机构等。 云计算服务的这两个标准是整个互联网安全审查制度的一部分。 其中，政府部门采用的云服务规定，确保机房在中国境内，云计算服务器和执行重要业务和数据的物理设备也在中国境内。 这充分借鉴了国外现有的好经验。

《21世纪》:人民评价网络安全审查也将成为市场吗？

左晓栋:我觉得很有可能。 例如，代码审查需要专业的服务，相关的咨询领域也在迅速发展。 很多产品开发者不擅长安全，容易忽视安全。 咨询企业将指导如何使产品更安全，相关的判断服务业也将迅速发展。 (衣鹏张凡谭翊飞申剑丽) )。