网络安全相关的评估问题探讨
中国工程院院士 倪光南
一、网络安全方面一些术语的讨论
1.网络安全、信息安全等所讨论的“安全”是在对抗状态下的安全,这与在自然状态下的安全的内涵有所不同,在英语中,前者用“Security”,后者用“Safety”,不过在汉语中是同一个词。
2.按照Gartner的观点,网络安全(“Cybersecurity”)包含信息安全,IT(信息技术)安全,OT(运作技术)安全,物理安全和IoT(物联网)安全等内涵。换言之,网络安全不等于信息安全,网络安全包含信息安全,而信息安全是网络安全的重要方面。
3.我国官方文件最早在十八大提出,要高度关注网络空间安全,三中全会上成立了中央网络安全和信息化领导小组,这里的“网络安全”是“网络空间安全”的简称。在英语中,前者是“Cybersecurity”后者是“Cyberspace security”。在英语中“Cyberspace security”简称为“Cybersecurity”不会有什么歧义,不过在汉语中“网络空间安全”简称为“网络安全”有可能产生歧义。有的专家曾提出将“Cyberspace”译成“赛博空间”,如果是这样,“赛博空间安全”简称为“赛博安全”也不会有什么歧义。不过现在“Cyberspace”译成“网络空间”已经约定俗成,在这种情况下,将“网络安全”理解为“网络空间安全”的简称似乎是顺理成章的。
4.有人将“网络安全”译成“Network security”值得商榷。因为“Network”一般是指具体的物理网络或网络系统,英语的“Network security”应当包含在信息技术安全或物理安全之中,它只是网络空间安全(“Cybersecurity”)的部分内涵,而不能代表网络空间安全的全部内涵。所以,“网络安全”应译成“Cybersecurity”,而不应译成“Network security”,同样,也不应将“网络安全”片面理解为“网络系统安全”,而应理解为“网络空间安全”。
二、网络安全相关的评估
在信息化建设中,往往要对所采购的货物、工程和服务等就是否满足网络安全需求进行评估。这里我们将被评估的对象分为货物、工程和服务等,是引用《政府采购法》中的类别。当然,也可以采用不同的类别。例如,与“货物”类别相似的,可以有产品、硬件产品、软件产品、网络产品……,与“工程”类别相似的,可以有系统、平台、解决方案……。不论如何分类,为了满足网络安全的需求,除了对它们进行常规指标(如运算速度、容量、价格……)的评估外,还需要进行专门的评估,目前这方面通常提出的要求是“自主可控、安全可靠”。也有专家提出要求“自主可控、安全可信”,这两种提法很接近,是否需要加以细分还有待于研究。
那么,自主可控和安全可靠又有什么关系呢?
一种观点认为,自主可控是安全可靠的前提,只有做到了自主可控才有可能达到安全可靠。因为如不能自主可控,就不能排除存在人为的后门。当今技术复杂度越来越高,一个软件可能包含千万行源代码,一个芯片可能包含几亿个晶体管,对于这种复杂度的软硬件,如果不是自主可控的,要想通过第三方的测试分析来找出后门,基本上是不可行的。这种观点还认为,自主可控是被评估对象的一种客观属性,与应用场景无关,如同一般技术指标那样,可以不依赖于应用场景加以评估,也可以按照某种评估标准进行打分。
显然,自主可控不等于安全可靠,自主可控只是达到安全可靠的前提,是安全可靠的必要条件而非充分条件。通常在一个信息系统中,如果做到了自主可控,还需要在此基础上采取各种措施,才能达到安全可靠。我们主张产品和服务等等的自主可控,其好处在于:信息安全容易治理、一般不存在恶意后门并可以不断地对其进行改进或修补其漏洞。反之,如果产品和服务等等不能自主可控,就意味着具“他控性”,即受制于人,其后果是:信息安全难以治理、一般存在恶意后门并难以不断地对其改进或修补其漏洞。
相对于自主可控而言,安全可靠不是被评估对象的一种客观属性,而是它们在其应用场景中的实际使用效果。如果是一个复杂的信息系统,既需要评估构成系统的重要部件,还需要评估所有部件构成系统后的总效果。安全可靠一般需要通过实验、测评、实际使用、甚至长期运行的检验才能最终得出结论。在这个意义上,安全可靠需要实践的检验。换言之,安全可靠既需要评估,也需要验证,越是复杂的系统,验证越加重要。这样看来,安全可靠的评估比自主可控的评估更复杂,牵涉到更多因素。因为它与应用场景有关,当场景发生变化,安全可靠的程度也会随之发生变化,所以对于一个信息系统来说,要达到安全可靠并不能靠做一次评估而一劳永逸,而是需要实行科学的、严格的运维,持续地进行漏洞分析、风险评估和安全加固等等工作。
三、自主可控的评估标准
如上所述,自主可控是被评估对象的客观属性,可以制订一种评估标准,我们建议从以下四个方面进行评估:
1. 知识产权(包括标准)自主可控
在当前的国际竞争格局下,知识产权自主可控十分重要,做不到这一点就一定会受制于人。如果所有知识产权都能自己掌握,当然最好,但实际上不一定能做到,这时,如果部分知识产权能完全买断,或能买到有足够自主权的授权,也能达到自主可控。
然而,如果只能买到自主权不够充分的授权,例如某项授权在权利的使用期限、使用方式等方面具有明显的限制,就不能达到知识产权自主可控。
目前国家一些计划对所支持的项目,要求首先通过知识产权风险评估,才能给予立项,这种做法是正确的、必要的。标准的自主可控似可归入这一范畴。
2. 能力自主可控
能力自主可控,主要指技术能力的自主可控,这意味着要有足够规模的、能真正掌握该技术的科技队伍。
技术能力可以分为一般技术能力、产业化能力、构建产业链能力和构建产业生态系统能力等层次。产业化能力的自主可控要求使技术不能停留在样品或试验阶段,而应能转化为大规模的产品和服务。产业链的自主可控要求在实现产业化的基础上,围绕产品和服务,构建一个比较完整的产业链,以便不受产业链上下游的制约,具备足够的竞争力。产业生态系统的自主可控要求能营造一个支撑该产业链的生态系统。
3. 发展自主可控
除了知识产权和能力的自主可控,还需要有发展的自主可控,因为我们不但着眼于现在,还要求在今后相当长的时期里,对相关技术和产业而言,都能不受制约地发展。这里会涉及哪些问题,还需要进行深入探讨。
为此,根据我国具体情况,当前要着眼国家安全和长远发展,制订信息核心技术设备的发展战略。如果某些技术在短期内似乎能自主可控,但长期看做不到自主可控,一般说来是不可取的。只顾眼前利益,有可能会在以后造成更大的被动。
4. 满足“国产”资质
一般说来,“国产”产品和服务容易符合自主可控要求,因此实行国产替代对于达到自主可控是完全必要的。不过现在对于“国产”还没有统一的评估标准。
过去有人提出的某些评估标准显然是不合适的。例如:
认为只要公司在中国注册、交税,就是“中国公司”,它的产品和服务就是“国产”;或认为“本国产品是指在中国关境内生产,且国内生产成本比例超过50%的最终产品”。显然,这样的标准完全不适用于高技术领域。众所周知,高技术产品和服务的成本主要是开发成本、智力成本,生产成本甚至可以忽略不计。
美国国会在1933年通过的《购买美国产品法》,要求联邦政府采购要买本国产品,即在美国生产的、增值达到50%以上的产品,进口件组装的不算本国产品。美国采用上述“增值”准则来评估“国产”,比较合理。这方面我们理应学习发达国家行之有效的做法。
现在人们大多根据产品和服务提供者资本构成的“资质”进行评估,包括内资(国有、混合所有制、民营)、中外合资和外资等,对于近来出现的“VIE”这类资质还存在不同的观点。
实际上光考察资质可能不够。建议“国产”的评估既考察其资质,又用“增值”准则加以评估,因为如某项产品和服务在中国的增值很小,意味着它可能就是从国外进口的,达不到自主可控要求。例如进口硬件可能通过“贴牌”、“组装”变成“国产”,进口软件和服务可能通过“集成”变成“国产解决方案”的一部分。如果实行“增值”估算,这类“假国产”就难以立足了。为此,建议有关方面尽快出台“国产”的评估准则。
四、安全可靠的评估问题
如上所述,安全可靠的评估远比自主可控的评估复杂,也不能靠做一次评估就一劳永逸,最终还需要通过实践的验证。这方面现在还没有通用的评估标准,应当特别关注的是我国重要信息系统推行的安全等级保护工作。
安全等级保护工作广义上为涉及到该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作;狭义上是指对国家安全、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置的综合性工作。这一工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段。其中所包含的信息安全等级测评、信息安全检查等工作,为系统的安全可靠评估提供了重要依据。一般说来,一个通过高级别等保的系统,其安全可靠程度显然比通过低级别等保的系统高。在等保实施原则中有动态调整原则,它考虑到应用场景的变化,规定要跟踪信息系统的变化情况,调整安全保护措施。甚至重新确定信息系统的安全保护等级,根据信息系统安全保护等级的调整情况,重新实施安全保护。此外,信息系统安全等级测评还强调了,在安全控制测评的基础上,要包括系统整体测评。这些当然都与安全可靠的评估密切相关。
鉴于安全可靠的评估极其复杂,至今这个问题还远没有得到全面解决,有待于今后有关方面的继续努力。(中国工程院院士 倪光南)