信息安全是国家安全工作的重要一环。信息安全技术是高技术中的高技术,借助国际领先厂商的技术和经验迅速提高我国信息安全技术水平,正在成为一种新的探索。
最近,在信息安全领域出现了一些新的动向。国家发改委与微软公司签署的“政府安全计划”协议已经开始履行,公安部第三研究所与微软公司合作成立的“信息安全技术联合实验室”也已开始运作。这两项合作使得在我国受到普遍关注的视窗操作系统安全性问题出现了可喜的突破。10月16日,光明日报《信息化周刊》、中国信息安全产品测评认证中心、公安部第三研究所共同举办了“倡导国际合作促进国家信息安全”研讨会。信息安全领域的专家、国际领先的IT厂商代表参加了研讨。
陈晓桦(中国信息安全产品测评认证中心副主任):察看微软视窗操作系统的源代码,是中国信息安全测评认证中心受国家发改委委托的一项工作,我们有必要了解在我国使用非常广泛的视窗操作系统。我们反复声明,这并不代表中国或测评认证中心对微软产品安全性的认证和认可。
9月25日,公安部三所等7家国内研究机构提供了和政府合作的证明文件,按照协议的要求,获得了查看视窗源代码的许可。
有人担心我们看不懂视窗操作系统源代码。我认为工作刚刚开始,现在还不是下结论的时候。
严明(公安部第三研究所所长):与微软的两项合作是信息安全工作的一大进展。微软产品的源代码过去看不见、摸不着,给信息安全工作带来很多不便。在2000年的一次研讨会上,我曾经向微软公司安全主管人员提出了源代码的查阅问题。
公安部三所与微软的信息安全技术联合实验室于7月初在北京正式成立,公安部领导委托部长助理、科技委主任张新枫出席并讲话,公安部公共信息网络安全监察局等部门负责人到会,表明了公安部对这次合作的态度。
联合实验室将研究信息产品的安全性,向用户提供可靠的安全支持和服务。联合实验室成立之后不久全球就爆发了“冲击波”电脑病毒,当时,实验室还没有准备就绪,离我们的目标还有一段距离,但我们还是做了一些工作,加速了补丁程序的发放。下一步,我们将把合作的成果应用到政府专网中。我国的政府专网和公共网相互隔离,譬如公安部门的专网,这些专网中有很多微软的产品,同样需要及时“打补丁”、堵漏洞。
许榕生(国家计算机网络入侵防范中心首席科学家):我们在研究计算机取证,这项研究有助于扭转当前信息安全工作中被动防范的不利局面。我们需要详细了解微软视窗2000操作系统的内部资料,允许查看视窗源代码对我们的研究会很有帮助。
龚定宇(微软大中华区战略合作部总经理):为什么要进行这两次合作?归根结底就是让我们的用户放心。我们的合作要解决两个问题:第一,我们自身被怀疑的问题;第二,我们的产品发生问题的时候,怎么尽快配合政府,将用户的损失减到最小。
微软没有留“后门”,因为用户不了解我们,所以才会有怀疑,其实,所有与信息安全有关的产品都会受到同样的怀疑。在这样的情况下,简单地回答“有”或者“没有”不能解决问题,于是,我们就付诸实际行动,把视窗源代码公布出来,让政府信赖的单位查看我们的源代码。我们希望通过这样的行动来消除大家的顾虑。
赵刚(赛迪顾问公司企业信息化研究所所长):赛迪是国内权威的IT市场研究机构,根据我们对网络和服务器市场的调查,客户满意度和市场占有率前三名的都是国外大公司,因此,在信息安全领域与国外合作不可避免。
我是思科公司路由器在中国的第一个用户,由于“巴统”的限制,到货时间推迟了一年,中国的因特网发展因此推迟了一年,可以说中美双方的损失都很大。一些人坚持“冷战”思维,把中国当成对手,无中生有地搞诸如“李文和案”的风波,其实是在浪费自己的时间。
严明:不能说微软的产品才有漏洞,其他的产品没有漏洞;也不能说国外产品才有漏洞,国内产品不会有漏洞;我们甚至不能说国内的产品肯定没有“后门”,前一段时间两家国内反病毒软件厂商所争论的“逻辑炸弹”其实就是“后门”。
微软产品在我国各领域的应用如此之广泛,作为公安部门进行公共网络监管的技术支持单位,第三研究所当然有责任关注和了解其安全性。因此,当微软找到我们谈合作的时候,我们持积极态度。信息安全领域的国际合作显然是必要的。只有通过广泛合作,才能迅速提高我们的信息安全技术水平。要是闭门造车,我看今天能不能搞出286处理器都成问题。
如果国际厂商不愿意合作,我们有没有办法呢?根据国家标准GB17859—1999,如果你的产品要得到计算机信息系统安全保护能力第二级以上的认证,我们可以要求提供该产品的各种技术资料。如果不愿意配合,我们只好说,无法确定你的产品是否符合要求。这样,你的产品可能被排除在我们的市场之外。
龚定宇:中国加入WTO后加强了对知识产权的保护,这是国际社会的普遍感觉,因此微软能够放心地将视窗源代码向中国政府开放。我们采用的合作模式是厂家负责制,由我们作为厂家向国内客户提供一个统一平台,其中开放了上千个应用程序开发接口给那些在视窗平台上进行二次开发的应用软件公司,这对用户和软件开发商来说都是至关重要的。在此基础上,我们再把自己反复检测的视窗源代码交给政府主管部门进一步检查,使系统代码和各类接口对政府透明。我们认为这是解决信息化和信息安全间矛盾的有效方案。在今后的具体操作中,我们将共同对源代码进行研究,我们欢迎有关单位给我们提出反馈,比如,如果发现产品尚未及时修复的漏洞,我们会根据反馈拿出补丁包等解决方案。
段海新(中国教育科研网应急响应组负责人):中国教育科研网的用户,既是高新技术产品最活跃、最早的用户,也是很活跃的技术研究者,我们非常希望能够从信息安全的国际合作中受益,也希望能够更积极地参与到这项工作当中。
在我们管理的清华大学校园网上,同时上网的电脑有2万多台,这些电脑往往属于教师或学生个人,管理起来难度很大。一旦病毒爆发,容易迅速扩散。8月份的“冲击波”病毒给我们造成了严重的影响,我们特别希望今后和微软、思科这样的国际大公司紧密合作,在紧急事件出现的时候得到技术支持,还希望微软为教育科研网的用户建立专门的补丁程序下载网站。
我们还希望探讨更多的合作方式。现在我国生产的宝马汽车,实际上只有4个轮胎是国产的,但它的国产化率会逐步提高。视窗操作系统是否可以借鉴类似的国产化替代方案?
在信息安全技术还不能做到完全自主的时候,我们希望所使用的国外产品和技术是可控的,能够为我所用。怎样才能做到可控?国家已经投入了大量的资金,设立了多个测评机构,就是要通过反复检测,提高安全程度。
按照信息安全国家标准的要求,如果要通过我们的第4级的认证,就一定要查看源代码,查看相关的技术文本,甚至到产品的生产线上看整个生产过程。
龚定宇:接下来,我们还会提供和设计一些查看工具,帮助目前在中国的8个合作单位提高查看源代码的工作效率。我们将积极配合公安部门的工作,定期提供补丁程序。由公安部门提醒用户并发放补丁程序,将有助于提高用户的信息安全意识。此外,网上犯罪的问题也是我们非常关注的,各国政府对此都很重视。作为一个技术供应商,我们愿意将在这方面的经验与中国的主管部门分享。
许榕生:我认为还应该大力加强保护知识产权宣传,培养保护知识产权的自觉性。我要求我的学生们不用盗版软件。信息技术的知识产权非常脆弱,需要保护。如果这方面做不好,一定会影响到国际合作的深入开展。
严明:公安部三所和国家反计算机入侵和防病毒研究中心愿意与信息安全领域的国际同行合作,组建各种研究方向的联合实验室,共同提高我国的信息安全技术水平。通过“类股份制”的合作形式,双方共享研究成果。
在打击计算机犯罪方面,我们与英国、日本、澳大利亚、美国等国警方保持着密切接触,这个月底,我们还要在上海召开一次亚太地区打击计算机犯罪的国际会议。这表明,公安部门在信息安全技术上持比较开放的态度,连公安部都敢这样做,国内的其他单位或部门还有什么顾虑?
刘永春(思科中国公司首席技术官):公开源代码是促进信息安全工作的一种方式,我们想到的是其他的方式。我对严所长所提的合作很感兴趣。
谈到国际合作,我想不仅仅是引进来,还可以走出去。网络的技术和产品没有国界,我们在合作中产生的一些研究成果完全可以拿到国外去。互联网标准是由3000多个参考标准(RFC)组成的,漏洞不少,中国公司在这里大有可为,思科愿意帮他们走向世界。
孙彦斌(英特尔中国公司总裁高级助理):英特尔支持和倡导信息安全。我建议,中国应该积极参与国际组织和国际技术标准的制定。如果自行其是,既不利于产品之间的互联互通,也不利于信息安全。英特尔等国际知名企业正在组建一个标准组织,使得计算机具有自我保护、自我修复能力,就像人体免疫系统的功能一样,从而实现安全计算。我们欢迎国内机构和企业的参与。
 |
