倪光南:建议政府停止采购和使用“Win10政府版”

2021-09-18 14:08:07

日前,微软大中华区CEO柯睿杰表示:基于“安全可控”原则打造的中国政府版W in10正处于上市销售前的准备当中,该版本Win10已经通过3家大型企业的用户测试,证明该版本系统拥有可靠的安全性,接下来将进行大规模的部署。接着有报道呼应说,“Win10政府版已经在国内完成安全测试”。人们要问:他们为什么要大肆宣传Win10通过“用户测试”、“安全测试”呢?


众所周知,我国《网络安全法》已正式施行,它要求“我国关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查”。对照这个法规,人们不难理解,宣传Win10通过“用户测试”、“安全测试”,可能是想造成“Win10政府版”已通过国家安全审查的假象,从而为它进入政府采购敞开大门。


按照网信办发布的《网络产品和服务安全审查办法》,网络安全审查有严格的程序,并需由国家统一认定网络安全审查第三方机构,承担网络安全审查中的第三方评价工作。


2015年,早在CETC与微软的合资公司成立前,微软就做出了“Win10政府版”。那时,《网络产品和服务安全审查办法》正在制订中,有关方面对“Win10政府版”进行了一次网络安全审查,结果没有通过。此后,对“Win10政府版”并没有再做此类审查。因此,不管后来它做了什么“用户测试”、“安全测试”,它至今仍是一个没有通过网络安全审查的产品。


那时专家们还特别指出,当前不具备对Win10进行网络安全审查的主客观条件,因为:

一、中国虽然不缺少操作系统专家,不过因为Windows是不开放源代码的专有软件,微软以外的专家谁也无法精通W indow s.现在想指望一些不精通Windows的人,在短时间里对亿行源代码规模的“Win10政府版”的安全性、可控性作出准确评估,显然是不现实的。

二、要对一个软件进行安全审查至少应获得该软件的可重构的全部源代码,但微软从未对中方提供过W indow s的全部源代码,更谈不上可重构了。而如果一个软件有数以百万计的源代码不开放,这就像一个黑盒子,根本无法对其安全性、可控性作出准确评估。

今天,专家陈述的上述情况并没有发生实质变化,即使对“Win10政府版”再作网络安全审查,其难度也没有减少。而且由于Win10的架构集成了可信计算,审查需验证它与我国《电子签名法》和《商用密码管理条例》的合法、合规性。此外,还需调查国内外信息安全厂商对Win10捆绑可信计算和杀毒软件、实施不正当竞争的投诉问题。可见,“Win10政府版”要想再作网络安全审查,也将是旷日持久的事。

在2005年和2014年,我国政府因Vista和Win8不可控,都明令禁止采购。后来到2015年,微软快速更新版本号,推出了Win10.对此,我国几家权威安全测评机构进行测评后认为,“Win8 .1与Win10内核基本一致,并不存在较大幅度的变化,而版本号的大幅度升级更多是为了商业宣传的需要”。(按:这里的测评只需判断两者是否一致,不涉及安全性、可控性的评估,因而较易实施。)

综上所述,鉴于Win10等同于Win8以及“Win10政府版”并未通过网络安全审查,希望有关方面予以关注,应依法继续禁止政府采购和使用Win10(包括“Win10政府版”在内)。

倪光南(中国工程院首批院士,一直致力于自主可控的信息核心技术和产业,曾获得中国中文信息学会与中国计算机学会终身成就奖)