1、2017年9月12日安全可控与开放引进安全可控与开放引进2017/9/221主要内容主要内容开放的决心与困境全球网络安全现状开放受益者绝不会拒绝开放开放者的困境安全可控的途径国外的作法与经验网络安全审查的法理依据对安全可控的认识网络安全审查的实践与展望2017/9/222全球网络安全现状全球网络安全现状个人个人：无差别被：无差别被“屠杀屠杀”5 月 12 日 爆 发 的Wannacry勒索病毒软件，利用了Windows基于445端口扩散的SMB漏洞MS17-010。针对漏洞，Equation Group（NSA背景）研发了专门的漏洞利用工具EternalBlue，Wannacry勒索病毒软件即

2、是由此改进而来。“脱裤”让网民提心吊胆，“裸奔”变为“尬舞”企业企业/机构机构：有目的被“掠杀”：有目的被“掠杀”政府政府：精：精准准化被化被“狙杀狙杀”2015年12月23日，乌克兰电网系统遭到黑客攻击，超过三个地区的电站控制系统遭到破坏,是世界首例因为黑客攻击造成的停电事故。2016年9月，“剑桥分析”首席执行官亚历山大尼克斯（AlexanderNix）在美国康科迪亚峰会上发表演讲，介绍“剑桥分析”如何使用行为与心理科学、大数据分析和精准广告投放影响美国2016年大选。2016年2月初，黑客成功从孟加拉国央行在纽约联储的账户中转走8100多万美元。如果不是因为黑客拼错一个英文单词，该账户可

3、能还会损失至少8.5亿美元。Sohu某hadoop节点存在JAVA RMI命令执行漏洞2017/9/223开放受益者不会拒绝开开放受益者不会拒绝开放放https:/www.weforum.org/agenda/2016/12/the-world-s-top-economy-the-us-vs-china-in-five-charts/https:/ 3月 4日）我们强调自主创新，绝不是要关起门来搞创新。在经济全球化深入发展的大背景下，创新资源在世界范围内加快流动，各国经济科技联系更加紧密，任何一个国家都不可能孤立依靠自己力量解决所有创新难题。要深化国际交流合作，充分利用全球创新资源，在更高起点

4、上推进自主创新，并同国际科技界携手努力，为应对全球共同挑战作出应有贡献。在十八届中央政治局第九次集体学习时的讲话（2013年 9月 30日）在全球化、信息化、网络化深入发展的条件下，创新要素更具有开放性、流动性，不能关起门来搞创新。要坚持“引进来”和“走出去”相结合，积极融入全球创新网络，全面提高我国科技创新的国际合作水平。在中央财经领导小组第七次会议上的讲话（2014年 8月 18日）开放者的困境（开放者的困境（1/2）瓦森纳协议 WassenaarArrangement2017/9/22503月07日03月23日03月31日04月07日04月14日04月21日04月28日05月05日05月

5、12日05月19日06月01日06月15日06月22日06月28日06月30日07月06日07月13日07月19日07月27日08月03日08月10日08月31日09月07日Year ZeroDark MatterMarble FrameworkGrasshopperHiveWeeping AngelScribblesArchimedesAfterMidnightAthenaPandemicCherry BlossomBrutal KangarooElsaOutlawCountryBothanSpyHighriseUCL/RaytheonImperialDumboCouchPotatoAnge

6、lfireProtegoDark Matter 苹果苹果Mac和和iOS恶意软件植入工具恶意软件植入工具 CIA针对苹果电脑和手机的恶意软件植入工具 在产品固件中植入恶意代码，即使更新操作系统仍然有效 染指供应链或物流，在产品到达买家就已植入恶意软件Marble Framework 代码混淆工具代码混淆工具 反取证，用于阻碍取证调查人员将攻击行为溯源到CIA身上 嫁祸他国，CIA通过在程序代码中植入其他语言，将攻击伪装成来自俄罗斯、中国、朝鲜和伊朗等其他国家Brutal Kangaroo内网渗透工具内网渗透工具 针对windows操作系统 使用了0day漏洞 使用U盘传播恶意软件 形成一个隐蔽

7、网络来协调任务和数据交换Hive木马控制管理工具木马控制管理工具 能向window、linux等多种平台植入木马，并完成控制 为CIA提供数据加密方式的执行命令和窃取数据 使用HTTPS协议伪装，增加隐蔽性，而底层加密协议为定制加密协议Weeping Angel智能电视监听工具智能电视监听工具 将智能电视的麦克风转变为监控工具 伪装”关机”状态，静默执行监听任务 与英国军情五处合作开发Athena windows远程控制程序远程控制程序 适配所有Windows版本,从XP到WIN10 可以完全控制目标电脑 远程下载恶意软件、检索和窃取数据 CIA与美国安全公司合作开发Cherry Blosso

8、m无线路由器入侵工具无线路由器入侵工具 针对200多种无线设备，包括思科、苹果、3Com、Belkin等常见品牌 由美国非盈利研究机构斯坦福研究所协助开发 监控目标网络活动，嗅探敏感信息 向目标传送恶意软件开放者的困境（开放者的困境（2/2）开放者的选择开放者的选择自主创新，打破封锁最关键最核心的技术要立足自主创新、自立自强市场换不来核心技术、有钱也买不来核心技术，必须靠自己研发、自己发展强调自主创新，不是关起门来搞研发，一定要坚持开放创新，跟高手过招，不能夜郎自大继续引进，但要安全可控安全审查是求得安全可控的手段之一2017/9/227国外的作法与经验国外的作法与经验 政府采购条例、联邦财产

9、和行政管理服务法、外国人合并、收购和接管规定、WTO政府采购协议、电信法310条款、1997年外商参与指令、奥姆尼伯斯贸易和竞争法、外国投资和国家安全法案和国防生产法 跟踪相关国家标准化战略和政策动向，控制国际标准主导权 对于通过外国投资委员会审查的交易，外国企业必须与美国的安全部门签署安全协议，协议包含公民隐私、数据和文件存储可靠性以及保证美国执法部门对网络实施有效监控等条款2008年，俄批准多部联邦法律确立了对外资进入其战略性产业的安全审查制度由俄工业和贸易部接受申请，征询俄联邦安全局和国家保密委员会的审核评估意见，确定交易是否存在风险涉及外资的活动，根据金额高低等不同情况，分为备案制和审

10、批制审查事宜由加拿大投资审查局负责，总督享有最终决定权 联邦财政部长负责对外国投资的审查，主要依据外资收购法外资收购规定等法律法案 审查和批准的基本依据是，不得损害和背离澳大利亚的“国家利益”印度电信部对电信设备采购进行严格的安全审查 要求国外企业向第三方检查机构提交设备和网络源代码 要求运营商制定明确的安全政策和网络安全管理措施，对整个网络安全负责 日本外汇及外贸法和促进进口好对日投资法，与产业政策法规相呼应 财政部外资审议会作为国家安全审查机构，通过提前申报、咨询机制等措施，对外资进行严格管制2017/9/228网络安全审查法理依据（网络安全审查法理依据（1/2）总体国家安全观 12个领域

11、：政治安全、国土安全、军事安全、经济安全、文化安全、社会安全、科技安全、网络安全网络安全（信息安全）、生态安全、资源安全、核安全，海外利益安全网络安全依法治网维护国家网络主权和政治安全CIIP建立网络安全审查制度建立网络安全审查制度加强全社会网络安全意识教育培训强化网络空间国际合作 安全可信/漏洞/个人信息/真实信息/可信身份/专用产品目录 网络安全认证/检测/互认/风险评估/检测评估/等级保护/CSO/网络日志保存至少6个月/应急预案 CII：公共通信和信息服务/能源/交通/水利/金融/公共服务/电子政务/其他 同步规划、同步建设、同步使用 国家安全审查国家安全审查 个人信息和重要数据在境内

12、存储/个人信息保护 打击网络犯罪/停止传输/消除/阻断传播第五十九条 国家建立国家安全审查和监管的制度和机制，对影响或者可能影响国家安国家建立国家安全审查和监管的制度和机制，对影响或者可能影响国家安全的外商投资、特定物项和关键技术、网络信息技术产品和服务、涉及国家安全事项的建全的外商投资、特定物项和关键技术、网络信息技术产品和服务、涉及国家安全事项的建设项目以及其他重大事项和活动进行国家安全审查，有效预防和化解国家安全设项目以及其他重大事项和活动进行国家安全审查，有效预防和化解国家安全风险。风险。第六十条 中央国家机关各部门依照法律、行政法规行使国家安全审查职责，依法作出国家安全审查决定或者提

13、出国家安全审查意见并监督执行。2017/9/229网络安全审查法理依据（网络安全审查法理依据（2/2）第三十四条除本法第二十一条的规定外，关键信息基础设施的运营者还应当履行下列安全保护义务：（一）设置专门安全管理机构和安全管理负责人，并对该负责人和关键岗位的人员进行安全背景审查；（二）定期对从业人员进行网络安全教育、技术培训和技能考核；（三）对重要系统和数据库进行容灾备份；（四）制定网络安全事件应急预案，并定期进行演练；（五）法律、行政法规规定的其他义务。第三十五第三十五条条关键关键信息基础设施的运营者采购网络产品和服务，可能影响国家安全的，信息基础设施的运营者采购网络产品和服务，可能影响国家

14、安全的，应当通过国家网信部门会同国务院有关部门组织的国家安全审查。应当通过国家网信部门会同国务院有关部门组织的国家安全审查。第三十六条关键信息基础设施的运营者采购网络产品和服务，应当按照规定与提供者签订安全保密协议，明确安全和保密义务与责任。第六十四条网络运营者、网络产品或者服务的提供者违反本法第二十二条第三款、第四十一条至第四十三条规定，侵害个人信息依法得到保护的权利的，由有关主管部门责令改正，可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款，没有违法所得的，处一百万元以下罚款，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款；情节严重的，并可以责令

15、暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。违反本法第四十四条规定，窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息，尚不构成犯罪的，由公安机关没收违法所得，并处违法所得一倍以上十倍以下罚款，没有违法所得的，处一百万元以下罚款。第六十五第六十五条条关键关键信息基础设施的运营者违反本法第三十五条规定，使用未经安全审查信息基础设施的运营者违反本法第三十五条规定，使用未经安全审查或者安全审查未通过的网络产品或者服务的，由有关主管部门责令停止使用，处采购金额一或者安全审查未通过的网络产品或者服务的，由有关主管部门责令停止使用，处采购金额一倍以上十倍以下罚款；对直

16、接负责的主管人员和其他直接责任人员处一万元以上十万元以下倍以上十倍以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。罚款。第六十六条关键信息基础设施的运营者违反本法第三十七条规定，在境外存储网络数据，或者向境外提供网络数据的，由有关主管部门责令改正，给予警告，没收违法所得，处五万元以上五十万元以下罚款，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。2017/9/2210对安全可控的认识（对安全可控的认识（1/2）内外资企业同等对待，都受法条约束 授权国务院/国家网信部门

17、制定关键信息基础设施安全保护办法组织国家安全审查组织国家安全审查制定办法对出境数据进行安全评估公布网络关键设备/网络安全专用产品目录必要时在特定区域限制网络通信“信息安全等级保护”更名为“网络安全等级保护”要制定网络安全强制性国家标准 要制定有关规定规范发布漏洞等信息 个人信息和重要数据在境内存储安全可控 产品和服务提供者不非法获取用户系统中的信息、用户设备中自己的信息，不损害用户对自己信息的自主权自主权、支配权支配权 产品和服务提供者不能非法控制、非法操纵用户的系统和设备，损害用户对自己系统、设备的控制权控制权 产品和服务提供者不利用用户对产品服务的依赖搞不正当竞争和谋取不正当利益，如停服、

18、垄断等2017/9/2211对安全可控的认识（对安全可控的认识（2/2）自主可控 自主可控 自主国产安全 国产的不安全性可能原因 和国外产品一样不能避免存在缺陷或漏洞 缺乏安全的设计和实现 使用开源的模块但没有做到可控 OEM国外的产品没有做到可控安全可控1安全可控2对行业可控的衡量指标符合中国法律法规标准的强制性要求体系架构自己设计/国外的思路已变成自己的关键技术、核心系统自主或可控能自主或可控地进行国内/外产品的异构集成整合整体上可监控、可管理、可审计、可替代掌握控制权、主动权、选择权、支配权有自己的管理体系、标准体系合规，风险不外延，防外+防内 非国产可控可用 对产品/系统可控的衡量指标

19、 符合中国有关法律法规标准的强制性要求 能得到并彻底消化了技术和源代码 能对安全性做出客观、独立的评估 能自己独立（编译）生成系统 能发现相关漏洞和软硬后门 能自己打补丁或升级 能自己以此为基础研发上层的应用2017/9/2212网络安全审查的实践与展望（网络安全审查的实践与展望（1/2）依据：国家安全法+网络安全法核心：保证网络产品和服务的安全可控焦点：可能影响国家安全因素、安全风险、安全可信状况、安全性、可控性、安全机制、技术透明性、材料真实性结果影响环节：采购+社会影响+法律遵从方式：企业要承诺、社会可监督、专业机构做评价、政府来持续监管；实验室检测+现场检查+在线监测+背景调查内容：5

20、个方面机构：委员会+办公室+专家委员会+第三方对象：网络产品、服务、供应链触发条件：国家有关要求、全国性行业协会建议、用户反映，符合规定程序结果处理：公众发布、一定范围内通报原则：（1）客观、公正、公平（2）保守商业秘密、知识产权，可保守商业秘密、知识产权，可投诉投诉（3）行业、领域的安全审查按照规定、参照标准 网络产品和服务安全审查办法（试行）2017/9/2213争论争论1：开放源码开放源码 vs.侵犯知识产权（侵犯知识产权（1/2）2017/9/2214争论争论1：开放源码开放源码 vs.侵犯知识产权（侵犯知识产权（2/2）源代码安全审查是安全测评的手段之一国际上多国已有所实践国际标准早

21、已提出过要求，如CC通过目前的实践，我们相信应该可以找到一条可行之路既能满足安全审查要求又能保护好知识产权和商业秘密对源代码安全审查政府或审查机构占有源代码2017/9/2215争论争论2：改造商业操作系统改造商业操作系统 vs.自主研发操作系统（自主研发操作系统（1/2）CII对操作系统的选择 直接采购商业化操作系统 对商业系统按安全需求进行改造 自主研发 对商业系统进行安全改造的要求 数据在境内落地，外传的要经过安全评估 对重要用户的服务由中方承担，内网用户在境内激活 集成的安全产品优先选用国产的 支持国产硬件、软件 支持自主对核心驱动/核心模块的控制 支持国产密码算法、密码设备 支持国产

22、可信计算 支持国产数字证书 裁剪不必要的应用 符合中国国家标准配置基线 在中国境内编译、生成补丁和可执行代码 负责改造的服务机构能自己打补丁2017/9/2216争论争论2：改造商业操作系统改造商业操作系统 vs.自主研发操作系统（自主研发操作系统（2/2）我国有用户不得不用，已形成一定的生态，用改进版比用通用版更符合中国用户的利益开放合作有利于中国利益、也有利于外企利益不管是通用版还是专用版，未经测评/评价，均无法得出是否安全的结论，也无法得出是否通过安审的结论改造与推进国产操作系统不矛盾，安全是相对的有益尝试掌握操作系统能力的新路，大胆探索开放环境下的安全问题，为增进互信做一个实践2017

23、/9/2217网络安全审查的实践与展望（网络安全审查的实践与展望（2/2）中国信息安全测评中心成立于1997年，在北京海淀上地西路8号院1号楼国家网络安全（信息安全）基础设施之一国家风险评估专控队伍主要从事网络安全漏洞和隐患分析、关键信息基础设施风险评估、网络安全审查及产品检测、信息系统/服务/人员的网络安全专业水平/能力资质评估等服务承担网络安全审查第三方评估工作承担网络安全审查第三方评估工作1997年，第一届国务院信息工作领导小组国务院信息工作领导小组就已将信息安全的测评认证工作纳入议事日程参照国际通例设立专门的信息安全产品测评认证机构，制订相关的技术安全标准，开展对主流信息安全产品的测评

24、认证服务。经过多年的探索与实践，我国建立与国际接轨的测评标准、工作程序和测评顺序，在信息技术产品安全，系统安全和信息安全服务等方面基本形成服务能力，基本上能满足现阶段对信息安全产品和信息系统进行测评认证的需要 国家信息安全漏洞库CNNVD,China National Vulnerability Database of Information Security 2009年10月18日正式成立面向国家、行业和公众提供灵活多样的信息安全数据服务，为我国信息安全保障提供基础服务通过自主挖掘、社会提交、协作共享、网络搜集以及技术检测等方式，联合政府部门、行业用户、安全厂商、高校和科研机构等社会力量对涉及国内外主流应用软件、操作系统和网络设备等软硬件系统的信息安全漏洞开展采集收录、分析验证、预警通报和修复消控工作涵盖政府、金融、交通、工控、卫生医疗等多个行业，为我国重要行业和关键基础设施安全保障工作提供技术支撑和数据支持对提升全行业信息安全分析预警能力，提高我国网络和信息安全保障能力 中国信息安全测评认证体系建设2017/9/2218不当不当之处，敬请批评指正之处，敬请批评指正2017/9/2219