发布时间:2022-6-26 分类: 行业动态
9月19日下午,在国家网络安全宣传周开幕式上,微软宣布“微软技术透明中心”在北京建成并正式启用,这是继美国和欧洲之后,微软在全球设立的第三家技术透明中心。从微软的布局看,GSP(Government Security Program,政府安全计划)迄今已实施13年,增强版GSP中的“微软技术透明中心”自2014年来以一年一家的速度逐步覆盖美、欧、中。
如今,最新“微软技术透明中心”正式落子中国,到底意味着什么?
1政府深度参与是共识
2003年,开源软件(主要是Linux操作系统)在政府用户中逐渐流行。鉴于开源软件允许用户直接访问和改写源代码,芬兰、德国,法国和菲律宾等地的政府用户都采用开源软件或正在研究开源的可行性。
这意味着微软等企业级软件和产品提供商遭遇到了来自开源软件的挑战。
为此,微软2003年宣布允许政府和国际组织访问旗下数个Windows操作系统的源代码和部分技术信息,以便于政府进行数据安全性分析,消除安全隐患,这就是GSP(Government Security Program,政府安全计划)。
GSP推出伊始,因为只允许用户在debug模式下查看代码而不能编译、重分发和修改代码,而被业界一些安全专家认为更多是心理层面的安慰,并没有比Linux或者基于BSD的解决方案更强大。
不过从实施效果来看,GSP依旧获得了广泛的支持。俄罗斯和北约成为首批签约用户,中国也是全球首批与微软签署此计划的国家之一。目前, GSP已经获得了全球40个政府及国际组织的认可。
由此可见,网络社会和真实社会一样,需要长治久安,目标远大而路径曲折。显然,基础设施对网络威胁的免疫力需要政府机构和企业开展高度开放和合作已成共识。
2消除信任隐患是关键
为了打消信息安全的顾虑并寻求与政府的更深度合作,微软在2013年做出了一个重要的改变,即主动增强GSP,允许签约方访问“微软技术透明中心”,并查看及使用自己的测试工具、硬件、软件来测试微软产品和服务的源代码。
2015年3月,中国信息安全测评中心作为中国政府代表正式与微软签订了增强版GSP。如今,“微软技术透明中心”在北京正式落成,此举将进一步加深中国政府对于微软产品及服务安全性的了解、研究和分析。
据悉,2014年6月,微软在美国华盛顿州雷德蒙德总部建立了第一家微软技术透明中心; 2015年,在比利时首都布鲁塞尔建立第二家微软技术透明中心;北京“微软技术透明中心”是微软在全球设立的第三家。
为何要在美欧中三地建立微软技术透明中心?
对于微软,在美国本土成立透明中心似乎说服力不够,建在欧洲的第二个透明中心才是需要重点观察的对象。这个中心为欧洲、中东以及非洲等地区的政府深度参与GSP提供了便利的条件。政府用户可以查看技术文档,获取微软包括未来补丁细节的数据,从而提高政府在设计和建立更安全的计算基础设施方面的能力,更为迅速地采用新技术。
这些举措对非美国政府的最主要吸引力,实际上来自于能够访问企业级产品的源代码,并开展相应分析。微软也坦承,这么做可以让用户真正相信微软的产品不存在任何隐藏的后门,因此才不惜冒着一旦源代码被监测到有任何问题便面临关门倒闭的风险,这一点毫不夸张。
3从“网络大国”到“网络强国”
北京微软技术透明中心是微软全球第三家、亚太地区第一家,这与中国的“网络大国”地位和中国在微软规划中的重要性相符——中国拥有近7亿网民,手机网民规模达6亿,互联网普及率近50%,同时也是全球最大的移动互联网市场。
但中国不仅需要成为“网络大国”也需要成为“网络强国”,自主创新要不断进步,开放合作也是重要路径。在这一过程中,政府应提供全方位的服务,创造安全的网络交易环境,传播有效的网络安全防护工具,通报最新的网络安全犯罪手段与风险,提供及时的网络安全事故援助,制定好用易用的网络安全标准规范。
闭门造车显然不适用于互联互通的网络世界。透明与信任是安全的基础,技术与手段是安全的保障,两者相辅相成。对外,中国政府在网络安全领域所采取的态度是促进开放合作,既鼓励和支持中国企业走出去,也欢迎国际企业走进来。微软GSP和技术透明中心的落实,也符合中国政府在网络安全建设方面的基本原则。
如果说苹果于2014年12月遵守中国“安全审计”的表态,代表着一种被动融入中国网络安全体系的姿态;那么“微软技术透明中心”的启用,则代表着在打造动态综合的中国网络信息安全防护体系、共建中国网络安全生态的过程中又一种努力的方向。
