倪光南：建議政府停止採購和使用“Windows10政府版”

日前，微軟大中華區CEO柯睿傑表示：基於“安全可控”原則打造的中國政府版W in10正處於上市銷售前的準備當中，該版本Win10已經通過3家大型企業的使用者測試，證明該版本系統擁有可靠的安全性，接下來將進行大規模的部署。接著有報導呼應說，“Win10政府版已經在國內完成安全測試”。

人們要問：他們為什麼要大肆宣傳Win10通過“使用者測試”、“安全測試”呢？

眾所周知，我國《網路安全法》已正式施行，它要求“我國關鍵資訊基礎設施的運營者採購網路產品和服務，可能影響國家安全的，應當通過國家網信部門會同國務院有關部門組織的國家安全審查”。對照這個法規，人們不難理解，宣傳Win10通過“使用者測試”、“安全測試”，可能是想造成“Win10政府版”已通過國家安全審查的假象，從而為它進入政府採購敞開大門。

按照網信辦釋出的《網路產品和服務安全審查辦法》，網路安全審查有嚴格的程式，並需由國家統一認定網路安全審查第三方機構，承擔網路安全審查中的第三方評價工作。

2015年，早在CETC與微軟的合資公司成立前，微軟就做出了“Win10政府版”。那時，《網路產品和服務安全審查辦法》正在制訂中，有關方面對“Win10政府版”進行了一次網路安全審查，結果沒有通過。此後，對“Win10政府版”並沒有再做此類審查。因此，不管後來它做了什麼“使用者測試”、“安全測試”，它至今仍是一個沒有通過網路安全審查的產品。

那時專家們還特別指出，當前不具備對Win10進行網路安全審查的主客觀條件，因為：

一、中國雖然不缺少作業系統專家，不過因為Windows是不開放原始碼的專有軟體，微軟以外的專家誰也無法精通W indow s.現在想指望一些不精通Windows的人，在短時間裡對億行原始碼規模的“Win10政府版”的安全性、可控性作出準確評估，顯然是不現實的。

二、要對一個軟體進行安全審查至少應獲得該軟體的可重構的全部原始碼，但微軟從未對中方提供過W indow s的全部原始碼，更談不上可重構了。而如果一個軟體有數以百萬計的原始碼不開放，這就像一個黑盒子，根本無法對其安全性、可控性作出準確評估。

今天，專家陳述的上述情況並沒有發生實質變化，即使對“Win10政府版”再作網路安全審查，其難度也沒有減少。而且由於Win10的架構整合了可信計算，審查需驗證它與我國《電子簽名法》和《商用密碼管理條例》的合法、合規性。此外，還需調查國內外資訊保安廠商對Win10捆綁可信計算和防毒軟體、實施不正當競爭的投訴問題。可見，“Win10政府版”要想再作網路安全審查，也將是曠日持久的事。

在2005年和2014年，我國政府因Vista和Win8不可控，都明令禁止採購。後來到2015年，微軟快速更新版本號，推出了Win10.對此，我國幾家權威安全測評機構進行測評後認為，“Win8 .1與Win10核心基本一致，並不存在較大幅度的變化，而版本號的大幅度升級更多是為了商業宣傳的需要”。（按：這裡的測評只需判斷兩者是否一致，不涉及安全性、可控性的評估，因而較易實施。）

綜上所述，鑑於Win10等同於Win8以及“Win10政府版”並未通過網路安全審查，希望有關方面予以關注，應依法繼續禁止政府採購和使用Win10（包括“Win10政府版”在內）。

本文轉自d1net（轉載）