2014年5月22日透露,从国信办获悉,我国将对关系国家安全和公共利益的系统使用的重要技术产品和服务进行网络安全审查。据悉,少数国家政府和企业利用技术垄断大规模收集敏感数据,我国政府、企业、大学及电信主干网络多次遭受大规模侵入、监听,网络安全形势严峻。
据悉,网络安全审查制度将针对重要信息技术产品及提供者,重点审查产品的安全性和可控性,以防产品提供者非法控制、干扰、中断用户系统,非法收集、存储、处理和利用用户有关信息。对不符合安全要求的产品和服务,将不得在中国境内使用。
据了解,美国网络安全审查不仅包含产品安全性能指标,还有产品的研发过程、程序、步骤、方法、产品的交付方法等。美国网络安全审查主要考虑对国家安全、司法和公共利益的潜在影响,不公开标准和过程,不披露原因和理由,不接受供应方申诉,且无明确时间限制。
用安全审查制度捍卫国家网络空间编辑本段回目录
 |
法治周末记者 马树娟
近日,国家互联网信息办公室发言人透露,我国即将推出网络安全审查制度,对于进入我国市场的重要信息技术产品和服务都将进行安全审查。
在目前特殊的国际背景下,推出网络安全审查制度有什么意义,对于我国信息产业而言,又将意味着哪些机遇……
就上述问题,法治周末记者近日专访了中国工程院院士、国家信息安全等级保护专家组组长沈昌祥。
网络空间成第五大主权领域
法治周末:我国即将推出网络安全审查制度,对进入我国市场的重要信息技术产品和服务将进行安全审查,确保安全性和可控性,这是不是同目前网络安全在国家安全中的地位变化密不可分?
沈昌祥:2000年,我们在制定信息安全“十五”规划时,提出“信息安全是国家安全的重要组成部分”,而信息社会发展到现在,网络空间已经成为了陆、海、空、天之后的第五大主权领域空间,重要性不言而喻。
今年年初,习近平总书记提出,没有网络安全就没有国家安全,将网络安全提到了同国家安全并列的高度,并成立了中央网络安全和信息化领导小组,也说明了这种变化。
法治周末:网络安全在美国社会中扮演一个什么样的角色?
沈昌祥:对于网络安全的重要性,美国早就意识到了,先是将其确定为国家的“政策”“计划”,“9·11”事件后,小布什意识到如果发生网络恐怖活动的话,问题将更为严重,当年10月16日小布什就宣布成立“总统关键基础设施保护委员会”,代表政府全面负责国家的网络空间安全工作。2003年美国正式发布了《保护网络空间的国家战略》,将其上升到国家战略的高度。
2011年5月16日,美国非常明确地宣布,网络空间是国家主权空间,谁攻击了美国的网络空间,就等同于攻击了美国的主权领域,美国可以用军事等各种手段予以回击。在2010年,美国还启动组建了网络司令部。
法治周末:美国作为全球网络信息技术最发达的超级大国,目前是否也有类似的安全审查制度?
沈昌祥:美国在这方面是很不客气的,既然他把网络空间都上升为国家主权的高度,那么他是要保卫国家主权的,因此他审查信息技术产品是同审查武器装备一样对待的。如果评估出某一产品或者系统可能损害国家主权,那么将无条件禁止,没有什么好商量的。
2006年联想通过激烈的竞争,获得了美国国务院电脑采购的订单,产品完全是美国生产的,也完全是IBM的产品,但是因为IBM的PC业务被联想收购,这次采购就以不符合美国国家安全利益为由被抵制了。
华为、中兴通讯的遭遇也是一样。只要美国认为对他的国家安全、司法和公共利益构成影响,哪怕是潜在影响,就不能采购,而且审查不公开标准、不披露原因和理由,也不公开审查过程,也不接受你申诉,都是他自己说了算。
法治周末:美国国内是否有相应的立法来支持他这一审查制度或者行为呢?
沈昌祥:美国在这方面有着很完善的法律体系,尤其是“9·11”事件后,爱国者法案、联邦信息安全管理法案等陆续出台。像“棱镜门”的实施都是有法律依据的,是“合法”的,所以美国宣布斯诺登是叛国,要对其定罪,追究法律责任,这都是从法律角度来讲的,而不像外界理解的“斯诺登把一个丑闻泄露了出去”。
美国不会因为斯诺登事件就不监控了,相反,它会进一步加强监控,而且是理直气壮的。对于其他国家的IT产品,他也要进行安全审查,防止产品提供者非法控制、干扰、中断用户系统。
网络安全审查比食品安全检查还重要
法治周末:“9·11”事件后,美国出台了爱国者法案,依据该法案,包括微软、雅虎、谷歌等公司都要同政府建立合作关系,加入监听项目,美国这种法律制度的安排,是不是也意味着我国采购这些公司的产品、技术和服务,本身就面临着很大的信息安全风险?
沈昌祥:的确是这样的。美国相关法律规定,凡是出口的IT产品,都应该受到美国法律部门、安全部门审查和备案,所以他出口的东西,留有后门也好,还是留有攻击的漏洞也罢,都是明对明的。他这样做的目的也是公开的,即为了所谓的“不能影响美国的利益,美国的核心机密不能暴露给他国”,但是给其他国家的信息安全就带来了非常大的风险和隐患。
法治周末:现在我国要推行网络安全审查制度,这也给我们审查他们的IT、网络产品提供了法律依据。他们的产品是否留有后门,或者存在安全漏洞,我国出于国家安全的考虑,对其进行审查也将是有法可依的、合法的行为。
沈昌祥:对的,彼此应该对等的,但是我们做的比较晚了,其实我们已经很不对等了,我们吃了很多亏。联想、华为、中兴通讯的遭遇就是例证。这么长时间以来我们没有对等地处置,对我们的国家利益来说,已经造成了很严重的影响。
不过,我们的安全审查制度并不是针对某一个国家、某一个产品,只要经过评估,认为相关技术产品对我国国家安全有影响,或认为存在潜在威胁,我国有权同样运用安全审查,该阻止的阻止,该不采购就不采购。在这方面,美国就是我们学习的样板,甚至我们也可以不说理由。
法治周末:我关注到,国家互联网信息办公室的发言人并没有说安全审查制度只针对政府采购的产品,是不是意味着像电信、金融等重大领域采购的设备,以及老百姓用的信息技术设备都要经过安全审查制度的筛选?
沈昌祥:是的,因为同国家安全、司法和公共利益牵涉的不光是政府采购。大家都认识到食品安全关乎公众利益,要对其严格检查,我认为,网络产品的安全审查甚至比食品安全的检查还重要,因为信息科技产品的安全与否,不仅影响公众利益,还关涉国家安全,影响更为全面。
法治周末:我国网络安全审查制度将从哪些角度来考察产品以及产品提供者的安全性和可控性呢?
沈昌祥:首先是技术、产品本身是否安全;其次是产品提供者的资本背景,像此前美国国务院拒绝采购联想IBM的计算机,就是源于IBM的PC业务已经归属于联想,我们可以参照美国的做法。最后是产品提供者的信誉。
法治周末:目前我们有了网络安全审查制度这个设想,下一步需要通过什么形式来体现?是不是需要修改政府采购法等相关的法律,或者要进行专门的立法?
沈昌祥:这个不是现在才有的设想,我们已经就此多方面征求了意见,进行了充分的调研、论证。
我认为可以对网络安全单独立法,最高院出台相应的司法解释也是可以走得通的。
国内信息产业将赢得机遇和空间
法治周末:出台网络安全审查制度对于国内的IT行业意味着哪些挑战和机遇?
沈昌祥:我们不仅要对从国外进口的产品进行安全审查,对国内的产品也一样要进行审查。安全审查制度对我们的国企、民营企业研发IT产品、安全产品、网络产品会有一个导向作用。
要构建安全的网络空间,就必须有安全的产品来进行信息化。有了这个制度以后,大家就会按照怎么样有利于国家安全的方向去做,对不利于国家安全的产品就会避免,不去做。在方向明确、技术路线清晰之后,对我们产业往自主可控、安全可信的方向发展将起到推动和支撑作用。
再者,目前大量的外国产品,对于我们国家网络安全是有威胁的,或者存在潜在威胁,是不安全的。对于这些产品,如果以前没有把握掌控的话,那就要采取一定的措施,这样将对我们真正安全、放心、可信的国内产品提供一个竞争的机遇,也可以留出一定的市场空间。
法治周末:很多人认为,网络安全更多的是关乎国家利益,似乎同老百姓的关系并不是很密切,您怎么看待这种观点?
沈昌祥:我举个例子,像Vista、windows8.1操作系统将杀病毒程序捆绑在一起,杀病毒软件就像是一个超级安全保密检查员,安装了这样的操作系统就相当于请了一个超级保密检查员,他可以登堂入室,把保险箱打开,把里面的文件拿出来一个个比对,而这个保密员的可信程度是很成问题的。
在网络不安全的状态下,老百姓上网时其实相当于在“裸奔”,有了安全审查制度,让老百姓用上安全的信息技术产品和服务,没有了安全隐患,大家也能放心使用。这对老百姓来讲,也是个利好。
网络安全审查制度将会给百姓带来什么编辑本段回目录
国家互联网信息办公室近日宣布我国即将推出网络安全审查制度,引发各界关注。在我国,网络安全审查制度是个新生事物,它的推出对数亿网民和众多网企将会产生什么影响?
对网民是福利还是忧虑
国家互联网信息办公室22日宣布,为维护国家网络安全、保障中国用户合法利益,我国即将推出网络安全审查制度。该项制度规定,关系国家安全和公共利益的系统使用的重要技术产品和服务,应通过网络安全审查。
“有的网民担忧网络安全审查制度会影响网络言论自由,其实这是没必要的。”中国电子科技集团(CETC)首席信息安全官张建军解释说,网络安全审查制度针对关键公共设施软件硬件的安全,相当于为网民信息安全提供了保护伞的作用,是福利而不是负担,其审查对象是企业及其产品,不涉及互联网内容层面的管控。
记者从国家互联网信息办公室获悉,互联网产品技术的安全性和可控性,将是网络安全审查重点。网络安全审查制度将针对重要信息技术产品及提供者,重点审查产品的安全性和可控性,以防产品提供者非法控制、干扰、中断用户系统,非法收集、存储、处理和利用用户有关信息。对不符合安全要求的产品和服务,将不得在中国境内使用。
相比美国已实行了10多年的网络安全审查制度,我国网络安全审查制度的空白短板,在产业层面让我国企业处于被动劣势。同时,无论是个体信息安全的迫切需要,还是国家层面的安全保障,都使得推出网络安全审查制度势在必行。
对网络企业利好还是利空?
业内人士表示,诸如此前发生的携程网大量用户银行卡信息泄露、小米800万用户信息泄露等,在网络安全审查制度得到落实后,这类事件发生的概率将会大大降低。对存在安全隐患的企业而言,无论是自查自纠的内在动力,还是外在的监管压力,都将会明显增加。
“网络安全审查并不是贸易保护,无论是国内产品还是国外产品,只要符合我国的网络安全标准,就能进入市场自由流通。”国家信息安全测评中心总工程师王军说。
国家信息技术安全研究中心总工李京春表示,以往我国只是对网络进行表层化管理,目前网络产品和服务逐渐向深层次发展,若继续沿用以前的监管办法,就很可能会出现网络监管漏洞,进而给国家和用户安全造成损失。李京春说,对发现存在安全隐患的网络产品和服务,都必须整改,要遵从、适应管理制度的实施,满足国家关键基础设施和重要信息系统的安全性能要求,在保障安全的前提下实现良性发展、持续发展。
中国工程院院士方滨兴认为,对于进入政府机构、交通、电力、金融等重要领域的产品,需要建立“黑名单”制,不仅对技术也对企业背景进行审查。而对于在市面流通的信息技术产品,需进行“白名单”强制认证,只有符合安全标准的产品才能入市。这种审查只是一种技术评估,普通用户的利益不会受到影响。
方滨兴认为,实施网络安全审查后,影响最大的是那些钻法律漏洞的行为。以WiFi破解器为例,此类技术本身侵害了信息安全,在任何国家都是被禁止的,对此类行为建立制度进行约束,是对市场秩序的整顿,符合WTO的要求。
专家建言审查平台专群结合
不仅是对国外企业,网络安全审查对国内诸多行业也都非常必要。知名网络漏洞报告平台乌云运营负责人孟卓表示,近年来互联网快速发展,国内互联网企业众多,如果一个企业的产品和公共安全、国家利益相关,那么该企业的产品只有符合了安全标准及解决了现有风险后,才可以进行发布使用。
安天实验室首席架构师肖新光表示,期待网络安全审查制度真正成为国家安全的门槛,产业成长的屏障。同时,业界也期待相关制度能保护国内创新,特别不要给创新型民族企业带来新的行政成本和门槛。
多名资深网络安全专家建议,为了让审查平台真正发挥作用,且更具有说服力,需要政府职能部门牵头搭建一个开放的测试平台,让受审查的产品在平台上接受深入全面的安全审查测试,政府相关职能部门主导测试工作,而来自科研院所和市场的第三方鉴定机构和具有先进检测分析能力的企业等,也可以在平台上参与测试。经过这样各方的测试,安全威胁与不可控隐患存在几率就会大大减少,同时能有效避免“一言堂”“走过场”等问题。
