您好,歡迎來到58網(wǎng)站目錄!

中國將出臺網(wǎng)絡(luò)安全審查制度 強(qiáng)化國家安全審查

站長「蝙蝠俠」:QQ1251270088  瀏覽:1124次 時間:2014-05-23

昨日,中國網(wǎng)絡(luò)安全治理再出重拳。據(jù)國家互聯(lián)網(wǎng)信息辦公室(以下簡稱國信辦)表示,我國即將推出網(wǎng)絡(luò)安全審查制度。該項制度規(guī)定,關(guān)系國家安全和公共利益的系統(tǒng)使用的重要信息技術(shù)產(chǎn)品和服務(wù),應(yīng)通過網(wǎng)絡(luò)安全審查。


今年2月,中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組成立,習(xí)近平擔(dān)任組長,在中央網(wǎng)信領(lǐng)導(dǎo)小組第一次會議上,習(xí)近平提出“沒有網(wǎng)絡(luò)安全就沒有國家安全”,這標(biāo)志著網(wǎng)絡(luò)安全上升至國家戰(zhàn)略高度。


國家互聯(lián)網(wǎng)辦公室發(fā)言人姜軍指出,近年來,我國政府部門、機(jī)構(gòu)、企業(yè)、大學(xué)及電信主干網(wǎng)絡(luò)遭受大規(guī)模的侵入、監(jiān)聽,深受其害。特別是去年6月初發(fā)生的“斯諾登事件”,為世界各國敲響了警鐘,充分印證了“沒有網(wǎng)絡(luò)安全就沒有國家安全”。


而據(jù)了解,我國即將推出的網(wǎng)絡(luò)安全審查制度,規(guī)定對進(jìn)入我國市場的重要信息技術(shù)產(chǎn)品及其提供者進(jìn)行網(wǎng)絡(luò)安全審查。審查重點在于該產(chǎn)品的安全性和可控性,旨在防止產(chǎn)品提供者利用提供產(chǎn)品的方便,非法控制、干擾、中斷用戶系統(tǒng),非法收集、存儲、處理和利用用戶有關(guān)信息。對不符合安全要求的產(chǎn)品和服務(wù),將不得在中國境內(nèi)使用。


焦點1為何需要進(jìn)行審查?


一位國信辦的官員對新京報記者表示,在中國的信息化建設(shè)中,大量使用國外的產(chǎn)品,確實帶來了一定好處。但是我國的電信主干、網(wǎng)絡(luò)信息都存在很大威脅,甚至國家領(lǐng)導(dǎo)人也曾被監(jiān)控。


中國工程院院士倪光南介紹,由于過去沒有網(wǎng)絡(luò)安全審查制度,人們對網(wǎng)絡(luò)安全也不夠重視,因此我國信息系統(tǒng)采用國外設(shè)備比例很高。例如,盡管國產(chǎn)設(shè)備性價比有優(yōu)勢,但據(jù)了解我國骨干網(wǎng)設(shè)備近八成是思科產(chǎn)品,這顯然為實施“棱鏡門”這類監(jiān)控計劃提供了方便。


工信部電子科學(xué)技術(shù)情報研究所總工程師尹麗波對新京報記者介紹,美國的“八大金剛”(微軟、思科、高通等8個美國公司)在我國的市場產(chǎn)量占有很多比例,但是正如“棱鏡門”事件所揭示的,他們的一些產(chǎn)品被預(yù)置了“后門”。美國的相關(guān)情報部門可以實時收集信息。


她認(rèn)為,如果我們做了審查的話,涉及國家安全和信息的重要產(chǎn)品,至少可以保證它沒有被植入后門,也確保這些被用在政府部門、企業(yè)等的重要產(chǎn)品不會非法收集信息、非法控制數(shù)據(jù)。


尹麗波表示,去年斯諾登披露的文件中提到美國國家安全局對它在海關(guān)所截獲的網(wǎng)絡(luò)相關(guān)設(shè)備直接安裝自己的“后門”,再用原廠的包裝打包,再按照原來的渠道發(fā)往國外。


“因此,我國為保障影響國計民生的重要系統(tǒng)產(chǎn)品和服務(wù)進(jìn)行審查。如果這么多系統(tǒng)被控制的話,我們不知道這些數(shù)據(jù)是為政府所用,還是為某些關(guān)鍵行業(yè)而用。有些信息若被拿走的話,很可能影響國家安全?!币惒ㄕf。


焦點2如何進(jìn)行審查?


上述官員表示,審查對象包括關(guān)系國家安全、國家利益、國計民生產(chǎn)品,以防止其提供便利的同時,控制干擾用戶的運(yùn)行或者通過利用提供產(chǎn)品的機(jī)會,非法處理用戶的信息。


該官員表示,審查是為了維護(hù)用戶利益和國家安全。審查的過程包括事前檢測、事中監(jiān)督以及事后懲處三部分。


那么誰來進(jìn)行審查工作?上述官員透露,將有第三方機(jī)構(gòu)進(jìn)行檢測。此外,政府還倡導(dǎo)提供者自我承諾。


至于該制度何時出臺,該官員并未透露具體時間,僅表示“我認(rèn)為應(yīng)該很快”。


他介紹,將根據(jù)產(chǎn)品和服務(wù)的用途來進(jìn)行審查。但是審查的對象“并無國別差別,不管是國內(nèi)還是國外的信息產(chǎn)品和服務(wù)?!贝送?,他介紹,審查的對象也不按照開發(fā)或生產(chǎn)的時間,對于“存量”的產(chǎn)品和服務(wù),也將進(jìn)行審查。


對此,CEC中國信息安全研究院副院長左曉棟解釋,審查的內(nèi)容絕不單單是一個單純的技術(shù)性的審查。而是將考量各種指標(biāo)和因素。他舉例稱,包括對企業(yè)聲譽(yù),背景審查、公司資質(zhì),“將從多角度衡量產(chǎn)品和提供商的可控性與安全性?!?br />

左曉棟強(qiáng)調(diào),網(wǎng)絡(luò)安全審查制度是針對提供技術(shù)產(chǎn)品和服務(wù)的廠商,而非針對網(wǎng)絡(luò)的用戶及信息內(nèi)容。


焦點3審查范圍如何界定?


審查對象包括“關(guān)系國家安全和公共利益的系統(tǒng)使用的重要信息技術(shù)產(chǎn)品和服務(wù)”,那么實際操作中如何界定?


對此,倪光南認(rèn)為,界定需要考慮兩個方面,一是需要考慮信息系統(tǒng)為誰服務(wù)、與誰相關(guān)?例如,如果信息系統(tǒng)和政府相關(guān),或者關(guān)系到國家的經(jīng)濟(jì)命脈,那么,這樣的信息系統(tǒng)就可以認(rèn)為是關(guān)系國家安全和公共利益的系統(tǒng)。


另外,還需考慮所采用的產(chǎn)品和服務(wù)的性質(zhì),是屬于一般的,還是重要的?這兩方面的考察,可以界定產(chǎn)品和服務(wù)是否屬于審查制度適用的范圍。


他解釋,此次制度與以往的規(guī)定的主要區(qū)別有兩點。首先是,管理的范圍不同?!耙郧肮芾淼闹饕切畔踩a(chǎn)品,比如防火墻,防中毒軟件等等?!倍F(xiàn)在的制度重點則是關(guān)于國家安全和公共利益的產(chǎn)品與服務(wù)。


第二個區(qū)別則是,以前對產(chǎn)品進(jìn)行的是復(fù)合型檢查,如果產(chǎn)品符合標(biāo)準(zhǔn)中的要求,就給發(fā)證。但是,如果產(chǎn)品除了寫在白紙黑字上的功能之外,還有其他的功能,理論上很難發(fā)現(xiàn),或者說,以前檢查的重點不在此。


焦點4制度違背國際規(guī)定?


對國外信息技術(shù)產(chǎn)品及服務(wù)的審查,或?qū)⒁鹜饨鐚χ袊欠襁`背WTO規(guī)定的爭議。對此左曉棟認(rèn)為,目前中國規(guī)定的是涉及國家安全與公共利益領(lǐng)域的信息產(chǎn)品和服務(wù)的重要產(chǎn)品。根據(jù)WTO的規(guī)定,是可以適用其“安全例外”條款(第21條)。


國信辦官員也表示,該制度并不違背WTO的規(guī)定。目前,在別的國家也有對于網(wǎng)絡(luò)安全審查制度。他強(qiáng)調(diào),我國的網(wǎng)絡(luò)安全審查制度不搞國別差異,也不針對特定的地區(qū)和特定的國家。


此外,該規(guī)定是否會打擊企業(yè)的利益?對此左曉棟認(rèn)為,該制度對合法企業(yè)不存在傷害利益的情況。


上述官員認(rèn)為,“網(wǎng)絡(luò)安全審查,使得產(chǎn)品和服務(wù)更安全,使得用戶放心地使用產(chǎn)品。因此我們認(rèn)為,會促進(jìn)信息產(chǎn)業(yè)的發(fā)展?!?br />

中國網(wǎng)絡(luò)面臨哪些威脅?


少數(shù)國家政府和企業(yè)利用自己產(chǎn)品的“單邊壟斷”和技術(shù)“獨(dú)霸”優(yōu)勢,大規(guī)模收集敏感數(shù)據(jù),不但嚴(yán)重?fù)p害了廣大用戶的利益,而且對其他國家的網(wǎng)絡(luò)空間安全造成巨大威脅。今年3月19日至5月18日,2077個位于美國的木馬或僵尸網(wǎng)絡(luò)控制服務(wù)器,直接控制了我國境內(nèi)約118萬臺主機(jī)。2016個位于美國的IP對我國境內(nèi)1754個網(wǎng)站植入后門,涉及后門攻擊事件約5.7萬次。


審查機(jī)制有哪些?


審查的對象,包括已進(jìn)入我國市場的重要信息技術(shù)產(chǎn)品及其提供者。審查的標(biāo)準(zhǔn),包括是否關(guān)系國家安全和公共利益。審查的方式,包括事前審查、事中監(jiān)測、事后懲處。


第三方機(jī)構(gòu)會根據(jù)未進(jìn)入市場的產(chǎn)品,對用戶信息安全進(jìn)行其技術(shù)審查,同時對該產(chǎn)品是否對國家安全造成影響、是否會產(chǎn)生壟斷等社會經(jīng)濟(jì)安全影響進(jìn)行評估。已進(jìn)入市場的,并非絕對安全,補(bǔ)丁和升級都可能帶來新的安全隱患,因此同樣需要監(jiān)控。


美國如何進(jìn)行審查?


美國網(wǎng)絡(luò)安全審查標(biāo)準(zhǔn)和過程是不公開的。美國對供應(yīng)鏈安全審查的過程、標(biāo)準(zhǔn)、機(jī)制完全封閉,不披露原因和理由,不接受供應(yīng)方申訴。主要考慮對國家安全、司法和公共利益的潛在影響,且其審查沒有明確的時間限制。


案例:2012年,美國眾議院情報委員會就以國家安全為由,對中國企業(yè)進(jìn)行安全審查。


本文地址:http://quema.com.cn/artinfo/610.html
?