中國將出臺網(wǎng)絡(luò)安全審查制度 強化國家安全審查

昨日，中國網(wǎng)絡(luò)安全治理再出重拳。據(jù)國家互聯(lián)網(wǎng)信息辦公室（以下簡稱國信辦）表示，我國即將推出網(wǎng)絡(luò)安全審查制度。該項制度規(guī)定，關(guān)系國家安全和公共利益的系統(tǒng)使用的重要信息技術(shù)產(chǎn)品和服務(wù)，應(yīng)通過網(wǎng)絡(luò)安全審查。


今年2月，中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組成立，習近平擔任組長，在中央網(wǎng)信領(lǐng)導(dǎo)小組第一次會議上，習近平提出“沒有網(wǎng)絡(luò)安全就沒有國家安全”，這標志著網(wǎng)絡(luò)安全上升至國家戰(zhàn)略高度。


國家互聯(lián)網(wǎng)辦公室發(fā)言人姜軍指出，近年來，我國政府部門、機構(gòu)、企業(yè)、大學及電信主干網(wǎng)絡(luò)遭受大規(guī)模的侵入、監(jiān)聽，深受其害。特別是去年6月初發(fā)生的“斯諾登事件”，為世界各國敲響了警鐘，充分印證了“沒有網(wǎng)絡(luò)安全就沒有國家安全”。


而據(jù)了解，我國即將推出的網(wǎng)絡(luò)安全審查制度，規(guī)定對進入我國市場的重要信息技術(shù)產(chǎn)品及其提供者進行網(wǎng)絡(luò)安全審查。審查重點在于該產(chǎn)品的安全性和可控性，旨在防止產(chǎn)品提供者利用提供產(chǎn)品的方便，非法控制、干擾、中斷用戶系統(tǒng)，非法收集、存儲、處理和利用用戶有關(guān)信息。對不符合安全要求的產(chǎn)品和服務(wù)，將不得在中國境內(nèi)使用。


焦點1為何需要進行審查？


一位國信辦的官員對新京報記者表示，在中國的信息化建設(shè)中，大量使用國外的產(chǎn)品，確實帶來了一定好處。但是我國的電信主干、網(wǎng)絡(luò)信息都存在很大威脅，甚至國家領(lǐng)導(dǎo)人也曾被監(jiān)控。


中國工程院院士倪光南介紹，由于過去沒有網(wǎng)絡(luò)安全審查制度，人們對網(wǎng)絡(luò)安全也不夠重視，因此我國信息系統(tǒng)采用國外設(shè)備比例很高。例如，盡管國產(chǎn)設(shè)備性價比有優(yōu)勢，但據(jù)了解我國骨干網(wǎng)設(shè)備近八成是思科產(chǎn)品，這顯然為實施“棱鏡門”這類監(jiān)控計劃提供了方便。


工信部電子科學技術(shù)情報研究所總工程師尹麗波對新京報記者介紹，美國的“八大金剛”（微軟、思科、高通等8個美國公司）在我國的市場產(chǎn)量占有很多比例，但是正如“棱鏡門”事件所揭示的，他們的一些產(chǎn)品被預(yù)置了“后門”。美國的相關(guān)情報部門可以實時收集信息。


她認為，如果我們做了審查的話，涉及國家安全和信息的重要產(chǎn)品，至少可以保證它沒有被植入后門，也確保這些被用在政府部門、企業(yè)等的重要產(chǎn)品不會非法收集信息、非法控制數(shù)據(jù)。


尹麗波表示，去年斯諾登披露的文件中提到美國國家安全局對它在海關(guān)所截獲的網(wǎng)絡(luò)相關(guān)設(shè)備直接安裝自己的“后門”，再用原廠的包裝打包，再按照原來的渠道發(fā)往國外。


“因此，我國為保障影響國計民生的重要系統(tǒng)產(chǎn)品和服務(wù)進行審查。如果這么多系統(tǒng)被控制的話，我們不知道這些數(shù)據(jù)是為政府所用，還是為某些關(guān)鍵行業(yè)而用。有些信息若被拿走的話，很可能影響國家安全。”尹麗波說。


焦點2如何進行審查？


上述官員表示，審查對象包括關(guān)系國家安全、國家利益、國計民生產(chǎn)品，以防止其提供便利的同時，控制干擾用戶的運行或者通過利用提供產(chǎn)品的機會，非法處理用戶的信息。


該官員表示，審查是為了維護用戶利益和國家安全。審查的過程包括事前檢測、事中監(jiān)督以及事后懲處三部分。


那么誰來進行審查工作？上述官員透露，將有第三方機構(gòu)進行檢測。此外，政府還倡導(dǎo)提供者自我承諾。


至于該制度何時出臺，該官員并未透露具體時間，僅表示“我認為應(yīng)該很快”。


他介紹，將根據(jù)產(chǎn)品和服務(wù)的用途來進行審查。但是審查的對象“并無國別差別，不管是國內(nèi)還是國外的信息產(chǎn)品和服務(wù)。”此外，他介紹，審查的對象也不按照開發(fā)或生產(chǎn)的時間，對于“存量”的產(chǎn)品和服務(wù)，也將進行審查。


對此，CEC中國信息安全研究院副院長左曉棟解釋，審查的內(nèi)容絕不單單是一個單純的技術(shù)性的審查。而是將考量各種指標和因素。他舉例稱，包括對企業(yè)聲譽，背景審查、公司資質(zhì)，“將從多角度衡量產(chǎn)品和提供商的可控性與安全性?！?br />

左曉棟強調(diào)，網(wǎng)絡(luò)安全審查制度是針對提供技術(shù)產(chǎn)品和服務(wù)的廠商，而非針對網(wǎng)絡(luò)的用戶及信息內(nèi)容。


焦點3審查范圍如何界定？


審查對象包括“關(guān)系國家安全和公共利益的系統(tǒng)使用的重要信息技術(shù)產(chǎn)品和服務(wù)”，那么實際操作中如何界定？


對此，倪光南認為，界定需要考慮兩個方面，一是需要考慮信息系統(tǒng)為誰服務(wù)、與誰相關(guān)？例如，如果信息系統(tǒng)和政府相關(guān)，或者關(guān)系到國家的經(jīng)濟命脈，那么，這樣的信息系統(tǒng)就可以認為是關(guān)系國家安全和公共利益的系統(tǒng)。


另外，還需考慮所采用的產(chǎn)品和服務(wù)的性質(zhì)，是屬于一般的，還是重要的？這兩方面的考察，可以界定產(chǎn)品和服務(wù)是否屬于審查制度適用的范圍。


他解釋，此次制度與以往的規(guī)定的主要區(qū)別有兩點。首先是，管理的范圍不同。“以前管理的主要是信息安全產(chǎn)品，比如防火墻，防中毒軟件等等。”而現(xiàn)在的制度重點則是關(guān)于國家安全和公共利益的產(chǎn)品與服務(wù)。


第二個區(qū)別則是，以前對產(chǎn)品進行的是復(fù)合型檢查，如果產(chǎn)品符合標準中的要求，就給發(fā)證。但是，如果產(chǎn)品除了寫在白紙黑字上的功能之外，還有其他的功能，理論上很難發(fā)現(xiàn)，或者說，以前檢查的重點不在此。


焦點4制度違背國際規(guī)定？


對國外信息技術(shù)產(chǎn)品及服務(wù)的審查，或?qū)⒁鹜饨鐚χ袊欠襁`背WTO規(guī)定的爭議。對此左曉棟認為，目前中國規(guī)定的是涉及國家安全與公共利益領(lǐng)域的信息產(chǎn)品和服務(wù)的重要產(chǎn)品。根據(jù)WTO的規(guī)定，是可以適用其“安全例外”條款（第21條）。


國信辦官員也表示，該制度并不違背WTO的規(guī)定。目前，在別的國家也有對于網(wǎng)絡(luò)安全審查制度。他強調(diào)，我國的網(wǎng)絡(luò)安全審查制度不搞國別差異，也不針對特定的地區(qū)和特定的國家。


此外，該規(guī)定是否會打擊企業(yè)的利益？對此左曉棟認為，該制度對合法企業(yè)不存在傷害利益的情況。


上述官員認為，“網(wǎng)絡(luò)安全審查，使得產(chǎn)品和服務(wù)更安全，使得用戶放心地使用產(chǎn)品。因此我們認為，會促進信息產(chǎn)業(yè)的發(fā)展?！?br />

中國網(wǎng)絡(luò)面臨哪些威脅？


少數(shù)國家政府和企業(yè)利用自己產(chǎn)品的“單邊壟斷”和技術(shù)“獨霸”優(yōu)勢，大規(guī)模收集敏感數(shù)據(jù)，不但嚴重損害了廣大用戶的利益，而且對其他國家的網(wǎng)絡(luò)空間安全造成巨大威脅。今年3月19日至5月18日，2077個位于美國的木馬或僵尸網(wǎng)絡(luò)控制服務(wù)器，直接控制了我國境內(nèi)約118萬臺主機。2016個位于美國的IP對我國境內(nèi)1754個網(wǎng)站植入后門，涉及后門攻擊事件約5.7萬次。


審查機制有哪些？


審查的對象，包括已進入我國市場的重要信息技術(shù)產(chǎn)品及其提供者。審查的標準，包括是否關(guān)系國家安全和公共利益。審查的方式，包括事前審查、事中監(jiān)測、事后懲處。


第三方機構(gòu)會根據(jù)未進入市場的產(chǎn)品，對用戶信息安全進行其技術(shù)審查，同時對該產(chǎn)品是否對國家安全造成影響、是否會產(chǎn)生壟斷等社會經(jīng)濟安全影響進行評估。已進入市場的，并非絕對安全，補丁和升級都可能帶來新的安全隱患，因此同樣需要監(jiān)控。


美國如何進行審查？


美國網(wǎng)絡(luò)安全審查標準和過程是不公開的。美國對供應(yīng)鏈安全審查的過程、標準、機制完全封閉，不披露原因和理由，不接受供應(yīng)方申訴。主要考慮對國家安全、司法和公共利益的潛在影響，且其審查沒有明確的時間限制。


案例：2012年，美國眾議院情報委員會就以國家安全為由，對中國企業(yè)進行安全審查。


本文地址:http://quema.com.cn/artinfo/610.html