相关报道:
我国将出台网络安全审查制度
美国是如何进行网络安全审查的
昨日,记者从国家互联网信息办公室获悉,为维护国家网络安全、保障中国用户合法利益,我国即将推出网络安全审查制度。该项制度规定,关系国家安全和公共安全利益的系统使用的重要信息技术产品和服务,应通过网络安全审查。
少数国家政府大规模收集敏感数据
国家互联网信息办公室发言人姜军指出,网络和信息技术产品是否安全、是否可控,事关国家安全,事关中国经济社会健康发展,事关广大人民群众合法权益不受侵犯。长期以来,少数国家政府和企业利用自己产品的“单边垄断”和技术“独霸”优势,大规模收集敏感数据,不但严重损害了广大用户的利益,而且对其他国家的网络空间安全造成巨大威胁。
这位发言人表示,近年来,我国政府部门、机构、企业、大学及电信主干网络遭受大规模的侵入、监听,深受其害。特别是去年6月初发生的“斯诺登事件”,为世界各国敲响了警钟,充分印证了“没有网络安全就没有国家安全”这一道理。
目前,我国网民数量跃居世界第一,已成为网络大国。网络安全审查制度的出台,将成为维护国家网络安全最有效的法理依据,对于网络强国建设具有重大推动作用。
不符合安全要求产品将被禁用
据了解,我国即将推出的网络安全审查制度,规定对进入我国市场的重要信息技术产品及其提供者进行网络安全审查,审查的重点在于该产品的安全性和可控性,旨在防止产品提供者利用提供产品的方便,非法控制、干扰、中断用户系统,非法收集、存储、处理和利用用户有关信息。对不符合安全要求的产品和服务,将不得在中国境内使用。
网络安全审查美国早有先例
据专家介绍,基于维护自身安全和社会稳定,针对信息技术产品及其供应商开展不同形式的网络安全审查,我国并非第一家,在美国早有先例。
2000年,美国率先在国家安全系统中对采购的产品进行安全审查,随后陆续针对联邦政府云计算服务、国防供应链等出台了安全审查政策,实现了对国家安全系统、国防系统、联邦政府系统的全面覆盖。审查对象不仅涉及产品和服务,还会针对产品和服务提供商。
随后,美国等西方国家为保障国家安全、防范供应链安全风险,逐步建立了多种形式的网络安全审查制度。
美国对供应链安全审查的过程、标准、机制完全封闭,不披露原因和理由,不接受供应方申诉。
美国安全审查的要害之一,是安全审查结果具有强制性。
解读
专家:审查制度不针对个人信息
网络安全审查制度会不会对个人信息安全造成负面影响?对IT企业又会带来哪些挑战?专家表示,审查制度只针对提供技术产品和服务的厂商,并不针对个人信息,还有利于保障个人信息安全。
有利于保障个人信息安全
“审查是针对厂商,而不针对个人信息。”中国工程院院士倪光南昨日对北京青年报记者表示,此次出台的网络安全审查制度不但不会对我国的个人信息安全造成负面影响,而且有利于保障个人信息的安全。
倪光南说,审查制度只针对提供技术产品和服务的厂商,并不针对个人信息,应当说,排除厂商技术产品和服务的安全隐患,有利于保障个人信息的安全。
对于具体如何界定审查对象,倪院士认为:“一是需要考虑信息系统为谁服务、与谁相关。例如,如果信息系统和政府相关,或者关系到国家的经济命脉,那么,这样的信息系统就可以认为是关系国家安全和公共利益的系统。另外,还需考虑所采用的产品和服务的性质,是属于一般的还是重要的。这两方面的考察,可以界定产品和服务是否属于审查制度适用的范围。”
另一名未透露姓名的专家就审查对象举例说,智能手机上的一些带名片夹功能的APP,只要一扫描人们手里的纸质名片,就能把名片信息存入到手机里的通讯录。可是,在带来便利的同时,有些APP可能会通过技术手段把个人信息窃取,从而对个人信息安全造成影响,网络安全审查制度可能会对这类程序进行安全审查。
有利本土企业发挥性价比优势
针对网络安全审查制度会对IT企业产生负面影响的担心,倪光南院士认为,对于本国企业来说,如果它的技术产品和服务确实是自己研发的,符合国家有关安全规范,一般来说应该能够通过安全审查制度,所以这个制度不会对本国企业的创新产生影响。
“至于对外国企业的技术产品和服务,就要看它们是否能符合中国的有关安全规范,是否能证明没有后门,是否能保证敏感信息不流到境外等。”倪光南说,这些要求外国企业不一定都能满足。因此,总的说来,它将有利于本国企业发挥性价比优势,替代外国的技术产品和服务。
据倪光南介绍,我国信息系统采用国外设备比例很高。例如,尽管国产设备性价比有优势,但我国骨干网设备近八成是思科产品(注:思科是全球领先的网络解决方案供应商,总部在美国),这显然为实施“棱镜门”这类监控计划提供了方便。
倪光南称,美国在2012年就对我国华为、中兴公司采取了安全审查措施,相当于实行了我国现在发布的这种网络安全审查制度。
“我国这个制度可以说是吸取了发达国家的经验,比发达国家推出的时间要晚。”在回应为何选择这一时机推出网络安全审查制度时,倪光南认为,如果在发布时间上遇到其他事情则纯属巧合。
释疑
安全审查是否会中西有别?
对安全隐患产品将一视同仁
在网络安全审查制度出台后,今后将如何具体落实这一制度?工业和信息化部电信研究院副院长刘多认为:“网络安全审查制度可以有多种方式,开展网络安全审查,要依靠权威专业检测机构对信息技术产品和服务进行技术审查,要依托专家力量深入开展专家论证,以及对企业的诚信和安全背景等进行审查,从而综合评判和认定带有安全风险的信息技术产品和服务。”
刘多表示,网络安全审查制度主要目的是为了维护安全,但网络安全审查制度不是行政许可,也不是对所有的设备和服务进行审查,而是侧重于重要的信息系统。
此外,中国的网络安全审查制度将“无国别”实施。刘多表示,对发现存在安全隐患的网络产品和服务,不论是外国企业还是中国境内企业,都一视同仁,都要遵从、适应这一管理制度的实施,督促提高企业自身的技术和服务能力,满足国家关键基础设施和重要信息系统的安全性能要求,在保障安全的前提下实现良性发展、持续发展。
安全审查是否会涉及内容?
和内容审查无关
有部分人士担心,网络安全审查制度的推出,是否会对网民在互联网上发布文章及网络交流产生影响?
刘多在接受北青报记者采访时对此解读称:“网络安全审查制度的对象是信息技术产品和服务,和网民在网络上发布的内容没有关系,不涉及网民在网络上发布文章的内容审查。”
内存
“信息战已是身边现实”
中国工程院院士倪光南认为,斯诺登事件已表明,信息战往往是一场“不宣而战”的战争,“棱镜门”显然是信息战的具体实施。信息战已不是什么科幻大片中的炒作,而是发生在我们身边的现实。
据倪光南介绍,我国过去没有高层机构负责国家的网络空间安全,也缺乏相应的制度,导致目前我国网络基础设施和核心技术设备大量地采用外国软硬件,存在着严重的安全隐患。2012年,美国政府以“可能威胁美国国家通信安全”为名,不允许华为、中兴的产品进入美国市场,虽然我国企业受到的待遇是不公正的,但由于当时我国没有网络安全审查制度,因而无法采取反制措施。
“如果当时有安全审查制度,我们也可以对美国企业进行类似的审查,也许可以制约美国方面对华为、中兴的制裁措施。”倪光南认为,由此可见,出台网络安全审查制度是很有必要的。