昨日,中国网络安全治理再出重拳。据国家互联网信息办公室(以下简称国信办)表示,我国即将推出网络安全审查制度。该项制度规定,关系国家安全和公共利益的系统使用的重要信息技术产品和服务,应通过网络安全审查。
今年2月,中央网络安全和信息化领导小组成立,习近平担任组长,在中央网信领导小组第一次会议上,习近平提出“没有网络安全就没有国家安全”,这标志着网络安全上升至国家战略高度。
国家互联网办公室发言人姜军指出,近年来,我国政府部门、机构、企业、大学及电信主干网络遭受大规模的侵入、监听,深受其害。特别是去年6月初发生的“斯诺登事件”,为世界各国敲响了警钟,充分印证了“没有网络安全就没有国家安全”。
我国即将推出的网络安全审查制度,规定对进入我国市场的重要信息技术产品及其提供者进行网络安全审查。审查重点在于该产品的安全性和可控性,旨在防止产品提供者利用提供产品的方便,非法控制、干扰、中断用户系统,非法收集、存储、处理和利用用户有关信息。对不符合安全要求的产品和服务,将不得在中国境内使用。
焦点1 为何需要进行审查?
使用国外设备比例高
一位国信办的官员对记者表示,在中国的信息化建设中,大量使用国外的产品,确实带来了一定好处。但是我国的电信主干、网络信息都存在很大威胁,甚至国家领导人也曾被监控。
中国工程院院士倪光南介绍,由于过去没有网络安全审查制度,人们对网络安全也不够重视,因此我国信息系统采用国外设备比例很高。例如,尽管国产设备性价比有优势,但据了解我国骨干网设备近八成是思科产品,这显然为实施“棱镜门”这类监控计划提供了方便。
工信部电子科学技术情报研究所总工程师尹丽波对记者介绍,美国的“八大金刚”(微软、思科、高通等8个美国公司)在我国的市场产量占有很多比例,但是正如“棱镜门”事件所揭示的,他们的一些产品被预置了“后门”。美国的相关情报部门可以实时收集信息。
她认为,如果我们做了审查的话,涉及国家安全和信息的重要产品,至少可以保证它没有被植入后门,也确保这些被用在政府部门、企业等的重要产品不会非法收集信息、非法控制数据。
尹丽波表示,去年斯诺登披露的文件中提到美国国家安全局对它在海关所截获的网络相关设备直接安装自己的“后门”,再用原厂的包装打包,再按照原来的渠道发往国外。
“因此,我国为保障影响国计民生的重要系统产品和服务进行审查。如果这么多系统被控制的话,我们不知道这些数据是为政府所用,还是为某些关键行业而用。有些信息若被拿走的话,很可能影响国家安全。”尹丽波说。
焦点2 如何进行审查?
第三方机构进行检测
上述官员表示,审查对象包括关系国家安全、国家利益、国计民生产品,以防止其提供便利的同时,控制干扰用户的运行或者通过利用提供产品的机会,非法处理用户的信息。该官员表示,审查是为了维护用户利益和国家安全。审查的过程包括事前检测、事中监督以及事后惩处三部分。
那么谁来进行审查工作?上述官员透露,将有第三方机构进行检测。此外,政府还倡导提供者自我承诺。至于该制度何时出台,该官员并未透露具体时间,仅表示“我认为应该很快”。他介绍,将根据产品和服务的用途来进行审查。但是审查的对象“并无国别差别,不管是国内还是国外的信息产品和服务。”此外,他介绍,审查的对象也不按照开发或生产的时间,对于“存量”的产品和服务,也将进行审查。
对此,CEC中国信息安全研究院副院长左晓栋解释,审查的内容绝不单单是一个单纯的技术性的审查。而是将考量各种指标和因素。他举例称,包括对企业声誉,背景审查、公司资质,“将从多角度衡量产品和提供商的可控性与安全性。”
左晓栋强调,网络安全审查制度是针对提供技术产品和服务的厂商,而非针对网络的用户及信息内容。
焦点3 审查范围如何界定?
看信息系统为谁服务
审查对象包括“关系国家安全和公共利益的系统使用的重要信息技术产品和服务”,那么实际操作中如何界定?
对此,倪光南认为,界定需要考虑两个方面,一是需要考虑信息系统为谁服务、与谁相关?例如,如果信息系统和政府相关,或者关系到国家的经济命脉,那么,这样的信息系统就可以认为是关系国家安全和公共利益的系统。
另外,还需考虑所采用的产品和服务的性质,是属于一般的,还是重要的?这两方面的考察,可以界定产品和服务是否属于审查制度适用的范围。
他解释,此次制度与以往的规定的主要区别有两点。首先是,管理的范围不同。“以前管理的主要是信息安全产品,比如防火墙,防中毒软件等等。”而现在的制度重点则是关于国家安全和公共利益的产品与服务。
第二个区别则是,以前对产品进行的是复合型检查,如果产品符合标准中的要求,就给发证。但是,如果产品除了写在白纸黑字上的功能之外,还有其他的功能,理论上很难发现,或者说,以前检查的重点不在此。
焦点4 制度违背国际规定?
专家称不违背WTO规定
对国外信息技术产品及服务的审查,或将引起外界对中国政府是否违背WTO规定的争议。对此左晓栋认为,目前中国规定的是涉及国家安全与公共利益领域的信息产品和服务的重要产品。根据WTO的规定,是可以适用其“安全例外”条款(第21条)。
国信办官员也表示,该制度并不违背WTO的规定。目前,在别的国家也有对于网络安全审查制度。他强调,我国的网络安全审查制度不搞国别差异,也不针对特定的地区和特定的国家。
此外,该规定是否会打击企业的利益?对此左晓栋认为,该制度对合法企业不存在伤害利益的情况。
上述官员认为,“网络安全审查,使得产品和服务更安全,使得用户放心地使用产品。因此我们认为,会促进信息产业的发展。”
中国网络面临哪些威胁?
少数国家政府和企业利用自己产品的“单边垄断”和技术“独霸”优势,大规模收集敏感数据,不但严重损害了广大用户的利益,而且对其他国家的网络空间安全造成巨大威胁。
今年3月19日至5月18日,2077个位于美国的木马或僵尸网络控制服务器,直接控制了我国境内约118万台主机
2016个位于美国的IP对我国境内1754个网站植入后门,涉及后门攻击事件约5.7万次
审查的对象有哪些?
进入我国市场的重要信息技术产品及其提供者
标准:是否关系国家安全和公共利益
审查的方式是什么?
事前审查
事中监测
事后惩处
第三方机构
未进入市场的
对用户信息安全进行技术审查,同时对该产品是否对国家安全造成影响、是否会产生垄断等社会经济安全影响进行评估。
已进入市场的
并非绝对安全,补丁和升级都可能带来新的安全隐患,因此同样需要监控。
美国如何进行审查?
美国网络安全审查标准和过程是不公开的。美国对供应链安全审查的过程、标准、机制完全封闭,不披露原因和理由,不接受供应方申诉。主要考虑对国家安全、司法和公共利益的潜在影响,且其审查没有明确的时间限制。
案例:2012年,美国众议院情报委员会就以国家安全为由,对中国企业进行安全审查。