从国家互联网信息办公室获悉,为维护国家网络安全、保障中国用户合法利益,我国即将推出网络安全审查制度。该项制度规定,关系国家安全和公共利益的系统使用的重要技术产品和服务,应通过网络安全审查。
国家互联网信息办公室发言人姜军指出,网络和信息技术产品是否安全、是否可控,事关国家安全,事关中国经济社会健康发展,事关广大人民群众合法权益不受侵犯。长期以来,少数国家政府和企业利用自己产品的“单边垄断”和技术“独霸”优势,大规模收集敏感数据,不但严重损害了广大用户的利益,而且对其他国家的网络空间安全造成巨大威胁。这位发言人表示,近年来,我国政府部门、机构、企业、大学及电信主干网络遭受大规模的侵入、监听,深受其害。特别是去年6月初发生的“斯诺登事件”,为世界各国敲响了警钟,充分印证了“没有网络安全就没有国家安全”这一深刻的道理。目前,我国网民数量跃居世界第一,已成为网络大国,加强法律制度建设势在必行。网络安全审查制度的出台,将成为维护国家网络安全最有效的法理依据,对于网络强国建设具有重大推动作用。
据专家介绍,基于维护自身安全和社会稳定,针对信息技术产品及其供应商开展不同形式的网络安全审查,我国并非第一家,在美国早有先例。2012年,美国众议院情报委员会就以国家安全为由,对我国企业进行安全审查。此外,为应对日益应用广泛的云计算,美国政府还针对云计算服务提供者进行安全审查,并明确规定联邦政府部门只能选择通过审查的云计算服务提供者提供的服务。
据了解,我国即将推出的网络安全审查制度,规定对进入我国市场的重要信息技术产品及其提供者进行网络安全审查,审查的重点在于该产品的安全性和可控性,旨在防止产品提供者利用提供产品的方便,非法控制、干扰、中断用户系统,非法收集、存储、处理和利用用户有关信息,对不符合安全要求的产品和服务,将不得在中国境内使用。
专家解读网络安全审查制度:网络安全审查乃顺势而为
22日,国家互联网信息办公室发布消息称,我国将实行网络安全审查制度。为什么要出台此项制度?网络安全的审查范围和标准是什么?这对信息产业和个人信息安全将产生哪些影响?
网络空间是新形势下维护国家安全的又一重要领域
“如今,网络空间已经成为继海、陆、空、天之后的第五空间,成为新形势下维护国家安全的重要领域之一。”工业和信息化部电信研究院副院长刘多认为,如今,关键网络基础设施已成为网络武器攻击的主要目标,并可能引发极为严重的灾难性后果。因此,当前中国立足国情,推行网络安全审查制度是顺势而为,对于保障国家安全具有重要意义。
谈及以往的网络监管,国家信息技术安全研究中心总工李京春表示:“以往我国只是对网络进行表层化管理,主要包括功能符合检测和低层面的安全审查。目前网络产品和服务逐渐向深层次发展,若继续沿用以前的监管办法,就很可能会出现网络监管漏洞,进而给国家安全和用户安全造成损失。”
中国工程院院士倪光南也表示:“随着网络对国家安全、百姓生活的影响越来越深远,加强网络安全监管是必然趋势。特别是在‘斯诺登事件’曝光以后,我们更进一步认识到网络安全监管的重要性和必要性,正因如此,我们即将推行网络安全审查制度。这可以从源头上杜绝网络安全风险隐患,确保公共安全和国家网络空间安全。”
网络安全审查有利于保障公民个人信息安全
国家互联网信息办公室发言人姜军表示,此次审查制度不针对任何国家和地区。对此,李京春进一步解释:“对发现存在安全隐患的网络产品和服务,不论是外国企业还是中国境内企业,都一视同仁,都要遵从、适应这一管理制度的实施,满足国家关键基础设施和重要信息系统的安全性能要求,在保障安全的前提下实现良性发展、持续发展。”
李京春还表示,对网络产品和服务的提供商、运营商和服务商进行审查,还能促使企业规范行为标准,提高服务质量,进而推进信息产业更加健康有序的发展。“公众也会从中受益,因为网络安全审查保证了产品和服务的安全性,为公众网络信息安全提供了更深层次的保障,由此公民的个人信息和数据将不会再被泄露和恶意使用。”
“审查制度是针对提供技术产品和服务的厂商,并不针对个人信息。应当说,排除厂商技术产品和服务的安全隐患,有利于保障个人信息的安全。”倪光南说。
安全性和可控性将成为审查重点
网络审查制度将主要审查关系国家安全和公共利益的系统使用的重要信息技术产品和服务。我国的网络审查制度将借鉴国外的成熟经验,并结合实际情况作出符合我国信息产业发展现状的规定。产品的安全性和可控性将成为审查重点。
如何开展网络安全审查呢?对此,中国工程院院士方滨兴说:“审查制度将由国家互联网信息办公室主管,全国信息安全标准化技术委员会具体落实,审查过程除要求多个相关部门协助外,还将引入第三方专业的检测机构和专家组参与,保证过程的客观公正。”
“网络安全审查应包括事前审查、事中监测和事后惩处三部分。”中国信息安全测评中心总工程师王军告诉记者,在信息产品进入市场前,需对用户信息安全进行技术审查,同时对该产品是否对国家安全造成影响、是否会产生垄断等社会经济安全影响进行评估;已进入市场的信息产品也并非绝对安全,补丁和升级都可能带来新的安全隐患,因此同样需要监控。
方滨兴指出,根据其他国家的经验,网络安全审查制度应针对宏观战略和微观技术两方面分别采取不同措施。对于进入政府机构、交通、电力、金融等重要领域的产品,需要建立“黑名单”制,不仅对技术也对企业背景进行审查,保障国家信息安全;而对于在市面流通的信息技术产品,需进行“白名单”强制认证,只有符合安全标准的产品才能入市。这种审查只是一种技术评估,普通用户的利益不会受到影响。
网络安全审查制度借鉴国外经验
据介绍,此次审查制度借鉴发达国家经验,并非一时兴起或针对某些国家或事件。“之所以现在出台此项制度,主要是因为我国的测评技术、体系、标准等均已成熟。我们云计算基础设施已经完备,今年我国将以云计算平台安全测试作为工作试点,制定云计算安全标准,主要从安全技术要求和服务能力标准两个方面进行审查,从中找出安全短板,进而尽快弥补安全漏洞。”李京春说。
专家还表示,此次网络安全审查制度从出台到全面实施将循序渐进,从重点行业开始逐步扩展到各个领域和行业。
相关报道:
美国是如何进行网络安全审查的
网络安全审查,就是对关系国家安全和社会稳定信息系统中使用的信息技术产品与服务进行测试评估、监测分析、持续监督的过程。
2000年,美国率先在国家安全系统中对采购的产品进行安全审查,随后陆续针对联邦政府云计算服务、国防供应链等出台了安全审查政策,实现了对国家安全系统、国防系统、联邦政府系统的全面覆盖。审查对象不仅涉及产品和服务,还会针对产品和服务提供商。
随后,美国等西方国家为保障国家安全、防范供应链安全风险,逐步建立了多种形式的网络安全审查制度。将全方位、综合性的供应链安全审查对策上升至国家战略高度。
美国网络安全审查标准和过程是不公开的。美国对供应链安全审查的过程、标准、机制完全封闭,不披露原因和理由,不接受供应方申诉。主要考虑对国家安全、司法和公共利益的潜在影响,且其审查没有明确的时间限制。
美国安全审查的要害之一,是安全审查结果具有强制性。美国国家安全系统委员会2000年1月发布的《国家信息安全保障采购政策》规定,自2002年7月起进入国家安全系统的信息技术产品必须通过审查。2011年12月,美国政府发布《联邦风险及授权管理计划》,要求为联邦政府提供云计算服务的服务商,必须通过安全审查、获得授权;联邦政府各部门不得采用未经审查的云计算服务。美国在政府采购招标文件中还进一步规定,向联邦机构提供云计算服务的基础设施必须位于美国境内。
从开始建立至今,美国的网络安全审查范围不断延伸。2000年1月,美国国家安全系统委员会发布了《国家信息安全保障采购政策》,对涉及国家安全的信息系统采购的信息技术产品进行安全审查。2002年,美国联邦政府执行美国国家标准技术研究院制定的信息安全标准,建立了面向联邦政府的网络安全审查制度。2013年11月,美国国防部颁布临时政策,规定国防系统及其合同商采购的产品和服务要经过供应链安全审查。
美国网络安全审查的内容不局限于技术。美国联邦政府要求,不仅要审查产品安全性能指标,还要审查产品的研发过程、程序、步骤、方法、产品的交付方法等,要求企业自己证明产品已达到了规定的安全强度。
美国要求被审查企业签署网络安全协议,协议通常包括:通信基础设施必须位于美国境内;通信数据、交易数据、用户信息等仅存储在美国境内;若外国政府要求访问通信数据必须获得美国司法部、国防部、国土安全部的批准;配合美国政府对员工实施背景调查等。
公务员考试行测题库丨公务员题库手机端丨搜索公众微信号"考试吧公务员"
相关推荐: