昨日,中國網絡安全治理再出重拳。據國家互聯網信息辦公室(以下簡稱國信辦)表示,我國即將推出網絡安全審查制度。該項制度規定,關系國家安全和公共利益的系統使用的重要信息技術產品和服務,應通過網絡安全審查。
今年2月,中央網絡安全和信息化領導小組成立,習近平擔任組長,在中央網信領導小組第一次會議上,習近平提出“沒有網絡安全就沒有國家安全”,這標志著網絡安全上升至國家戰略高度。
國家互聯網辦公室發言人姜軍指出,近年來,我國政府部門、機構、企業、大學及電信主干網絡遭受大規模的侵入、監聽,深受其害。特別是去年6月初發生的“斯諾登事件”,為世界各國敲響了警鐘,充分印證了“沒有網絡安全就沒有國家安全”。
而據了解,我國即將推出的網絡安全審查制度,規定對進入我國市場的重要信息技術產品及其提供者進行網絡安全審查。審查重點在于該產品的安全性和可控性,旨在防止產品提供者利用提供產品的方便,非法控制、干擾、中斷用戶系統,非法收集、存儲、處理和利用用戶有關信息。對不符合安全要求的產品和服務,將不得在中國境內使用。
焦點1 為何需要進行審查?
使用國外設備比例高
一位國信辦的官員對記者表示,在中國的信息化建設中,大量使用國外的產品,確實帶來了一定好處。但是我國的電信主干、網絡信息都存在很大威脅,甚至國家領導人也曾被監控。
中國工程院院士倪光南介紹,由于過去沒有網絡安全審查制度,人們對網絡安全也不夠重視,因此我國信息系統采用國外設備比例很高。例如,盡管國產設備性價比有優勢,但據了解我國骨干網設備近八成是思科產品,這顯然為實施“棱鏡門”這類監控計劃提供了方便。
工信部電子科學技術情報研究所總工程師尹麗波對新京報記者介紹,美國的“八大金剛”(微軟、思科、高通等8個美國公司)在我國的市場產量占有很多比例,但是正如“棱鏡門”事件所揭示的,他們的一些產品被預置了“后門”。美國的相關情報部門可以實時收集信息。
她認為,如果我們做了審查的話,涉及國家安全和信息的重要產品,至少可以保證它沒有被植入后門,也確保這些被用在政府部門、企業等的重要產品不會非法收集信息、非法控制數據。
尹麗波表示,去年斯諾登披露的文件中提到美國國家安全局對它在海關所截獲的網絡相關設備直接安裝自己的“后門”,再用原廠的包裝打包,再按照原來的渠道發往國外。
“因此,我國為保障影響國計民生的重要系統產品和服務進行審查。如果這么多系統被控制的話,我們不知道這些數據是為政府所用,還是為某些關鍵行業而用。有些信息若被拿走的話,很可能影響國家安全。”尹麗波說。
焦點2 如何進行審查?
第三方機構進行檢測
上述官員表示,審查對象包括關系國家安全、國家利益、國計民生產品,以防止其提供便利的同時,控制干擾用戶的運行或者通過利用提供產品的機會,非法處理用戶的信息。
該官員表示,審查是為了維護用戶利益和國家安全。審查的過程包括事前檢測、事中監督以及事后懲處三部分。
那么誰來進行審查工作?上述官員透露,將有第三方機構進行檢測。此外,政府還倡導提供者自我承諾。
至于該制度何時出臺,該官員并未透露具體時間,僅表示“我認為應該很快”。
他介紹,將根據產品和服務的用途來進行審查。但是審查的對象“并無國別差別,不管是國內還是國外的信息產品和服務。”此外,他介紹,審查的對象也不按照開發或生產的時間,對于“存量”的產品和服務,也將進行審查。
對此,CEC中國信息安全研究院副院長左曉棟解釋,審查的內容絕不單單是一個單純的技術性的審查。而是將考量各種指標和因素。他舉例稱,包括對企業聲譽,背景審查、公司資質,“將從多角度衡量產品和提供商的可控性與安全性。”
左曉棟強調,網絡安全審查制度是針對提供技術產品和服務的廠商,而非針對網絡的用戶及信息內容。
焦點3 審查范圍如何界定?
看信息系統為誰服務
審查對象包括“關系國家安全和公共利益的系統使用的重要信息技術產品和服務”,那么實際操作中如何界定?
對此,倪光南認為,界定需要考慮兩個方面,一是需要考慮信息系統為誰服務、與誰相關?例如,如果信息系統和政府相關,或者關系到國家的經濟命脈,那么,這樣的信息系統就可以認為是關系國家安全和公共利益的系統。
另外,還需考慮所采用的產品和服務的性質,是屬于一般的,還是重要的?這兩方面的考察,可以界定產品和服務是否屬于審查制度適用的范圍。
他解釋,此次制度與以往的規定的主要區別有兩點。首先是,管理的范圍不同。“以前管理的主要是信息安全產品,比如防火墻,防中毒軟件等等。”而現在的制度重點則是關于國家安全和公共利益的產品與服務。
第二個區別則是,以前對產品進行的是復合型檢查,如果產品符合標準中的要求,就給發證。但是,如果產品除了寫在白紙黑字上的功能之外,還有其他的功能,理論上很難發現,或者說,以前檢查的重點不在此。
焦點4 制度違背國際規定?
專家稱不違背WTO規定
對國外信息技術產品及服務的審查,或將引起外界對中國政府是否違背WTO規定的爭議。對此左曉棟認為,目前中國規定的是涉及國家安全與公共利益領域的信息產品和服務的重要產品。根據WTO的規定,是可以適用其“安全例外”條款(第21條)。
國信辦官員也表示,該制度并不違背WTO的規定。目前,在別的國家也有對于網絡安全審查制度。他強調,我國的網絡安全審查制度不搞國別差異,也不針對特定的地區和特定的國家。
此外,該規定是否會打擊企業的利益?對此左曉棟認為,該制度對合法企業不存在傷害利益的情況。
上述官員認為,“網絡安全審查,使得產品和服務更安全,使得用戶放心地使用產品。因此我們認為,會促進信息產業的發展。”
圖解網絡安全審查
中國網絡面臨哪些威脅?
少數國家政府和企業利用自己產品的“單邊壟斷”和技術“獨霸”優勢,大規模收集敏感數據,不但嚴重損害了廣大用戶的利益,而且對其他國家的網絡空間安全造成巨大威脅。
今年3月19日至5月18日,2077個位于美國的木馬或僵尸網絡控制服務器,直接控制了我國境內約118萬臺主機
2016個位于美國的IP對我國境內1754個網站植入后門,涉及后門攻擊事件約5.7萬次
審查的對象有哪些?
進入我國市場的重要信息技術產品及其提供者
標準:是否關系國家安全和公共利益
審查的方式是什么?
事前審查
事中監測
事后懲處
第三方機構
未進入市場的
對用戶信息安全進行技術審查,同時對該產品是否對國家安全造成影響、是否會產生壟斷等社會經濟安全影響進行評估。
已進入市場的
并非絕對安全,補丁和升級都可能帶來新的安全隱患,因此同樣需要監控。
陜煤集團榆林化學二期項目取
國家電投集團印發水、火、風
