昨日,中国网络安全治理再出重拳。据国家互联网信息办公室(以下简称国信办)表示,我国即将推出网络安全审查制度。该项制度规定,关系国家安全和公共利益的系统使用的重要信息技术产品和服务,应通过网络安全审查。
今年2月,中央网络安全和信息化领导小组成立,习近平担任组长,在中央网信领导小组第一次会议上,习近平提出“没有网络安全就没有国家安全”,这标志着网络安全上升至国家战略高度。
国家互联网办公室发言人姜军指出,近年来,我国政府部门、机构、企业、大学及电信主干网络遭受大规模的侵入、监听,深受其害。特别是去年6月初发生的“斯诺登事件”,为世界各国敲响了警钟,充分印证了“没有网络安全就没有国家安全”。
而据了解,我国即将推出的网络安全审查制度,规定对进入我国市场的重要信息技术产品及其提供者进行网络安全审查。审查重点在于该产品的安全性和可控性,旨在防止产品提供者利用提供产品的方便,非法控制、干扰、中断用户系统,非法收集、存储、处理和利用用户有关信息。对不符合安全要求的产品和服务,将不得在中国境内使用。
焦点1 为何需要进行审查?
使用国外设备比例高
一位国信办的官员对记者表示,在中国的信息化建设中,大量使用国外的产品,确实带来了一定好处。但是我国的电信主干、网络信息都存在很大威胁,甚至国家领导人也曾被监控。
中国工程院院士倪光南介绍,由于过去没有网络安全审查制度,人们对网络安全也不够重视,因此我国信息系统采用国外设备比例很高。例如,尽管国产设备性价比有优势,但据了解我国骨干网设备近八成是思科产品,这显然为实施“棱镜门”这类监控计划提供了方便。
工信部电子科学技术情报研究所总工程师尹丽波对记者介绍,美国的“八大金刚”(微软、思科、高通等8个美国公司)在我国的市场产量占有很多比例,但是正如“棱镜门”事件所揭示的,他们的一些产品被预置了“后门”。美国的相关情报部门可以实时收集信息。
她认为,如果我们做了审查的话,涉及国家安全和信息的重要产品,至少可以保证它没有被植入后门,也确保这些被用在政府部门、企业等的重要产品不会非法收集信息、非法控制数据。
尹丽波表示,去年斯诺登披露的文件中提到美国国家安全局对它在海关所截获的网络相关设备直接安装自己的“后门”,再用原厂的包装打包,再按照原来的渠道发往国外。
“因此,我国为保障影响国计民生的重要系统产品和服务进行审查。如果这么多系统被控制的话,我们不知道这些数据是为政府所用,还是为某些关键行业而用。有些信息若被拿走的话,很可能影响国家安全。”尹丽波说。
焦点2 如何进行审查?
第三方机构进行检测
上述官员表示,审查对象包括关系国家安全、国家利益、国计民生产品,以防止其提供便利的同时,控制干扰用户的运行或者通过利用提供产品的机会,非法处理用户的信息。该官员表示,审查是为了维护用户利益和国家安全。审查的过程包括事前检测、事中监督以及事后惩处三部分。
那么谁来进行审查工作?上述官员透露,将有第三方机构进行检测。此外,政府还倡导提供者自我承诺。至于该制度何时出台,该官员并未透露具体时间,仅表示“我认为应该很快”。他介绍,将根据产品和服务的用途来进行审查。但是审查的对象“并无国别差别,不管是国内还是国外的信息产品和服务。”此外,他介绍,审查的对象也不按照开发或生产的时间,对于“存量”的产品和服务,也将进行审查。
对此,CEC中国信息安全研究院副院长左晓栋解释,审查的内容绝不单单是一个单纯的技术性的审查。而是将考量各种指标和因素。他举例称,包括对企业声誉,背景审查、公司资质,“将从多角度衡量产品和提供商的可控性与安全性。”
