年之計在于春。2017年2月4日,也就是立春的第二天,國家網際網路資訊辦公室正式将起草的《網絡産品和服務安全審查辦法(征求意見稿)》(以下簡稱《審查辦法》)挂在官網上,公開征求意見。共有16項條款的《審查辦法》對為什麼審查、如何審查以及誰來審查提出了明确的意見,這引起了業界極大關注。
2016年11月出台的《網絡安全法》是我國網絡安全領域一部基礎性法律,它的出台具有裡程碑式的意義。當時業界專家就預測,2017年,随着《網絡安全法》的落地,從頂層到中觀再到執行層面的體系将加速成長。本次《審查辦法》征求意見稿的釋出,正是《網絡安全法》進一步落地的表現。中國資訊通信研究院安全研究所副所長謝玮在接受《中國電子報》記者采訪時表示,《審查辦法》明确指出将成立網絡安全審查委員會,統一組織網絡安全審查工作,是落實《國家安全法》《國家網絡安全法》《國家網絡空間安全戰略》的重要舉措,标志着我國在關系國家安全和公共利益的重要網絡産品和服務的安全管理方面向前邁進了堅實的一步。
三年磨一劍
沒有網絡安全,就沒有國家安全。維護網絡安全,首先要保障網絡産品和服務的安全。國家網際網路資訊辦公室明确表示,起草制定《審查辦法》目的就是為提高網絡産品和服務安全可控水準,防範供應鍊安全風險,維護國家安全和公共利益。
2014年5月,國家網際網路資訊辦公室對外宣布,為維護國家網絡安全、保障中國使用者合法利益,中國将推出網絡安全審查制度。2014年12月30日,中央網信辦釋出《關于加強黨政部門雲計算服務網絡安全管理的意見》,明确提出統一組織黨政部門雲計算服務網絡安全審查。2016年9月,中央網信辦在其官網公布了首批通過網絡安全審查的黨政部門雲計算服務名單。2017年2月,《審查辦法》首次面向社會公開征求意見,其出台可謂三年磨一劍。
謝玮表示,從法律角度看,《審查辦法》是《國家安全法》《網絡安全法》的具體落實。《國家安全法》明确提出,國家建立國家安全審查和監管的制度和機制,對影響或者可能影響國家安全的外商投資、特定物項和關鍵技術、網絡資訊技術産品和服務、涉及國家安全事項的建設項目,以及其他重大事項和活動,進行國家安全審查,有效預防和化解國家安全風險。《網絡安全法》則規定,關鍵資訊基礎設施的營運者采購網絡産品和服務,可能影響國家安全的,應當通過國家網信部門會同國務院有關部門組織的國家安全審查。
重點領域審查箭在弦上
在現階段,網絡安全審查制度是維護國家網絡安全的必要手段,滿足國家關鍵基礎設施和重要資訊系統的安全性能要求,在保障安全的前提下實作經濟發展。目前,一些國家主要基于維護網絡安全和社會穩定,針對資訊技術産品和提供商已開展了不同形式的網絡安全審查。美國、英國等國家均出台了網絡安全審查相關的政策法規檔案,網絡安全審查已經成為國際慣例。例如,美國《國家資訊安全保障采購政策》等規定,優先采購通過評估的産品,美國國防部針對資訊技術産品實施供應鍊安全審查等,英國要求國外通信裝置供應商簽訂書面協定、進行專門的測試評估、人員審查等。
《審查辦法》提出,國家網際網路資訊辦公室會同有關部門成立網絡安全審查委員會,負責審議網絡安全審查的重要政策,統一組織網絡安全審查工作,協調網絡安全審查相關重要問題。《審查辦法》還提出要由網絡安全審查委員會、網絡安全審查辦公室以及網絡安全審查專家委員會共同組織對網絡産品和服務進行網絡安全審查,進而确定了網絡安全産品的審查機構設定。
值得一提的是,《審查辦法》規定,黨政部門及重點行業不得采購審查未通過的網絡産品和服務。金融、電信、能源等重點行業都要開展本行業、本領域網絡産品和服務安全審查工作。對此,賽迪顧問資深分析師劉娟在接受《中國電子報》記者采訪時表示,此規定明确了各重點行業必須将網絡安全審查制度提上日程,尤其是黨政部門不得采購進入網絡安全“黑名單”的産品和服務。網絡安全審查制度是保證企業産品的安全性,保護公民個人資訊安全,讓使用者對企業産品的安全性放心,增強使用者對産品的信心。
另外,《網絡安全法》對關鍵資訊基礎設施的運作安全進行了專門規定,實行重點保護,提出關鍵資訊基礎設施的營運者采購網絡産品和服務,可能影響國家安全的,應當通過國家網信部門會同國務院有關部門組織的國家安全審查。《審查辦法》第二條、第十一條内容與《網絡安全法》直接呼應。關系國家安全和公共利益的資訊系統使用的重要網絡産品和服務經過網絡安全審查,對于加強關鍵資訊基礎設施安全保護、提升關鍵資訊基礎設施安全水準具有重要意義。
将促進安全生态建立
很明顯,《審查辦法》是綱領性檔案,而不是執行細則。是以其作為“燈塔”的作用非常突出。随着未來《審查辦法》的實施和更多細則的出台,将進一步提升廣大網絡産品與服務提供商以及使用者的安全意識,促進行業自律的同時也将促進行業安全生态的建立,而這些對國内安全産業來說是重大利好。
“在現階段,很多企業對産品的安全性沒有得到應有的關注,《審查辦法》提出建立網絡安全審查制度,将提升産品與服務提供商對網絡安全性方面的重視程度,并将其作為産品出廠的必要條件,保障使用者的使用安全。對國内的安全企業而言則帶來了更大的機遇,網絡安全意識的提升,必然會帶來很多安全方面的需求,讓更多的網絡産品提供商與安全企業合作,提供安全服務。當然,也帶來了一定的挑戰,在保證安全技術的先進性方面也提出了更高的要求,要求安全企業在保證網絡産品安全運作的情況下更多地考慮使用者體驗,提升産品性能。”劉娟表示。
中國網絡安全産業聯盟戰略與政策委員會副主任李剛也認為,《審查辦法》的出台不僅将提高行業安全意識,也将為國内産業帶來機遇。“對于如何更加貼近中國使用者,如何更加對使用者有本地化安全服務,如何更加滿足《審查辦法》的審查要求,毫無疑問,國内企業會比外企做得更好。以前如果做得好,沒有明确評測反映,沒有市場杠杆的回報,而現在如果做得好,國内市場的使用者們,可以看得到,國家法規有明确規定,市場自然有回報。是以,從這點來說,無論國内的網際網路企業、網絡産品企業,還是安全企業,都有了更大的機遇,尤其是核心科技領域的國内企業,更需抓住機遇。”李剛表示。
本文轉自d1net(轉載)
![【圖解HTTP】——確定Web安全的HTTPSHTTPS小結[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)