摘自：新京報
        昨日，中國網絡安全治理(lǐ)再出重拳。據國家(jiā)互聯網信息辦公室(以下簡稱國信辦)表示，我國即将推出網絡安全審查制(zhì)度。該項制(zhì)度規定，關系國家(jiā)安全和(hé)公共利益的系統使用的重要信息技(jì)術(shù)産品和(hé)服務，應通(tōng)過網絡安全審查。

　　今年2月，中央網絡安全和(hé)信息化領導小(xiǎo)組成立，習近平擔任組長，在中央網信領導小(xiǎo)組第一次會(huì)議上(shàng)，習近平提出“沒有(yǒu)網絡安全就沒有(yǒu)國家(jiā)安全”，這标志(zhì)着網絡安全上(shàng)升至國家(jiā)戰略高(gāo)度。

　　國家(jiā)互聯網辦公室發言人(rén)姜軍指出，近年來(lái)，我國政府部門(mén)、機構、企業、大(dà)學及電(diàn)信主幹網絡遭受大(dà)規模的侵入、監聽(tīng)，深受其害。特别是去年6月初發生(shēng)的“斯諾登事件”，為(wèi)世界各國敲響了警鍾，充分印證了“沒有(yǒu)網絡安全就沒有(yǒu)國家(jiā)安全”。

　　而據了解，我國即将推出的網絡安全審查制(zhì)度，規定對進入我國市場(chǎng)的重要信息技(jì)術(shù)産品及其提供者進行(xíng)網絡安全審查。審查重點在于該産品的安全性和(hé)可(kě)控性，旨在防止産品提供者利用提供産品的方便，非法控制(zhì)、幹擾、中斷用戶系統，非法收集、存儲、處理(lǐ)和(hé)利用用戶有(yǒu)關信息。對不符合安全要求的産品和(hé)服務，将不得(de)在中國境內(nèi)使用。

　　焦點1 為(wèi)何需要進行(xíng)審查？

 

　　使用國外設備比例高(gāo)

　　一位國信辦的官員對新京報記者表示，在中國的信息化建設中，大(dà)量使用國外的産品，确實帶來(lái)了一定好處。但(dàn)是我國的電(diàn)信主幹、網絡信息都存在很(hěn)大(dà)威脅，甚至國家(jiā)領導人(rén)也曾被監控。

　　中國工程院院士倪光南介紹，由于過去沒有(yǒu)網絡安全審查制(zhì)度，人(rén)們對網絡安全也不夠重視(shì)，因此我國信息系統采用國外設備比例很(hěn)高(gāo)。例如，盡管國産設備性價比有(yǒu)優勢，但(dàn)據了解我國骨幹網設備近八成是思科産品，這顯然為(wèi)實施“棱鏡門(mén)”這類監控計(jì)劃提供了方便。

　　工信部電(diàn)子科學技(jì)術(shù)情報研究所總工程師(shī)尹麗(lì)波對新京報記者介紹，美國的“八大(dà)金剛”(微軟、思科、高(gāo)通(tōng)等8個(gè)美國公司)在我國的市場(chǎng)産量占有(yǒu)很(hěn)多(duō)比例，但(dàn)是正如“棱鏡門(mén)”事件所揭示的，他們的一些(xiē)産品被預置了“後門(mén)”。美國的相關情報部門(mén)可(kě)以實時(shí)收集信息。

　　她認為(wèi)，如果我們做(zuò)了審查的話(huà)，涉及國家(jiā)安全和(hé)信息的重要産品，至少(shǎo)可(kě)以保證它沒有(yǒu)被植入後門(mén)，也确保這些(xiē)被用在政府部門(mén)、企業等的重要産品不會(huì)非法收集信息、非法控制(zhì)數(shù)據。

　　尹麗(lì)波表示，去年斯諾登披露的文件中提到美國國家(jiā)安全局對它在海關所截獲的網絡相關設備直接安裝自己的“後門(mén)”，再用原廠的包裝打包，再按照原來(lái)的渠道(dào)發往國外。

　　“因此，我國為(wèi)保障影(yǐng)響國計(jì)民生(shēng)的重要系統産品和(hé)服務進行(xíng)審查。如果這麽多(duō)系統被控制(zhì)的話(huà)，我們不知道(dào)這些(xiē)數(shù)據是為(wèi)政府所用，還(hái)是為(wèi)某些(xiē)關鍵行(xíng)業而用。有(yǒu)些(xiē)信息若被拿(ná)走的話(huà)，很(hěn)可(kě)能影(yǐng)響國家(jiā)安全。”尹麗(lì)波說。

焦點2 如何進行(xíng)審查？

 

　　第三方機構進行(xíng)檢測

　　上(shàng)述官員表示，審查對象包括關系國家(jiā)安全、國家(jiā)利益、國計(jì)民生(shēng)産品，以防止其提供便利的同時(shí)，控制(zhì)幹擾用戶的運行(xíng)或者通(tōng)過利用提供産品的機會(huì)，非法處理(lǐ)用戶的信息。

　　該官員表示，審查是為(wèi)了維護用戶利益和(hé)國家(jiā)安全。審查的過程包括事前檢測、事中監督以及事後懲處三部分。

　　那(nà)麽誰來(lái)進行(xíng)審查工作(zuò)？上(shàng)述官員透露，将有(yǒu)第三方機構進行(xíng)檢測。此外，政府還(hái)倡導提供者自我承諾。

　　至于該制(zhì)度何時(shí)出台，該官員并未透露具體(tǐ)時(shí)間(jiān)，僅表示“我認為(wèi)應該很(hěn)快”。

　　他介紹，将根據産品和(hé)服務的用途來(lái)進行(xíng)審查。但(dàn)是審查的對象“并無國别差别，不管是國內(nèi)還(hái)是國外的信息産品和(hé)服務。”此外，他介紹，審查的對象也不按照開(kāi)發或生(shēng)産的時(shí)間(jiān)，對于“存量”的産品和(hé)服務，也将進行(xíng)審查。

　　對此，CEC中國信息安全研究院副院長左曉棟解釋，審查的內(nèi)容絕不單單是一個(gè)單純的技(jì)術(shù)性的審查。而是将考量各種指标和(hé)因素。他舉例稱，包括對企業聲譽，背景審查、公司資質，“将從多(duō)角度衡量産品和(hé)提供商的可(kě)控性與安全性。”

[上(shàng)一頁]　[1]　[2]　[3]　[4]　[下一頁]

　　左曉棟強調，網絡安全審查制(zhì)度是針對提供技(jì)術(shù)産品和(hé)服務的廠商，而非針對網絡的用戶及信息內(nèi)容。

焦點3 審查範圍如何界定？

 

　　看信息系統為(wèi)誰服務

　　審查對象包括“關系國家(jiā)安全和(hé)公共利益的系統使用的重要信息技(jì)術(shù)産品和(hé)服務”，那(nà)麽實際操作(zuò)中如何界定？

　　對此，倪光南認為(wèi)，界定需要考慮兩個(gè)方面，一是需要考慮信息系統為(wèi)誰服務、與誰相關？例如，如果信息系統和(hé)政府相關，或者關系到國家(jiā)的經濟命脈，那(nà)麽，這樣的信息系統就可(kě)以認為(wèi)是關系國家(jiā)安全和(hé)公共利益的系統。

　　另外，還(hái)需考慮所采用的産品和(hé)服務的性質，是屬于一般的，還(hái)是重要的？這兩方面的考察，可(kě)以界定産品和(hé)服務是否屬于審查制(zhì)度适用的範圍。

　　他解釋，此次制(zhì)度與以往的規定的主要區(qū)别有(yǒu)兩點。首先是，管理(lǐ)的範圍不同。“以前管理(lǐ)的主要是信息安全産品，比如防火(huǒ)牆，防中毒軟件等等。”而現在的制(zhì)度重點則是關于國家(jiā)安全和(hé)公共利益的産品與服務。

　　第二個(gè)區(qū)别則是，以前對産品進行(xíng)的是複合型檢查，如果産品符合标準中的要求，就給發證。但(dàn)是，如果産品除了寫在白紙黑(hēi)字上(shàng)的功能之外，還(hái)有(yǒu)其他的功能，理(lǐ)論上(shàng)很(hěn)難發現，或者說，以前檢查的重點不在此。

　　焦點4 制(zhì)度違背國際規定？

 

　　專家(jiā)稱不違背WTO規定

　　對國外信息技(jì)術(shù)産品及服務的審查，或将引起外界對中國政府是否違背WTO規定的争議。對此左曉棟認為(wèi)，目前中國規定的是涉及國家(jiā)安全與公共利益領域的信息産品和(hé)服務的重要産品。根據WTO的規定，是可(kě)以适用其“安全例外”條款(第21條)。

　　國信辦官員也表示，該制(zhì)度并不違背WTO的規定。目前，在别的國家(jiā)也有(yǒu)對于網絡安全審查制(zhì)度。他強調，我國的網絡安全審查制(zhì)度不搞國别差異，也不針對特定的地區(qū)和(hé)特定的國家(jiā)。

　　此外，該規定是否會(huì)打擊企業的利益？對此左曉棟認為(wèi)，該制(zhì)度對合法企業不存在傷害利益的情況。

　　上(shàng)述官員認為(wèi)，“網絡安全審查，使得(de)産品和(hé)服務更安全，使得(de)用戶放心地使用産品。因此我們認為(wèi)，會(huì)促進信息産業的發展。”

圖解網絡安全審查

 

　　中國網絡面臨哪些(xiē)威脅？

　　少(shǎo)數(shù)國家(jiā)政府和(hé)企業利用自己産品的“單邊壟斷”和(hé)技(jì)術(shù)“獨霸”優勢，大(dà)規模收集敏感數(shù)據，不但(dàn)嚴重損害了廣大(dà)用戶的利益，而且對其他國家(jiā)的網絡空(kōng)間(jiān)安全造成巨大(dà)威脅。

　　今年3月19日至5月18日，2077個(gè)位于美國的木馬或僵屍網絡控制(zhì)服務器(qì)，直接控制(zhì)了我國境內(nèi)約118萬台主機

　　2016個(gè)位于美國的IP對我國境內(nèi)1754個(gè)網站(zhàn)植入後門(mén)，涉及後門(mén)攻擊事件約5.7萬次

　　審查的對象有(yǒu)哪些(xiē)？

 　标準：是否關系國家(jiā)安全和(hé)公共利益

　　審查的方式是什麽？

　　事前審查

　　事中監測

　　事後懲處

　　第三方機構

　　未進入市場(chǎng)的

　　對用戶信息安全進行(xíng)技(jì)術(shù)審查，同時(shí)對該産品是否對國家(jiā)安全造成影(yǐng)響、是否會(huì)産生(shēng)壟斷等社會(huì)經濟安全影(yǐng)響進行(xíng)評估。

　　已進入市場(chǎng)的

　　并非絕對安全，補丁和(hé)升級都可(kě)能帶來(lái)新的安全隐患，因此同樣需要監控。

　　新京報記者 李丹丹 儲信豔

　　事實+

 

　　美國如何進行(xíng)網絡安全審查？

 

　　美國網絡安全審查标準和(hé)過程是不公開(kāi)的。美國對供應鏈安全審查的過程、标準、機制(zhì)完全封閉，不披露原因和(hé)理(lǐ)由，不接受供應方申訴。主要考慮對國家(jiā)安全、司法和(hé)公共利益的潛在影(yǐng)響，且其審查沒有(yǒu)明(míng)确的時(shí)間(jiān)限制(zhì)。2012年，美國衆議院情報委員會(huì)就以國家(jiā)安全為(wèi)由，對中國企業進行(xíng)安全審查。

 

　[1]　[2]　[3]　[4]　[下一頁]

[上(shàng)一頁]　[1]　[2]　[3]　[4]