年之计在于春。2017年2月4日,也就是立春的第二天,国家互联网信息办公室正式将起草的《网络产品和服务安全审查办法(征求意见稿)》(以下简称《审查办法》)挂在官网上,公开征求意见。共有16项条款的《审查办法》对为什么审查、如何审查以及谁来审查提出了明确的意见,这引起了业界极大关注。
2016年11月出台的《网络安全法》是我国网络安全领域一部基础性法律,它的出台具有里程碑式的意义。当时业界专家就预测,2017年,随着《网络安全法》的落地,从顶层到中观再到执行层面的体系将加速成长。本次《审查办法》征求意见稿的发布,正是《网络安全法》进一步落地的表现。中国信息通信研究院安全研究所副所长谢玮在接受《中国电子报》记者采访时表示,《审查办法》明确指出将成立网络安全审查委员会,统一组织网络安全审查工作,是落实《国家安全法》《国家网络安全法》《国家网络空间安全战略》的重要举措,标志着我国在关系国家安全和公共利益的重要网络产品和服务的安全管理方面向前迈进了坚实的一步。
三年磨一剑
没有网络安全,就没有国家安全。维护网络安全,首先要保障网络产品和服务的安全。国家互联网信息办公室明确表示,起草制定《审查办法》目的就是为提高网络产品和服务安全可控水平,防范供应链安全风险,维护国家安全和公共利益。
2014年5月,国家互联网信息办公室对外宣布,为维护国家网络安全、保障中国用户合法利益,中国将推出网络安全审查制度。2014年12月30日,中央网信办发布《关于加强党政部门云计算服务网络安全管理的意见》,明确提出统一组织党政部门云计算服务网络安全审查。2016年9月,中央网信办在其官网公布了首批通过网络安全审查的党政部门云计算服务名单。2017年2月,《审查办法》首次面向社会公开征求意见,其出台可谓三年磨一剑。
谢玮表示,从法律角度看,《审查办法》是《国家安全法》《网络安全法》的具体落实。《国家安全法》明确提出,国家建立国家安全审查和监管的制度和机制,对影响或者可能影响国家安全的外商投资、特定物项和关键技术、网络信息技术产品和服务、涉及国家安全事项的建设项目,以及其他重大事项和活动,进行国家安全审查,有效预防和化解国家安全风险。《网络安全法》则规定,关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。
重点领域审查箭在弦上
在现阶段,网络安全审查制度是维护国家网络安全的必要手段,满足国家关键基础设施和重要信息系统的安全性能要求,在保障安全的前提下实现经济发展。当前,一些国家主要基于维护网络安全和社会稳定,针对信息技术产品和提供商已开展了不同形式的网络安全审查。美国、英国等国家均出台了网络安全审查相关的政策法规文件,网络安全审查已经成为国际惯例。例如,美国《国家信息安全保障采购政策》等规定,优先采购通过评估的产品,美国国防部针对信息技术产品实施供应链安全审查等,英国要求国外通信设备供应商签订书面协议、进行专门的测试评估、人员审查等。
《审查办法》提出,国家互联网信息办公室会同有关部门成立网络安全审查委员会,负责审议网络安全审查的重要政策,统一组织网络安全审查工作,协调网络安全审查相关重要问题。《审查办法》还提出要由网络安全审查委员会、网络安全审查办公室以及网络安全审查专家委员会共同组织对网络产品和服务进行网络安全审查,从而确定了网络安全产品的审查机构设置。
值得一提的是,《审查办法》规定,党政部门及重点行业不得采购审查未通过的网络产品和服务。金融、电信、能源等重点行业都要开展本行业、本领域网络产品和服务安全审查工作。对此,赛迪顾问资深分析师刘娟在接受《中国电子报》记者采访时表示,此规定明确了各重点行业必须将网络安全审查制度提上日程,尤其是党政部门不得采购进入网络安全“黑名单”的产品和服务。网络安全审查制度是保证企业产品的安全性,保护公民个人信息安全,让用户对企业产品的安全性放心,增强用户对产品的信心。
另外,《网络安全法》对关键信息基础设施的运行安全进行了专门规定,实行重点保护,提出关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。《审查办法》第二条、第十一条内容与《网络安全法》直接呼应。关系国家安全和公共利益的信息系统使用的重要网络产品和服务经过网络安全审查,对于加强关键信息基础设施安全保护、提升关键信息基础设施安全水平具有重要意义。
将促进安全生态建立
很明显,《审查办法》是纲领性文件,而不是执行细则。因此其作为“灯塔”的作用非常突出。随着未来《审查办法》的实施和更多细则的出台,将进一步提升广大网络产品与服务提供商以及用户的安全意识,促进行业自律的同时也将促进行业安全生态的建立,而这些对国内安全产业来说是重大利好。
“在现阶段,很多企业对产品的安全性没有得到应有的关注,《审查办法》提出建立网络安全审查制度,将提升产品与服务提供商对网络安全性方面的重视程度,并将其作为产品出厂的必要条件,保障用户的使用安全。对国内的安全企业而言则带来了更大的机遇,网络安全意识的提升,必然会带来很多安全方面的需求,让更多的网络产品提供商与安全企业合作,提供安全服务。当然,也带来了一定的挑战,在保证安全技术的先进性方面也提出了更高的要求,要求安全企业在保证网络产品安全运行的情况下更多地考虑用户体验,提升产品性能。”刘娟表示。
中国网络安全产业联盟战略与政策委员会副主任李刚也认为,《审查办法》的出台不仅将提高行业安全意识,也将为国内产业带来机遇。“对于如何更加贴近中国用户,如何更加对用户有本地化安全服务,如何更加满足《审查办法》的审查要求,毫无疑问,国内企业会比外企做得更好。以前如果做得好,没有明确评测反映,没有市场杠杆的反馈,而现在如果做得好,国内市场的用户们,可以看得到,国家法规有明确规定,市场自然有反馈。所以,从这点来说,无论国内的互联网企业、网络产品企业,还是安全企业,都有了更大的机遇,尤其是核心科技领域的国内企业,更需抓住机遇。”李刚表示。
本文转自d1net(转载)
