近日,国家互联网信息办公室宣布我国将出台网络安全审查制度,规定对进入我国市场的重要信息技术产品及其提供者进行网络安全审查。这一举措说明,中国政府正在致力于加强网络空间安全相关的法制建设。
在这一领域我国远远落后于发达国家。这些年里来,我国有关网络安全的法规制度屈指可数,而且都是针对网络管理、信息服务等方面的事项,没有涉及网络基础设施安全、信息系统安全等等方面,不能对网络空间安全提供全方位的保障。在这种情况下,我国出台网络安全审查制度等法规,应该说是在进行“补课”,这当然是完全必要的。
美国在世界上最早制定网络空间国家战略,至今已形成了一整套支撑该战略的完整法规体系。例如,美国依据其“爱国者法案”,可以“合法地”实行大规模监控;又如美国为保护其网络基础设施,先后出台了1996年的《国家信息基础设施保护法》,2000年的《网络安全信息法》和2002年的《关键基础设施信息法》等。基于这些法律,当美国认为必要时,可以实行某些特别措施。最近的例子就是2011年美国众议院特别情报委员会发起的对我国华为、中兴两公司的调查,最后以它们“可能威胁美国国家通信安全”为由,不准其进入美国信息基础设施市场。
其他发达国家在这方面虽然落后于美国,但也出台了一些类似法规。如英国要求政府部门、实验室和国有公司的计算机和通信器材必须从本国公司购买;法国政府要求航空、铁路、通信和食品等部门优先购买本国产品。可见,我国现在出台的网络安全审查制度与其十分接近。在这个意义上,可以说我国吸取了发达国家的经验。
网络空间作为海、陆、空、天之外的第五疆域,当然也和其他疆域一样,有主权问题,也存在着对抗。前两年,当我国的华为、中兴开始打入美国市场时,美国政府眼看思科等美国企业在市场中无法与之抗衡,就采取“调查”手段来进行打压。然而在那时,我国没有任何法规可资引用和援手。
应当指出,这个制度是侧重于重要信息系统,这包括信息基础设施和关系到国家经济命脉的那些信息系统;另外,它也不是对所有的设备和服务进行审查,而是对重要信息技术产品及其提供者进行网络安全审查。显然,这将涉及到关键核心技术产品和服务,涉及到厂商的资质等方面。虽然这种审查将遵循“无国别”原则,但一般说来,本国企业的产品和服务只要是真正立足于自主研发,比起外国企业,或者那些通过代理、贴牌提供产品和服务的企业,更有可能通过审查。因此,这个制度的实施,会有利于促进真正自主创新的本国企业的发展。
有人会问,这个制度是否会影响个人隐私权的保护呢?如前所述,将来被审查的是厂商及其所提供的信息技术产品和服务,而不是信息系统中的用户信息。如果说,对个人隐私权会有什么影响的话,这个制度应该会有利于保护个人隐私权。正如“棱镜门”事件所揭示的,“八大金刚”(思科、IBM、微软等八家跨国公司)所提供的产品和服务在美国政府实施监控计划中起了重要作用,采用这些公司的产品和服务存在着巨大安全风险。今后实行网络安全审查制度后,有安全风险的产品和服务就不能进入重要信息系统,这当然有利于保障用户个人的信息安全和隐私权。
长期以来,由于种种原因,包括缺乏网络安全审查制度在内,我国网络基础设施、信息系统关键核心技术和设备大量地采用外国软硬件,存在着严重的安全隐患。今后,随着网络安全审查制度等一系列法规制度的出台,这些情况将能很快得到改善。
我们相信,围绕着增强我国网络空间安全的目标,我国还将出台一系列规划、制度和措施,为贯彻实施我国网络空间安全战略提供有力的支撑。(作者系中国工程院院士)
当前,网络被视为继陆、海、空、天之后的第五空间,已成为大国博弈的一个主战场,其中危机四伏,暗战不断。一个个技术漏洞、产品后门,就如同深埋的定时炸弹,随时都可能被引爆,给一国的国家利益带来灾难性的损失。
作为信息技术后发的网络大国,中国头顶上始终悬着一把网络安全的达摩克利斯之剑。据报道,目前中国的芯片、操作系统、数据库以及通用协议和标准仍有90%以上依赖进口,关键信息系统的主机有99%是外国品牌,金融、电信、能源等核心行业的信息系统被国外提供商垄断。而且,这些产品中存在漏洞和后门早已不是捕风捉影的臆断,国内甚至掀起了“去IOE化”的风潮。
国外企业在国内市场如入无人之境。与其形成鲜明对比的是,国内企业在国际市场上却四处碰壁。例如华为在美国遭到众议院的封杀,在澳大利亚被禁止投标宽带网项目,在英国遭到议会情报和安全监督机构的调查,在印度也遭到了情报机构的严密审查,可谓是屡受排挤。而这些阻挠活动统统都是打着国家安全的旗号,并且受到法律保护。
之所以会造成这种被动的局面,在于我国网络安全审查制度的缺位。近日,国家互联网信息办公室宣布,为维护国家网络安全、保障中国用户合法利益,我国即将推出网络安全审查制度。这将为怀有不良意图的企业和国家敲响警钟,并为我国网络安全构筑第一道防火墙。
从全球来看,网络安全审查已成为国际通行做法。美国率先实施,态度也最为强硬,不仅审查的机制、标准和过程不公开,还没有明确的时间限制;既不披露原因和理由,也不接受申述。而且,要接受审查的不仅包括产品和服务本身,还包括与其配套的产品和服务,以及相关企业的背景;不仅包括产品的安全性能指标,还包括研发过程、程序、步骤、方法、产品的交付方法等。
英国实行由通讯电子安全小组负责的安全认证制度,只有通过了由其认可的安全认证,才可以面向英国本土进行销售,否则将被视为违法。国外设备商必须自建安全认证中心,提交源代码和可执行代码以便进行各种测试和验证。
澳大利亚的网络安全审查重视国际合作,其国防通信局与新西兰政府通信安全局共同建立澳大拉西亚信息安全评估计划,采用统一的网络安全审查机制。双方制定了一套多国认可的安全评估标准,并签署了共同标准认可协议。一款产品在协议签署国之间只需测试认证一次,便可被所有签署国接受,所有通过安全评估测试和认证的信息通信产品将被列入通过评估产品列表,供两国政府机构采购。
俄罗斯作为饱受网络黑客攻击的国家之一,其网络安全审查制度也十分严格,更加侧重于产业,确立了一套对外资进入其战略性产业的安全审查制度,由俄罗斯工业和贸易部接受申请,并征询俄联邦安全局和国家保密委员会的审核评估意见,从而确定交易是否存在风险。
印度的网络安全审查制度具有两大鲜明特征。一是重点突出,重点关注通信产品以及“关键核心设备”,要求运营商必须得到内政部的安全审查以及第三方认证后,方可签署合同。二是将责任下沉,加大惩罚力度。因采购进口设备而引发的安全问题,运营商须全面承担责任;设备商一旦被发现提供的设备有间谍软件,将被列入黑名单,禁止在印度从事任何业务,并将被处以等价于合同金额的罚金。
总体来看,与发达国家相比,我国在网络安全审查方面才刚刚起步。但亡羊补牢,未为晚也。我国应博采众长,积极借鉴美国、英国、澳大利亚、俄罗斯和印度等国家的做法,构建全面的网络安全审查体系,提升网络安全检测技术,开展网络安全认证、政府采购的国际合作,打造安全可控的网络安全产业,加大对网络安全违法行为的惩罚力度,从而构建一个安全可控的网络空间。