专家解读网络安全*:乃顺势而为
图画:李子念道
22日,国家互联网信息办公室宣布,中国将实施网络安全*。为什么要引入这个系统?网络安全审查的范围和标准是什么?这对信息产业和个人信息安全会有什么影响?
网络空间是新形势下维护国家安全的又一重要领域。
今天,网络空间已经成为继海、陆、空、空之后的第五个空间,成为新形势下维护国家安全的重要领域之一工业和信息化部电信研究所副所长刘多认为,如今,关键网络基础设施已成为网络武器攻击的主要目标,并可能导致极其严重的灾难性后果。因此,基于我国国情,实施网络安全*是一种权宜之计,对保障国家安全具有重要意义。
谈到过去的网络监管,国家信息技术安全研究中心总工程师李京春说:“过去,我国只进行了表面的网络管理,主要包括功能一致性测试和低层次的安全审查。目前,网络产品和服务正逐步向更深层次发展。如果继续沿用以前的监管方式,很可能会出现网络监管漏洞,给国家安全和用户安全造成损失。”
中国工程院院士倪光南也表示:“网络对国家安全和人民生活的影响越来越深刻,加强网络安全监管是必然趋势。特别是斯诺登事件曝光后,我们进一步认识到网络安全监管的重要性和必要性。为此,我们即将实施一个网络安全审查系统。这可以从源头上杜绝网络安全隐患,确保公共安全和国家网络空间安全。”
网络安全审查有助于保护公民个人信息安全
国家互联网信息办公室发言人蒋军表示,审查并不针对任何国家或地区。对此,李京春进一步解释说:“对于被发现有安全风险的网络产品和服务,无论是外国企业还是在中国的企业,他们都受到平等对待。他们必须遵守并适应这一管理制度的实施,满足国家关键基础设施和重要信息系统的安全性能要求,并在确保安全的前提下实现健康和可持续发展。”
李京春还表示,对网络产品和服务的提供商、运营商和服务提供商进行审查,也将有助于企业规范行为标准,提高服务质量,从而促进信息产业健康有序发展。“公众也将从中受益,因为网络安全审查确保了产品和服务的安全,并为公众的网络信息安全提供了更深层次的保护,因此公民的个人信息和数据不会被泄露和恶意使用。”
“审查针对的是提供技术产品和服务的制造商,而不是个人信息。应该说,消除制造商技术产品和服务的安全隐患有利于确保个人信息的安全。”倪光南说道。
安全性和可控性将是审查的重点。
*系统将主要审查涉及国家安全和公共利益的系统所使用的重要信息技术产品和服务。中国的*制度将借鉴国外的成熟经验,制定符合中国信息产业现状的法规。产品的安全性和可控性将是审查的重点。
如何进行网络安全审查?对此,中国工程院院士方滨兴表示:“*将由国家互联网信息办公室和国家信息安全标准化技术委员会实施。除了需要许多相关部门的协助外,审查过程还将涉及第三方专业测试组织和专家组,以确保过程的客观性和公正性。”
网络安全审查应包括预审查、过程监控和过程后处罚中国信息安全评估中心总工程师王军告诉记者,在信息产品进入市场之前,需要对用户的信息安全进行技术审查,并评估产品是否会影响国家安全、垄断以及其他社会和经济安全影响。进入市场的信息产品并不是绝对安全的。补丁和升级可能会带来新的安全风险,因此也需要进行监控。
方滨兴指出,根据其他国家的经验,网络安全*应该采取不同的宏观策略和微观技术措施。对于进入*机构、交通运输、电力、金融等重要领域的产品,有必要建立“黑名单”制度,不仅对技术进行审查,还要对企业背景进行审查,以确保国家信息安全。对于在市场上流通的信息技术产品,要求强制性的“白名单”认证,只有符合安全标准的产品才能进入市场。这只是一个技术评估,普通用户的利益不会受到影响。
网络安全审查系统借鉴国外经验
据报道,这一*借鉴了发达国家的经验,不是一时兴起或针对某些国家或事件。“现在引进这个系统的原因主要是因为我国的评估技术、系统和标准都比较成熟。我们的云计算基础设施已经完成。今年,我国将把云计算平台安全测试作为工作试点,制定云计算安全标准。我们将主要审查安全技术要求和服务能力标准,找出安全弱点,然后尽快弥补安全漏洞。”李京春说。
专家还表示,网络安全审查系统将从引进到全面实施逐步实施,并从重点行业逐步扩展到各个领域和行业。
(综合报道由、郑、、新华社记者白洋、石景南)
环
美国网络安全评论
网络安全审查是一个测试、评估、监测、分析和持续监督信息技术产品和服务的过程,这些产品和服务用于涉及国家安全和社会稳定的信息系统。
2000年,美国率先在国家安全系统中对购买的产品进行安全审查。随后,先后发布了联邦*云计算服务和国防供应链安全审查政策,实现了国家安全体系、国防体系和联邦*体系的全覆盖。审查不仅针对产品和服务,也针对产品和服务提供商。随后,美国等西方国家逐步建立了各种形式的网络安全*,以确保国家安全,防范供应链安全风险。我们将把全面的供应链安全审查战略提升到国家战略层面。
美国互联网安全审查标准和程序是不公开的。美国已经完全关闭了供应链安全审查的流程、标准和机制,不披露原因和理由,也不接受供应商的投诉。主要考虑是对国家安全、司法和公共利益的潜在影响,对其审查没有明确的时限。
美国安全审查的关键点之一是安全审查的结果是强制性的。国家安全系统委员会发布的《国家信息安全采购政策》规定,进入国家安全系统的信息技术产品必须通过考试。美国*发布的联邦风险和授权管理计划要求向联邦*提供云计算服务的服务提供商通过安全检查并获得授权。联邦*部门不得使用未经审查的云计算服务。
美国网络安全审查的内容不仅限于技术。美国联邦*要求不仅要审查产品的安全性能指标,还要审查产品的研发过程、程序、程序、方法和交付方法。要求企业证明产品达到规定的安全强度。
美国要求接受审查的公司签署网络安全协议,通常包括:通信基础设施必须位于美国;通信数据、交易数据、用户信息等。只储存在美国;如果外国*要求访问通信数据,他们必须获得美国司法部、国防部和国土安全部的批准。与美国*合作对员工等进行背景调查。
推荐阅读