國家網信辦發布《網絡產品和服務安全審查辦法(征求意見稿)》(以下簡稱《辦法》),對網絡產品與服務提出了具體的安全審查意見。《辦法》作為第一部國家層面的安全審查規則,對為什么審查、如何審查以及誰來審查提出了明確的意見。
事實上,自2014年2月中央網信辦成立后,國家在網絡安全領域的頂層設計引人注目。其中,2016年8月,中央網信辦、質檢總局、國家標準委聯合制定的《關于加強國家網絡安全標準化工作的若干意見》發布;同年11月7日,人大常委會表決通過《網絡安全法》,并將于今年6月1日實施;年末的12月27日,國家互聯網信息辦公室發布了《國家網絡空間安全戰略》。可以看到,網絡安全的頂層設計漸趨完善。
那么,作為中國首部網絡產品與服務的安全審查辦法,它與以上提到的頂層設計有何延續性?不同點在哪里?如何理解其邊界?重點又是什么?針對這些問題,DOIT傳媒采訪了中國網絡安全產業聯盟戰略與政策委員會副主任李剛,請其對《辦法》進行了全面解讀。
Q:從頂層設計與政策角度,2月4日的《網絡產品和服務安全審查辦法(征求意見稿)》是政策的延續,那么如何正確理解其定位?特別是,審查辦法是《網絡安全法》的某個執行細則嗎?
A:我覺得,可以從以下三個維度來理解《辦法》的定位:
一是國家高度定位。《辦法》從組織架構和執行定位來看,無疑是國家層面主導、國家統一組織、適用于全國范圍的一個針對網絡產品和服務安全保障的重要的執行綱領性文件和指南。
二是目的內容定位。《辦法》目標性定位很明確,首先是制定辦法的原因明確,《辦法》指出“為提高網絡產品和服務安全可控水平,防范供應鏈安全風險,維護國家安全和公共利益”;其次是《辦法》制定的法律依據很明確,依據《中華人民共和國國家安全法》、《中華人民共和國網絡安全法》制定了本《辦法》;再次是審查對象和審查內容非常明確,對象是“關系國家安全和公共利益的信息系統使用的重要網絡產品和服務”,內容是產品和服務的“安全性、可控性”;最后是組織架構和相關執行線路明確,例如《辦法》明確執行部門為“國家互聯網信息辦公室會同有關部門成立網絡安全審查委員會”。
三是綱要文件定位。對《辦法》另外一個定位維度解讀,就是該《辦法》是綱領文件,而不是執行細則,所以,對某些內容,后續還需要很多的規則內容細化,還需要一段時間去合理化制定及完善一些規則定義、執行細則,以及組織機構的組建等。
針對第二個問題,顯然提法不夠準確。應該說,《網絡安全法》作為我國網絡安全大領域的根本性大法,其包含了全部網絡安全的各項規則規定和內容,網絡安全審查僅僅是其很小的一個方面。所以說,準確的理解應該是,《網絡安全法》是本《辦法》制定的法律依據。
Q:“網絡產品與服務”主要指什么?如何確定邊界?
A:《辦法》第二條,已經明確指出了“關系國家安全和公共利益的信息系統使用的重要網絡產品和服務”。那么從兩個方面,可以正確理解這個含義的界定。
一是抓住兩個關鍵詞,我們就能正確理解基本概念和確定邊界。兩個關鍵詞是“信息系統”和“重要”,即不是所有的信息系統,而是關系到國家安全和公共利益的信息系統;在這些信息系統上,不是所有的網絡產品和服務,而是“重要”的網絡產品和服務。
二是具體產品明細。正如前面對《辦法》定位的理解,這是一個綱領性規定和指導性文件,因此,還需要執行細化的內容,包括具體信息系統、產品和服務列表等。
我相信兩點,一是該列表肯定會隨著《辦法》執行推進而明確推出,就像政府采購的產品目錄一樣;二是該列表將是一個動態變化的列表,因為正如問題所說,新科技網絡產品的不斷推陳出新和變化,該列表也將是與時俱進地動態變化。
Q:在此之前,黨政部門有沒有相關的網絡產品與服務的安全審查?在金融、電信、能源等行業呢?
A:準確地說,黨政部門此前沒有專門專業的針對網絡產品和服務的安全審查,但是,其在構建信息系統或采購信息產品的過程中,按照之前既有的相關法規和文件要求,其采用的某些方式方法,其實也達到一定的安全審查效果和作用。例如,國家規定了十大重要行業基礎信息系統,那么他們在構建信息系統或采購產品時,按照要求和需要,會邀請國家級安全測評機構,對其系統和產品進行漏洞測試、風險評估等手段。
對于以前的網絡產品與服務來講,由于沒有專門專業的國家統一的安全審查制度和標準,其采購標準主要還是兩個層面,一是國家既有的質量標準、銷售許可證、企業資質等;二是行業或企業自己規定的相關功能需求和安全要求等標準,某些行業還有自己的安全評測機構,來進行相應的招標要求和審核評測。
應該說,之前行業或企業自行的辦法和標準,與本次《辦法》沒有執行或邏輯上的必然聯系,但是對于某些網絡產品與服務的安全審查手段、技術和標準等,從科學的角度,正確的方法內容,肯定是一樣的。
Q:《辦法》提出“堅持企業承諾與社會監督相結合,第三方評價與政府監管相結合,實驗室檢測、現場檢查、在線監測、背景調查相結合,對網絡產品和服務及其提供者進行網絡安全審查”,如何正確理解?
A:重點是“結合”這個關鍵詞。既然是結合,就說明前者和后者同樣重要,不可偏廢。其原因,我認為這反映了《辦法》或者《辦法》的制訂部門,在三個方向上的正確性。
一是全面合理。網絡科技,日新月異,網絡空間的治理,是當今時代的一個既新又難的大命題,尤其網絡安全問題,更是重中之重,也是難上加難。那么,不可能一把快刀,斬斷亂麻,解決問題。所以,更加全面的手段,各方力量的結合,綜合評估,才是合理的方法。
二是科學正確。《辦法》列出來的這些方法,都不是完全創新,而是分別在之前的行業應用中,經過驗證,行之有效的方法,那么,《辦法》綜合了當前最為行之有效的方法,讓它們綜合發揮作用,這就是一定要走科學發展的道路。
三是公正法治。雖然《辦法》是事關國家安全的文件,但是,從審查方法以及全文來看,我們發現,《辦法》并不是一味強調政府權威,而是強調政府監管只是審查方法的其中一部分,充分反映了《辦法》完全遵循了當前我國政府提倡的依法治國、簡政放權等“小政府,大社會”的執政思路。
Q:《辦法》第四條提出“重點審查網絡產品和服務的安全性、可控性”,怎么理解?
A:第四條主要提出了四點意見,前三點,是最基本的網絡安全威脅,這是最基本的、必須要保障的用戶權益。而第四點,它雖然可能不是直接的網絡安全威脅,但它會成為在網絡空間違反《國家反壟斷法》的根源,同時,有可能造成進一步的,對于用戶信息系統和現實利益的威脅和損害。
Q:如何界定安全審查與網絡產品性能或功能的區別?由于網絡產品與數據安全、信息安全的融合,這種審查在技術層面面臨一定的挑戰?
A:首先,網絡安全審查,重點是審查網絡產品與服務的安全性、可控性。這一點來講,與網絡產品本身的性能或功能沒有關系。換句話說,安全審查不管你性能是否優良,也不管你是實現什么樣的功能。
當然,我個人認為,由于網絡空間的日新月異,網絡科技的高速發展,毫無疑問,作為全新的機制,網絡安全審查不僅在技術層面,在執行層面,在各個環節落實層面,都會面臨一定的新難題、新挑戰。但是,作為世界主要大國都已經在實施的政策,作為事關網絡時代國家安全的重要舉措,不管有任何難題,網絡安全審查都勢在必行,必須推進。
Q:“國家統一認定網絡安全審查第三方機構,承擔網絡安全審查中的第三方評價工作”,您認為,這個第三方機構將如何組成?如何工作?如何確保可控、透明、可信?
A:目前來說,沒有確切的第三方機構的具體組成信息。但是毫無疑問,不管怎么組成,確保可控、可信和公正,一定是第三方機構的基本屬性和必須屬性。
我個人感覺,未來第三方機構,一定要滿足三大可信,一是主體可信,該機構主體應該具備普遍公信力,不能是“既當運動員,又當裁判員”等等;二是資質可信,該機構要有國家認可的資質和技術水平,否則你憑什么給別人測評;三是機制可信,測評的流程、機制和標準,首先要按照國家規定,同時作為機構本身,也應當實現機制流程的可控、透明和公正。
Q:《辦法》對網絡、安全產業的影響有哪些?
A:個人認為,有三大影響:
一是安全意識提升。《辦法》推出后,對于廣大網絡產品與服務提供商來說,通過法規撬動市場的杠桿,讓他們會更加關注對自身產品與服務的安全性考慮,和對用戶網絡安全保障的服務力度;而不是像以前,主要關心產品性能、功能、模式和便捷,而對產品安全和產品使用導致用戶的隱患,不夠重視。那么,只要全體網絡產品企業,都重視網絡安全(而不是僅僅網絡安全廠商跟在后面“擦屁股”)的話,毫無疑問,我們國家整體網絡空間安全和清朗的環境指數,將大幅提升。
二是國內產業機遇。對于如何更加貼近中國用戶,如何更加對用戶有本地化安全服務,如何更加滿足《辦法》的審查要求,毫無疑問,國內企業會比外企做得更好。以前如果做得好,沒有明確評測反映,沒有市場杠桿的反饋,而現在如果做得好,國內市場的用戶們,可以看得到,國家法規有明確規定,市場自然有反饋。
所以,從這點來說,無論國內的互聯網企業、網絡產品企業,還是安全企業,都有了更大的機遇,尤其是核心科技領域的國內企業,更需抓住機遇,讓“中國造”不僅僅是低級的機箱機殼,而是市場利潤更高更多是芯片內核。
三是推動國際融合。《辦法》出臺,對國內、國際企業一視同仁,政府市場的杠桿,將隨著《辦法》的推行而移動。那么,不能滿足安全標準的外國企業,《辦法》將刺激和推動他們去想辦法保住,甚至提升在中國這個大市場的份額,無論是按照中國市場要求,彌補自身產品安全缺陷,還是按照中國市場要求創新自身產品安全性能,或是與中國本土企業合作,放低身價,進一步融入中國市場,符合本地化國情……總之,《辦法》出臺,對于外國網絡企業,進一步創新完善,融入中國市場,是一個巨大的推動力。
核心關注:拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理,全面涵蓋了企業關注ERP管理系統的核心領域,是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網http://www.guhuozai8.cn/
本文標題:獨家:網絡產品和服務安全審查辦法專家解讀
相關文章
