國家網(wǎng)信辦發(fā)布《網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查辦法(征求意見稿)》(以下簡稱《辦法》),對網(wǎng)絡(luò)產(chǎn)品與服務(wù)提出了具體的安全審查意見!掇k法》作為第一部國家層面的安全審查規(guī)則,對為什么審查、如何審查以及誰來審查提出了明確的意見。
事實(shí)上,自2014年2月中央網(wǎng)信辦成立后,國家在網(wǎng)絡(luò)安全領(lǐng)域的頂層設(shè)計(jì)引人注目。其中,2016年8月,中央網(wǎng)信辦、質(zhì)檢總局、國家標(biāo)準(zhǔn)委聯(lián)合制定的《關(guān)于加強(qiáng)國家網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化工作的若干意見》發(fā)布;同年11月7日,人大常委會表決通過《網(wǎng)絡(luò)安全法》,并將于今年6月1日實(shí)施;年末的12月27日,國家互聯(lián)網(wǎng)信息辦公室發(fā)布了《國家網(wǎng)絡(luò)空間安全戰(zhàn)略》。可以看到,網(wǎng)絡(luò)安全的頂層設(shè)計(jì)漸趨完善。
那么,作為中國首部網(wǎng)絡(luò)產(chǎn)品與服務(wù)的安全審查辦法,它與以上提到的頂層設(shè)計(jì)有何延續(xù)性?不同點(diǎn)在哪里?如何理解其邊界?重點(diǎn)又是什么?針對這些問題,DOIT傳媒采訪了中國網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟戰(zhàn)略與政策委員會副主任李剛,請其對《辦法》進(jìn)行了全面解讀。
Q:從頂層設(shè)計(jì)與政策角度,2月4日的《網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查辦法(征求意見稿)》是政策的延續(xù),那么如何正確理解其定位?特別是,審查辦法是《網(wǎng)絡(luò)安全法》的某個執(zhí)行細(xì)則嗎?
A:我覺得,可以從以下三個維度來理解《辦法》的定位:
一是國家高度定位。《辦法》從組織架構(gòu)和執(zhí)行定位來看,無疑是國家層面主導(dǎo)、國家統(tǒng)一組織、適用于全國范圍的一個針對網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全保障的重要的執(zhí)行綱領(lǐng)性文件和指南。
二是目的內(nèi)容定位!掇k法》目標(biāo)性定位很明確,首先是制定辦法的原因明確,《辦法》指出“為提高網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全可控水平,防范供應(yīng)鏈安全風(fēng)險,維護(hù)國家安全和公共利益”;其次是《辦法》制定的法律依據(jù)很明確,依據(jù)《中華人民共和國國家安全法》、《中華人民共和國網(wǎng)絡(luò)安全法》制定了本《辦法》;再次是審查對象和審查內(nèi)容非常明確,對象是“關(guān)系國家安全和公共利益的信息系統(tǒng)使用的重要網(wǎng)絡(luò)產(chǎn)品和服務(wù)”,內(nèi)容是產(chǎn)品和服務(wù)的“安全性、可控性”;最后是組織架構(gòu)和相關(guān)執(zhí)行線路明確,例如《辦法》明確執(zhí)行部門為“國家互聯(lián)網(wǎng)信息辦公室會同有關(guān)部門成立網(wǎng)絡(luò)安全審查委員會”。
三是綱要文件定位。對《辦法》另外一個定位維度解讀,就是該《辦法》是綱領(lǐng)文件,而不是執(zhí)行細(xì)則,所以,對某些內(nèi)容,后續(xù)還需要很多的規(guī)則內(nèi)容細(xì)化,還需要一段時間去合理化制定及完善一些規(guī)則定義、執(zhí)行細(xì)則,以及組織機(jī)構(gòu)的組建等。
針對第二個問題,顯然提法不夠準(zhǔn)確。應(yīng)該說,《網(wǎng)絡(luò)安全法》作為我國網(wǎng)絡(luò)安全大領(lǐng)域的根本性大法,其包含了全部網(wǎng)絡(luò)安全的各項(xiàng)規(guī)則規(guī)定和內(nèi)容,網(wǎng)絡(luò)安全審查僅僅是其很小的一個方面。所以說,準(zhǔn)確的理解應(yīng)該是,《網(wǎng)絡(luò)安全法》是本《辦法》制定的法律依據(jù)。
Q:“網(wǎng)絡(luò)產(chǎn)品與服務(wù)”主要指什么?如何確定邊界?
A:《辦法》第二條,已經(jīng)明確指出了“關(guān)系國家安全和公共利益的信息系統(tǒng)使用的重要網(wǎng)絡(luò)產(chǎn)品和服務(wù)”。那么從兩個方面,可以正確理解這個含義的界定。
一是抓住兩個關(guān)鍵詞,我們就能正確理解基本概念和確定邊界。兩個關(guān)鍵詞是“信息系統(tǒng)”和“重要”,即不是所有的信息系統(tǒng),而是關(guān)系到國家安全和公共利益的信息系統(tǒng);在這些信息系統(tǒng)上,不是所有的網(wǎng)絡(luò)產(chǎn)品和服務(wù),而是“重要”的網(wǎng)絡(luò)產(chǎn)品和服務(wù)。
二是具體產(chǎn)品明細(xì)。正如前面對《辦法》定位的理解,這是一個綱領(lǐng)性規(guī)定和指導(dǎo)性文件,因此,還需要執(zhí)行細(xì)化的內(nèi)容,包括具體信息系統(tǒng)、產(chǎn)品和服務(wù)列表等。
我相信兩點(diǎn),一是該列表肯定會隨著《辦法》執(zhí)行推進(jìn)而明確推出,就像政府采購的產(chǎn)品目錄一樣;二是該列表將是一個動態(tài)變化的列表,因?yàn)檎鐔栴}所說,新科技網(wǎng)絡(luò)產(chǎn)品的不斷推陳出新和變化,該列表也將是與時俱進(jìn)地動態(tài)變化。
Q:在此之前,黨政部門有沒有相關(guān)的網(wǎng)絡(luò)產(chǎn)品與服務(wù)的安全審查?在金融、電信、能源等行業(yè)呢?
A:準(zhǔn)確地說,黨政部門此前沒有專門專業(yè)的針對網(wǎng)絡(luò)產(chǎn)品和服務(wù)的安全審查,但是,其在構(gòu)建信息系統(tǒng)或采購信息產(chǎn)品的過程中,按照之前既有的相關(guān)法規(guī)和文件要求,其采用的某些方式方法,其實(shí)也達(dá)到一定的安全審查效果和作用。例如,國家規(guī)定了十大重要行業(yè)基礎(chǔ)信息系統(tǒng),那么他們在構(gòu)建信息系統(tǒng)或采購產(chǎn)品時,按照要求和需要,會邀請國家級安全測評機(jī)構(gòu),對其系統(tǒng)和產(chǎn)品進(jìn)行漏洞測試、風(fēng)險評估等手段。
對于以前的網(wǎng)絡(luò)產(chǎn)品與服務(wù)來講,由于沒有專門專業(yè)的國家統(tǒng)一的安全審查制度和標(biāo)準(zhǔn),其采購標(biāo)準(zhǔn)主要還是兩個層面,一是國家既有的質(zhì)量標(biāo)準(zhǔn)、銷售許可證、企業(yè)資質(zhì)等;二是行業(yè)或企業(yè)自己規(guī)定的相關(guān)功能需求和安全要求等標(biāo)準(zhǔn),某些行業(yè)還有自己的安全評測機(jī)構(gòu),來進(jìn)行相應(yīng)的招標(biāo)要求和審核評測。
應(yīng)該說,之前行業(yè)或企業(yè)自行的辦法和標(biāo)準(zhǔn),與本次《辦法》沒有執(zhí)行或邏輯上的必然聯(lián)系,但是對于某些網(wǎng)絡(luò)產(chǎn)品與服務(wù)的安全審查手段、技術(shù)和標(biāo)準(zhǔn)等,從科學(xué)的角度,正確的方法內(nèi)容,肯定是一樣的。
Q:《辦法》提出“堅(jiān)持企業(yè)承諾與社會監(jiān)督相結(jié)合,第三方評價與政府監(jiān)管相結(jié)合,實(shí)驗(yàn)室檢測、現(xiàn)場檢查、在線監(jiān)測、背景調(diào)查相結(jié)合,對網(wǎng)絡(luò)產(chǎn)品和服務(wù)及其提供者進(jìn)行網(wǎng)絡(luò)安全審查”,如何正確理解?
A:重點(diǎn)是“結(jié)合”這個關(guān)鍵詞。既然是結(jié)合,就說明前者和后者同樣重要,不可偏廢。其原因,我認(rèn)為這反映了《辦法》或者《辦法》的制訂部門,在三個方向上的正確性。
一是全面合理。網(wǎng)絡(luò)科技,日新月異,網(wǎng)絡(luò)空間的治理,是當(dāng)今時代的一個既新又難的大命題,尤其網(wǎng)絡(luò)安全問題,更是重中之重,也是難上加難。那么,不可能一把快刀,斬?cái)鄟y麻,解決問題。所以,更加全面的手段,各方力量的結(jié)合,綜合評估,才是合理的方法。
二是科學(xué)正確。《辦法》列出來的這些方法,都不是完全創(chuàng)新,而是分別在之前的行業(yè)應(yīng)用中,經(jīng)過驗(yàn)證,行之有效的方法,那么,《辦法》綜合了當(dāng)前最為行之有效的方法,讓它們綜合發(fā)揮作用,這就是一定要走科學(xué)發(fā)展的道路。
三是公正法治。雖然《辦法》是事關(guān)國家安全的文件,但是,從審查方法以及全文來看,我們發(fā)現(xiàn),《辦法》并不是一味強(qiáng)調(diào)政府權(quán)威,而是強(qiáng)調(diào)政府監(jiān)管只是審查方法的其中一部分,充分反映了《辦法》完全遵循了當(dāng)前我國政府提倡的依法治國、簡政放權(quán)等“小政府,大社會”的執(zhí)政思路。
Q:《辦法》第四條提出“重點(diǎn)審查網(wǎng)絡(luò)產(chǎn)品和服務(wù)的安全性、可控性”,怎么理解?
A:第四條主要提出了四點(diǎn)意見,前三點(diǎn),是最基本的網(wǎng)絡(luò)安全威脅,這是最基本的、必須要保障的用戶權(quán)益。而第四點(diǎn),它雖然可能不是直接的網(wǎng)絡(luò)安全威脅,但它會成為在網(wǎng)絡(luò)空間違反《國家反壟斷法》的根源,同時,有可能造成進(jìn)一步的,對于用戶信息系統(tǒng)和現(xiàn)實(shí)利益的威脅和損害。
Q:如何界定安全審查與網(wǎng)絡(luò)產(chǎn)品性能或功能的區(qū)別?由于網(wǎng)絡(luò)產(chǎn)品與數(shù)據(jù)安全、信息安全的融合,這種審查在技術(shù)層面面臨一定的挑戰(zhàn)?
A:首先,網(wǎng)絡(luò)安全審查,重點(diǎn)是審查網(wǎng)絡(luò)產(chǎn)品與服務(wù)的安全性、可控性。這一點(diǎn)來講,與網(wǎng)絡(luò)產(chǎn)品本身的性能或功能沒有關(guān)系。換句話說,安全審查不管你性能是否優(yōu)良,也不管你是實(shí)現(xiàn)什么樣的功能。
當(dāng)然,我個人認(rèn)為,由于網(wǎng)絡(luò)空間的日新月異,網(wǎng)絡(luò)科技的高速發(fā)展,毫無疑問,作為全新的機(jī)制,網(wǎng)絡(luò)安全審查不僅在技術(shù)層面,在執(zhí)行層面,在各個環(huán)節(jié)落實(shí)層面,都會面臨一定的新難題、新挑戰(zhàn)。但是,作為世界主要大國都已經(jīng)在實(shí)施的政策,作為事關(guān)網(wǎng)絡(luò)時代國家安全的重要舉措,不管有任何難題,網(wǎng)絡(luò)安全審查都勢在必行,必須推進(jìn)。
Q:“國家統(tǒng)一認(rèn)定網(wǎng)絡(luò)安全審查第三方機(jī)構(gòu),承擔(dān)網(wǎng)絡(luò)安全審查中的第三方評價工作”,您認(rèn)為,這個第三方機(jī)構(gòu)將如何組成?如何工作?如何確?煽、透明、可信?
A:目前來說,沒有確切的第三方機(jī)構(gòu)的具體組成信息。但是毫無疑問,不管怎么組成,確?煽、可信和公正,一定是第三方機(jī)構(gòu)的基本屬性和必須屬性。
我個人感覺,未來第三方機(jī)構(gòu),一定要滿足三大可信,一是主體可信,該機(jī)構(gòu)主體應(yīng)該具備普遍公信力,不能是“既當(dāng)運(yùn)動員,又當(dāng)裁判員”等等;二是資質(zhì)可信,該機(jī)構(gòu)要有國家認(rèn)可的資質(zhì)和技術(shù)水平,否則你憑什么給別人測評;三是機(jī)制可信,測評的流程、機(jī)制和標(biāo)準(zhǔn),首先要按照國家規(guī)定,同時作為機(jī)構(gòu)本身,也應(yīng)當(dāng)實(shí)現(xiàn)機(jī)制流程的可控、透明和公正。
Q:《辦法》對網(wǎng)絡(luò)、安全產(chǎn)業(yè)的影響有哪些?
A:個人認(rèn)為,有三大影響:
一是安全意識提升。《辦法》推出后,對于廣大網(wǎng)絡(luò)產(chǎn)品與服務(wù)提供商來說,通過法規(guī)撬動市場的杠桿,讓他們會更加關(guān)注對自身產(chǎn)品與服務(wù)的安全性考慮,和對用戶網(wǎng)絡(luò)安全保障的服務(wù)力度;而不是像以前,主要關(guān)心產(chǎn)品性能、功能、模式和便捷,而對產(chǎn)品安全和產(chǎn)品使用導(dǎo)致用戶的隱患,不夠重視。那么,只要全體網(wǎng)絡(luò)產(chǎn)品企業(yè),都重視網(wǎng)絡(luò)安全(而不是僅僅網(wǎng)絡(luò)安全廠商跟在后面“擦屁股”)的話,毫無疑問,我們國家整體網(wǎng)絡(luò)空間安全和清朗的環(huán)境指數(shù),將大幅提升。
二是國內(nèi)產(chǎn)業(yè)機(jī)遇。對于如何更加貼近中國用戶,如何更加對用戶有本地化安全服務(wù),如何更加滿足《辦法》的審查要求,毫無疑問,國內(nèi)企業(yè)會比外企做得更好。以前如果做得好,沒有明確評測反映,沒有市場杠桿的反饋,而現(xiàn)在如果做得好,國內(nèi)市場的用戶們,可以看得到,國家法規(guī)有明確規(guī)定,市場自然有反饋。
所以,從這點(diǎn)來說,無論國內(nèi)的互聯(lián)網(wǎng)企業(yè)、網(wǎng)絡(luò)產(chǎn)品企業(yè),還是安全企業(yè),都有了更大的機(jī)遇,尤其是核心科技領(lǐng)域的國內(nèi)企業(yè),更需抓住機(jī)遇,讓“中國造”不僅僅是低級的機(jī)箱機(jī)殼,而是市場利潤更高更多是芯片內(nèi)核。
三是推動國際融合!掇k法》出臺,對國內(nèi)、國際企業(yè)一視同仁,政府市場的杠桿,將隨著《辦法》的推行而移動。那么,不能滿足安全標(biāo)準(zhǔn)的外國企業(yè),《辦法》將刺激和推動他們?nèi)ハ朕k法保住,甚至提升在中國這個大市場的份額,無論是按照中國市場要求,彌補(bǔ)自身產(chǎn)品安全缺陷,還是按照中國市場要求創(chuàng)新自身產(chǎn)品安全性能,或是與中國本土企業(yè)合作,放低身價,進(jìn)一步融入中國市場,符合本地化國情……總之,《辦法》出臺,對于外國網(wǎng)絡(luò)企業(yè),進(jìn)一步創(chuàng)新完善,融入中國市場,是一個巨大的推動力。
核心關(guān)注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:獨(dú)家:網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查辦法專家解讀
本文網(wǎng)址:http://www.ezxoed.cn/html/support/11121520488.html