对网民是福利还是忧虑
国家互联网信息办公室22日宣布,为维护国家网络安全、保障中国用户合法利益,我国即将推出网络安全审查制度。该项制度规定,关系国家安全和公共利益的系统使用的重要技术产品和服务,应通过网络安全审查。
“有的网民担忧网络安全审查制度会影响网络言论自由,其实这是没必要的。”中国电子科技集团(CETC)首席信息安全官张建军解释说,网络安全审查制度针对关键公共设施软件硬件的安全,相当于为网民信息安全提供了保护伞的作用,是福利而不是负担,其审查对象是企业及其产品,不涉及互联网内容层面的管控。
记者从国家互联网信息办公室获悉,互联网产品技术的安全性和可控性,将是网络安全审查重点。网络安全审查制度将针对重要信息技术产品及提供者,重点审查产品的安全性和可控性,以防产品提供者非法控制、干扰、中断用户系统,非法收集、存储、处理和利用用户有关信息。对不符合安全要求的产品和服务,将不得在中国境内使用。
相比美国已实行了10多年的网络安全审查制度,我国网络安全审查制度的空白短板,在产业层面让我国企业处于被动劣势。同时,无论是个体信息安全的迫切需要,还是国家层面的安全保障,都使得推出网络安全审查制度势在必行。
对网络企业利好还是利空?
业内人士表示,诸如此前发生的携程网大量用户银行卡信息泄露、小米800万用户信息泄露等,在网络安全审查制度得到落实后,这类事件发生的概率将会大大降低。对存在安全隐患的企业而言,无论是自查自纠的内在动力,还是外在的监管压力,都将会明显增加。
“网络安全审查并不是贸易保护,无论是国内产品还是国外产品,只要符合我国的网络安全标准,就能进入市场自由流通。”国家信息安全测评中心总工程师王军说。
国家信息技术安全研究中心总工李京春表示,以往我国只是对网络进行表层化管理,目前网络产品和服务逐渐向深层次发展,若继续沿用以前的监管办法,就很可能会出现网络监管漏洞,进而给国家和用户安全造成损失。李京春说,对发现存在安全隐患的网络产品和服务,都必须整改,要遵从、适应管理制度的实施,满足国家关键基础设施和重要信息系统的安全性能要求,在保障安全的前提下实现良性发展、持续发展。
中国工程院院士方滨兴认为,对于进入政府机构、交通、电力、金融等重要领域的产品,需要建立“黑名单”制,不仅对技术也对企业背景进行审查。而对于在市面流通的信息技术产品,需进行“白名单”强制认证,只有符合安全标准的产品才能入市。这种审查只是一种技术评估,普通用户的利益不会受到影响。
方滨兴认为,实施网络安全审查后,影响最大的是那些钻法律漏洞的行为。以WiFi破解器为例,此类技术本身侵害了信息安全,在任何国家都是被禁止的,对此类行为建立制度进行约束,是对市场秩序的整顿,符合WTO的要求。
专家建言审查平台专群结合
不仅是对国外企业,网络安全审查对国内诸多行业也都非常必要。知名网络漏洞报告平台乌云运营负责人孟卓表示,近年来互联网快速发展,国内互联网企业众多,如果一个企业的产品和公共安全、国家利益相关,那么该企业的产品只有符合了安全标准及解决了现有风险后,才可以进行发布使用。
安天实验室首席架构师肖新光表示,期待网络安全审查制度真正成为国家安全的门槛,产业成长的屏障。同时,业界也期待相关制度能保护国内创新,特别不要给创新型民族企业带来新的行政成本和门槛。
多名资深网络安全专家建议,为了让审查平台真正发挥作用,且更具有说服力,需要政府职能部门牵头搭建一个开放的测试平台,让受审查的产品在平台上接受深入全面的安全审查测试,政府相关职能部门主导测试工作,而来自科研院所和市场的第三方鉴定机构和具有先进检测分析能力的企业等,也可以在平台上参与测试。经过这样各方的测试,安全威胁与不可控隐患存在几率就会大大减少,同时能有效避免“一言堂”“走过场”等问题。