今年2月，中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組成立，習(xí)近平擔(dān)任組長，在中央網(wǎng)信領(lǐng)導(dǎo)小組第一次會議上，習(xí)近平提出“沒有網(wǎng)絡(luò)安全就沒有國家安全”，這標(biāo)志著網(wǎng)絡(luò)安全上升至國家戰(zhàn)略高度。

國家互聯(lián)網(wǎng)辦公室發(fā)言人姜軍指出，近年來，我國政府部門、機構(gòu)、企業(yè)、大學(xué)及電信主干網(wǎng)絡(luò)遭受大規(guī)模的侵入、監(jiān)聽，深受其害。特別是去年6月初發(fā)生的“斯諾登事件”，為世界各國敲響了警鐘，充分印證了“沒有網(wǎng)絡(luò)安全就沒有國家安全”。

而據(jù)了解，我國即將推出的網(wǎng)絡(luò)安全審查制度，規(guī)定對進(jìn)入我國市場的重要信息技術(shù)產(chǎn)品及其提供者進(jìn)行網(wǎng)絡(luò)安全審查。審查重點在于該產(chǎn)品的安全性和可控性，旨在防止產(chǎn)品提供者利用提供產(chǎn)品的方便，非法控制、干擾、中斷用戶系統(tǒng)，非法收集、存儲、處理和利用用戶有關(guān)信息。對不符合安全要求的產(chǎn)品和服務(wù)，將不得在中國境內(nèi)使用。

焦點1 為何需要進(jìn)行審查?

使用國外設(shè)備比例高

一位國信辦的官員對新京報記者表示，在中國的信息化建設(shè)中，大量使用國外的產(chǎn)品，確實帶來了一定好處。但是我國的電信主干、網(wǎng)絡(luò)信息都存在很大威脅，甚至國家領(lǐng)導(dǎo)人也曾被監(jiān)控。

中國工程院院士倪光南介紹，由于過去沒有網(wǎng)絡(luò)安全審查制度，人們對網(wǎng)絡(luò)安全也不夠重視，因此我國信息系統(tǒng)采用國外設(shè)備比例很高。例如，盡管國產(chǎn)設(shè)備性價比有優(yōu)勢，但據(jù)了解我國骨干網(wǎng)設(shè)備近八成是思科產(chǎn)品，這顯然為實施“棱鏡門”這類監(jiān)控計劃提供了方便。

工信部電子科學(xué)技術(shù)情報研究所總工程師尹麗波對新京報記者介紹，美國的“八大金剛”(微軟、思科、高通等8個美國公司)在我國的市場產(chǎn)量占有很多比例，但是正如“棱鏡門”事件所揭示的，他們的一些產(chǎn)品被預(yù)置了“后門”。美國的相關(guān)情報部門可以實時收集信息。

她認(rèn)為，如果我們做了審查的話，涉及國家安全和信息的重要產(chǎn)品，至少可以保證它沒有被植入后門，也確保這些被用在政府部門、企業(yè)等的重要產(chǎn)品不會非法收集信息、非法控制數(shù)據(jù)。

尹麗波表示，去年斯諾登披露的文件中提到美國國家安全局對它在海關(guān)所截獲的網(wǎng)絡(luò)相關(guān)設(shè)備直接安裝自己的“后門”，再用原廠的包裝打包，再按照原來的渠道發(fā)往國外。

“因此，我國為保障影響國計民生的重要系統(tǒng)產(chǎn)品和服務(wù)進(jìn)行審查。如果這么多系統(tǒng)被控制的話，我們不知道這些數(shù)據(jù)是為政府所用，還是為某些關(guān)鍵行業(yè)而用。有些信息若被拿走的話，很可能影響國家安全。”尹麗波說。

焦點2 如何進(jìn)行審查?

第三方機構(gòu)進(jìn)行檢測

上述官員表示，審查對象包括關(guān)系國家安全、國家利益、國計民生產(chǎn)品，以防止其提供便利的同時，控制干擾用戶的運行或者通過利用提供產(chǎn)品的機會，非法處理用戶的信息。

該官員表示，審查是為了維護(hù)用戶利益和國家安全。審查的過程包括事前檢測、事中監(jiān)督以及事后懲處三部分。

那么誰來進(jìn)行審查工作?上述官員透露，將有第三方機構(gòu)進(jìn)行檢測。此外，政府還倡導(dǎo)提供者自我承諾。

至于該制度何時出臺，該官員并未透露具體時間，僅表示“我認(rèn)為應(yīng)該很快”。

他介紹，將根據(jù)產(chǎn)品和服務(wù)的用途來進(jìn)行審查。但是審查的對象“并無國別差別，不管是國內(nèi)還是國外的信息產(chǎn)品和服務(wù)。”此外，他介紹，審查的對象也不按照開發(fā)或生產(chǎn)的時間，對于“存量”的產(chǎn)品和服務(wù)，也將進(jìn)行審查。

對此，CEC中國信息安全研究院副院長左曉棟解釋，審查的內(nèi)容絕不單單是一個單純的技術(shù)性的審查。而是將考量各種指標(biāo)和因素。他舉例稱，包括對企業(yè)聲譽，背景審查、公司資質(zhì)，“將從多角度衡量產(chǎn)品和提供商的可控性與安全性。”

左曉棟強調(diào)，網(wǎng)絡(luò)安全審查制度是針對提供技術(shù)產(chǎn)品和服務(wù)的廠商，而非針對網(wǎng)絡(luò)的用戶及信息內(nèi)容。

焦點3　審查范圍如何界定?

看信息系統(tǒng)為誰服務(wù)

審查對象包括“關(guān)系國家安全和公共利益的系統(tǒng)使用的重要信息技術(shù)產(chǎn)品和服務(wù)”，那么實際操作中如何界定?

對此，倪光南認(rèn)為，界定需要考慮兩個方面，一是需要考慮信息系統(tǒng)為誰服務(wù)、與誰相關(guān)?例如，如果信息系統(tǒng)和政府相關(guān)，或者關(guān)系到國家的經(jīng)濟(jì)命脈，那么，這樣的信息系統(tǒng)就可以認(rèn)為是關(guān)系國家安全和公共利益的系統(tǒng)。

另外，還需考慮所采用的產(chǎn)品和服務(wù)的性質(zhì)，是屬于一般的，還是重要的?這兩方面的考察，可以界定產(chǎn)品和服務(wù)是否屬于審查制度適用的范圍。

他解釋，此次制度與以往的規(guī)定的主要區(qū)別有兩點。首先是，管理的范圍不同。“以前管理的主要是信息安全產(chǎn)品，比如防火墻，防中毒軟件等等。”而現(xiàn)在的制度重點則是關(guān)于國家安全和公共利益的產(chǎn)品與服務(wù)。

第二個區(qū)別則是，以前對產(chǎn)品進(jìn)行的是復(fù)合型檢查，如果產(chǎn)品符合標(biāo)準(zhǔn)中的要求，就給發(fā)證。但是，如果產(chǎn)品除了寫在白紙黑字上的功能之外，還有其他的功能，理論上很難發(fā)現(xiàn)，或者說，以前檢查的重點不在此。

焦點4　制度違背國際規(guī)定?

專家稱不違背WTO規(guī)定

對國外信息技術(shù)產(chǎn)品及服務(wù)的審查，或?qū)⒁鹜饨鐚χ袊欠襁`背WTO規(guī)定的爭議。對此左曉棟認(rèn)為，目前中國規(guī)定的是涉及國家安全與公共利益領(lǐng)域的信息產(chǎn)品和服務(wù)的重要產(chǎn)品。根據(jù)WTO的規(guī)定，是可以適用其“安全例外”條款(第21條)。

國信辦官員也表示，該制度并不違背WTO的規(guī)定。目前，在別的國家也有對于網(wǎng)絡(luò)安全審查制度。他強調(diào)，我國的網(wǎng)絡(luò)安全審查制度不搞國別差異，也不針對特定的地區(qū)和特定的國家。

此外，該規(guī)定是否會打擊企業(yè)的利益?對此左曉棟認(rèn)為，該制度對合法企業(yè)不存在傷害利益的情況。

上述官員認(rèn)為，“網(wǎng)絡(luò)安全審查，使得產(chǎn)品和服務(wù)更安全，使得用戶放心地使用產(chǎn)品。因此我們認(rèn)為，會促進(jìn)信息產(chǎn)業(yè)的發(fā)展。”

中國網(wǎng)絡(luò)面臨哪些威脅?

少數(shù)國家政府和企業(yè)利用自己產(chǎn)品的“單邊壟斷”和技術(shù)“獨霸”優(yōu)勢，大規(guī)模收集敏感數(shù)據(jù)，不但嚴(yán)重?fù)p害了廣大用戶的利益，而且對其他國家的網(wǎng)絡(luò)空間安全造成巨大威脅。

今年3月19日至5月18日，2077個位于美國的木馬或僵尸網(wǎng)絡(luò)控制服務(wù)器，直接控制了我國境內(nèi)約118萬臺主機

2016個位于美國的IP對我國境內(nèi)1754個網(wǎng)站植入后門，涉及后門攻擊事件約5.7萬次

那么，審查的對象有哪些? 進(jìn)入我國市場的重要信息技術(shù)產(chǎn)品及其提供者，其為標(biāo)準(zhǔn)：是否關(guān)系國家安全和公共利益？

審查的方式是什么?事前審查，事中監(jiān)測還是事后懲處？

第三方機構(gòu)：未進(jìn)入市場的，對用戶信息安全進(jìn)行技術(shù)審查，同時對該產(chǎn)品是否對國家安全造成影響、是否會產(chǎn)生壟斷等社會經(jīng)濟(jì)安全影響進(jìn)行評估；已進(jìn)入市場的，并非絕對安全，補丁和升級都可能帶來新的安全隱患，因此同樣需要監(jiān)控。

那么美國如何進(jìn)行審查?

美國網(wǎng)絡(luò)安全審查標(biāo)準(zhǔn)和過程是不公開的。美國對供應(yīng)鏈安全審查的過程、標(biāo)準(zhǔn)、機制完全封閉，不披露原因和理由，不接受供應(yīng)方申訴。主要考慮對國家安全、司法和公共利益的潛在影響，且其審查沒有明確的時間限制。

案例：2012年，美國眾議院情報委員會就以國家安全為由，對中國企業(yè)進(jìn)行安全審查。