2016年11月7日,第十二屆全國人民代表大會常務委員會第二十四次會議審議通過的《網絡安全法》第三十五條規定,“關鍵信息基礎設施的運營者采購網絡產品和服務,可能影響國家安全的,應當通過國家網信部門會同國務院有關部門組織的國家安全審查”。近期,國家互聯網信息辦公室發布了《網絡產品和服務安全審查辦法(征求意見稿)》,網絡安全審查工作有了明確的法律依據和清晰的目標定位。作為我國網絡空間安全戰略的重要組成部分,網絡安全審查制度的建立無疑將更加有利于保障國家安全,更加有利于廣大用戶安全放心地使用先進的網絡技術產品。
重要網絡和信息系統安全風險隱患凸顯。“互聯網+”時代,能源、金融、通信、交通等各個領域的網絡化程度突飛猛進,行業用戶對網絡安全的擔憂也與日俱增。2015年12月,烏克蘭電力系統遭惡意軟件攻擊,造成電網主機系統崩潰,導致伊萬諾-弗蘭科夫斯克地區約一半的家庭停電數小時。2016年3月,OpenSSL曝出新的高危漏洞,密碼、銀行卡號、商業機密等敏感信息存泄露風險,影響全球超過三分之一的HTTPS網站。10月,黑客利用存在漏洞的物聯網設備,對美國域名服務提供商Dyn公司發動DDoS攻擊,導致美國互聯網大面積癱瘓。網絡安全事件不絕于耳、觸目驚心,用戶難免擔心類似的數據泄露或系統癱瘓問題在自己身上重現。
重要網絡產品安全可控亟需制度層面保障。面對復雜嚴峻的網絡安全形勢,用戶正在從僅關注產品功能、性能,轉到同步重視產品安全性、可靠性。今后企業或許將從以往的通過產品功能占領市場,轉變為靠產品的安全性來贏取用戶。從用戶角度而言,僅通過企業提供的資質證明、產品說明等材料,無法甄別產品的安全與否,對于使用過程中的風險也難以做到心中有數,這些問題亟需從制度和機制上予以保障。
建立網絡安全審查制度對于保障國家網絡安全意義重大。各有關部門對關鍵信息基礎設施運營者采購網絡產品和服務開展安全審查,勢必將為企業更加透明、開放地提供產品和服務,為用戶更加安全、放心地利用先進技術促進自身業務發展提供制度保障。《網絡產品和服務安全審查辦法(征求意見稿)》提出,網絡安全審查的重點是網絡產品和服務的安全性、可控性,明確了第三方評價、專家評估、持續監督等審查程序,強調企業要重視自身產品及運行維護過程中的安全可信,形成安全促進發展,發展保障安全的良性循環,有利于構建讓用戶更加安心的產業生態環境。
相信,通過企業、用戶、第三方機構及政府部門的共同努力,網絡安全審查制度的建立將切實防范供應鏈安全風險,提高網絡技術產品的安全可控水平,實現維護國家安全的目的。(作者:工業和信息化部電子科學技術情報研究所所長 尹麗波)
京公網安備 11010502049343號