网站地图
【www.arisingsemi.com--电子营销】
紧锣密鼓的意思 《网络产品和服务安全审查办法(试行)》讨论之二:到底什么是“安全可控”。
“安全可控”的提法由来已久,各法律法规、政府文件、技术标准以及各级领导的讲话中,都多次提及甚至强调安全可控的重要性。但“安全可控”具体指的是什么,却并不是业界每个人都清楚的。《网络安全法》颁布后,各种配套法规、实施细则以及配套标准都在紧锣密鼓地起草制定之中,这是从立法到标准上明确安全可控的实质内涵、其可能的外延以及其与其他术语或产品要求之间关系的重要时期,对于网络安全监管部门、各行业主管部门、标准制订机构、产品和服务的提供者以及各层级的用户来说,都十分重要。
应该说,《网络产品和服务安全审查办法(试行)》第一次在法规层面解释了安全可控的内涵:
第一条 网络产品和服务的安全性、可控性直接影响用户利益、关系国家安全。为提高网络产品和服务安全可控水平,防范供应链安全风险,维护国家安全和公共利益,依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》,制定本办法。
第四条 重点审查网络产品和服务的安全性、可控性,主要包括:
(一)产品和服务被非法控制、干扰和中断运行的风险;
(二)产品及关键部件研发、交付、技术支持过程中的风险;
(三)产品和服务提供者利用提供产品和服务的便利条件非法收集、存储、处理、利用用户相关信息的风险;
(四)产品和服务提供者利用用户对产品和服务的依赖,实施不正当竞争或损害用户利益的风险;
(五)其他可能危害国家安全和公共利益的风险。
(2014年,银监会的317号文《银行业应用安全可控信息技术推进指南(2014-2015年度)》中(注:该文已经被暂停执行,见:银监办发[2015]57号),安全可控被定义为“技术风险、外包风险和供应链风险可控”。)
《网络安全法》第十六条规定: “……推广安全可信的网络产品和服务……。”这里的“安全可信”是什么意思呢。
与安全可控有什么关系。《网络安全法》2016年11月7日在第十二届全国人民代表大会常务委员会第二十四次会议刚刚获得通过,网信办网络安全协调局赵泽良局长即于当日做出详细解释:
无论是自主可控、安全可控还是安全可信,其基本含义都是一致的,基本要求也是一致的。
1、产品和服务提供者不应该利用提供产品和服务的便利条件来非法获取用户系统中的信息、用户设备中自己的信息或者不应该损害用户对自己信息的自主权、支配权。
2、产品服务提供者不能利用提供产品和服务的便利条件来非法控制、非法操纵用户的系统、用户的设备,损害用户对自己系统、设备的控制权。
3、安全、网络产品和服务的提供者,不应该利用广大用户对产品和服务的依赖搞不正当竞争、谋取不正当利益,比如停止不必要的安全服务、搞垄断经营等等。
赵泽良局长对于安全可控的解释与《网络产品和服务安全审查办法(试行)》的规定基本相同。
因此可以理解为:安全可信与安全可控实质等同,《网络安全法》中的“推广安全可信的网络产品和服务”也可以看作为“推广安全可控的网络产品和服务”。这一点,在《网络产品和服务安全审查办法(试行)》中已经清晰地体现出来。
(另外,其他官方场合提到的“安全可信”应该也可以按此理解:
-《国务院关于印发促进大数据发展行动纲要的通知》(2015年9月):“……建立安全可信的大数据技术体系……”;“采用安全可信产品和服务,提升基础设施关键设备安全可靠水平。”
-《重点领域技术路线图(2015年版)》(2015年9月):“安全可信全国产软硬件协同创新工程”。
-《国家网络空间安全战略》(2016年12月27日):重视软件安全,加快安全可信产品推广应用。)
全国信息安全标准化技术委员会正在制定信息技术产品安全可控方面的系列国家标准,如《信息安全技术 信息技术产品安全可控评价指标 第2部分:中央处理器》(见:/?norm_id=200&recode_id=20464&idea_id=205&t=0.85953),从信息技术产品的知识产权状况、设计实现透明性、设计重现能力、关键技术掌握能力、持续保障能力等几个方面来评价该产品的安全可控状态。据说,全国信息安全标准化技术委员会也在安排制订网络产品和服务的安全可控要求方面的国家标准《信息安全技术 网络产品和服务安全基本要求》(/?id=201)。
从《网络安全法》的条文看,对于网络/信息/IT产品“安全”方面的要求和监管,事实上可以理解为形成两大体系:一是市场准入机制,即针对“网络关键设备”和“网络安全专用产品”,要求产品必须通过相关的产品安全技术检测、认证或许可后,方可投入市场(或使用);二是针对“网络产品和服务”,主要要求是实现“安全可控”,与市场准入机制完全不同。
从法律法规的规定和以上分析可以看出,要求“网络产品和服务”或信息技术产品的安全可控,即是要求其“安全性”和“可控性”。
1、安全性。一般意义讲,(信息)产品的安全,例如网络安全专用产品或信息安全产品中提到的“安全”,主要是指产品技术上的安全功能和安全性能等,可以通过具体的技术要求和技术检测来判断其是否足够安全;而安全可控的“安全”或“安全性”的意义,主要指的是应用安全、用户安全,或许如一些领导和专家所说的包括国家安全,主要依靠承诺、信用、信誉、审查、核查、评估、评价等手段来判断,而不是技术检测方式(尽管不排除少量必要的技术检测)。
2、可控性。
谁来控制。谁来操作以判断网络产品和服务的可控性。
按照《网络产品和服务安全审查办法(试行)》中的那5 项要求,“可控”显示指的是用户可控,即用户对那5种风险有控制力。同时,按照网络安全审查的规定,网络产品和服务的安全可控(安全性、可控性)的审查有两种途径:1)“网络安全审查委员会聘请相关专家组成网络安全审查专家委员会,在第三方评价基础上,对网络产品和服务的安全风险及其提供者的安全可信状况进行综合评估”(“网络安全审查办公室具体组织实施网络安全审查”);2)重点行业和领域的主管部门(目前只规定了金融、电信、能源和交通)组织开展审查工作(其他关键信息基础设施的保护工作部门只判断其采购的网络产品和服务是否应该经过网络安全审查/安全可控评估,而不具体实施审查)。所以,“可控”,还意味着网络安全监管部门以及行业和领域主管部门为了保护用户的利益,而对那5种风险有控制力。
值得注意的是《网络产品和服务安全审查办法(试行)》对供应链的安全可控特别重视。《网络安全法》在有关“网络产品和服务”或其他产品的条款中没有涉及供应链问题,而《网络产品和服务安全审查办法(试行)》对此加以强调:第四条提到“供应链安全风险”,第十一条则要求“重点从产品和服务及其供应链的安全性、可控性,安全机制和技术的透明性等方面进行评价”。网络产品和服务的供应链风险问题是另一个复杂并影响广泛的问题,在此不做讨论。
“安全可控”不只适用于网络安全审查,还涉及到许多领域的要求。这就需要“安全可控”的概念要清晰,要求要一致,标准要统一,评估可复用;否则,势必造成监管和主管部门、网络产品和服务的提供商以及用户无所适从。希望政府有关部门和网络安全标准制订机构能够认识其重要性,通过充分讨论、协调、协商予以落实。至今,正式提出安全可控要求的至少还有:
- 习近平主席在网络安全和信息化工作座谈会上的讲话(2016年4月19日): 我们不拒绝任何新技术,新技术是人类文明发展的成果,只要有利于提高我国社会生产力水平、有利于改善人民生活,我们都不拒绝。问题是要搞清楚哪些是可以引进但必须安全可控的,哪些是可以引进消化吸收再创新的,哪些是可以同别人合作开发的,哪些是必须依靠自己的力量自主创新的。
- 习近平主席在中共中央政治局就实施网络强国战略进行第三十六次集体学习上的讲话(2016年10月9日):要紧紧牵住核心技术自主创新这个“牛鼻子”,抓紧突破网络发展的前沿技术和具有国际竞争力的关键核心技术,加快推进国产自主可控替代计划,构建安全可控的信息技术体系。
- 网信办王秀军副主任在第一届中国互联网安全领袖峰会上的讲话(2015年11月4日):通过网络安全审查等国家制度,安全可控地利用世界范围内的先进信息技术产品。
- 网信办王秀军副主任在第二届世界互联网大会上的讲话(2015年12月16日):在安全可控的前提下,我们欢迎来自世界范围内的各种先进技术产品和服务。
- 《关于加强电信和互联网行业网络安全工作的指导意见》(2014年08月28日):推进安全可控关键软硬件应用。
- 《关于应用安全可控信息技术加强银行业网络安全和信息化建设的指导意见》(2014年9月3日):优先应用安全可控信息技术。在涉及客户敏感数据的信息处理环节,应优先使用安全可靠、风险可控的信息技术和服务,当前重点在网络设备、存储、中低端服务器、信息安全、运维服务、文字处理软件等领域积极推进,在操作系统、数据库等领域要加大探索和尝试力度;从2015年起,各银行业金融机构对安全可控信息技术的应用以不低于15%的比例逐年增加,直至2019年达到不低于75%的总体占比(2014年应用的技术和产品可纳入2015年度计算)。
- 《国务院关于大力发展电子商务加快培育经济新动力的意见》(2015年5月4日):电子商务企业要按照国家信息安全等级保护管理规范和技术标准相关要求,采用安全可控的信息设备和网络安全产品。
- 《国家安全法》(2015年7月1日):第二十五条 国家建设网络与信息安全保障体系,提升网络与信息安全保护能力,加强网络和信息技术的创新研究和开发应用,实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控;加强网络管理,防范、制止和依法惩治网络攻击、网络入侵、网络窃密、散布违法有害信息等网络违法犯罪行为,维护国家网络空间主权、安全和发展利益。
- 《保险机构信息化监管规定(征求意见稿)》(2016年4月19日):第五十三条 保险机构应当优先采购安全可控的硬件设备和软件产品,稳步推进安全可控产品应用;积极创造条件,提高关键业务系统的研发水平,不断增强保险机构信息化工作的安全可控能力。
- 《国家信息化发展战略纲要》(2016年7月27日):根本改变核心关键技术受制于人的局面,形成安全可控的信息技术产业体系,电子政务应用和信息惠民水平大幅提高……构建安全可控的信息技术体系……构建统一规范、互联互通、安全可控的国家数据开放体系……。