《到底什么是“安全可控”》由会员分享,可在线阅读,更多相关《到底什么是“安全可控”(6页珍藏版)》请在金锄头文库上搜索。
1、网络产品和服务安全审查办法(试行)讨论之二:到底什么是“安全可控”? “安全可控”的提法由来已久,各法律法规、政府文件、技术标准以及各级领导的讲话中,都多次提及甚至强调安全可控的重要性。但“安全可控”具体指的是什么,却并不是业界每个人都清楚的。网络安全法颁布后,各种配套法规、实施细则以及配套标准都在紧锣密鼓地起草制定之中,这是从立法到标准上明确安全可控的实质内涵、其可能的外延以及其与其他术语或产品要求之间关系的重要时期,对于网络安全监管部门、各行业主管部门、标准制订机构、产品和服务的提供者以及各层级的用户来说,都十分重要。 应该说,网络产品和服务安全审查办法(试行)第一次在法规层面解释了安全可
2、控的内涵: 第一条 网络产品和服务的安全性、可控性直接影响用户利益、关系国家安全。为提高网络产品和服务安全可控水平,防范供应链安全风险,维护国家安全和公共利益,依据中华人民共和国国家安全法中华人民共和国网络安全法,制定本办法。 第四条 重点审查网络产品和服务的安全性、可控性,主要包括:(一)产品和服务被非法控制、干扰和中断运行的风险;(二)产品及关键部件研发、交付、技术支持过程中的风险;(三)产品和服务提供者利用提供产品和服务的便利条件非法收集、存储、处理、利用用户相关信息的风险;(四)产品和服务提供者利用用户对产品和服务的依赖,实施不正当竞争或损害用户利益的风险;(五)其他可能危害国家安全和
3、公共利益的风险。 (2014年,银监会的317号文银行业应用安全可控信息技术推进指南(2014-2015年度)中(注:该文已经被暂停执行,见:银监办发201557号),安全可控被定义为“技术风险、外包风险和供应链风险可控”。) 网络安全法第十六条规定: “推广安全可信的网络产品和服务。”这里的“安全可信”是什么意思呢?与安全可控有什么关系?网络安全法2016年11月7日在第十二届全国人民代表大会常务委员会第二十四次会议刚刚获得通过,网信办网络安全协调局赵泽良局长即于当日做出详细解释: 无论是自主可控、安全可控还是安全可信,其基本含义都是一致的,基本要求也是一致的。 1、产品和服务提供者不应该利
4、用提供产品和服务的便利条件来非法获取用户系统中的信息、用户设备中自己的信息或者不应该损害用户对自己信息的自主权、支配权。 2、产品服务提供者不能利用提供产品和服务的便利条件来非法控制、非法操纵用户的系统、用户的设备,损害用户对自己系统、设备的控制权。 3、安全、网络产品和服务的提供者,不应该利用广大用户对产品和服务的依赖搞不正当竞争、谋取不正当利益,比如停止不必要的安全服务、搞垄断经营等等。赵泽良局长对于安全可控的解释与网络产品和服务安全审查办法(试行)的规定基本相同。因此可以理解为:安全可信与安全可控实质等同,网络安全法中的“推广安全可信的网络产品和服务”也可以看作为“推广安全可控的网络产品
5、和服务”。这一点,在网络产品和服务安全审查办法(试行)中已经清晰地体现出来。(另外,其他官方场合提到的“安全可信”应该也可以按此理解:-国务院关于印发促进大数据发展行动纲要的通知(2015年9月):“建立安全可信的大数据技术体系”;“采用安全可信产品和服务,提升基础设施关键设备安全可靠水平。”-重点领域技术路线图(2015年版)(2015年9月):“安全可信全国产软硬件协同创新工程”。-国家网络空间安全战略(2016年12月27日):重视软件安全,加快安全可信产品推广应用。)全国信息安全标准化技术委员会正在制定信息技术产品安全可控方面的系列国家标准,如信息安全技术 信息技术产品安全可控评价指标
6、 第2部分:中央处理器(见:http:/ 网络产品和服务安全基本要求(http:/ 项要求,“可控”显示指的是用户可控,即用户对那5种风险有控制力。同时,按照网络安全审查的规定,网络产品和服务的安全可控(安全性、可控性)的审查有两种途径:1)“网络安全审查委员会聘请相关专家组成网络安全审查专家委员会,在第三方评价基础上,对网络产品和服务的安全风险及其提供者的安全可信状况进行综合评估”(“网络安全审查办公室具体组织实施网络安全审查”);2)重点行业和领域的主管部门(目前只规定了金融、电信、能源和交通)组织开展审查工作(其他关键信息基础设施的保护工作部门只判断其采购的网络产品和服务是否应该经过网络
7、安全审查/安全可控评估,而不具体实施审查)。所以,“可控”,还意味着网络安全监管部门以及行业和领域主管部门为了保护用户的利益,而对那5种风险有控制力。值得注意的是网络产品和服务安全审查办法(试行)对供应链的安全可控特别重视。网络安全法在有关“网络产品和服务”或其他产品的条款中没有涉及供应链问题,而网络产品和服务安全审查办法(试行)对此加以强调:第四条提到“供应链安全风险”,第十一条则要求“重点从产品和服务及其供应链的安全性、可控性,安全机制和技术的透明性等方面进行评价”。网络产品和服务的供应链风险问题是另一个复杂并影响广泛的问题,在此不做讨论。“安全可控”不只适用于网络安全审查,还涉及到许多领
8、域的要求。这就需要“安全可控”的概念要清晰,要求要一致,标准要统一,评估可复用;否则,势必造成监管和主管部门、网络产品和服务的提供商以及用户无所适从。希望政府有关部门和网络安全标准制订机构能够认识其重要性,通过充分讨论、协调、协商予以落实。至今,正式提出安全可控要求的至少还有: - 习近平主席在网络安全和信息化工作座谈会上的讲话(2016年4月19日): 我们不拒绝任何新技术,新技术是人类文明发展的成果,只要有利于提高我国社会生产力水平、有利于改善人民生活,我们都不拒绝。问题是要搞清楚哪些是可以引进但必须安全可控的,哪些是可以引进消化吸收再创新的,哪些是可以同别人合作开发的,哪些是必须依靠自己
9、的力量自主创新的。 - 习近平主席在中共中央政治局就实施网络强国战略进行第三十六次集体学习上的讲话(2016年10月9日):要紧紧牵住核心技术自主创新这个“牛鼻子”,抓紧突破网络发展的前沿技术和具有国际竞争力的关键核心技术,加快推进国产自主可控替代计划,构建安全可控的信息技术体系。 - 网信办王秀军副主任在第一届中国互联网安全领袖峰会上的讲话(2015年11月4日):通过网络安全审查等国家制度,安全可控地利用世界范围内的先进信息技术产品。 - 网信办王秀军副主任在第二届世界互联网大会上的讲话(2015年12月16日):在安全可控的前提下,我们欢迎来自世界范围内的各种先进技术产品和服务。 - 关
10、于加强电信和互联网行业网络安全工作的指导意见(2014年08月28日):推进安全可控关键软硬件应用。 - 关于应用安全可控信息技术加强银行业网络安全和信息化建设的指导意见(2014年9月3日):优先应用安全可控信息技术。在涉及客户敏感数据的信息处理环节,应优先使用安全可靠、风险可控的信息技术和服务,当前重点在网络设备、存储、中低端服务器、信息安全、运维服务、文字处理软件等领域积极推进,在操作系统、数据库等领域要加大探索和尝试力度;从2015年起,各银行业金融机构对安全可控信息技术的应用以不低于15的比例逐年增加,直至2019年达到不低于75的总体占比(2014年应用的技术和产品可纳入2015年
11、度计算)。 - 国务院关于大力发展电子商务加快培育经济新动力的意见(2015年5月4日):电子商务企业要按照国家信息安全等级保护管理规范和技术标准相关要求,采用安全可控的信息设备和网络安全产品。 - 国家安全法(2015年7月1日):第二十五条 国家建设网络与信息安全保障体系,提升网络与信息安全保护能力,加强网络和信息技术的创新研究和开发应用,实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控;加强网络管理,防范、制止和依法惩治网络攻击、网络入侵、网络窃密、散布违法有害信息等网络违法犯罪行为,维护国家网络空间主权、安全和发展利益。 - 保险机构信息化监管规定(征求意见稿)(
12、2016年4月19日):第五十三条 保险机构应当优先采购安全可控的硬件设备和软件产品,稳步推进安全可控产品应用;积极创造条件,提高关键业务系统的研发水平,不断增强保险机构信息化工作的安全可控能力。 - 国家信息化发展战略纲要(2016年7月27日):根本改变核心关键技术受制于人的局面,形成安全可控的信息技术产业体系,电子政务应用和信息惠民水平大幅提高构建安全可控的信息技术体系构建统一规范、互联互通、安全可控的国家数据开放体系 - 工业和信息化部关于印发信息化和工业化融合发展规划(20162020年)的通知(2016年10月12日):重点扶持安全可控的工业基础软硬件、高端行业应用软件、嵌入式系统
13、、新型工业APP应用平台、工业互联网网络设备、工控安全防护产品发展。 - 国家网络空间安全战略(2016年12月27日):网络安全风险得到有效控制,国家网络安全保障体系健全完善,核心技术装备安全可控,网络和信息系统运行稳定可靠。建立实施网络安全审查制度,加强供应链安全管理,对党政机关、重点行业采购使用的重要信息技术产品和服务开展安全审查,提高产品和服务的安全性和可控性,防止产品服务提供者和其他组织利用信息技术优势实施不正当竞争或损害用户利益。 - 信息产业发展指南(2017年1月16日):加快发展具有国际竞争力、安全可控的现代信息产业体系,为建设制造强国和网络强国打下坚实基础。以加快建立具有全球竞争优势、安全可控的信息产业生态体系为主线。安全可控。统筹发展和安全,以安全保发展、以发展促安全。到2020年,具有国际竞争力、安全可控的信
