捍卫网络领土 期冀国产后盾

网络安全审查制度即将推行，重点审查产品的安全性和可控性

捍卫网络领土 期冀国产后盾

■ 本报记者 周琳娜 程志娟 梁爽

中央网络安全和信息化领导小组成立未满百日，我国网络安全管理即将迎来一个重大改变。

国家互联网信息办公室5月22日发布消息称，我国将于近期推出网络安全审查制度，以维护国家网络安全、保障中国用户合法利益。为何要推出网络安全审查制度？它将对政府采购提出哪些要求？会给信息产业带来怎样的变革？围绕这些问题，《中国政府采购报》记者第一时间进行了调查采访。

世界1/4 “虚拟国土”的防卫议题

互联网，被喻为一个国家的“虚拟国土”。 随着信息科技的发展，它已经深度渗透到经济、政治、文化、社会等领域。

我国有着庞大的“虚拟国土”，到2013年年底，全国网络用户数量达6.18亿，占全球网络用户数量的比例接近1/4。但不容忽视的是，在这块占世界近1/4的“国土”上，安全警报正频频拉响。

国家互联网应急中心曾向媒体披露了一份触目惊心的“记录”：每年从国外对我国政府网站发起的攻击数以万计，种植的木马病毒控制了境内６０万台计算机。

中国工程院院士倪光南分析说，过去很长一段时期，由于我国没有高层机构负责国家的网络空间安全，也缺乏相应的制度，国内网络基础设施和核心技术设备大量采用他国软硬件。有报道称，国外品牌参与了中国几乎所有大型网络项目的建设，涉及政府、金融、交通等要害部门。

国家互联网信息办公室发言人姜军也向媒体证实，近年来，我国政府机构、企业、大学和通讯主干网络遭遇大规模的侵入、监听，深受其害。少数国家政府和企业长期利用自己产品的“单边垄断”和技术“独霸”优势，大规模收集敏感数据，严重损害了广大用户的利益，对其他国家的网络空间安全造成巨大威胁。

国土有边界防卫，虚拟国土该不该有？答案已不言自明。国家互联网信息办公室有关负责人的公开表态更是将其上升到国家存亡的高度：网络管不好或将导致“国将不国”。

在这种情况下，推出网络安全审查制度，是形势所迫，也是大势所趋。中国信息安全认证中心副主任陈晓桦在接受《中国政府采购报》记者采访时表示，这一制度是中央网络安全和信息化领导小组成立之后我国加强网络管理的一项重要举措。

所谓的网络安全审查，是针对重要信息技术产品及提供者，重点审查产品的安全性和可控性，以防产品提供者非法控制、干扰终端用户系统，非法收集、存储、处理和利用用户有关信息。不符合安全要求的产品和服务，将不得在本国境内使用。

“我国建立网络安全审查制度，可以说是吸取了发达国家经验。”倪光南分析说。据了解，美国、日本等发达国家早在十多年前就已经建立了完备的网络安全审查制度体系。以美国为例，其网络安全审查不仅包括产品安全性能指标，还有产品的研发过程、程序、步骤、方法，产品的交付方法等；审查主要考虑对国家安全、司法和公共利益的潜在影响，已实现了对国家安全系统、国防系统和联邦政府系统的全覆盖，且在事关安全的决策方面，不公开标准和过程，不披露原因和理由，不接受供应商申诉。

中国互联网协会研究中心秘书长胡钢认为，网络安全审查制度的推出不仅合乎当前国际网络信息安全形势，从现有法律的角度来看，也有着明确的法律依据。胡钢告诉记者，我国《对外贸易法》第二十六条规定，为维护国家安全需要，可以限制或者禁止有关的国际服务贸易。因此，根据网络安全审查并根据审查结果限制或禁止有关的国际服务贸易是完全合法的。

网络审查中的政府采购角色

建立网络安全审查制度的消息发布后，审查工作如何落到实处，成为公众普遍关心的话题。

北京邮电大学移动互联网安全技术国家工程实验室博士生导师、副教授崔宝江认为，网络安全审查工作从无到有，需逐步开展，其具体实施流程可能包括以下四个步骤：

第一，在国家相关机构领导下，组建负责全国网络安全审查的组织协调机构。

第二，由组建的全国网络安全审查组织协调机构负责组织具有检测能力的第三方机构，协同分工，着手制定网络安全审查的产品范围、流程和规范草案，并由相关部门讨论和批准后开展试点工作。

第三，根据流程、规范和产品范围，在规定时间内开展网络安全审查试点工作。

第四，根据试点工作的实施经验，将网络安全审查工作逐步制度化、标准化，最终成熟而完善的制度体系。

那么，在执行环节，作为财政宏观调控工具，政府采购将扮演何种角色？陈晓桦说：“网络安全审查的首要对象就是党政机关、重要行业及涉及国计民生的领域，因此，该项制度一旦执行，首先将在政府采购领域发生作用。”

中央财经大学政府管理学院教授徐焕东认为，推行网络安全审查制度，应该从政府采购环节入手，并出台相关政策办法。

北京服务外包企业协会首席服务学家陈刚建议，政府采购可在政策层面建立网络信息安全产品和服务的标准，通过资质认证等手段，提高相关产品和服务进入政府采购的门槛，并实行分级管理的方式，为国内网络信息安全提供必要保障。

崔宝江则提倡，在实施过程中，政府采购宜和网络安全审查机构建立双向互动机制。政府采购需要采购的产品可先提交网络安全审查机构，以供其检查是否有未经过网络安全审查的产品。政府采购也可针对特定产品及未列入审查名单的产品，提交申请进行网络安全审查的建议。通过政府采购和网络安全审查的双向互动，确保通过政府采购进入相关机构的产品和服务符合网络安全审查制度。

政策利好，倒逼国产企业转型升级

与前几日Windows8操作系统被拒事件一样，网络安全审查的消息直接刺激了市场的反应： 5月23日，浪潮、北信源等涉及网络信息安全产品和服务的国产公司，其股票领涨沪、深两市。

据相关媒体报道，我国即将推出的网络安全审查制度，其审查范围主要包括关系国家安全和公共利益的系统使用的重要技术产品和服务。浪潮集团副总裁左佰臣认为，从技术角度，网络安全审查的产品和服务包括电脑和手机等终端类设备，交换机、防火墙等网络层，服务器和存储的主机装备，操作系统、中间件和数据库的软件，满足行业应用的应用软件等。

网络安全审查机制这项涉及数以万计IT企业的政策，普遍被视为国产企业和品牌的“利好”。

倪光南分析说，对于本国企业而言，如果其技术产品和服务确实是自主研发的，符合国家有关安全规范，那么一般说来，应该能通过安全审查制度，所以这一制度不会对本国企业的创新产生影响。至于外国企业的技术产品和服务，就要看其是否能符合我国的有关安全规范，是否能证明没有后门，是否能保证敏感信息不流到境外等，而这些要求，外国企业的技术产品和服务不一定都能满足。因此，总的说来，网络安全审查机制有利于本国企业发挥性价比优势，并有可能替代外国的技术产品和服务。

曙光信息产业股份有限公司副总裁任京旸认为，网络安全审查制度实施后，用户的网络安全意识将进一步加强。在信息化建设项目中，安全产品的比重将获得提升，对自主创新型民族企业的信赖度与青睐度将增强。“此举将在一定程度上打破准垄断行为，为更多创新型中小企业创造公平发展机会、良性生存发展空间；还将促进国内信息安全企业技术升级，进而带动产业升级。客观上看，为创新型民族企业营造了有利的发展环境。”

然而，网络安全审查制度的推行，对国产企业和品牌也是一种挑战。陈刚认为，要想真正打开相应的产品和服务市场，国产化企业必须加大在研发等方面的资金和人力投入，实现企业的转型和升级。有专家提醒，在网络安全审查制度下，国产企业应进一步提升自身进行安全性自查和自检的能力，促进我国信息技术企业的健康良性发展。

“网络安全审查制度从出台到落实，是一个任重道远的过程。”宏碁电脑（上海）有限公司执行副总裁宋京华说，“无论是技术能力、队伍建设还是组织机构等，我们都亟须完善。”只有通过国家层面健全和完善相关法律制度，企业层面建立起自我约束机制，我国的网络社会及信息技术产业才能得到良好而健康的发展。