《网络安全法》第三十五条规定,“关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查”。近期,国家互联网信息办公室发布了《网络产品和服务安全审查办法(征求意见稿)》,网络安全审查工作有了明确的法律依据和清晰的目标定位。作为我国网络空间安全战略的重要组成部分,网络安全审查制度的建立无疑将更加有利于保障国家安全,更加有利于广大用户安全放心地使用先进的网络技术产品。
重要网络和信息系统安全风险隐患凸显。“互联网”时代,能源、金融、通信、交通等各个领域的网络化程度突飞猛进,行业用户对网络安全的担忧也与日俱增。乌克兰电力系统遭恶意软件攻击,造成电网主机系统崩溃,导致伊万诺-弗兰科夫斯克地区约一半的家庭停电数小时。OpenSSL曝出新的高危漏洞,密码、银行卡号、商业机密等敏感信息存泄露风险,影响全球超过三分之一的HTTPS网站。黑客利用存在漏洞的物联网设备,对美国域名服务提供商Dyn公司发动DDoS攻击,导致美国互联网大面积瘫痪。网络安全事件不绝于耳、触目惊心,用户难免担心类似的数据泄露或系统瘫痪问题在自己身上重现。
重要网络产品安全可控亟需制度层面保障。面对复杂严峻的网络安全形势,用户正在从仅关注产品功能、性能,转到同步重视产品安全性、可靠性。今后企业或许将从以往的通过产品功能占领市场,转变为靠产品的安全性来赢取用户。从用户角度而言,仅通过企业提供的资质证明、产品说明等材料,无法甄别产品的安全与否,对于使用过程中的风险也难以做到心中有数,这些问题亟需从制度和机制上予以保障。
建立网络安全审查制度对于保障国家网络安全意义重大。各有关部门对关键信息基础设施运营者采购网络产品和服务开展安全审查,势必将为企业更加透明、开放地提供产品和服务,为用户更加安全、放心地利用先进技术促进自身业务发展提供制度保障。《网络产品和服务安全审查办法(征求意见稿)》提出,网络安全审查的重点是网络产品和服务的安全性、可控性,明确了第三方评价、专家评估、持续监督等审查程序,强调企业要重视自身产品及运行维护过程中的安全可信,形成安全促进发展,发展保障安全的良性循环,有利于构建让用户更加安心的产业生态环境。
相信,通过企业、用户、第三方机构及政府部门的共同努力,网络安全审查制度的建立将切实防范供应链安全风险,提高网络技术产品的安全可控水平,实现维护国家安全的目的。
(作者:工业和信息化部电子科学技术情报研究所所长 尹丽波)