網絡安全審查制度借鑒國外經驗
據介紹,此次審查制度借鑒發達國家經驗,並非一時興起或針對某些國家或事件。“之所以現在出台此項制度,主要是因為我國的測評技術、體系、標准等均已成熟。我們雲計算基礎設施已經完備,今年我國將以雲計算平台安全測試作為工作試點,制定雲計算安全標准,主要從安全技術要求和服務能力標准兩個方面進行審查,從中找出安全短板,進而盡快彌補安全漏洞。”李京春說。
專家還表示,此次網絡安全審查制度從出台到全面實施將循序漸進,從重點行業開始逐步擴展到各個領域和行業。
(綜合本報張洋、鄭會燕和新華社記者白陽、史競男報道)
鏈接
美國的網絡安全審查
網絡安全審查,就是對關系國家安全和社會穩定信息系統中使用的信息技術產品與服務進行測試評估、監測分析、持續監督的過程。
2000年,美國率先在國家安全系統中對採購的產品進行安全審查,隨后陸續針對聯邦政府雲計算服務、國防供應鏈等出台了安全審查政策,實現了對國家安全系統、國防系統、聯邦政府系統的全面覆蓋。審查對象不僅涉及產品和服務,還會針對產品和服務提供商。隨后,美國等西方國家為保障國家安全、防范供應鏈安全風險,逐步建立了多種形式的網絡安全審查制度。將全方位、綜合性的供應鏈安全審查對策上升至國家戰略高度。
美國網絡安全審查標准和過程是不公開的。美國對供應鏈安全審查的過程、標准、機制完全封閉,不披露原因和理由,不接受供應方申訴。主要考慮對國家安全、司法和公共利益的潛在影響,且其審查沒有明確的時間限制。
美國安全審查的要害之一,是安全審查結果具有強制性。美國國家安全系統委員會發布的《國家信息安全保障採購政策》規定,進入國家安全系統的信息技術產品必須通過審查。美國政府發布的《聯邦風險及授權管理計劃》,要求為聯邦政府提供雲計算服務的服務商,必須通過安全審查、獲得授權﹔聯邦政府各部門不得採用未經審查的雲計算服務。
美國網絡安全審查的內容不局限於技術。美國聯邦政府要求,不僅要審查產品安全性能指標,還要審查產品的研發過程、程序、步驟、方法、產品的交付方法等,要求企業自己証明產品已經達到了規定的安全強度。
美國要求被審查企業簽署網絡安全協議,協議通常包括:通信基礎設施必須位於美國境內﹔通信數據、交易數據、用戶信息等僅存儲在美國境內﹔若外國政府要求訪問通信數據必須獲得美國司法部、國防部、國土安全部的批准﹔配合美國政府對員工實施背景調查等。
 |
