申江婴:借鉴他国经验强化网络安全
当前,网络被视为继陆、海、空、天之后的第五空间,已成为大国博弈的一个主战场,其中危机四伏,暗战不断。一个个技术漏洞、产品后门,就如同深埋的定时炸弹,随时都可能被引爆,给一国的国家利益带来灾难性的损失。
作为信息技术后发的网络大国,中国头顶上始终悬着一把网络安全的达摩克利斯之剑。据报道,目前中国的芯片、操作系统、数据库以及通用协议和标准仍有90%以上依赖进口,关键信息系统的主机有99%是外国品牌,金融、电信、能源等核心行业的信息系统被国外提供商垄断。而且,这些产品中存在漏洞和后门早已不是捕风捉影的臆断,国内甚至掀起了“去IOE化”的风潮。
国外企业在国内市场如入无人之境。与其形成鲜明对比的是,国内企业在国际市场上却四处碰壁。例如华为在美国遭到众议院的封杀,在澳大利亚被禁止投标宽带网项目,在英国遭到议会情报和安全监督机构的调查,在印度也遭到了情报机构的严密审查,可谓是屡受排挤。而这些阻挠活动统统都是打着国家安全的旗号,并且受到法律保护。
之所以会造成这种被动的局面,在于我国网络安全审查制度的缺位。近日,国家互联网信息办公室宣布,为维护国家网络安全、保障中国用户合法利益,我国即将推出网络安全审查制度。这将为怀有不良意图的企业和国家敲响警钟,并为我国网络安全构筑第一道防火墙。
从全球来看,网络安全审查已成为国际通行做法。美国率先实施,态度也最为强硬,不仅审查的机制、标准和过程不公开,还没有明确的时间限制;既不披露原因和理由,也不接受申述。而且,要接受审查的不仅包括产品和服务本身,还包括与其配套的产品和服务,以及相关企业的背景;不仅包括产品的安全性能指标,还包括研发过程、程序、步骤、方法、产品的交付方法等。
英国实行由通讯电子安全小组负责的安全认证制度,只有通过了由其认可的安全认证,才可以面向英国本土进行销售,否则将被视为违法。国外设备商必须自建安全认证中心,提交源代码和可执行代码以便进行各种测试和验证。
澳大利亚的网络安全审查重视国际合作,其国防通信局与新西兰政府通信安全局共同建立澳大拉西亚信息安全评估计划,采用统一的网络安全审查机制。双方制定了一套多国认可的安全评估标准,并签署了共同标准认可协议。一款产品在协议签署国之间只需测试认证一次,便可被所有签署国接受,所有通过安全评估测试和认证的信息通信产品将被列入通过评估产品列表,供两国政府机构采购。
俄罗斯作为饱受网络黑客攻击的国家之一,其网络安全审查制度也十分严格,更加侧重于产业,确立了一套对外资进入其战略性产业的安全审查制度,由俄罗斯工业和贸易部接受申请,并征询俄联邦安全局和国家保密委员会的审核评估意见,从而确定交易是否存在风险。
印度的网络安全审查制度具有两大鲜明特征。一是重点突出,重点关注通信产品以及“关键核心设备”,要求运营商必须得到内政部的安全审查以及第三方认证后,方可签署合同。二是将责任下沉,加大惩罚力度。因采购进口设备而引发的安全问题,运营商须全面承担责任;设备商一旦被发现提供的设备有间谍软件,将被列入黑名单,禁止在印度从事任何业务,并将被处以等价于合同金额的罚金。
总体来看,与发达国家相比,我国在网络安全审查方面才刚刚起步。但亡羊补牢,未为晚也。我国应博采众长,积极借鉴美国、英国、澳大利亚、俄罗斯和印度等国家的做法,构建全面的网络安全审查体系,提升网络安全检测技术,开展网络安全认证、政府采购的国际合作,打造安全可控的网络安全产业,加大对网络安全违法行为的惩罚力度,从而构建一个安全可控的网络空间。