今年2月，中央網(wǎng)絡安全和信息化領導小組成立，習近平擔任組長，在中央網(wǎng)信領導小組第一次會議上，習近平提出“沒有網(wǎng)絡安全就沒有國家安全”，這標志著網(wǎng)絡安全上升至國家戰(zhàn)略高度。

國家互聯(lián)網(wǎng)辦公室發(fā)言人姜軍指出，近年來，我國政府部門、機構、企業(yè)、大學及電信主干網(wǎng)絡遭受大規(guī)模的侵入、監(jiān)聽，深受其害。特別是去年6月初發(fā)生的“斯諾登事件”，為世界各國敲響了警鐘，充分印證了“沒有網(wǎng)絡安全就沒有國家安全”。

而據(jù)了解，我國即將推出的網(wǎng)絡安全審查制度，規(guī)定對進入我國市場的重要信息技術產(chǎn)品及其提供者進行網(wǎng)絡安全審查。審查重點在于該產(chǎn)品的安全性和可控性，旨在防止產(chǎn)品提供者利用提供產(chǎn)品的方便，非法控制、干擾、中斷用戶系統(tǒng)，非法收集、存儲、處理和利用用戶有關信息。對不符合安全要求的產(chǎn)品和服務，將不得在中國境內使用。

焦點1 為何需要進行審查?

使用國外設備比例高

一位國信辦的官員對新京報記者表示，在中國的信息化建設中，大量使用國外的產(chǎn)品，確實帶來了一定好處。但是我國的電信主干、網(wǎng)絡信息都存在很大威脅，甚至國家領導人也曾被監(jiān)控。

中國工程院院士倪光南介紹，由于過去沒有網(wǎng)絡安全審查制度，人們對網(wǎng)絡安全也不夠重視，因此我國信息系統(tǒng)采用國外設備比例很高。例如，盡管國產(chǎn)設備性價比有優(yōu)勢，但據(jù)了解我國骨干網(wǎng)設備近八成是思科產(chǎn)品，這顯然為實施“棱鏡門”這類監(jiān)控計劃提供了方便。

工信部電子科學技術情報研究所總工程師尹麗波對新京報記者介紹，美國的“八大金剛”(微軟、思科、高通等8個美國公司)在我國的市場產(chǎn)量占有很多比例，但是正如“棱鏡門”事件所揭示的，他們的一些產(chǎn)品被預置了“后門”。美國的相關情報部門可以實時收集信息。

她認為，如果我們做了審查的話，涉及國家安全和信息的重要產(chǎn)品，至少可以保證它沒有被植入后門，也確保這些被用在政府部門、企業(yè)等的重要產(chǎn)品不會非法收集信息、非法控制數(shù)據(jù)。

尹麗波表示，去年斯諾登披露的文件中提到美國國家安全局對它在海關所截獲的網(wǎng)絡相關設備直接安裝自己的“后門”，再用原廠的包裝打包，再按照原來的渠道發(fā)往國外。

“因此，我國為保障影響國計民生的重要系統(tǒng)產(chǎn)品和服務進行審查。如果這么多系統(tǒng)被控制的話，我們不知道這些數(shù)據(jù)是為政府所用，還是為某些關鍵行業(yè)而用。有些信息若被拿走的話，很可能影響國家安全。”尹麗波說。

焦點2 如何進行審查?

第三方機構進行檢測

上述官員表示，審查對象包括關系國家安全、國家利益、國計民生產(chǎn)品，以防止其提供便利的同時，控制干擾用戶的運行或者通過利用提供產(chǎn)品的機會，非法處理用戶的信息。

該官員表示，審查是為了維護用戶利益和國家安全。審查的過程包括事前檢測、事中監(jiān)督以及事后懲處三部分。

那么誰來進行審查工作?上述官員透露，將有第三方機構進行檢測。此外，政府還倡導提供者自我承諾。

至于該制度何時出臺，該官員并未透露具體時間，僅表示“我認為應該很快”。

他介紹，將根據(jù)產(chǎn)品和服務的用途來進行審查。但是審查的對象“并無國別差別，不管是國內還是國外的信息產(chǎn)品和服務。”此外，他介紹，審查的對象也不按照開發(fā)或生產(chǎn)的時間，對于“存量”的產(chǎn)品和服務，也將進行審查。

對此，CEC中國信息安全研究院副院長左曉棟解釋，審查的內容絕不單單是一個單純的技術性的審查。而是將考量各種指標和因素。他舉例稱，包括對企業(yè)聲譽，背景審查、公司資質，“將從多角度衡量產(chǎn)品和提供商的可控性與安全性。”

左曉棟強調，網(wǎng)絡安全審查制度是針對提供技術產(chǎn)品和服務的廠商，而非針對網(wǎng)絡的用戶及信息內容。

焦點3　審查范圍如何界定?

看信息系統(tǒng)為誰服務

審查對象包括“關系國家安全和公共利益的系統(tǒng)使用的重要信息技術產(chǎn)品和服務”，那么實際操作中如何界定?

對此，倪光南認為，界定需要考慮兩個方面，一是需要考慮信息系統(tǒng)為誰服務、與誰相關?例如，如果信息系統(tǒng)和政府相關，或者關系到國家的經(jīng)濟命脈，那么，這樣的信息系統(tǒng)就可以認為是關系國家安全和公共利益的系統(tǒng)。

另外，還需考慮所采用的產(chǎn)品和服務的性質，是屬于一般的，還是重要的?這兩方面的考察，可以界定產(chǎn)品和服務是否屬于審查制度適用的范圍。

他解釋，此次制度與以往的規(guī)定的主要區(qū)別有兩點。首先是，管理的范圍不同。“以前管理的主要是信息安全產(chǎn)品，比如防火墻，防中毒軟件等等。”而現(xiàn)在的制度重點則是關于國家安全和公共利益的產(chǎn)品與服務。

第二個區(qū)別則是，以前對產(chǎn)品進行的是復合型檢查，如果產(chǎn)品符合標準中的要求，就給發(fā)證。但是，如果產(chǎn)品除了寫在白紙黑字上的功能之外，還有其他的功能，理論上很難發(fā)現(xiàn)，或者說，以前檢查的重點不在此。

焦點4　制度違背國際規(guī)定?

專家稱不違背WTO規(guī)定

對國外信息技術產(chǎn)品及服務的審查，或將引起外界對中國政府是否違背WTO規(guī)定的爭議。對此左曉棟認為，目前中國規(guī)定的是涉及國家安全與公共利益領域的信息產(chǎn)品和服務的重要產(chǎn)品。根據(jù)WTO的規(guī)定，是可以適用其“安全例外”條款(第21條)。

國信辦官員也表示，該制度并不違背WTO的規(guī)定。目前，在別的國家也有對于網(wǎng)絡安全審查制度。他強調，我國的網(wǎng)絡安全審查制度不搞國別差異，也不針對特定的地區(qū)和特定的國家。

此外，該規(guī)定是否會打擊企業(yè)的利益?對此左曉棟認為，該制度對合法企業(yè)不存在傷害利益的情況。

上述官員認為，“網(wǎng)絡安全審查，使得產(chǎn)品和服務更安全，使得用戶放心地使用產(chǎn)品。因此我們認為，會促進信息產(chǎn)業(yè)的發(fā)展。”

中國網(wǎng)絡面臨哪些威脅?

少數(shù)國家政府和企業(yè)利用自己產(chǎn)品的“單邊壟斷”和技術“獨霸”優(yōu)勢，大規(guī)模收集敏感數(shù)據(jù)，不但嚴重損害了廣大用戶的利益，而且對其他國家的網(wǎng)絡空間安全造成巨大威脅。

今年3月19日至5月18日，2077個位于美國的木馬或僵尸網(wǎng)絡控制服務器，直接控制了我國境內約118萬臺主機

2016個位于美國的IP對我國境內1754個網(wǎng)站植入后門，涉及后門攻擊事件約5.7萬次

那么，審查的對象有哪些? 進入我國市場的重要信息技術產(chǎn)品及其提供者，其為標準：是否關系國家安全和公共利益？

審查的方式是什么?事前審查，事中監(jiān)測還是事后懲處？

第三方機構：未進入市場的，對用戶信息安全進行技術審查，同時對該產(chǎn)品是否對國家安全造成影響、是否會產(chǎn)生壟斷等社會經(jīng)濟安全影響進行評估；已進入市場的，并非絕對安全，補丁和升級都可能帶來新的安全隱患，因此同樣需要監(jiān)控。

那么美國如何進行審查?

美國網(wǎng)絡安全審查標準和過程是不公開的。美國對供應鏈安全審查的過程、標準、機制完全封閉，不披露原因和理由，不接受供應方申訴。主要考慮對國家安全、司法和公共利益的潛在影響，且其審查沒有明確的時間限制。

案例：2012年，美國眾議院情報委員會就以國家安全為由，對中國企業(yè)進行安全審查。