2014-11-30 16:17:40
進入新世紀以來,信息技術迅猛發展,國民經濟和社會信息化不斷深化,經濟社會發展對基礎網絡和重要資訊係統的依賴程度越來越高,一旦發生重大安全問題,不僅會造成嚴重經濟損失,而且會影響國家利益和公眾利益,甚至危害國家安全。在全球信息化的背景下,網絡安全已成為世界各國共同關注的熱點問題。當前,網絡空間已被視為繼陸、海、空、天之後的“第五空間”,網絡空間安全已成為各國高度關注的重要領域。
2014年2月27日,在中央網絡安全和信息化領導小組第一次會議上,習近平總書記提出了“網絡安全和信息化是一體之兩翼,驅動之雙輪”、“沒有網絡安全就沒有國家安全,沒有信息化就沒有現代化”等重要論斷,標誌著網絡安全已上升至國家戰略高度。隨後在5月22日,國家互聯網資訊辦公室發布消息稱,為維護國家網絡安全、保障中國用戶合法利益,我國即將推出網絡安全審查制度。該制度規定,關係國家安全和公共利益的重要技術産品和服務,應通過網絡安全審查。這是我國首次正式提出建立國家網絡安全審查制度。
縱觀一些西方國家實施國家安全審查制度的經驗,可以給我們一些啟示。美國作為設立國家安全審查制度的最具代表性國家之一,其最初目的是對可能導致控制從事美國州際貿易的人的外資並購進行國家安全審查。在1992年,國會又通過《埃克森-弗羅裏奧修正法》,增加了對外國政府控制的企業在美並購進行國家安全審查的條文。2007年7月26日,布希總統簽署了《2007年外國投資與國家安全法》,該法維持了“埃克森-弗羅裏奧”條款所確立的國家安全審查的程式和權力分配方案,對于那些可能導致“控制美國關鍵性基礎設施”的外資並購,應當進行國家安全審查。可以看出,美國國家安全審查的功能定位和范圍相對最初定位呈現出了擴張趨勢,除了在維護經濟安全方面發揮更加積極主動的作用,還包括了對關鍵基礎設施産業的保護,拓展到了聯邦政府雲計算服務、重要資訊係統供應鏈等。其安全審查對象不僅包括産品和服務的安全性能指標,還包括産品研發過程、程式、步驟、方法、産品的供應鏈等,同時産品和服務供應方的員工與企業背景也在審查之列。眾所周知,2011年11月,美國眾議院情報委員會就華為、中興涉嫌“威脅美國國家安全”事件,正式展開調查;2012年3月,三一重工收購美國俄勒岡州海軍軍事基地附近的4座風力發電廠項目被叫停等等,這些都是中國企業“走出去”時所遭遇的政治壁壘。
為配合國家網絡安全審查制度的建立,全國信息安全標準化技術委員會已經組織制定了雲服務安全和信息技術産品供應行為安全方面的國家標準,下面將這些標準進行簡要介紹。
雲服務安全審查標準概述
為有效落實國發〔2012〕23號文,加強政府資訊係統安全管理,加快雲計算服務安全標準制定工作,全國信息安全標準化技術委員會制定了兩項雲計算服務安全關鍵標準:GB/T 31167-2014《信息安全技術 雲計算服務安全指南》和GB/T 31168-2014《信息安全技術 雲計算服務安全能力要求》。
GB/T 31167-2014描述了雲計算服務可能面臨的主要安全風險,提出了政府部門採用雲計算服務的安全管理基本要求,及雲計算服務的生命周期各階段的安全管理和技術要求。該標準為政府部門採用雲計算服務,特別是採用社會化的雲計算服務提供全生命周期的安全指導,適用于政府部門採購和使用雲計算服務,也可供重點行業或企事業單位參考。
GB/T 31168-2014對政府部門和重要行業使用的雲計算服務提出了基本的安全能力要求,反映了雲服務商在保障雲計算平臺上的資訊和業務安全時應具有的基本能力。標準對雲服務商提出了一般要求和增強要求。根據擬遷移到社會化雲計算平臺上的政府和行業資訊、業務的敏感度及安全需求的不同,雲服務商應具備的安全能力也各不相同。該標準概述了雲計算措施的實施責任、作用范圍、安全要求的分類等,描述了針對每類安全要求的具體要求。標準在附錄中給出了安全計劃的模版,以便于開展對雲服務商的安全評估。
信息技術産品安全審查標準概述
為貫徹全國人大常委會《關于加強網絡資訊保護的決定》相關要求,充分發揮國家信息安全標準在保障個人、企業和國家安全中的技術支撐作用,全國信息安全標準化技術委員會組織制定了信息技術産品供應安全標準:《信息安全技術 信息技術産品供應方行為安全準則》,目前已形成報批稿,從信息技術産品(包括軟件、硬體、係統等)安全使用和管理的角度,規范信息技術産品供應方在提供信息技術産品時應遵守一定的信息安全行為規范。適用于信息技術産品供應過程中的資訊保護及其管理,也可為信息技術産品的研發、運維等提供參考。
在堅持開放創新的政策下,我們不應忽視潛在的安全問題,相關法律法規亟須建立,相應的國家標準也需盡快研制與實施,而制定出臺配套的國家標準,助力網絡安全審查制度建立,是全國信息安全標準化技術委員會責無旁貸的重任。(全國信息安全標準化技術委員會 羅鋒盈)