首页 > 代码库 > 网络安全审查制度出台 一场中国IT界的暴风雨

网络安全审查制度出台 一场中国IT界的暴风雨

网络安全审查制度出台  一场中国IT界的暴风雨

 

      随着斯诺登事件爆发一年以来,我们从未关注过的互联网世界顿时危机四伏,那些被掩盖的危险一个个的暴露在了我们的面前,让千万网民们开始怀疑,互联网世界有安全吗?对于本世纪初才开始进入我国的“互联网”,我们是不是过分乐观了呢?

     终于,在斯诺登事件爆发,在互联网界造成了严重的后果之后,中国也做出了回应。2013年11月12日,中国中央国家安全委员会正式成立;2014年2月27日,中央网络安全信息化领导小组成立;2014年5月22日,来自国家互联网信息办公室的消息披露,为维护国家网络安全、保障中国用户合法利益,我国即将推出网络安全审查制度。这种种的动作无不是在告诉我们,中国已经开始重视网络安全的威胁,将互联网安全上升到了国家的高度,对于那些潜在的危险,我们开始主动出击。

激起千层浪的网络安全审查制度

      互联网安全审查这样的制度其实并不是第一次进入人们的视野,早在2000年,美国就率先在国家安全系统中对采购的产品进行安全审查,随后陆续针对联邦政府云计算服务、国防供应链等出台了安全审查政策,实现了对国家安全系统、国防系统、联邦政府系统的全面覆盖,将全方位、综合性的供应链安全审查对策上升至国家战略高度。但是由于美国网络安全审查标准和过程是不公开的,所以我们都没有机会一窥其中的奥秘。

       中国即将推出的网络安全审查制度中,规定对进入我国市场的重要信息技术产品及其提供者进行网络安全审查,审查的重点在于该产品的安全性和可控性,旨在防止产品提供者利用提供产品的方便,非法控制、干扰、中断用户系统,非法收集、存储、处理和利用用户有关信息。对不符合安全要求的产品和服务,将不得在中国境内使用。

       根据汇总得到的信息,审查对象包括关系国家安全、国家利益、国计民生产品。审查将由第三方机构进行检测,审查的过程包括事前检测、事中监督以及事后惩处三部分。

       针对未进入市场的产品,要对用户信息安全进行技术审查,同时对该产品是否对国家安全造成影响、是否会产生垄断等社会经济安全影响进行评估。

       针对已经进入市场的产品,这些产品也并非绝对安全,补丁和升级都可能带来新的安全隐患,因此同样需要监控。这些制度,提高外企入华门槛,间接的成为我国对不公平贸易待遇的反制裁武器。

    网络安全审查制度出台后,还可能会有相应的网络安全等级保护制度,即如果是高等级的重要领域和部门,采购时就必须通过这个审查制度。

数字安全证书国产化的转机

     而随着网络安全审查制度的出台,就像平静的湖面投入了一块巨石,一时间激起千层浪,跨足互联网界的众多企业纷纷受到了波及,可是却给数字安全证书国产化带来了转机。

      数字证书作为网络信息安全的重要一环,兼具网络传输加密和网站身份认证双重功能。

     中国金融、通信等关系国计民生的重点行业如果采用国外证书,一旦国际局势发生变化,证书被非法吊销,将导致整个行业的瘫痪,而且用户每一次访问行为都需对境外服务器发送请求并被记录,如什么时候访问、从哪里访问、IP地址和使用什么浏览器、每日访问有多少次等大数据信息都掌握在国外CA企业的手里,极易泄露商业机密甚至国家机密,直接影响国家经济命脉的安全。

      此前,我国没有高层机构负责国家的网络空间安全,也缺乏相应的制度,导致我国网络基础设施和核心技术设备大量采用国外软硬件,核心金融机构有80%部署了国外网站服务器SSL证书。 “棱镜门”中,美国政府通过本国互联网公司实现“监控”国外用户数据信息的事件给我国网络安全敲响警钟,采用国产数字证书无论对个人、企业还是国家的安全来说,都是势在必行的。

       有关专家表示,目前有能力肩负起我国数字证书安全大任的CA机构还很少,中国有34家CA认证机构获得了工信部颁发的《电子认证服务许可证》,但只有3家企业通过国际WebTrust认证,而其中只有沃通电子认证服务有限公司(沃通CA)能颁发全球信任的数字证书,并支持1999年以后的所有终端设备和操作系统、所有浏览器和服务器,能完全替代国外数字证书产品。但我们相信随着国产化、中文化、国际标准化数字证书的逐步推行,国产数字证书品牌将陆续崛起。网络审查制度并非贸易保护措施,但让具备实力的国内厂商有机会拿到进入市场的“通行证”,让自主可控的国产安全产品加入自由竞争市场,有效解除国外企业及政府非法存储、非法监听的安全隐患。

     过去,中国在数字证书领域的起步较慢,在通用性和国际标准化方面远落后于国外证书厂商,但随着中国信息安全技术的飞速发展,我国已经出现了具备相当实力的国内厂商,技术水平和服务可完全替代国外产品。然而,由于一些观念上的原因,仍有一些国内核心机构在采购过程中本着“不差钱儿”的机构作风,更多倾向于国外证书,忽视了信息安全问题。审查制度的建立,使国内机构逐渐意识到网络信息安全的重要性,使信息安全产品采购有了可遵循的标准,而不是盲目“崇洋”,更有利于我国信息安全产业的健康发展。

网络安全审查制度出台 一场中国IT界的暴风雨