左晓栋:网络安全审查制度不涉及内容审查

  左晓东:网络安全审查制度不涉及内容审查

  在Win8体系结构中,一个软件是否可以被信任,可能由微软计算而不是由用户说了算,这将导致用户失去对计算机的控制。新华社说,为了维护国家网络安全,维护中国用户的合法权益,我国即将启动网络安全审查制度。该制度规定,通过网络安全审查系统地用于国家安全和公共利益的重要技术产品和服务。 “21世纪经济报道”记者了解到,信息技术产品的安全审查,国家多年来一直低调研究。然而,2月27日中央政府成立了网络安全和信息化领导小组,并由中共中央总书记习近平亲自率领,这一制度的建设开始加快。习近平在上述领导小组第一次会议上提出,没有网络安全就没有国家安全,没有信息化就没有现代化。因此有关部门提出,网络安全审查制度是国家网络安全的基本保障,是国家安全的重要障碍。近日,针对网络安全检测系统的目标市场,中国政府部门放弃采购Win8系统及相关移动通信工具,引起了市场的广泛关注。针对上述问题,“21世纪经济报道”采访了长期参与起草中国重大网络安全政策的专家,中国信息安全研究院副院长左晓东。是“二十一世纪”审查制度的两个不足:2001年中央决定重组国家信息化领导小组,2003年在领导小组下设立了全国网络与信息安全协调小组, 2014年2月27日,中央政府成立了网络安全与信息化领导小组,相关概念也由信息安全向网络安全转变,您可以介绍一下背景吗?左晓东:具体参考,不同时期有不同的理解和认识解释,比如我们已经使用过计算机安全,信息安全,网络和信息安全等概念电子相关的历史认识,也与不同部门的工作重点。 2003年,时任国家信息化领导小组组长的温家宝提出,信息安全应该包括基础网络安全,重要系统安全和信息内容安全。现在,网络安全的概念与信息安全在范围上没有本质的区别,也是指整体安全,既包括网络的技术安全性,又包括信息系统的安全性和信息内容的安全性。然而,网络安全审查制度并不涉及信息内容的安全性,与媒体监管和内容审查无关。 “21世纪”:从技术角度来看,网络安全评估系统的重要性在哪里?左晓东:现在基本的信息系统在线运行,即使不在线,往往也需要直接或间接的在线升级,至少不得不与外界进行交互。经过多年的信息化建设,目前涉及国计民生的重点行业,如金融,交通等,都依赖于信息技术,信息网络已经成为这些行业的神经系统,理论上讲,远程控制窃取其中包含的信息,这是由信息系统的本质特征决定的,几年前在微软的黑屏事件中,盗版Windows将停机,这本质上是一种遥控功能,一旦信息系统问题,可能导致整个行业瘫痪,造成严重后果,目前中国网络安全面临的严重风险隐患由他人控制。原因是产品和服务是他人,我们不了解这个基地。信息系统安全是以产品和服务的安全为基础的,这意味着信息系统必须首先追求本质安全。我们有很多后天的安全工具,但是如果我们不安全,根深蒂固,希望日后解决,这种想法是错误的。但是,过去我们没有管理这些信息技术产品的安全性,这相当于为我们的网络安全打开了大门。 “21世纪”:在网络安全审查制度之前,我国有没有类似的审查机制?左晓东:过去,我国有一套信息安全产品评估和认证体系。这个系统已经建立了多年,涉及公安部,保安局,密码管理局,甚至地方当局等部门。认证。信息安全产品的评估和认证结果可以被网络安全审查系统使用,但是这个系统有两个缺陷。首先是它只针对信息安全产品,而不是所有的信息技术产品。信息安全产品只是保证系统安全的附加产品,比如只能保证外围安全的防火墙。涉及系统固有安全性的重要组件(包括服务器,操作系统,数据库和应用软件)不包含在认证系统中。其次,前者系统被称为标准符合性验证,即在比较评估标准时,逐一比较,是否全部符合认证。但问题是,如果标准没有写出请求呢?所以标准只是一个基础,不能充分体现产品的安全性,特别是在面对恶意攻击者时,除了标准的产品外,也不可能发现问题。政府不安装Win8技术的原因“21世纪”:最近,中央政府采购网络公告说,所有电脑产品都不允许安装Win8操作系统。中央政府采购放弃Win8的观点与网络安全有关,事实是这样的?左小东:一个重要因素确实出于安全考虑,Win8采用了一种新的安全架构,称为可信计算(TC)技术,这是一项先进技术,也正在积极推动国内。在这个安全体系结构中,计算机有一个硬件模块作为信任的根,以建立一个信任链,一个信任级,确保系统安全运行。但是这可能会带来一些软件无法在这个平台上运行的问题,因为它不被信任。在Win8体系结构下,微软是否可以信任一个软件是可信的,而不是用户对世界其他地方的可信度,这可能导致用户失去对他或她的计算机的控制权。 “21世纪”:即将到来的网络安全审查制度,主要审查什么?左晓东:网络安全审查系统的范围是一个与国家安全和公共利益相关的重要信息技术产品和服务。目标是确保产品和服务的安全性和可控性。确保网络安全审查制度的重点,普通民众对产品和服务的使用情况不予审查。再次强调,网络安全评估不是对互联网信息内容的审查。关于具体的审查技术,我认为基于标准的合规性验证是必要的,但也涉及到非技术性方面的问题,比如组织的良好声誉,技术人员的无辜聘用以及客户的自然安全可控性高。因此,除了检查技术指标之外,还要检查业务的许多方面,最终确保您的业务和产品是可信的。 “21世纪”:如果产品和服务提供商的部分数据涉及商业秘密和与网络安全审查系统的冲突?左晓东:不是所有的产品都需要审查。但是,审查制度必须用于国家安全和公共利益领域。我相信这个制度将会充分保护企业的商业秘密。是否提供数据或信息,是企业的自由,但供应商不敢接受通过审查的后果。实际上,国外早就要求对高档产品的安全性进行审查,过去我们没有这样的要求,也就是说外国的审查比我们的要严格。国际上,IT产品安全评估中使用的“通用标准”,简称CC标准。一些国家曾经向中国提出,中国不应该搞自己的认证体系,应该采用这个共同的国际体系。但是,在国内企业拿到CC证书后,还没有被欧美一些国家的买主带走,因为要求中国企业与中国政府,党委,部队进行交涉。这一次,CC证书没有任何意义。这时候的评论与技术无关,而是对方对他们关心的产品的内容和可控性。对于这些在国外实行的制度,我们要勇敢大胆地学习。但需要强调的是,网络安全审查制度并不针对特定的国家,企业和产品,不是针对某个国家或事件的报复,而是维护国家网络安全。 “21世纪”:如果我们的技术水平不符合审查要求,该怎么办?左晓东:从理论上说,一个产品不可能杜绝所有的BUG,期望网络安全审查系统能够找到产品的所有后门,而不是系统的目的。我们有很多其他的观点来衡量产品和服务的安全性和可控性,还有对评论的动态管理,如接受用户和社会问题的报告。我们也应该树立产品供应商有责任向用户证明他们的产品是安全透明的概念。 “21世纪”:请介绍一下如何实施未来的网络安全审查制度?左晓东:这是主管部门要考虑的一个具体问题。但是,根据国际经验,必须有一个负责日常工作的办公室。应由负责具体技术试验的第三方评估机构负责组建专门的专家委员会。不是市场准入,不是行政许可“21世纪”:网络安全审查制度不仅关系到国家安全和公共利益,还可能对市场参与者的利益产生重大影响。你认为这样的制度应该合法执行授权吗?左晓东:我认为,网络安全审查制度最终应该上升到法定的层面,澄清各方的权利和义务。当然,立法是一个只有在所有条件都成熟时才能引入的过程。那么,网络安全审查制度的有效性体现在哪里?这绝不是市场准入制度。这不是行政许可。相反,它必须遵循购买者对产品和服务的网络安全要求。购买者应该更多地执行考试要求。这实际上是购买者和提供者之间的合同,任何产品或服务提供者都可以进入市场,但进入市场后,购买者应该进行安全评估。 “21世纪”:你能简单介绍一下近年来网络安全方面的立法吗?左晓东:2003年第32号(2003)第27号通函最早明确提出,要密切关注“信息安全法”的起草工作,但由于涉及的法律问题太多,是很难立法的,后来决定起草“信息安全条例”,起草了好几年,“信息安全条例”连续几年列入国务院法制办第二类立法计划,但考虑到很多问题在行政法规层面不能解决,后来又提出起草信息安全法。网络安全和信息化领导小组成立后,这项工作继续进行,并更名为“网络安全法”。在我看来,网络安全立法可能会突出问题,并不能解决一个法律的所有问题。比如现在国家提出制定关键基础设施保护的法律法规时,应该制定具体的法律来突出矛盾和关键问题。解决问题比所有问题要好。如果综合性的法律法规一时不好,就要加强专门法的起草工作。 “二十一世纪”:网络安全未来的审查制度是一个综合的体系还是一个由各种专业考试组成的体系?左晓东:我认为网络安全审查制度是一个框架,对于不同的产品和服务是必要的,在具体的工作过程中还有一些具体的要求,包括过程。例如,我们正在制定两项政府采购云计算服务的国家标准。我们已经开始试点项目。标准已经提交给BSc批准。还需要建立专家机构,开发第三方云服务评估机构。这两个云计算服务标准是整个网络安全审查的一部分。它指出,政府机构使用的云服务应确保机房位于中国,确保运行关键服务和数据的云计算服务器和物理设备也位于中国。所有这些都吸取了其他国家已有的良好经验。 “21世纪”:未来的网络安全评估也将成为市场?左晓东:我觉得最有可能的,比如代码审查,你需要有专门的服务,咨询行业也会发展,很多产品开发人员往往不懂安全,忽视安全,顾问会指导他们如何做产品更安全相关的评估服务也将得到发展。 (编辑易鹏张凡谭毅飞沉建立)

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:九卅娱乐app|手机版--创新创业