为加强国家对信息和技术的控制,中国网信办正式发布《网络产品和服务安全审查办法(试行)》将从6月1日起正式实行。旨在提高网络产品和服务安全可控水平,防范网络安全风险,维护国家安全。
其中一项重要内容是对国内外技术供应商进行新的安全评估。这一评估将适用于提供网络产品和服务的企业,因此可能包括在华出售硬件及软件产品的国际公司ibm(internationalbusinessmachines,ibm)和微软(microsoftco.,msft)等it公司。
《办法》指出,关系国家安全的网络和信息系统采购的重要网络产品和服务,应当经过网络安全审查。网络安全审查重点审查网络产品和服务的安全性、可控性,主要包括:
产品和服务自身的安全风险,以及被非法控制、干扰和中断运行的风险;产品及关键部件生产、测试、交付、技术支持过程中的供应链安全风险;产品和服务提供者利用提供产品和服务的便利条件非法收集、存储、处理、使用用户相关信息的风险;产品和服务提供者利用用户对产品和服务的依赖,损害网络安全和用户利益的风险;其他可能危害国家安全的风险。
为此,国家互联网信息办公室会同有关部门将成立网络安全审查委员会,负责审议网络安全审查的重要政策,统一组织网络安全审查工作,协调网络安全审查相关重要问题。同期还会聘请相关专家组成网络安全审查专家委员会,在第三方(国家依法认定网络安全审查第三方机构)评价基础上,对网络产品和服务的安全风险及其提供者的安全可信状况进行综合评估。
金融、电信、能源、交通等重点行业和领域主管部门,根据国家网络安全审查工作要求,组织开展本行业、本领域网络产品和服务安全审查工作。
公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过网络安全审查。
这些规定同样适用于向能源、交通运输和金融行业的中资公司提供硬件或服务、以及向政府机构、公共服务和其他关键基础设施机构出售产品或服务的外资企业。这些供应商必须将其产品和服务提交给中国互联网监管机构国家互联网信息办公室网络安全审查委员会进行评估。
上述的各类行业包括其技术服务供应商的产品和服务是否影响国家安全由关键信息基础设施保护工作部门确定。产品安全性将根据是否易篡改、供应链风险和客户信息保护等基准进行评估。该委员会权叫停对国家安全构成未明示风险的产品。
虽然本周所宣布的标准较现行做法限制更多,但较2016年2月份所发布的行业征求意见稿有所放宽。此前各方争议的焦点在于是否将要求软件公司、网络设备生产商和其它科技供应商披露其专有源代码,以证明其产品不会受到黑客的攻击。
微软(microsoftco.,msft)、英特尔公司(intelco.,intc)、ibm(internationalbusinessmachines,ibm)等公司纷纷提交了反对意见,称这将加大其代码流入竞争对手或犯罪分子手中的风险,而且可能也无法保证可防黑客攻击。这三家公司是对规定草案作出回应的最大的美国公司,其他作出回应的还包括数十家中国公司、政府机构和一些安全专家。
微软在评论中写道,共享源代码本身并不能证明有能力做到安全和可控,而只能证明源代码存在。
英特尔表示,强迫芯片生产商披露其产品细节的规定将损害技术创新并降低产品的安全等级。
ibm称,应该对商业用途的计算服务和政府应用的计算服务加以区分。完全为商业云计算用途而设立的机房没有必要一定位于中国境内。
对于争议,全国信息安全标准化技术委员会的工作人员在一份书面回应中表示,许多行业均涉及社会稳定和公共利益,不纯粹是商业问题。反恐和网络安全法律并不针对境外公司,但措施对于防范在中国使用的软件被嵌入外国间谍工具是很有必要的。例如美国国家安全局承包商前雇员斯诺登(edwardsnowden)曾称销往海外的美国科技产品中通常都有这种后门工具。
在6月1号前,网络安全审查委员会将陆续公布网络安全法规的技术参数,包含但不限于符合规定的操作系统、微处理器、办公软件和其他产品的标准。