因而,需要理性进行国产力量的扶持,在审查企业网络产品是否安全时,应重在实践中检验安全可靠。
国家信息技术安全研究中心李京春就指出,对发现存在安全隐患的网络产品和服务,不论是外国企业还是中国境内企业,都需一视同仁,都要遵从适应新网络安全审查制度的实施,满足国家关键基础设施和重要信息系统的安全性能要求。
中国工程院院士方滨兴也表示,网络安全审查过程除要求多个相关部门协助外,还将引入第三方专业的检测机构和专家组参与,保证过程的客观公正;对于进入政府机构、交通、电力、金融等重要领域的产品,需要建立“黑名单”制,不仅对技术也对企业背景进行审查,保障国家信息安全;而对于在市面流通的信息技术产品,需进行“白名单”强制认证,只有符合安全标准的产品才能入市。这种审查只是一种技术评估,普通用户的利益不会受到影响。
安全可控:能力中心在中国
除了安全能力之外,CEC中国信息安全研究院副院长左晓栋还表示,网络安全审查内容绝不单单是一个单纯的技术性的审查。而是将考量各种指标和因素。包括对企业声誉,背景审查、公司资质,“将从多角度衡量产品和提供商的可控性与安全性。”
中国信息安全测评中心总工王军也指出,在信息产品进入市场前,需对用户信息安全进行技术审查,同时对该产品是否对国家安全造成影响、是否会产生垄断等社会经济安全影响进行评估;已进入市场的信息产品也并非绝对安全,补丁和升级都可能带来新的安全隐患,因此同样需要监控。
由此可见,安全可控也是衡量企业网络产品是否安全的因素之一,而要做到安全可控,企业所需具备的是能力中心在中国,具体表现在企业核心人员在中国,研发、生产制造、服务等业务能力中心在中国等。与此同时,还要企业遵从所在国家的法律法规,做到国家可控,具体表现在核心技术和知识产权的转移及授权使用中国可控,企业的关键行为遵从中国可控,税收、就业核心贡献在中国。
因而,我们也需要认识到,依据企业资本无法判定IT产品是否安全可控。安全可控性同样是要在保障中国国内重大事件中的实践中得到检验,需要得到国家多部门的验证和认可。
安全诚信:从源代码到硬件平台
工业和信息化部电信研究院副院长刘多指出,中国的网络安全审查制度将“无国别”实施,网络安全审查制度主要目的是为了维护安全,但网络安全审查制度不是行政许可,也不是对所有的设备和服务进行审查。
据刘多介绍,开展网络安全审查,要依靠权威专业检测机构对信息技术产品和服务进行技术审查,要依托专家力量深入开展专家论证,以及对企业的诚信和安全背景等进行审查,从而综合评判和认定带有安全风险的信息技术产品和服务。
