美國網(wǎng)絡(luò)安全審查制度的戰(zhàn)略效應(yīng)
發(fā)布時間:2015-04-16編者按:作為互聯(lián)網(wǎng)的締造者和網(wǎng)絡(luò)戰(zhàn)的始作俑者,美國網(wǎng)絡(luò)技術(shù)絕對領(lǐng)先,霸主地位業(yè)已形成。在此情況下,依然構(gòu)建了完備的網(wǎng)絡(luò)安全審查制度,影響世界,示范他國,控制產(chǎn)業(yè)。中國在“沒有網(wǎng)絡(luò)安全就沒有國家安全”的內(nèi)憂外患之下,加緊推出網(wǎng)絡(luò)安全審查制度,僅僅是姍姍來遲的缺失彌補。其根本追求在于安全與發(fā)展雙輪驅(qū)動,實現(xiàn)國家治理體系和治理能力現(xiàn)代化的改革開放總目標(biāo),建設(shè)世界一流的網(wǎng)絡(luò)強國。
2014年5月22日,國家互聯(lián)網(wǎng)信息辦公室宣布為維護(hù)國家網(wǎng)絡(luò)安全、保障中國用戶合法利益,我國將推出網(wǎng)絡(luò)安全審查制度。一石激起千層浪,媒體熱炒,公眾熱議。美國及西方各國認(rèn)為這是我國的網(wǎng)絡(luò)對抗或制衡手段,以“八大金剛”為代表的外企擔(dān)心從此中國市場優(yōu)勢不保,國內(nèi)主流網(wǎng)絡(luò)安全廠商看似迎來又一次發(fā)展良機,各方喜憂混雜,莫衷一是。本為網(wǎng)絡(luò)空間治理舉措,幾乎就是姍姍來遲的一項制度,受到過份關(guān)注和過度解讀。事實上,我國出臺網(wǎng)絡(luò)安全審查制度,是借鑒吸收國外先進(jìn)經(jīng)驗與做法,是落實改革開放總目標(biāo)的具體步伐。
一、美國網(wǎng)絡(luò)安全審查制度探秘
網(wǎng)絡(luò)空間被視為繼陸、海、空、天之后的大國博弈的第五空間,網(wǎng)絡(luò)空間安全已成為國家安全戰(zhàn)略的重要組成部分。美國已經(jīng)確立了網(wǎng)絡(luò)、太空、核“三位一體”的國家安全戰(zhàn)略,并早已推出了網(wǎng)絡(luò)安全審查制度。
(一)美國家安全審查制度由來已久
美國家安全審查制度由其外國投資委員會(CFIUS)執(zhí)掌,從機構(gòu)設(shè)置、法規(guī)依據(jù)、運作程序、審查內(nèi)容、審查標(biāo)準(zhǔn)等方面均體現(xiàn)出鮮明的國家意志。一是機構(gòu)跨部門設(shè)置。CFIUS的成員由財政部、司法部、國土安全部、商務(wù)部、國防部、能源部、美國貿(mào)易代表辦公室等九部門共同組成,必要時還包括管理和預(yù)算辦公室、經(jīng)濟(jì)顧問委員會、國家安全委員會、國民經(jīng)濟(jì)委員會、國土安全委員會。二是法規(guī)適時修訂。經(jīng)由《1950年國防生產(chǎn)法案》修訂并于1988年8月23日生效的《??松D弗羅里奧修正案》,是美國規(guī)制外資并購、保護(hù)國家安全的基本法。此后歷經(jīng)四次修訂,于2007年10月形成了《外國投資和國家安全法》(FINSA)。出于反恐的需要,加強了對政治控制或其他隱蔽性控制等非常規(guī)商業(yè)形態(tài)的監(jiān)控。三是運作程序保密。CFIUS是一個運作和審查過程都缺乏透明度的機構(gòu),審查通常包括申報、初審、調(diào)查和總統(tǒng)決定四個步驟,其保密的特性使得各步驟所能公開的信息比較有限。四是審查標(biāo)準(zhǔn)模糊卻嚴(yán)格。CFIUS的立法依據(jù)和各項法規(guī)一直未給出“國家安全”的準(zhǔn)確定義,此后的FINSA擴展了國家安全概念,加入了關(guān)鍵性基礎(chǔ)設(shè)施、關(guān)鍵技術(shù)、國有資本等內(nèi)容。但其回避了對國家安全、控制標(biāo)準(zhǔn)等關(guān)鍵性概念的嚴(yán)格界定,賦予CFIUS充分的自由裁量權(quán)。
(二)網(wǎng)絡(luò)安全審查制度游刃有余
伴隨網(wǎng)絡(luò)空間的蓬勃發(fā)展,網(wǎng)絡(luò)安全審查必然成為國家安全審查的重要組成部分。在這個問題上,美國的態(tài)度非常堅決。早在2000年,美國就率先在國家安全系統(tǒng)中對采購的產(chǎn)品和服務(wù)進(jìn)行安全審查。隨后陸續(xù)針對聯(lián)邦政府云計算服務(wù)、國防供應(yīng)鏈等出臺了安全審查政策,實現(xiàn)了對國家安全系統(tǒng)、國防系統(tǒng)、聯(lián)邦政府系統(tǒng)的全面覆蓋。審查對象不僅涉及產(chǎn)品和服務(wù),還針對產(chǎn)品和服務(wù)提供商。經(jīng)過多年的實踐與探索,逐步建立了多種形式的網(wǎng)絡(luò)安全審查制度,將全方位、綜合性的供應(yīng)鏈安全審查體系上升為國家戰(zhàn)略。美國網(wǎng)絡(luò)安全審查制度呈現(xiàn)出四個特點,一是審查范圍逐步拓展;2000年1月,美國國家安全委員會發(fā)布了《國家信息安全保障采購政策》,對涉及國家安全的信息系統(tǒng)的采購進(jìn)行安全審查。2002年,美國國家標(biāo)準(zhǔn)技術(shù)研究所發(fā)布新的信息安全標(biāo)準(zhǔn),確立了面向政府的網(wǎng)絡(luò)安全審查制度。2013年11月,美國國防部頒布臨時政策,規(guī)定國防系統(tǒng)及其合同商采購的產(chǎn)品和服務(wù)要經(jīng)過供應(yīng)鏈安全審查。二是審查內(nèi)容逐步擴大;美國聯(lián)邦政府要求,不僅信息技術(shù)產(chǎn)品和服務(wù)的關(guān)鍵技術(shù)必須要經(jīng)過審查,而且產(chǎn)品安全性能指標(biāo)、產(chǎn)品的研發(fā)過程、程序、步驟、方法、產(chǎn)品的交付方法等,都要經(jīng)過審查。三是審查流程保密;美國網(wǎng)絡(luò)安全審查標(biāo)準(zhǔn)、機制、過程不對外公開,主要考量因素就是對國家安全、司法和公共利益的潛在影響,且其審查沒有明確的時間限制,更不解釋審查結(jié)果形成的原因和理由,不接受申訴。四是審查結(jié)果具有強制性;美國政府先后發(fā)布的《國家信息安全保障采購政策》和《聯(lián)邦風(fēng)險及授權(quán)管理計劃》,分別對進(jìn)入國家安全系統(tǒng)的信息技術(shù)產(chǎn)品和云服務(wù)提供商實行安全審查,未通過安全審查的一律不得進(jìn)入聯(lián)邦政府的采購名單。2012年中國電信設(shè)備制造商華為和中興先后在美國遭調(diào)查封殺,便是網(wǎng)絡(luò)安全審查的直接后果。
(三)云計算服務(wù)安全審查引領(lǐng)潮流
美國作為云計算服務(wù)應(yīng)用的倡導(dǎo)者和引領(lǐng)者,以“云優(yōu)先戰(zhàn)略”為牽引,將大量的聯(lián)邦政府信息系統(tǒng)遷移到“云端”。同時,云計算服務(wù)提供便利的同時也給敏感數(shù)據(jù)和重要業(yè)務(wù)帶來了新的安全挑戰(zhàn)。對云計算服務(wù)實行安全審查,也成了云計算服務(wù)推廣應(yīng)用的重要方面,在這一點上,美國又一次走在了世界的前列。一是標(biāo)準(zhǔn)法規(guī)先行;2011年國家標(biāo)準(zhǔn)與技術(shù)研究所發(fā)布了《公共云計算安全和隱私指南》和《完全虛擬化技術(shù)安全指南》兩項標(biāo)準(zhǔn),為聯(lián)邦政府下一步建立云計算服務(wù)安全審查制度提供了標(biāo)準(zhǔn)依據(jù)。二是審查機制高效;在《云計算環(huán)境信息系統(tǒng)安全授權(quán)》、《聯(lián)邦風(fēng)險及授權(quán)管理計劃》(FedRAMP)和《聯(lián)邦信息安全管理法案》的框架下,設(shè)計了由第三方評估、FedRAMP審查、獲得初始授權(quán)、結(jié)果共享的運作機制。組建了由國防部、國土安全部、審計署三方成員構(gòu)成的聯(lián)合授權(quán)機構(gòu),統(tǒng)籌云計算服務(wù)安全控制基線要求、批準(zhǔn)第三方機構(gòu)認(rèn)定標(biāo)準(zhǔn)、對云計算服務(wù)進(jìn)行初始授權(quán)等工作。三是審查程序標(biāo)準(zhǔn)化。通過近年來的實踐,逐步形成了在法規(guī)標(biāo)準(zhǔn)支撐下云計算安全基線,突出第三方機構(gòu)認(rèn)定、云計算服務(wù)審查、云計算服務(wù)持續(xù)監(jiān)管三大關(guān)鍵點,成熟了十余部標(biāo)準(zhǔn)化的模板、程序與指南材料,初步確立了聯(lián)邦政府云計算服務(wù)安全審查體系。目前,F(xiàn)edRAMP共認(rèn)定了27家從事云計算服務(wù)安全評估的第三方機構(gòu),并已有11家云計算服務(wù)商的12項云計算服務(wù)通過了安全審查。
二、美國網(wǎng)絡(luò)安全審查制度的戰(zhàn)略效應(yīng)
如果不是華為、中興在美國受阻,如果沒有斯諾登的持續(xù)爆料,如果沒有美國司法部對中國軍人的所謂起訴,也許我國的網(wǎng)絡(luò)安全審查制度還要來得更晚一些。但是已經(jīng)實施數(shù)十年的美國網(wǎng)絡(luò)安全審查制度,其引領(lǐng)和示范作用、警醒和刺激作用、擴張和輻射作用,卻不以我們的意志為轉(zhuǎn)移,真實真切地存在著。
(一)示范效應(yīng)
目前,網(wǎng)絡(luò)安全審查已成為國際通行作法。拋開西方信息技術(shù)強國網(wǎng)絡(luò)安全意識覺醒早、網(wǎng)絡(luò)空間戰(zhàn)略意識強的內(nèi)因,恐怕美國網(wǎng)絡(luò)安全審查制度的示范和引領(lǐng)效應(yīng)也起到了推動和加速的作用。英國、德國、澳大利亞、新西蘭、俄羅斯、印度等國相繼都出臺了網(wǎng)絡(luò)安全審查制度。英國網(wǎng)絡(luò)安全認(rèn)證制度由政府通信總部實施,通過其安全認(rèn)證的產(chǎn)品和服務(wù),方能為英國政府機構(gòu)信息系統(tǒng)所使用。德國政府從立法體系、監(jiān)管機構(gòu)、網(wǎng)絡(luò)審查等多個方面加強對重要信息基礎(chǔ)設(shè)施和信息系統(tǒng)的保護(hù),對信息技術(shù)產(chǎn)品與服務(wù)實行安全標(biāo)準(zhǔn)與使用便捷性的審查。澳大利亞國防通信局與新西蘭政府通信安全局共同建立澳大利亞信息安全評估計劃,采用統(tǒng)一的網(wǎng)絡(luò)安全審查機制。俄羅斯也實行嚴(yán)格的網(wǎng)絡(luò)安全審查制度,由俄羅斯工業(yè)和貿(mào)易部負(fù)責(zé)實施,重點是對外資進(jìn)入其戰(zhàn)略性產(chǎn)業(yè)交易進(jìn)行審查,評估交易是否存在風(fēng)險。必要時還需要征詢俄聯(lián)邦安全局和國家保密委員會的審核評估意見。印度的網(wǎng)絡(luò)安全審查制度由內(nèi)政部負(fù)責(zé)實施,重點是加強對通信產(chǎn)品以及“關(guān)鍵核心設(shè)備”運營商的管控,設(shè)備提供商必須得到內(nèi)政部的安全審查以及第三方認(rèn)證,方可簽署合同。從各國的審查實踐看,審查結(jié)果也具備一定的示范與傳導(dǎo)作用。從2009年開始,美國、印度、澳大利亞、法國等國家多次以國家安全為由,禁止華為、中興等公司產(chǎn)品在該國部署和使用,這當(dāng)中美國阻止華為參與Sprint Nextel公司的網(wǎng)絡(luò)招標(biāo)為他國樹立了標(biāo)桿。
(二)鯰魚效應(yīng)
鯰魚效應(yīng)實質(zhì)上就是要喚醒危機意識和憂患意識,樹立風(fēng)險意識,從而激發(fā)生存意識和競爭求勝之心。2013年6月斯諾登事件之前,中國面對長驅(qū)直入并且占據(jù)市場絕對優(yōu)勢的“八大金剛”并無多少不適或警覺,鮮有的一些擔(dān)憂與顧慮也在大好的發(fā)展形勢之中被淹沒。與其形成鮮明對比的是,國內(nèi)企業(yè)華為、中興在海外市場上卻四處碰壁,華為在美國遭到封殺,在澳大利亞被禁止投標(biāo)寬帶網(wǎng)項目,在英國遭到議會情報和安全監(jiān)督機構(gòu)的調(diào)查,在印度也遭到了內(nèi)政部的嚴(yán)密審查,國際市場開拓陷入困境。直至斯諾登捅破那層窗戶紙后,怵目驚心、瞠目結(jié)舌、后背發(fā)冷的結(jié)果公之于眾,先前的僥幸變成了確證,之前的擔(dān)憂變成了活生生的現(xiàn)實。此時反觀中國IT行業(yè),芯片、操作系統(tǒng)、數(shù)據(jù)庫以及通用協(xié)議和標(biāo)準(zhǔn)90%以上依賴進(jìn)口,關(guān)鍵信息系統(tǒng)有99%是外國品牌,金融、電信、能源等核心行業(yè)的信息系統(tǒng)被國外壟斷。內(nèi)憂外患之下,產(chǎn)、學(xué)、研、政府各界互聯(lián)網(wǎng)國家意識、戰(zhàn)略意識空前覺醒,自主可控不絕于耳,去“IOE”風(fēng)生水起。其實在華為、中興海外市場受挫之際,就應(yīng)當(dāng)重視和審視美國及西方大國的網(wǎng)絡(luò)安全審查制度,其時也有專家呼吁建立中國的信息技術(shù)安全產(chǎn)品審查制度。時至今日,這種倒逼的覺醒和變革,來得猛烈,發(fā)人深省。亡羊補牢,為時未晚,美國給我們的這個教訓(xùn)值得認(rèn)真吸??!
(三)蝴蝶效應(yīng)
蝴蝶效應(yīng)是指在一個動力系統(tǒng)中,初始條件下微小的變化能帶動整個系統(tǒng)的長期的巨大的連鎖反應(yīng),是一種混沌的現(xiàn)象。美國的網(wǎng)絡(luò)安全審查制度是以保障國家安全、防范供應(yīng)鏈安全風(fēng)險為目標(biāo),對信息技術(shù)產(chǎn)品和服務(wù)進(jìn)行的全方位、綜合性的安全審查,其蝴蝶效應(yīng)體現(xiàn)在如下兩個方面。一個是審查的范圍呈現(xiàn)擴張態(tài)勢;信息技術(shù)產(chǎn)品和服務(wù)的整個生態(tài)系統(tǒng)涉及軟件、硬件、制造、材料等上下游的多個產(chǎn)業(yè),技術(shù)上又涉及通信、網(wǎng)絡(luò)、密碼、計算機、信息安全等多個學(xué)科,網(wǎng)絡(luò)安全審查的對象和范圍將涉及供應(yīng)鏈的每一個環(huán)節(jié),越來越呈現(xiàn)出明顯的拓展和擴張之勢。任何一個節(jié)點上的審查問題,或者某一個產(chǎn)品或服務(wù)的審查,其結(jié)果都會輻射并影響到多個產(chǎn)業(yè)和行業(yè),而且這種影響的威力巨大、傳播迅速。另一個是審查的自由度較大;由于美國網(wǎng)絡(luò)安全審查流程的相對保密性,對國家安全定義的相對寬泛性,對關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域定義的全面覆蓋性,造成審查結(jié)果的裁定空間非常大,這樣對產(chǎn)品和服務(wù)乃至相關(guān)產(chǎn)業(yè)的影響力難以評估。比如美國2013年對于關(guān)鍵基礎(chǔ)設(shè)施的分類包括了通訊、信息技術(shù)、關(guān)鍵制造、金融服務(wù)、能源、政府設(shè)施、食品農(nóng)業(yè)、交通運輸?shù)?6大項,只要跟這些項目相關(guān)就能跟國家安全建立聯(lián)系,這種關(guān)聯(lián)度對審查至關(guān)重要。
三、厘清我國網(wǎng)絡(luò)安全審查制度的認(rèn)識誤區(qū)
我國即將出臺的網(wǎng)絡(luò)安全審查制度,應(yīng)該是從筑牢法律法規(guī)基礎(chǔ)、規(guī)范信息技術(shù)產(chǎn)品和服務(wù)提供商的社會責(zé)任、健全風(fēng)險評估響應(yīng)機制等多方面落實網(wǎng)絡(luò)空間治理戰(zhàn)略的務(wù)實舉措。鑒于其敏感性和影響度,加強輿論引導(dǎo)和推廣宣傳,糾正認(rèn)識上的偏差和誤區(qū),回歸其制度本身要義和初衷,具有重要意義。
(一)網(wǎng)絡(luò)安全審查并非制衡手段
我國即將出臺網(wǎng)絡(luò)安全審查制度之時,正值美國起訴中國軍方黑客、我暫停中美網(wǎng)絡(luò)安全工作組活動之際,這使得媒體和西方國家對此產(chǎn)生了聯(lián)想。以IBM、CISCO為代表的國外IT企業(yè)也產(chǎn)生了不安和焦慮。事實上,政的出臺是綜合考量我國網(wǎng)絡(luò)空間面臨的內(nèi)憂外患,維護(hù)網(wǎng)絡(luò)網(wǎng)絡(luò)空間主權(quán)、保障公眾合法權(quán)益的內(nèi)在需要。借鑒了國際通行做法,結(jié)合了國家網(wǎng)絡(luò)安全法規(guī)、標(biāo)準(zhǔn)、規(guī)范發(fā)展的現(xiàn)實基礎(chǔ),繼承和發(fā)揚信息安全產(chǎn)品測評認(rèn)證和等級保護(hù)的經(jīng)驗,乃大勢所趨,順勢而為。再者,我國一直奉行和平、安全、開放、合作的網(wǎng)絡(luò)空間治理原則,本著相互尊重和相互信任,通過積極有效的國際合作,共同建立多邊、民主、透明的國際互聯(lián)網(wǎng)治理體系,沖突與對抗并不符合國家的安全利益。
(二)網(wǎng)絡(luò)安全審查并非貿(mào)易保護(hù)
網(wǎng)絡(luò)安全審查制度的出臺,將從積極審查、事中檢測、事后懲處等環(huán)節(jié)對IT產(chǎn)品和服務(wù)進(jìn)行安全性和可控性的把控。這勢必對國內(nèi)自主可信可控的信息安全產(chǎn)業(yè)提供發(fā)展良機,提升國內(nèi)企業(yè)的核心競爭力。但這同時給國外企業(yè)留出了猜想空間,質(zhì)疑我借國家安全之名,行貿(mào)易保護(hù)之實。對國外信息技術(shù)產(chǎn)品及服務(wù)的審查,還有可能引起外界對我國政府是否違背WTO規(guī)定的爭議。對此專家認(rèn)為,目前中國規(guī)定的審查對象是涉及國家安全與公共利益領(lǐng)域的信息產(chǎn)品和服務(wù)的重要產(chǎn)品。根據(jù)WTO的規(guī)定,是可以適用其“安全例外”條款(第21條)。從制度設(shè)計本意看,我國的網(wǎng)絡(luò)安全審查將“無國別”實施,擯棄“出身論”,國產(chǎn)“根正苗紅”并非護(hù)身符。對發(fā)現(xiàn)存在安全隱患的網(wǎng)絡(luò)產(chǎn)品和服務(wù),不論是外國企業(yè)還是中國境內(nèi)企業(yè),都將一視同仁。
(三)網(wǎng)絡(luò)安全審查并非安全測評
從目前專家對我國網(wǎng)絡(luò)安全審查制度的分析和解讀來看,無論是審查主體、審查范圍、審查內(nèi)容、審查方式、審查結(jié)果,都是緊緊圍繞安全可控、誠信可靠、客觀公正來展開。審查絕不單單是一個單純的技術(shù)性的審查,而是將企業(yè)聲譽、背景、資質(zhì),產(chǎn)品研發(fā)、制造、交付的過程等各種指標(biāo)和因素都納入審查,從多角度衡量產(chǎn)品和供應(yīng)商的可控性與安全性。這與我們已經(jīng)推行十幾年的信息安全產(chǎn)品測評認(rèn)證制度存在明顯區(qū)別,其一是內(nèi)容范圍的擴展。先前的安全測評只是針對信息安全產(chǎn)品的測評認(rèn)證,比如防火墻、IDS、UTM等,而安全審查的對象是信息技術(shù)產(chǎn)品和服務(wù),囊括了所有信息技術(shù)產(chǎn)品,比如服務(wù)器、操作系統(tǒng)、應(yīng)用軟件、數(shù)據(jù)庫。其二是目標(biāo)重點的延伸。之前是信息安全測評認(rèn)證是針對產(chǎn)品功能和性能的標(biāo)準(zhǔn)一致性驗證,存在明顯局限性。網(wǎng)絡(luò)安全審查則是要主動發(fā)現(xiàn)安全隱患、后門缺陷。其三是審查主體的統(tǒng)一。隨著中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組的成立和運轉(zhuǎn),以工信部、公安部、安全部、保密局多頭管理的局面必然終結(jié),籌建集中統(tǒng)一的審查機構(gòu)勢在必行。其四是審查結(jié)果的強制性更大。除了公正客觀權(quán)威之外,網(wǎng)絡(luò)安全審查的結(jié)果應(yīng)當(dāng)比安全測評的結(jié)果更具強制力,而不是可有可無。當(dāng)然,安全測評的結(jié)果可是用作安全審查的依據(jù)之一。
(四)網(wǎng)絡(luò)安全審查并非內(nèi)容審查
網(wǎng)絡(luò)和信息技術(shù)產(chǎn)品是否安全、是否可控,事關(guān)國家安全,事關(guān)我國經(jīng)濟(jì)社會健康發(fā)展,事關(guān)廣大人民群眾合法權(quán)益不受侵犯。從安全的概念看,網(wǎng)絡(luò)安全與信息安全在范圍上沒有本質(zhì)區(qū)別,也指的是總體性的安全,既包含網(wǎng)絡(luò)與信息系統(tǒng)的技術(shù)安全,也包含信息內(nèi)容安全。但網(wǎng)絡(luò)安全審查制度是對關(guān)系國家安全的信息系統(tǒng)中使用的產(chǎn)品與服務(wù)進(jìn)行測試評估、檢測分析和持續(xù)監(jiān)督,這些信息系統(tǒng)中運行的業(yè)務(wù)和流轉(zhuǎn)的信息,并不是審查的對象,因此它不涉及信息內(nèi)容安全,與輿論管控、內(nèi)容審查無關(guān)。更不會涉及個人信息,不會對個人信息安全造成負(fù)面影響。