方滨兴院士：我国启动云计算平台网络安全审查试点

中国科技网5月22日报道（记者 王飞）国家互联网信息办公室今天宣布我国将出台网络安全审查制度，将对关系国家安全和公共利益的系统使用的重要技术产品和服务进行网络安全审查。我国网络与信息安全专家、中国工程院院士方滨兴接受中国科技网记者采访时表示，中国作为网络大国，顺应国内外大势建立网络安全审查制度，确有必要。同时他还透露，我国已经启动云计算平台网络安全审查试点工作。

所谓网络安全审查，就是对关系国家安全和社会稳定信息系统中使用的信息技术产品与服务进行测试评估、监测分析、持续监督的过程。

记者了解到，作为我国著名网络安全专家，方滨兴早在3年前就曾向国家建议实施网络安全审查制度。在他看来，网络安全事关国家安全，事关用户合法权益不受侵犯，美、英、法、日等国很早就建立了相关制度，但我国由于过去长期缺乏明确的网络安全统筹管理主体，这项工作并没有得到推动和实施。

如今网络安全审查制度即将出台，方滨兴认为这主要是我国网络安全管理环境到位的结果。“今年初，我国成立了由习近平总书记担任组长的中央网络安全和信息化领导小组，并下设专门办公室，这些都强化了网络安全管理主体和层级，有了这样一个抓总（体）的机构，网络安全审查制度的出台工作就能快速推进。”

此前，中国对接入公用电信网的电信设备实行进网许可制度，并对针对杀毒软件、防火墙等信息安全产品陆续出台过一些信息产品安全认证标准，此次针对重要技术产品和服务开展的网络安全审查与之前的许可和认证制度有何不同？方滨兴表示，网络安全审查制度不是行政许可，并不是对所有的设备和服务进行审查，而是侧重于重要信息系统领域。“许可制度针对单个的产品，网络安全审查的对象则可能是一个产品和服务，也可能是一种产品和服务提供商，还可能是一个大的系统。”他认为，“比较而言，网络安全审查对象更为宽泛，但关注领域更侧重宏观，它是一种战略层面的部署，而许可认证制度则是一种战术选择。”

2000年，美国率先在国家安全系统中对采购的产品进行安全审查，随后陆续针对联邦政府云计算服务、国防供应链等出台了安全审查政策，实现了对国家安全系统、国防系统、联邦政府系统的全面覆盖。审查对象不仅涉及产品和服务，还会针对产品和服务提供商。

我国的网络安全审查制度又将如何实施？方滨兴院士透露，我国已经启动云计算平台安全审查试点工作，他本人担任试点专家组组长。“试点工作大致的内容就是先起草两个相关技术标准，然后选取了一些云平台服务厂商，通过一些党政用户群体的使用，结合专业测试评估机构，在专家组的指导下对云计算平台进行安全审查。”

对于云计算平台网络安全审查试点具体实施办法，方滨兴解释说，试点审查办法分为两类，一类是黑名单形式的审查，称之为“投诉性审查”，另一类是肯定形式的审查，可称之为“主动扶持性审查”。

方滨兴告诉中国科技网记者，所谓“投诉性审查”，即如果发现某些系统、产品或服务对国家安全、社会经济发展、公众利益具有安全威胁，就可以启动对其审查。通常这种情况的出现是源于投诉，而不是不经了解就无条件审查，这时该系统、产品或服务的市场行为即被强制停止，直到审查通过之后方可恢复，这就是强制性的含义所在。

而“主动扶持性审查”则是帮助推动某种信息技术使之能够不损伤国家安全、社会经济发展、公民利益，并且有助于主动发现可能存在的安全问题，并进行重点关注并指导改进，最大限度地消除潜在安全隐患。“这种审查既不会强制被审产品停止市场活动，也不会强制购买通过审查的产品，但可以通过审查来制定一种安全标准，从而带动同行业在安全方面有所提高。”方滨兴认为，这种审查方法是类似于“样板白名单”的做法。

不过他强调，以上做法只是我国实施网络安全审查制度的一个试点和尝试，今后还会对试点工作进行不断改进和完善。