《電子技術應用》
您所在的位置:首頁 > 其他 > 業(yè)界動態(tài) > 開展審查認證工作保障國家網(wǎng)絡安全

開展審查認證工作保障國家網(wǎng)絡安全

2020-05-07
作者:魏昊
來源:中國質量報

目前,我國已經開展了網(wǎng)絡產品和服務安全審查、數(shù)據(jù)安全專項審查、數(shù)據(jù)出境安全審查、黨政機關云服務安全評估等工作,同時還開展了網(wǎng)絡安全產品、管理體系、服務資質和人員能力四大類的網(wǎng)絡安全認證工作,下一步還將開展面向關鍵信息基礎設施的云服務安全評估、APP安全認證、數(shù)據(jù)安全管理認證等重要工作。審查認證工作在我國國家網(wǎng)絡安全保障體系中正在發(fā)揮愈來愈大的作用。

9月19日,在湖北省武漢市召開的“2019‘黃鶴杯’網(wǎng)絡安全人才與創(chuàng)新峰會”上,中國網(wǎng)絡安全審查技術與認證中心(以下簡稱網(wǎng)安中心)主任魏昊發(fā)表了題為《關鍵信息基礎設施供應鏈安全與審查認證制度》的演講,系統(tǒng)論述了審查認證工作是保障關鍵信息基礎設施安全的重要手段,我國開展審查認證工作的背景和依據(jù)等觀點。

供應鏈安全是關鍵信息基礎設施保護的重要內容

中國網(wǎng)絡安全審查技術與認證中心承擔著我國網(wǎng)絡安全審查相關技術支撐和具體組織實施工作,同時負責網(wǎng)絡安全認證工作。

魏昊介紹說,《關鍵信息基礎設施安全保護條例(送審稿)》(以下簡稱《保護條例》)中對關鍵信息基礎設施的定義是,一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露,可能嚴重危害國家安全、國計民生、公共利益的網(wǎng)絡設施、信息系統(tǒng)等。關鍵信息基礎設施從其構成上既有傳統(tǒng)IT系統(tǒng),也有工業(yè)控制系統(tǒng),結構復雜、差異性大。在我國,重要信息系統(tǒng)的生產、設計、運行維護仍然嚴重依賴全球供應鏈,不僅面臨被植入后門、被監(jiān)控竊聽風險,還面臨嚴重的斷供威脅。因此,ICT供應鏈安全是關鍵信息基礎設施保護工作的重要組成部分,確保我國關鍵信息基礎設施網(wǎng)絡安全,是目前最緊迫的任務。

ICT供應鏈即網(wǎng)絡產品和服務的供應鏈,是指為滿足供應關系,通過資源和過程將需方、供方相互連接的網(wǎng)鏈結構,可用于將ICT產品和服務提供給需方(《信息安全技術 ICT供應鏈安全風險管理指南》(GB/T36637-2018))。ICT供應鏈的風險來自供應鏈安全威脅和供應鏈本身的脆弱性,具有隱蔽性強,極難發(fā)現(xiàn);攻擊、破壞成本低,效果卻極顯著;防御成本高,產品應用后難以替換;能夠成為政治、經濟、貿易的重要打壓手段的特點。目前,ICT供應鏈安全已經成為各國關注的焦點安全問題。

審查認證制度是保障供應鏈安全的重要手段

據(jù)魏昊介紹,審查的作用是對現(xiàn)實和潛在風險進行全面評估、判定及處置,其目的是建立準入、退出和持續(xù)監(jiān)督機制。審查從風險入手,覆蓋所有重要產品和服務,更廣泛、更靈活、更快速;檢測、認證更關注產品和服務的標準符合性,審查需要在此基礎上對產品和服務的可控、可信做出判斷;現(xiàn)有認證、測評等工作都是審查制度的重要支撐。在國際范圍內,審查認證制度被證明是保障IT供應鏈安全行之有效的重要手段。通過認證檢測,有效降低產品服務存在的技術風險,提高管理規(guī)范性,拉高安全底線。通過在取得認證的基礎上進行審查,對于關鍵信息基礎設施實施重點保護。

在2016年發(fā)布的《網(wǎng)絡安全法》中,關鍵信息基礎設施保護是核心內容之一,作為落實關鍵信息基礎設施保護的重要手段,審查、認證、檢測、評估等在法律條文中多次出現(xiàn)。同年發(fā)布實施的《網(wǎng)絡空間安全戰(zhàn)略》中提出,建立實施網(wǎng)絡安全審查制度,加強供應鏈安全管理,對黨政機關、重點行業(yè)采購使用的重要信息技術產品和服務開展安全審查,提高產品和服務的安全性和可控性,防止產品服務提供者和其他組織利用信息技術優(yōu)勢實施不正當競爭或損害用戶利益。

我國發(fā)布的《認證認可檢驗檢測發(fā)展“十三五”規(guī)劃》中提出,建立完善全面覆蓋信息技術產品、系統(tǒng)、服務、管理和人員的信息安全認證評價系等5項網(wǎng)絡安全相關內容。今年5月,由中央網(wǎng)信辦研究起草的《網(wǎng)絡安全審查辦法》(以下簡稱《審查辦法》)面向社會公開征求意見,并將根據(jù)各方意見修改完善后,適時發(fā)布。

在認證認可方面,魏昊表示,今后我國將加大力度運用認證認可手段,為關鍵信息基礎設施保護工作提供支撐,其中包括開展網(wǎng)絡安全專用產品和網(wǎng)絡關鍵設備的認證工作;改進、完善現(xiàn)行認證、認可體系,與審查工作充分銜接;加強大數(shù)據(jù)、隱私保護、關鍵信息基礎設施等重點領域的標準、檢測、認證技術研究和制度建設;落實質量提升要求,加強對智能家居等消費品網(wǎng)絡安全的檢測認證工作;積極開展國際認證認可合作,促進我國出口產品、服務走向國際市場;大力開展網(wǎng)絡安全質量技術基礎(NQI)研究工作,在提升供給的同時,提高網(wǎng)絡安全認證有效性。

《中國質量報》

 


本站內容除特別聲明的原創(chuàng)文章之外,轉載內容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點。轉載的所有的文章、圖片、音/視頻文件等資料的版權歸版權所有權人所有。本站采用的非本站原創(chuàng)文章及圖片等內容無法一一聯(lián)系確認版權者。如涉及作品內容、版權和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當措施,避免給雙方造成不必要的經濟損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。