网络安全审查乃顺势而为

网络安全审查制度借鉴国外经验

据介绍，此次审查制度借鉴发达国家经验，并非一时兴起或针对某些国家或事件。“之所以现在出台此项制度，主要是因为我国的测评技术、体系、标准等均已成熟。我们云计算基础设施已经完备，今年我国将以云计算平台安全测试作为工作试点，制定云计算安全标准，主要从安全技术要求和服务能力标准两个方面进行审查，从中找出安全短板，进而尽快弥补安全漏洞。”李京春说。

专家还表示，此次网络安全审查制度从出台到全面实施将循序渐进，从重点行业开始逐步扩展到各个领域和行业。

（综合本报张洋、郑会燕和新华社记者白阳、史竞男报道）

链接

美国的网络安全审查

网络安全审查，就是对关系国家安全和社会稳定信息系统中使用的信息技术产品与服务进行测试评估、监测分析、持续监督的过程。

2000年，美国率先在国家安全系统中对采购的产品进行安全审查，随后陆续针对联邦政府云计算服务、国防供应链等出台了安全审查政策，实现了对国家安全系统、国防系统、联邦政府系统的全面覆盖。审查对象不仅涉及产品和服务，还会针对产品和服务提供商。随后，美国等西方国家为保障国家安全、防范供应链安全风险，逐步建立了多种形式的网络安全审查制度。将全方位、综合性的供应链安全审查对策上升至国家战略高度。

美国网络安全审查标准和过程是不公开的。美国对供应链安全审查的过程、标准、机制完全封闭，不披露原因和理由，不接受供应方申诉。主要考虑对国家安全、司法和公共利益的潜在影响，且其审查没有明确的时间限制。

美国安全审查的要害之一，是安全审查结果具有强制性。美国国家安全系统委员会发布的《国家信息安全保障采购政策》规定，进入国家安全系统的信息技术产品必须通过审查。美国政府发布的《联邦风险及授权管理计划》，要求为联邦政府提供云计算服务的服务商，必须通过安全审查、获得授权；联邦政府各部门不得采用未经审查的云计算服务。

美国网络安全审查的内容不局限于技术。美国联邦政府要求，不仅要审查产品安全性能指标，还要审查产品的研发过程、程序、步骤、方法、产品的交付方法等，要求企业自己证明产品已经达到了规定的安全强度。

美国要求被审查企业签署网络安全协议，协议通常包括：通信基础设施必须位于美国境内；通信数据、交易数据、用户信息等仅存储在美国境内；若外国政府要求访问通信数据必须获得美国司法部、国防部、国土安全部的批准；配合美国政府对员工实施背景调查等。