3.1 网络安全审查的意义和目的
3.1.1 网络安全审查是维护国家安全利益的意志体现
全球进入软件供应链时代,供应链安全攻击成为当前主要攻击手段。近年来,全球范围内针对关键信息基础设施的网络攻击行为不断攀升,涉及金融、医疗卫生、交通、能源、工业控制等领域,如 opensll 心脏滴血漏洞,影响范围广泛、程度严重。知名安全企业赛门铁克发布报告,2018年全球供应链网络攻击暴增78%,且2019年仍在持续扩大增长。软件供应链攻击针对开源第三方产品的安全漏洞或脆弱环节,通过入侵和感染联网设备、重要系统,造成设备破坏、系统崩溃、敏感数据丢失等后果,以实现对关键信息基础设施的破坏性打击,针对设备制造商、第三方服务提供商等的供应链攻陷成为主要攻击手段。软件供应链涉及范围广泛,防范难度巨大,单兵作战或地方打击无法打击全球新的攻击,因此必须依靠国家力量,采取有效安全审查方法,维护国家安全。
网络安全审查制度是各国主要落实关键信息基础设施安全保护的通行做法。为加强对关键信息基础设施和重要信息系统的保护,确保信息产品和服务安全性,美国、英国、德国、澳大利亚、俄罗斯等国已纷纷建立网络安全审查制度。通过开展网络安全审查,预判和检查产品及服务投入使用后可能带来的网络安全风险,防范因供应链产品安全漏洞引发的安全事件,从源头上消除安全隐患。
网络安全审查是国家维护国家安全利益的意志体现。2014年5月22日,中华人民共和国国家互联网信息办公室发布公告称,“为维护国家网络安全、保障中国用户合法利益,对关系国家安全和公共利益的系统使用的、重要信息技术产品和服务,应通过网络安全审查”,标志国家要实行网络安全审查制度。2017年正式实施的《网络安全法》第三十五条明确,“关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查”,标志网络安全审查制度法制化。随后,国家出台《网络产品和服务安全审查办法(试行)》,修正、完善了试行办法中的欠妥之处与工作不足,最终于2020年4月正式对外发布《网络安全审查办法》。
3.1.2 网络安全审查是国家网络安全治理的手段
关键信息基础设施网络安全事件频出,需要对网络安全风险开展主动防御。当前,我国政府机关、能源、金融、交通、通信等重要行业领域关键信息基础设施的网络安全状况日趋严峻。2019年,国外陆续发生多起电力系统遭漏洞攻击或加密勒索攻击的恶性事件,引发城市大范围停电,严重影响了当地经济社会正常运转。在 5G 网络加快覆盖的大背景下,关键信息基础设施暴露在互联网上的情况持续增多。由于承载服务、信息的高价值性,针对关键信息基础设施的网络窃密、远程破坏攻击、勒索攻击会持续增加。关键信息基础设施的安全问题将受到强烈关注,需要从被动防御转移到主动防御,需要从网络安全法转移到法律执行细化上来,需要从指导转移到安全执行上来。
网络安全审查是网络安全防范的可信根。伴随5G、工业互联网、大数据中心、云计算等新一代数字基础设施规模化建设和应用,关键信息基础设施承载与国家安全和经济发展密切相关的核心业务和海量数据,应用到关键信息基础设施的网络产品、安全服务和软件的安全对关基安全影响巨大。国家工业信息安全发展研究中心调查发现,很多知名工控厂商提供的设备中存在安全漏洞,其中中高危漏洞占较大比例,一旦被攻击入侵,将可能造成生产停滞、断水断电、重大经济损失等后果。开展严格的网络安全审查,从根本上防堵安全漏洞和隐患,是现阶段防范安全风险的适时之举,是国家网络安全综合治理的必要手段。国家出台《网络安全审查办法》,一是明确和细化了我国网络安全审查的具体要求,为关键信息基础设施运营者申报审查提供了指引,二是构建起了多部门协同配合的组织体系,为关键系统设备上线运行及服务采购设立了严格的安全门槛,三是建立了网络安全产品和服务安全风险预判机制,从识别威胁、化解风险的角度,推动安全关口前移,强化供应链安全风险管控,提升网络安全保障水平。
3.1.3 网络安全审查是国家主权的体现
网络安全审查目的是维护国家网络安全。我国同世界的合作和竞争越来越紧密,命运共同体的理念日益获得国际认可。改革开放的实践证明,坚持国家主权,坚持改革开放是长期坚持的一项基本国策。国家互联网信息办公室就《网络安全审查办法》相关问题时强调,“网络安全审查的目的是维护国家网络安全,不是要限制或歧视国外产品和服务。对外开放是我们的基本国策,我们欢迎国外产品和服务进入中国市场的政策没有改变。”
网络安全审查目的是网络安全底线思维的表现。没有网络安全就没有国家安全,只要相关产品或服务严格符合中国网络安全的标准与要求,就可以在国家关键信息基础设施中使用,这是在涉及网络安全和国家安全的核心问题上的底线和红线。对外引入的安全产品和服务,必须建立在遵守中国法律、确保国家安全基础上的安全有序开放,这就是国家主权的重要表现,即对外有反制权、对内有管理权。