2月4日,国家互联网信息办公室在其官网公开《网络产品和服务安全审查办法(征求意见稿)》(以下简称意见稿),明确将成立网络安全审查委员会,负责审议网络安全审查的重要政策,统一组织网络安全审查工作。专家表示,网络安全审查不是常态性的,法律明确的是“可能影响国家安全的,关键信息基础设施运营者采购的网络产品和服务”。
网络安全审查委员会到底审查些什么?此次意见稿明确“重点审查网络产品和服务的安全性、可控性”。
四川大学网络空间安全研究院特聘副研究员洪延青表示,意见稿第4条列举了审查重点关注的四种风险:稳定性方面(被非法控制、干扰和中断运行的风险)、供应链安全方面(研发、交付、技术支持过程中的风险)、用户自主支配其信息方面(利用提供产品和服务的便利条件非法收集、存储、处理、利用用户相关信息的风险)、用户保持独立自主方面(利用用户对产品和服务的依赖,实施不正当竞争或损害用户利益的风险)。
洪延青认为,网络安全审查并非审查、评估产品和服务的业务性能,而是其在输出功能的过程中(也就是规定动作),会不会擅自采取一些自选动作,以及有没有可能被非法篡改、干扰、中断等。
他说,用更通俗的话来说,影响或可能影响国家安全的产品和服务必须绝对“忠于用户”,至于产品和服务本身的功能、性能有多大或够不够用,不是安全审查的重点。
中国信息安全研究院副院长左晓栋表示,传统的安全测评更多是关注产品本身的安全性。而网络安全审查和以前的产品测评是不冲突的,重点关注产品的安全性可控性,重点检查其有没有利用提供产品的便利,从事危害用户利益的可能性。这些范围归根到底都是围绕产品的“安全和可控”。
本文出处:畅享网
本文来自云栖社区合作伙伴畅享网,了解相关信息可以关注vsharing.com网站。
