信息安全國家標準，助力國家網(wǎng)絡安全審查制度建立

（全國信息安全標準化技術委員會 羅鋒盈）

進入新世紀以來，信息技術迅猛發(fā)展，國民經(jīng)濟和社會信息化不斷深化，經(jīng)濟社會發(fā)展對基礎網(wǎng)絡和重要信息系統(tǒng)的依賴程度越來越高，一旦發(fā)生重大安全問題，不僅會造成嚴重經(jīng)濟損失，而且會影響國家利益和公眾利益，甚至危害國家安全。在全球信息化的背景下，網(wǎng)絡安全已成為世界各國共同關注的熱點問題。當前，網(wǎng)絡空間已被視為繼陸、海、空、天之后的“第五空間”，網(wǎng)絡空間安全已成為各國高度關注的重要領域。

2014年2月27日，在中央網(wǎng)絡安全和信息化領導小組第一次會議上，習近平總書記提出了“網(wǎng)絡安全和信息化是一體之兩翼，驅動之雙輪”、“沒有網(wǎng)絡安全就沒有國家安全，沒有信息化就沒有現(xiàn)代化”等重要論斷，標志著網(wǎng)絡安全已上升至國家戰(zhàn)略高度。隨后在5月22日，國家互聯(lián)網(wǎng)信息辦公室發(fā)布消息稱，為維護國家網(wǎng)絡安全、保障中國用戶合法利益，我國即將推出網(wǎng)絡安全審查制度。該制度規(guī)定，關系國家安全和公共利益的重要技術產(chǎn)品和服務，應通過網(wǎng)絡安全審查。這是我國首次正式提出建立國家網(wǎng)絡安全審查制度。

縱觀一些西方國家實施國家安全審查制度的經(jīng)驗，可以給我們一些啟示。美國作為設立國家安全審查制度的最具代表性國家之一，其最初目的是對可能導致控制從事美國州際貿(mào)易的人的外資并購進行國家安全審查。在1992年,國會又通過《埃克森-弗羅里奧修正法》,增加了對外國政府控制的企業(yè)在美并購進行國家安全審查的條文。2007年7月26日,布什總統(tǒng)簽署了《2007年外國投資與國家安全法》，該法維持了“埃克森-弗羅里奧”條款所確立的國家安全審查的程序和權力分配方案，對于那些可能導致“控制美國關鍵性基礎設施”的外資并購,應當進行國家安全審查�？梢钥闯�，美國國家安全審查的功能定位和范圍相對最初定位呈現(xiàn)出了擴張趨勢，除了在維護經(jīng)濟安全方面發(fā)揮更加積極主動的作用，還包括了對關鍵基礎設施產(chǎn)業(yè)的保護，拓展到了聯(lián)邦政府云計算服務、重要信息系統(tǒng)供應鏈等。其安全審查對象不僅包括產(chǎn)品和服務的安全性能指標，還包括產(chǎn)品研發(fā)過程、程序、步驟、方法、產(chǎn)品的供應鏈等，同時產(chǎn)品和服務供應方的員工與企業(yè)背景也在審查之列。眾所周知，2011年11月，美國眾議院情報委員會就華為、中興涉嫌“威脅美國國家安全”事件，正式展開調(diào)查；2012年3月，三一重工收購美國俄勒岡州海軍軍事基地附近的4座風力發(fā)電廠項目被叫停等等，這些都是中國企業(yè)“走出去”時所遭遇的政治壁壘。

為配合國家網(wǎng)絡安全審查制度的建立，全國信息安全標準化技術委員會已經(jīng)組織制定了云服務安全和信息技術產(chǎn)品供應行為安全方面的國家標準，下面將這些標準進行簡要介紹。

云服務安全審查標準概述

為有效落實國發(fā)〔2012〕23號文，加強政府信息系統(tǒng)安全管理，加快云計算服務安全標準制定工作，全國信息安全標準化技術委員會制定了兩項云計算服務安全關鍵標準：GB/T 31167-2014《信息安全技術 云計算服務安全指南》和GB/T 31168-2014《信息安全技術 云計算服務安全能力要求》。

GB/T 31167-2014描述了云計算服務可能面臨的主要安全風險，提出了政府部門采用云計算服務的安全管理基本要求，及云計算服務的生命周期各階段的安全管理和技術要求。該標準為政府部門采用云計算服務，特別是采用社會化的云計算服務提供全生命周期的安全指導，適用于政府部門采購和使用云計算服務，也可供重點行業(yè)或企事業(yè)單位參考。

GB/T 31168-2014對政府部門和重要行業(yè)使用的云計算服務提出了基本的安全能力要求，反映了云服務商在保障云計算平臺上的信息和業(yè)務安全時應具有的基本能力。標準對云服務商提出了一般要求和增強要求。根據(jù)擬遷移到社會化云計算平臺上的政府和行業(yè)信息、業(yè)務的敏感度及安全需求的不同，云服務商應具備的安全能力也各不相同。該標準概述了云計算措施的實施責任、作用范圍、安全要求的分類等，描述了針對每類安全要求的具體要求。標準在附錄中給出了安全計劃的模版，以便于開展對云服務商的安全評估。

信息技術產(chǎn)品安全審查標準概述

為貫徹全國人大常委會《關于加強網(wǎng)絡信息保護的決定》相關要求，充分發(fā)揮國家信息安全標準在保障個人、企業(yè)和國家安全中的技術支撐作用，全國信息安全標準化技術委員會組織制定了信息技術產(chǎn)品供應安全標準：《信息安全技術 信息技術產(chǎn)品供應方行為安全準則》，目前已形成報批稿，從信息技術產(chǎn)品（包括軟件、硬件、系統(tǒng)等）安全使用和管理的角度，規(guī)范信息技術產(chǎn)品供應方在提供信息技術產(chǎn)品時應遵守一定的信息安全行為規(guī)范。適用于信息技術產(chǎn)品供應過程中的信息保護及其管理，也可為信息技術產(chǎn)品的研發(fā)、運維等提供參考。

在堅持開放創(chuàng)新的政策下，我們不應忽視潛在的安全問題，相關法律法規(guī)亟須建立，相應的國家標準也需盡快研制與實施，而制定出臺配套的國家標準，助力網(wǎng)絡安全審查制度建立，是全國信息安全標準化技術委員會責無旁貸的重任。