10年专业ISO20000、ISO27001、ISO27000、itss、CMMI、CCRC、商用密码产品、APP安全认证咨询机构新闻中心
最新动态
热点文章
首页 > 新闻中心 > 行业知识 > 网络完全审查对政府采购有什么影响?:网络完全审查对政府采购有什么影响?
从中央网络安全和信息化小组成立到即将出台的网络安全审查制度,舆论对网络安全的关注持续发热。然而,对即将到来的网络安全审查制度,政府采购业内人士不禁产生了诸多疑问。网络安全审查制度查什么?该制度出台后,执行将面临哪些难题?作为党政机关网络安全产品的入口,政府采购将如何对接网络安全审查制度,同时,政府采购作为信息安全产品的重要出口,作用该如何体现?
听其言 观其行
对于即将出台的网络安全审查制度,国家互联网信息办公室虽未透露更多信息,但消息甫出,便引起民众强烈的关注。该制度将审查什么内容成为业内人士谈论的焦点。在中国信息安全认证中心副主任陈晓桦看来,网络安全审查制度是保护国家信息安全的新手段,并非新的测评手段。
“从技术层面看,网络安全审查要检查信息安全产品漏洞、后门等情况,但审查内容不能仅停留在技术层面上,还应上升到国家高度,对提供信息安全产品和服务的供应商背景进行调查。该背景包括是否受到外国军方、情报部门的影响,供应商的高级管理人员及技术研发人员是否曾发表过反人类言行、是否有犯罪前科等。对于供应商背景的调查,美国在信息安全审查中一直进行,我国的网络安全审查制度执行时也可以借鉴。只有全方位审查,才能保证国家重要部门和行业的信息技术产品和服务的信息安全。”陈晓桦说。
曙光信息产业股份有限公司副总裁任京旸的观点与陈晓桦不谋而合。在任京旸看来,网络安全审查内容首先应注重安全信用,不仅要听其言,更要观其行。一是信息产品和服务的供应商在安全领域的所作所为及安全纪录,二是产品服务的安全性能指标、自主可控程度、实际控制人等方面,都应成为重要审核内容。
欲揽瓷器活 还需金刚钻
网络不安,国家不宁。就在国家互联网信息办公室发言人透露我国即将推出网络安全审查制度的次日,浪潮集团有限公司便成立了信息安全审查制度对应工作组,该集团被检产品和被检单位将随时接受国家相关部门的网络安全审查。
浪潮集团副总裁左佰臣表示,建立网络安全审查制度将极大地促进本土企业及科研机构创新的积极性。只有科技创新成果转化成产品,关键技术和产品被市场应用,才会形成良性的科技创新“造血”机制。
任京旸指出,即将出台的网络安全审查制度在落地过程中面临诸多问题。“一是网络安全审查制度应对尖端技术应实时跟进。由于信息技术发展很快,网络安全审查的技术标准应保持快速更新,与前沿基本同步。二是由于企业在面对网络安全审查制度时,可能会以商业机密、知识产权为借口,在审查的关键点上不配合,因此须备好有理有力有节的应对措施。三是企业面对投资方背景调查时,可能采用一些诸如合资、生产经营分离等手段掩盖其真实投资方背景。四是地方保护及行业保护。个别地区及部门可能从局部利益出发,为不符合条件的企业提供便利,增加审查难度。
“技术审查能力和水平有限是目前我国在推行网络安全审查制度时可能面临的困难之一。”陈晓桦表示,目前在技术层面上我国尚不能保证所有的安全漏洞全部被发现。当然,推行网络安全审查制度是循序渐进的过程。审查的队伍、手段、技术水平等需要不断摸索和提高。
“入口”与“出口”有效对接
在记者采访中,左佰臣表示,即将建立的网络安全审查制度将为我国政府采购信息技术产品和服务建立入门的标准和规范,信息安全认证将会大规模推开。建议今后只有通过网络安全审核的产品才有进入政府采购市场的资格,这样就为政府信息化建设把控了信息安全。与此同时,政府采购相应的规章制度也需要做与之相匹配的调整。
北京邮电大学移动互联网安全技术国家工程实验室副教授崔宝江也表达了同样的观点,他说,在具体操作层面上,政府采购与网络安全审查制度应有效对接。政府采购作为国内较为规范的一套采购体系,因其受众面广,能在国家政策功能方面起到很好的执行示范作用。但由于目前国内公安系统、质检总局、工信部、军队等多个职能部门,确实存在多个不同的信息安全产品认证体系,这会使政府采购与网络安全审查制度的对接留有缺口。
崔宝江对此认为,政府采购在与网络安全审查制度对接过程中,应贯彻一个入口和一个出口的原则。一个入口,是在全国范围内建立起统一的网络安全审查机构以及相应流程和规范,所有政府采购产品前期必须进行网络安全审查。一个出口,是通过网络安全审查的产品,才能被采购单位通过政府采购方式购买。
“鉴于我国目前网络安全政策的现状,如果没有国家对上游入口环节的统一规划和部署,难以单纯依靠政府采购改变现有局面。为此,政府采购相关部门有必要利用建立网络安全审查机制为契机,积极参与到网络安全审查机制和流程的制定中,理顺作为入口的网络安全审查制度与作为出口的政府采购的关系,实现紧密对接,将政府采购作为信息安全产品的重要出口的作用体现出来,发挥政府采购在执行国家政策方面的关键和示范效应。”崔宝江说。
听其言 观其行
对于即将出台的网络安全审查制度,国家互联网信息办公室虽未透露更多信息,但消息甫出,便引起民众强烈的关注。该制度将审查什么内容成为业内人士谈论的焦点。在中国信息安全认证中心副主任陈晓桦看来,网络安全审查制度是保护国家信息安全的新手段,并非新的测评手段。
“从技术层面看,网络安全审查要检查信息安全产品漏洞、后门等情况,但审查内容不能仅停留在技术层面上,还应上升到国家高度,对提供信息安全产品和服务的供应商背景进行调查。该背景包括是否受到外国军方、情报部门的影响,供应商的高级管理人员及技术研发人员是否曾发表过反人类言行、是否有犯罪前科等。对于供应商背景的调查,美国在信息安全审查中一直进行,我国的网络安全审查制度执行时也可以借鉴。只有全方位审查,才能保证国家重要部门和行业的信息技术产品和服务的信息安全。”陈晓桦说。
曙光信息产业股份有限公司副总裁任京旸的观点与陈晓桦不谋而合。在任京旸看来,网络安全审查内容首先应注重安全信用,不仅要听其言,更要观其行。一是信息产品和服务的供应商在安全领域的所作所为及安全纪录,二是产品服务的安全性能指标、自主可控程度、实际控制人等方面,都应成为重要审核内容。
欲揽瓷器活 还需金刚钻
网络不安,国家不宁。就在国家互联网信息办公室发言人透露我国即将推出网络安全审查制度的次日,浪潮集团有限公司便成立了信息安全审查制度对应工作组,该集团被检产品和被检单位将随时接受国家相关部门的网络安全审查。
浪潮集团副总裁左佰臣表示,建立网络安全审查制度将极大地促进本土企业及科研机构创新的积极性。只有科技创新成果转化成产品,关键技术和产品被市场应用,才会形成良性的科技创新“造血”机制。
任京旸指出,即将出台的网络安全审查制度在落地过程中面临诸多问题。“一是网络安全审查制度应对尖端技术应实时跟进。由于信息技术发展很快,网络安全审查的技术标准应保持快速更新,与前沿基本同步。二是由于企业在面对网络安全审查制度时,可能会以商业机密、知识产权为借口,在审查的关键点上不配合,因此须备好有理有力有节的应对措施。三是企业面对投资方背景调查时,可能采用一些诸如合资、生产经营分离等手段掩盖其真实投资方背景。四是地方保护及行业保护。个别地区及部门可能从局部利益出发,为不符合条件的企业提供便利,增加审查难度。
“技术审查能力和水平有限是目前我国在推行网络安全审查制度时可能面临的困难之一。”陈晓桦表示,目前在技术层面上我国尚不能保证所有的安全漏洞全部被发现。当然,推行网络安全审查制度是循序渐进的过程。审查的队伍、手段、技术水平等需要不断摸索和提高。
“入口”与“出口”有效对接
在记者采访中,左佰臣表示,即将建立的网络安全审查制度将为我国政府采购信息技术产品和服务建立入门的标准和规范,信息安全认证将会大规模推开。建议今后只有通过网络安全审核的产品才有进入政府采购市场的资格,这样就为政府信息化建设把控了信息安全。与此同时,政府采购相应的规章制度也需要做与之相匹配的调整。
北京邮电大学移动互联网安全技术国家工程实验室副教授崔宝江也表达了同样的观点,他说,在具体操作层面上,政府采购与网络安全审查制度应有效对接。政府采购作为国内较为规范的一套采购体系,因其受众面广,能在国家政策功能方面起到很好的执行示范作用。但由于目前国内公安系统、质检总局、工信部、军队等多个职能部门,确实存在多个不同的信息安全产品认证体系,这会使政府采购与网络安全审查制度的对接留有缺口。
崔宝江对此认为,政府采购在与网络安全审查制度对接过程中,应贯彻一个入口和一个出口的原则。一个入口,是在全国范围内建立起统一的网络安全审查机构以及相应流程和规范,所有政府采购产品前期必须进行网络安全审查。一个出口,是通过网络安全审查的产品,才能被采购单位通过政府采购方式购买。
“鉴于我国目前网络安全政策的现状,如果没有国家对上游入口环节的统一规划和部署,难以单纯依靠政府采购改变现有局面。为此,政府采购相关部门有必要利用建立网络安全审查机制为契机,积极参与到网络安全审查机制和流程的制定中,理顺作为入口的网络安全审查制度与作为出口的政府采购的关系,实现紧密对接,将政府采购作为信息安全产品的重要出口的作用体现出来,发挥政府采购在执行国家政策方面的关键和示范效应。”崔宝江说。
想了解更多的关于信息可以经常关注我们
【相关文章】
