网络安全审查制度将出台：国产云计算的初步胜利

针对中国网络安全审查制度将出台的消息，国家信息技术安全研究中心总工李京春解读称，这是我国云计算基础设施的成熟带来的契机，今年将以云计算平台安全测试作为工作试点。

5月22日，国家互联网信息办公室发布消息称，我国将实行网络安全审查制度，重点审查信息技术产品的安全性和可控性，防止产品提供者利非法控制、干扰、中断用户系统，非法收集、存储、处理和利用用户有关信息，以确保我国的公共安全和国家网络空间安全。

“之所以现在出台此项制度，主要是因为我国的测评技术、体系、标准等均已成熟。我们云计算基础设施已经完备，今年我国将以云计算平台安全测试作为工作试点，制定云计算安全标准，主要从安全技术要求和服务能力标准两个方面进行审查，从中找出安全短板，进而尽快弥补安全漏洞。”李京春说。

（图片来自人民网）

国之所需，民之所向

所谓网络安全审查，即对信息系统中使用的信息技术产品与服务进行测试评估、监测分析、持续监督的过程。欧美、日本等发达国家早已针对信息安全的全链条建立了详尽的审查体系，对涉及国家重大战略层面的信息技术产品进行评估。

2000年，美国率先在国家安全系统中对采购的产品进行安全审查，随后陆续针对联邦政府云计算服务、国防供应链等出台了安全审查政策，实现了对国家安全系统、国防系统、联邦政府系统的全面覆盖。其要求为联邦政府提供云计算服务的服务商，必须通过安全审查、获得授权，其基础设施必须位于美国境内;并要求联邦政府各部门不得采用未经审查的云服务。

相比之下，我国在网络安全审查方面的制度仍是一片空白。但另一方面，近年来，我国的网络安全事件却在不断增加，网络安全风险不断加大，斯诺登事件的影响之深远，更是无人不知，国家互联网信息办公室发言人姜军专家认为，建立网络安全审查制度刻不容缓。

“信息安全现已成为国家安全的重要一环，进行网络安全审查是信息技术发展的必然趋势。”中国工程院院士方滨兴说。

工业和信息化部电子科学技术情报研究所总工程师尹丽波更是直言，美国的“八大金刚”(微软、思科、高通等8个美国公司)在我国的市场产量占有很多比例，如果我们做了审查，至少可以保证它没有被植入后门，也确保这些被用在政府部门、企业等的重要产品不会非法收集信息、非法控制数据。

国家互联网信息办公室发言人姜军也表示，网络和信息技术产品是否安全、是否可控，事关国家安全，事关中国经济社会健康发展，事关广大人民群众合法权益不受侵犯。他指出，近年来，我国政府部门、机构、企业、大学及电信主干网络遭受大规模的侵入、监听，深受其害。

中国信息安全评测中心总工程师王军则认为，随着智能手机等信息产品的普及，民众对信息产品的安全性也越来越重视。但是，由于第三方约束机制的缺乏，许多厂商对产品的安全属性不够重视，有的甚至“店大欺客”，明知产品有安全缺陷，却拒不更改;更有部分厂商在产品中埋“后门”，窃取用户信息和数据，由此带来的用户隐私泄露等问题近年来时有发生。

对于这样利国利民的需求，在信息化刚刚开始的时候，我们没有意识到，以致造成被动的局面。但现在云计算的蓬勃发展带来了信息系统重构的浪潮，本土的云计算服务提供商也在技术上和服务上崛起，正是实施网络安全审查的好时机。

如何落实?

对于制度的具体实施，工业和信息化部电信研究院副院长刘多表示，结合国情，落实网络安全审查制度可以有多种方式。开展网络安全审查，要依靠权威专业检测机构对信息技术产品和服务进行技术审查，要依托专家力量深入开展专家论证，以及对企业的诚信和安全背景等进行审查，从而综合评判和认定带有安全风险的信息技术产品和服务。

中国工程院院士方滨兴说：“审查制度将由国家互联网信息办公室主管，全国信息安全标准化技术委员会具体落实，审查过程除要求多个相关部门协助外，还将引入第三方专业的检测机构和专家组参与，保证过程的客观公正。”

“网络安全审查应包括事前审查、事中监测和事后惩处三部分。”中国信息安全测评中心总工程师王军指出，在信息产品进入市场前，需对用户信息安全进行技术审查，同时对该产品是否对国家安全造成影响、是否会产生垄断等社会经济安全影响进行评估;已进入市场的信息产品也并非绝对安全，补丁和升级都可能带来新的安全隐患，因此同样需要监控。

方滨兴认为，根据其他国家的经验，应针对宏观战略和微观技术两方面分别采取不同措施。对于进入政府机构、交通、电力、金融等重要领域的产品，需要建立“黑名单”制，不仅对技术也对企业背景进行审查，保障国家信息安全;而对于在市面流通的信息技术产品，需进行“白名单”强制认证，只有符合安全标准的产品才能入市。这种审查只是一种技术评估，普通用户的利益不会受到影响。

CEC中国信息安全研究院副院长左晓栋解释说，审查的内容绝不单单是一个单纯的技术性的审查。而是将考量各种指标和因素。他举例称，包括对企业声誉，背景审查、公司资质，“将从多角度衡量产品和提供商的可控性与安全性。”

云之胜利，云之机遇

目前，国外的云计算企业纷纷在中国落地生根：2013年7月，IBM宣布与首都在线合作，在中国引入其公有云业务;2013年12月18日，亚马逊在北京宣布设立亚马逊AWS中国区域云计算平台服务;2014年3月，微软宣布由世纪互联负责运营的Microsoft Azure公有云服务正式商用。

此外，2014年初，IBM、思科、HP等公司纷纷表态将投资超过10亿美元进行云计算投资，也将中国市场视为重要市场。

同时，本土商场也在努力，在本周举行的第六届中国云计算大会上，不论浪潮这样的老牌基础设施提供商和电信、联通、移动等运营商转型的云服务商，还是百度、阿里、腾讯、新浪、搜狐等云计算新贵，都极力阐释其开放性，希望打造属于自己的云生态系统。

在此背景下，网络安全审查制度出炉并从云服务入手，说明了国家对本土的测评技术、体系、标准和云计算基础设施的认可。有分析认为，随着审查制度的进一步落地，服务于政府和国企的云计算服务领域料将掀起一轮国产化的趋势。

但我们需要认识到，中国的网络安全审查制度将“无国别”实施。刘多指出，对发现存在安全隐患的网络产品和服务，不论是外国企业还是中国境内企业，都一视同仁，都要遵从、适应这一管理制度的实施。

王军也表示：“网络安全审查并不是贸易保护，无论是国内产品还是国外产品，只要符合我国的网络安全标准，就能够进入市场自由流通。”

这意味着，网络安全审查制度并不是贸易保护，国产云计算服务想要攻城略地，就必须明白“打铁还需自身硬”。

我们知道，对纯国产化产品十分钟情的浪潮，其国产天梭K1主机系统采用的仍然是安腾处理器，对此张东解释说，面向关键业务的系统，首先要保证其性能和可靠性、可用性，这说明本土技术缺失存在差距。

在云计算方面，根据CSDN通过数据解读，本土云服务商的实力仍然稍逊一筹。

亚马逊网络服务全球市场副总裁Ariel Kelman表示，用户采用AWS的一个原因是因为体验，“因为通过使用AWS服务之后可以有好的体验。我们知道提升用户体验是没有捷径可走的，必须不断的积累经验，这跟我们出售软件和硬件是一样的，要有一个积累的过程。”

因此，我们确实还有很长的路要走。

近期中国部分网络安全大事件

2014年5月16日，中央国家机关政府采购中心发出通知，要求国家机关进行信息类协议供货强制节能产品采购时，所有计算机类产品不允许安装Windows8操作系统，业界认为安全可控的保障是主要原因。

2014年3月19日至5月18日，2077个位于美国的木马或僵尸网络控制服务器，直接控制了我国境内约118万台主机。

2014年2月27日，中央网络安全和信息化领导小组成立，习近平亲自担任组长，并提出“没有网络安全就没有国家安全，没有信息化就没有现代化”。

2013年6月，斯诺登事件爆发，暴露出美国利用掌握的互联网基础资源和信息技术优势，大规模实施网络监控，大量窃取政治、经济、军事秘密以及企业、个人敏感数据。