文/何延哲 

来源：网络空间治理创新

今日，CGi继续为各位读者带来“聚焦网络安全审查制度”专题系列文章。本篇来自中国电子技术标准化研究院的何延哲博士——《实施网络安全审查需要“对症下药”》。

中央网信办于2017年初公布《网络产品和服务安全审查办法（征求意见稿）》（以下简称“安全审查办法”），广纳社会各界意见，诚意满满。随着法律和战略等的落地路线日趋清晰，我们应该摘下“有色”眼镜，对每个政策和举措有更精确的认识和理解，共同推动政策发挥实效。

网络空间错综复杂，守住底线至关重要

随着网络的高度普及，上至国家、政治、社会、军事、经济，下至每个人的日常生活，均已对网络空间深度依赖，现实世界的利益关系早已在网络空间深度交织。然而，网络空间的高度智能化、高效化，无数次的数据传输、金融交易、行为指令都存在你我身边而不易感知，与此同时，网络窃密、网络攻击、网络犯罪等网络安全问题频发，已经触及全社会的每条神经，更有甚者直接影响到公众利益和国家安全。

网络安全问题因其隐蔽性、专业性、广泛性很难真正被及时发现，及时预防，尤其是产品和服务提供方的恶意行为，作为掌握技术的极少数人，无形之中拥有了“控制特权”，在网络空间里不受约束，我行我素，无视用户利益，传统的管理手段已显得捉襟见肘，网络空间的信任已经遭受了挑战。

网络产品和服务并非个个优秀，同样存在良莠不齐的情况，而对一般的个人和组织来讲，技术认知鸿沟的扩大已让其无能力辨别优劣和善恶。实施网络安全审查，是我国在网络空间安全治理工作的一大创新，其目标和目的非常明确。由国家集中力量，对关系国家安全和公共利益的信息系统使用的重要网络产品和服务进行审查。其一，既非对所有的产品和服务一律实施审查，只有在网络产品和服务可能影响国家安全和公共利益时才予以实施，其固然也不会针对特定背景的产品和服务提供者；其二，安全审查所关注的安全性和可控性风险，均明确指向产品和服务提供者损害用户利益和国家安全的行为，这是维护网络空间安全稳定的根本关切，是网络空间安全的底线。

网络安全审查需要实现安全风险的聚焦和持续关注

网络安全审查所关注的安全风险非常明确，如产品和服务的提供者不得利用其技术、供应链等优势非法或非授权控制系统、获取用户数据及利用用户依赖进行不正当竞争，损害用户的自主控制和支配数据的权利。这些安全风险往往是产品和服务的提供者“主动”或“有意”发起的动作，隐蔽性很强，对用户的安全造成的危害巨大。因此，实施网络安全审查需要“好钢用在刀刃上”，聚焦上述问题，避免掉入两类“误区”。首先，不能无端放大网络安全审查的目的和作用，不能对“安全可控”的概念做过度的解读，尤其在外界对其存在曲解和偏见的情形下，极容易被扣上“贸易保护”的帽子；其次，实施网络安全审查需避免“新瓶装旧酒”，网络安全审查与以往的其他安全治理和保障方法不同，切勿混淆概念，过多依赖传统的漏洞扫描、安全测评等手段，盲目扩大关注的范围，无形之中增加企业的负担，造成网络安全审查类似重复检测和认证的误解，同样是对政策资源的巨大浪费。

如何有效地实施网络安全审查是个需要继续深入研究的问题，从可行的角度来简单探讨实施路径，一方面，需依赖产品和服务的提供者正向的“主动举证”，阐述其如何做到有效保障用户权益；另一方面，需依赖第三方机构进行针对性的“反向检测”，验证产品和服务安全机制有效性和其提供者所承诺的真实性，反向检测所依赖的技术为典型的“杀手锏”技术，是震慑产品和服务提供者、树立审查权威性的有效保障。其中，供应链安全是网络安全审查的重要关切点，产品服务化、服务体系化造成其提供者往往无法完全掌握其供应链、产品组件的安全状况和控制权，因此安全审查中需要对供应链予以同等关注，以促进良性的供应关系。此外，网络安全审查不是单纯的节点控制，即使通过审查也会持续关注其风险点，通过多方参与、多方联动、社会监督等方式，实现风险点的态势感知，形成安全可控的“晴雨表”，一旦发现风险点，同样可撤销对其通过审查的结论。

实施网络安全审查旨在增进透明和信任

网络安全问题频发，越来越多的人们意识到网络安全的重要性的同时，对网络安全的担忧也在日益增长，甚至滋生了“安全恐惧症”、“一刀切”等有失偏颇的思路，由于技术发展带来的“信任鸿沟”越来越宽，“信任壁垒”越来越厚，在很多时候制约了新技术新应用的落地。实施网络安全审查，最终是促进透明和信任，增加用户使用产品和服务的信心。“清者自清”，对于遵纪守法的产品和服务提供者来讲，网络安全审查既替广大用户把好安全关，又替产品和服务的提供者提供了“安全可信”的名片，增进用户对其的信任，其利害关系十分明显。可以预见，网络安全审查的实施，会进一步推动产品和服务提供者建立“信任中心”和“透明中心”，这也将是平衡商业秘密和透明监管的重要举措。信任将是未来网络空间得以继续繁荣和稳定的基石，而网络安全审查也将在其中发挥更多的桥梁和纽带作用。

小结

简单来说，实施网络安全审查，是督促产品和服务的提供者能够遵守法律法规要求，遵守服务承诺，让用户真正感到安全、可控、放心。总体来看，安全审查办法充分贯彻了发展和安全的辩证思维，并非“眉毛胡子一把抓”，着眼实际，立意明确。在网络空间安全问题复杂化、隐蔽化、全球化的情形下，提出安全审查办法，尽管存在重重困难，但的确是一次有诚意的尝试。期待社会各界群策群力，为办法的进一步完善贡献力量。