中国网络安全审查会不会影响到IBM在中国的业绩?对这一问题,IBM并未作出回应。同样,甲骨文、思科等多家在华国际IT企业对于《北京周报》记者提出的类似问题均选择了回避。
5月22日,国家互联网信息办公室表示,中国将于近期推出针对企业技术产品和服务的网络安全审查制度,对进入中国市场的重要信息技术产品及其提供者进行网络安全审查,审查重点在于该产品的安全性和可控性,旨在防止产品提供者利用提供产品的方便,非法控制、干扰、中断用户系统,非法收集、存储、处理和利用用户有关信息。对不符合安全要求的产品和服务,将不得在中国境内使用。
美国的IBM、思科、高通等企业信息技术产品在中国占有主要市场份额,这些企业产品多涉及通信、金融、能源以及国家安全或“公共利益”等行业,网络审查不可能不对其造成影响,但影响会有多大,显然这些企业也在观察中。
中国推出网络安全审查制度,与美国政府有关。5月19日,美国司法部宣布以所谓网络窃密为由起诉了5名中国军官。对此,中国国家互联网信息办公室发言人回应称其无稽之谈,并公布了美国攻击中国网络的最新数据。作为“回报”,中国政府决定,在中止中美网络工作组活动的同时,推出网络安全审查制度。
事实上,早在司诺登爆出美国入侵中国网络,监控中国政府和企业及个人的时候,就有人提议对网络安全进行审查,以规避美国产品带来的风险,但中国政府并没有这么做。当时,这些美国在华企业也都在极力地撇清与“棱镜门”的关系。
但美国企业的这些产品安全不安全,中国民众并不知道,只有通过国家相关部门的审查之后才知道,因此,中国民众大多强烈支持政府的网络安全审查。
向美国学习
北京邮电大学信息经济与竞争力研究中心主任曾剑秋表示,针对信息技术产品的安全审查,中国并非第一家,美国早有先例。而且,美国的网络安全审查制度已经很成熟。2012年,美国众议院情报委员会就以国家安全为由,对中国的华为、中兴等企业进行过安全审查,而且审查一直持续。
曾剑秋说,中国在推进信息化的过程当中,对于信息安全、网络安全保护得不够,现在应该踏踏实实地学习美国的经验。
过去没有网络安全审查制度,信息系统采用国外设备比例很高。例如,尽管国产设备性价比有优势,但中国骨干网的设备近八成是思科产品。“棱镜门”事件所揭示的事实是,这些产品被预置了“后门”,美国的相关情报部门可以实时收集信息。
中国国家互联网应急中心今年3月发布的《2013年中国互联网网络安全态势综述》报告称,2013年,境外有3.1万台主机通过植入后门对中国境内6.1万个网站实施远程控制,虽然境外控制主机数量较2012年下降4.3%,但所控制的境内网站数量却大幅增长62.1%。今年3月19日至5月18日,2016个位于美国的IP对中国境内1754个网站植入后门,涉及后门攻击事件约5.7万次。
曾剑秋说,中国进行网络安全审查,涉及国家网络安全和信息的产品,至少可以保证它没有被植入后门,也确保这些被用在政府部门、企业等的重要产品不会非法收集信息、非法控制数据。
中国的网络审查不会向美国那样主观臆断。美国政府只要认为外国产品会对它的国家安全、司法和公共利益构成影响,就不能采购这些产品,但是不是真的不安全,没人说得清,因为他们以机密为理由,审查不公开标准、不披露原因和理由,也不公开审查过程,也不接受你申诉,都是他自己说了算。
中国的网络审查制度将由国家互联网信息办公室主管,全国信息安全标准化技术委员会具体落实,审查过程除要求多个相关部门协助外,还将引入第三方专业的检测机构和专家组参与。中国政府不仅要对从国外进口的产品进行安全审查,对国内的产品也一样要进行审查。无论是国内产品还是国外产品,只要符合这国的网络安全标准,就能够进入市场自由流通。
但对于国家的网络安全来说,使用本国企业的产品,一定程度上可以避免网络技术产品中被恶意预留漏洞,危害国家安全。
对市场的影响
今年是中国接入国际互联网20周年。目前,中国网民数量跃居世界第一。据中国互联网网络信息中心发布的报告,截至2013年底,中国网民规模突破6亿,国内域名总数1844万个,网站近400万家,全球10大互联网企业中国有3家,中国已是名副其实的网络大国。
网络安全审查使得中国规模超过3,200亿美元的网络技术市场如何分配,存在了不确定性。
从目前的市场份额来看,主要由思科、IBM、西门子等知名国外企业以及华为、中兴等国内大型企业占据。但中国将出台网络安全审查制度的消息一出,多家中国上市IT软件公司因此受益,中国软件、浪潮信息、紫光股份、北信源等股票价格大幅上涨。这表明市场的一种判断:国内信息技术产品迎来了机遇。
国家信息安全等级保护专家组组长沈昌祥说,安全审查制度对我们的国企、民营企业研发IT产品、安全产品、网络产品会有一个导向作用。有了这个制度以后,大家就会按照怎么样有利于国家安全的方向去做,对不利于国家安全的产品就会避免,不去做。在方向明确、技术路线清晰之后,对产业往自主可控、安全可信的方向发展将起到推动和支撑作用。
但对于国外信息技术产品来说,由于“棱镜门”事件,使得中国市场已经对其形成了不安全的认知。在中国现代国际关系研究院信息与社会发展研究所副所长唐岚表示,中国现有的信息产品认证制度更多的是行业层面上或者说主要是一种企业行为,是自愿选择的,不具有强制性。但审查制度出台后,还可能会有相应的网络安全等级保护制度,即如果是高等级的重要领域和部门,你采购时就必须通过这个审查制度,只有符合标准的产品才能进入中国市场,尤其那些要害部门,包括金融、交通、电信的骨干网络等。
这给国外信息技术产品带来的影响可以从中国禁用Windows 8中窥见一斑。出于安全方面的担忧,中央国家机关政府采购中心下发的《关于进行信息类协议供货强制节能产品补充招标的通知》禁止中央政府机构采购微软最新操作系统Windows 8,转而扶持国产操作系统,以寻求替代。
从2006年微软推出的“Windows Vista”开始,以及此后的Windows7和Windows8,都是采取可信计算的技术架构,在这种架构基础上,保障信息安全的功能是和计算机主板上的硬件安全模块绑定在一起的,在它上面运行的所有应用软件都需要通过微软的认证才能运行。这表面上看是安全了,但本质上是微软更加增强了对用户的控制力。这是中央国家机关政府采购中要求“所有计算机类产品不允许安装Win8操作系统”的主要原因。
2006年联想、方正、同方、TCL分别与微软签订“正版windows合作协议”,其中,联想支付了12亿美元、方正支付了2.5亿美元,同方为此支付了1.2亿美元,TCL为此支付了6000万美元。这只是微软在中国市场获利的一小部分。
国外信息技术企业不可能拱手让出中国市场,如果是这样,网络安全审查是不是会给互联网产业带来不必要的麻烦?对此曾剑秋表示,这种担心没有必要。
曾剑秋表示,人类已经进入到信息社会,这个信息社会首先就是一个网络的社会。互联网的本质是开放的,但互联网不是一个可以为所欲为的场所,互联网是一个保护大家公众利益的地方,所以就需要有规矩,需要有规范。中国家出台这些政策,主要还是从规范网络管理方面去做的,目的还是从大家共有安全利益着眼,包括国家的利益、企业和个人的利益。
