新闻中心
联系我们
地址:上海市闵行区莘东路505号绿捷中心10楼1005室
热线:400-8838-021
传真:021-54855973
E-mai:zjedwine@163.com
网络安全审查制度点评:信息安全与自主可控迎来制度性发展良机
2014/5/26 18:03:53 点击:8762 来自:admin
事件:
国家互联网信息办公室消息,为维护国家网络安全、保障中国用户合法利益,我国即将推出网络安全审查制度。该项制度规定,关系国家安全和公共安全利益的系统使用的重要信息技术产品和服务,应通过网络安全审查。
点评:
1.网络审查制度推出的背景
1)2014.5.19美国以网络窃密为由宣布起诉5名中国军官;此前,早在2012年,美国众议院情报委员会就以国家安全为由,对中国企业进行知识产权、窃取商业机密调查。由此可见,网络安全已经逐步成为一种重要的外交环节。对于IBM、思科等供应商而言,面临很大的挑战。
2)近期国内出现多起恐怖暴力事件,包括2014.5.22两家吉祥航空客机迫降检查事件,国内安全形势很严峻,中国已经进入反恐时代。信息技术产品,无论作为反恐利器,还是被攻击的目标,都得到了前所未有的重视。
3)2014.5.21中国政府称,中央政府机关采购的IT系统不允许安装微软WIN8系统。国产化进程稳步推进。
2.审查制度制定和发布的主体
此次审查制度发布的主体是国家互联网信息办公室,国内在信息安全监管层面有众多的监管机构,除了国家互联网信息办公室以外,还包括工信部以及各个行业自己的信息安全监管部门。在国安委成立后,有望整合各个信息安全监管的主体,统一标准,有利于行业的发展。
3.审查制度审查的范围
审查范围包括“关系国家安全和公共安全利益的系统使用的重要信息技术产品和服务”。根据工信部的统计,2013年我国信息消费整体规模达到2.2万亿元,比上年增长28%。我们估计,事关国家安全以及公众利益的IT消费规模占整体信息消费的70%左右,即1.5万亿元左右,包括政府机构、交通、电力、金融、电信等主要领域的IT采购。即大部分的国内IT采购以后都要经过审查。
4.审查内容
审查内容包括IT产品安全和自主可控2个层面。
1)从IT产品安全的角度讲,有利于具有核心技术的各个细分行业的龙头企业。这些企业通常技术领先,产品得到了客户的广泛认可。在审查制度推出以后,这些企业的产品市占率有望进一步提升,如金融IT领域的恒生电子、建筑信息化的广联达、酒店信息化的石基信息以及信息安全领域的启明星辰和绿盟科技等。
2)从自主可控的角度而言,对国外采购的IT产品审查会更加严格,旨在防止产品提供者利用提供产品的方便,非法控制、干扰、中断用户系统,非法收集、存储、处理和利用用户有关信息。我国已经在服务器、基础软件等领域展开自主可控工作。本次审查着重突出了可控的地位,在技术上与国外企业相差不多的领域有望大大推进国产化进程。比如服务器的浪潮信息、曙光,中间件龙头东方通等。
5.审查方式
今年我国将以云计算平台安全测试作为工作试点,制定云计算安全标准,主要从安全技术要求和服务能力标准、可控性等进行审查,从中找出安全短板,进而尽快弥补安全漏洞。此次网络安全审查制度从出台到全面实施将循序渐进,从重点行业开始逐步扩展到各个领域和行业。我们认为重点行业包括政府机构、交通、电力、金融、电信等。
6.处罚结果
“对不符合安全要求的产品和服务,将不得在中国境内使用。”
7.审查只是第一步,未来行业规范的制定有利于有行业健康发展
1)此次仅仅推出了网络审查制度,没有明确审查的依据和规范。我们认为,审查只是第一步,未来推出行业规范的可能性很大。如果行业规范推出,会大大加强技术壁垒较高的行业龙头公司的竞争优势。
2)行业标准有可能是一种非公开的形式。美国对安全审查的过程、标准、机制完全封闭,不披露原因和理由,不接受供应方申诉。美国的网络安全审查包含产品安全性能指标、研发过程、程序、步骤、方法、产品的交付方法等。美国网络安全审查主要考虑对国家安全、司法和公共利益的潜在影响,不公开标准和过程,不披露原因和理由,不接受供应方申诉,且无明确时间限制。
8.信息安全行业会极大的受益于审查制度
我国首次推出IT产品安全性、可控性审查制度,将信息产品的安全性审查作为一直制度,不仅大大加强信息安全产品的刚性属性,而且会由于审查的严格性而加大安全产品的增量需求。我们认为,网络安全审查制度的推出对于信息安全行业是一个标志行的事件。
国家互联网信息办公室消息,为维护国家网络安全、保障中国用户合法利益,我国即将推出网络安全审查制度。该项制度规定,关系国家安全和公共安全利益的系统使用的重要信息技术产品和服务,应通过网络安全审查。
点评:
1.网络审查制度推出的背景
1)2014.5.19美国以网络窃密为由宣布起诉5名中国军官;此前,早在2012年,美国众议院情报委员会就以国家安全为由,对中国企业进行知识产权、窃取商业机密调查。由此可见,网络安全已经逐步成为一种重要的外交环节。对于IBM、思科等供应商而言,面临很大的挑战。
2)近期国内出现多起恐怖暴力事件,包括2014.5.22两家吉祥航空客机迫降检查事件,国内安全形势很严峻,中国已经进入反恐时代。信息技术产品,无论作为反恐利器,还是被攻击的目标,都得到了前所未有的重视。
3)2014.5.21中国政府称,中央政府机关采购的IT系统不允许安装微软WIN8系统。国产化进程稳步推进。
2.审查制度制定和发布的主体
此次审查制度发布的主体是国家互联网信息办公室,国内在信息安全监管层面有众多的监管机构,除了国家互联网信息办公室以外,还包括工信部以及各个行业自己的信息安全监管部门。在国安委成立后,有望整合各个信息安全监管的主体,统一标准,有利于行业的发展。
3.审查制度审查的范围
审查范围包括“关系国家安全和公共安全利益的系统使用的重要信息技术产品和服务”。根据工信部的统计,2013年我国信息消费整体规模达到2.2万亿元,比上年增长28%。我们估计,事关国家安全以及公众利益的IT消费规模占整体信息消费的70%左右,即1.5万亿元左右,包括政府机构、交通、电力、金融、电信等主要领域的IT采购。即大部分的国内IT采购以后都要经过审查。
4.审查内容
审查内容包括IT产品安全和自主可控2个层面。
1)从IT产品安全的角度讲,有利于具有核心技术的各个细分行业的龙头企业。这些企业通常技术领先,产品得到了客户的广泛认可。在审查制度推出以后,这些企业的产品市占率有望进一步提升,如金融IT领域的恒生电子、建筑信息化的广联达、酒店信息化的石基信息以及信息安全领域的启明星辰和绿盟科技等。
2)从自主可控的角度而言,对国外采购的IT产品审查会更加严格,旨在防止产品提供者利用提供产品的方便,非法控制、干扰、中断用户系统,非法收集、存储、处理和利用用户有关信息。我国已经在服务器、基础软件等领域展开自主可控工作。本次审查着重突出了可控的地位,在技术上与国外企业相差不多的领域有望大大推进国产化进程。比如服务器的浪潮信息、曙光,中间件龙头东方通等。
5.审查方式
今年我国将以云计算平台安全测试作为工作试点,制定云计算安全标准,主要从安全技术要求和服务能力标准、可控性等进行审查,从中找出安全短板,进而尽快弥补安全漏洞。此次网络安全审查制度从出台到全面实施将循序渐进,从重点行业开始逐步扩展到各个领域和行业。我们认为重点行业包括政府机构、交通、电力、金融、电信等。
6.处罚结果
“对不符合安全要求的产品和服务,将不得在中国境内使用。”
7.审查只是第一步,未来行业规范的制定有利于有行业健康发展
1)此次仅仅推出了网络审查制度,没有明确审查的依据和规范。我们认为,审查只是第一步,未来推出行业规范的可能性很大。如果行业规范推出,会大大加强技术壁垒较高的行业龙头公司的竞争优势。
2)行业标准有可能是一种非公开的形式。美国对安全审查的过程、标准、机制完全封闭,不披露原因和理由,不接受供应方申诉。美国的网络安全审查包含产品安全性能指标、研发过程、程序、步骤、方法、产品的交付方法等。美国网络安全审查主要考虑对国家安全、司法和公共利益的潜在影响,不公开标准和过程,不披露原因和理由,不接受供应方申诉,且无明确时间限制。
8.信息安全行业会极大的受益于审查制度
我国首次推出IT产品安全性、可控性审查制度,将信息产品的安全性审查作为一直制度,不仅大大加强信息安全产品的刚性属性,而且会由于审查的严格性而加大安全产品的增量需求。我们认为,网络安全审查制度的推出对于信息安全行业是一个标志行的事件。