到底什么是“安全可控”_安全可靠自主可控

到底什么是“安全可控”由刀豆文库小编整理，希望给你工作、学习、生活带来方便，猜你可能喜欢“安全可靠自主可控”。

《网络产品和服务安全审查办法（试行）》讨论之二：

到底什么是“安全可控”？

“安全可控”的提法由来已久，各法律法规、政府文件、技术标准以及各级领导的讲话中，都多次提及甚至强调安全可控的重要性。但“安全可控”具体指的是什么，却并不是业界每个人都清楚的。《网络安全法》颁布后，各种配套法规、实施细则以及配套标准都在紧锣密鼓地起草制定之中，这是从立法到标准上明确安全可控的实质内涵、其可能的外延以及其与其他术语或产品要求之间关系的重要时期，对于网络安全监管部门、各行业主管部门、标准制订机构、产品和服务的提供者以及各层级的用户来说，都十分重要。

应该说，《网络产品和服务安全审查办法（试行）》第一次在法规层面解释了安全可控的内涵：

第一条 网络产品和服务的安全性、可控性直接影响用户利益、关系国家安全。为提高网络产品和服务安全可控水平，防范供应链安全风险，维护国家安全和公共利益，依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》，制定本办法。第四条 重点审查网络产品和服务的安全性、可控性，主要包括：

（一）产品和服务被非法控制、干扰和中断运行的风险；

（二）产品及关键部件研发、交付、技术支持过程中的风险；

（三）产品和服务提供者利用提供产品和服务的便利条件非法收集、存储、处理、利用用户相关信息的风险；

（四）产品和服务提供者利用用户对产品和服务的依赖，实施不正当竞争或损害用户利益的风险；

（五）其他可能危害国家安全和公共利益的风险。（2014年，银监会的317号文《银行业应用安全可控信息技术推进指南（2014-2015年度）》中（注：该文已经被暂停执行，见：银监办发[2015]57号），安全可控被定义为“技术风险、外包风险和供应链风险可控”。）

《网络安全法》第十六条规定： “„„推广安全可信的网络产品和服务„„。”这里的“安全可信”是什么意思呢？与安全可控有什么关系？《网络安全法》2016年11月7日在第十二届全国人民代表大会常务委员会第二十四次会议刚刚获得通过，网信办网络安全协调局赵泽良局长即于当日做出详细解释：

无论是自主可控、安全可控还是安全可信，其基本含义都是一致的，基本要求也是一致的。

1、产品和服务提供者不应该利用提供产品和服务的便利条件来非法获取用户系统中的信息、用户设备中自己的信息或者不应该损害用户对自己信息的自主权、支配权。

2、产品服务提供者不能利用提供产品和服务的便利条件来非法控制、非法操纵用户的系统、用户的设备，损害用户对自己系统、设备的控制权。

3、安全、网络产品和服务的提供者，不应该利用广大用户对产品和服务的依赖搞不正当竞争、谋取不正当利益，比如停止不必要的安全服务、搞垄断经营等等。赵泽良局长对于安全可控的解释与《网络产品和服务安全审查办法（试行）》的规定基本相同。因此可以理解为：安全可信与安全可控实质等同，《网络安全法》中的“推广安全可信的网络产品和服务”也可以看作为“推广安全可控的网络产品和服务”。这一点，在《网络产品和服务安全审查办法（试行）》中已经清晰地体现出来。

(另外，其他官方场合提到的“安全可信”应该也可以按此理解：

-《国务院关于印发促进大数据发展行动纲要的通知》（2015年9月）：“„„建立安全可信的大数据技术体系„„”；“采用安全可信产品和服务，提升基础设施关键设备安全可靠水平。”

-《重点领域技术路线图（2015年版）》（2015年9月）：“安全可信全国产软硬件协同创新工程”。

-《国家网络空间安全战略》（2016年12月27日）：重视软件安全，加快安全可信产品推广应用。）

全国信息安全标准化技术委员会正在制定信息技术产品安全可控方面的系列国家标准，如《信息安全技术 信息技术产品安全可控评价指标 第2部分：中央处理器》（见：http://www.daodoc.com/zyjfb.jsp?norm_id=20***0&recode_id=20464&idea_id=20161104193845&t=0.***3），从信息技术产品的知识产权状况、设计实现透明性、设计重现能力、关键技术掌握能力、持续保障能力等几个方面来评价该产品的安全可控状态。据说，全国信息安全标准化技术委员会也在安排制订网络产品和服务的安全可控要求方面的国家标准《信息安全技术 网络产品和服务安全基本要求》（http://www.daodoc.com/zdetail.jsp?id=20***1）。

从《网络安全法》的条文看，对于网络/信息/IT产品“安全”方面的要求和监管，事实上可以理解为形成两大体系：一是市场准入机制，即针对“网络关键设备”和“网络安全专用产品”，要求产品必须通过相关的产品安全技术检测、认证或许可后，方可投入市场（或使用）；二是针对“网络产品和服务”，主要要求是实现“安全可控”，与市场准入机制完全不同。

从法律法规的规定和以上分析可以看出，要求“网络产品和服务”或信息技术产品的安全可控，即是要求其“安全性”和“可控性”。

1、安全性。一般意义讲，（信息）产品的安全，例如网络安全专用产品或信息安全产品中提到的“安全”，主要是指产品技术上的安全功能和安全性能等，可以通过具体的技术要求和技术检测来判断其是否足够安全；而安全可控的“安全”或“安全性”的意义，主要指的是应用安全、用户安全，或许如一些领导和专家所说的包括国家安全，主要依靠承诺、信用、信誉、审查、核查、评估、评价等手段来判断，而不是技术检测方式（尽管不排除少量必要的技术检测）。

2、可控性。谁来控制？谁来操作以判断网络产品和服务的可控性？按照《网络产品和服务安全审查办法（试行）》中的那5 项要求，“可控”显示指的是用户可控，即用户对那5种风险有控制力。同时，按照网络安全审查的规定，网络产品和服务的安全可控（安全性、可控性）的审查有两种途径：1）“网络安全审查委员会聘请相关专家组成网络安全审查专家委员会，在第三方评价基础上，对网络产品和服务的安全风险及其提供者的安全可信状况进行综合评估”（“网络安全审查办公室具体组织实施网络安全审查”）；2）重点行业和领域的主管部门（目前只规定了金融、电信、能源和交通）组织开展审查工作（其他关键信息基础设施的保护工作部门只判断其采购的网络产品和服务是否应该经过网络安全审查/安全可控评估，而不具体实施审查）。所以，“可控”，还意味着网络安全监管部门以及行业和领域主管部门为了保护用户的利益，而对那5种风险有控制力。

值得注意的是《网络产品和服务安全审查办法（试行）》对供应链的安全可控特别重视。《网络安全法》在有关“网络产品和服务”或其他产品的条款中没有涉及供应链问题，而《网络产品和服务安全审查办法（试行）》对此加以强调：第四条提到“供应链安全风险”，第十一条则要求“重点从产品和服务及其供应链的安全性、可控性，安全机制和技术的透明性等方面进行评价”。网络产品和服务的供应链风险问题是另一个复杂并影响广泛的问题，在此不做讨论。

“安全可控”不只适用于网络安全审查，还涉及到许多领域的要求。这就需要“安全可控”的概念要清晰，要求要一致，标准要统一，评估可复用；否则，势必造成监管和主管部门、网络产品和服务的提供商以及用户无所适从。希望政府有关部门和网络安全标准制订机构能够认识其重要性，通过充分讨论、协调、协商予以落实。至今，正式提出安全可控要求的至少还有：

习近平主席在中共中央政治局就实施网络强国战略进行第三十六次集体学习上的讲话（2016年10月9日）：要紧紧牵住核心技术自主创新这个“牛鼻子”，抓紧突破网络发展的前沿技术和具有国际竞争力的关键核心技术，加快推进国产自主可控替代计划，构建安全可控的信息技术体系。

网信办王秀军副主任在第二届世界互联网大会上的讲话（2015年12月16日）：在安全可控的前提下，我们欢迎来自世界范围内的各种先进技术产品和服务。《关于应用安全可控信息技术加强银行业网络安全和信息化建设的指导意见》（2014年9月3日）：优先应用安全可控信息技术。在涉及客户敏感数据的信息处理环节，应优先使用安全可靠、风险可控的信息技术和服务，当前重点在网络设备、存储、中低端服务器、信息安全、运维服务、文字处理软件等领域积极推进，在操作系统、数据库等领域要加大探索和尝试力度；从2015年起，各银行业金融机构对安全可控信息技术的应用以不低于15％的比例逐年增加，直至2019年达到不低于75％的总体占比（2014年应用的技术和产品可纳入2015年度计算）。

《国家安全法》（2015年7月1日）：第二十五条 国家建设网络与信息安全保障体系，提升网络与信息安全保护能力，加强网络和信息技术的创新研究和开发应用，实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控；加强网络管理，防范、制止和依法惩治网络攻击、网络入侵、网络窃密、散布违法有害信息等网络违法犯罪行为，维护国家网络空间主权、安全和发展利益。

《国家信息化发展战略纲要》(2016年7月27日)：根本改变核心关键技术受制于人的局面，形成安全可控的信息技术产业体系，电子政务应用和信息惠民水平大幅提高„„构建安全可控的信息技术体系„„构建统一规范、互联互通、安全可控的国家数据开放体系„„

《国家网络空间安全战略》（2016年12月27日）：网络安全风险得到有效控制，国家网络安全保障体系健全完善，核心技术装备安全可控，网络和信息系统运行稳定可靠。„„建立实施网络安全审查制度，加强供应链安全管理，对党政机关、重点行业采购使用的重要信息技术产品和服务开展安全审查，提高产品和服务的安全性和可控性，防止产品服务提供者和其他组织利用信息技术优势实施不正当竞争或损害用户利益。《大数据产业发展规划（2016-2020年）》（2017年1月17日）：在大数据基础软硬件方面形成安全可控技术产品，„„培育安全可控的大数据产品体系。以应用为牵引，自主研发和引进吸收并重，加快形成安全可控的大数据产品体系。

《信息通信行业发展规划（2016-2020年）》（2017年1月17日）：安全可控。坚持正确的网络安全观，安全是发展的前提，发展是安全的保障，安全与发展要同步推进，„„突破物联网、大数据、云计算技术瓶颈，关键技术基本实现安全可控。„„加强移动互联网、物联网、云计算、大数据、移动智能终端等技术研发和综合应用，提升安全可控水平，推进核心技术成果转化和产业化。

-《民航网络信息安全管理规定（暂行）（征求意见稿）》（2017年2月20日）：第十四条 【采购管理】民航各单位应当选用符合国家有关规定、安全可控的信息技术产品和服务，采购的信息安全产品和服务应当经过国家认证。