關鍵信息基礎設施對國家安全、經濟安全、社會穩定、公眾健康和安全至關重要。我國建立網絡安全審查制度,目的是通過網絡安全審查這一舉措,及早發現并避免采購產品和服務給關鍵信息基礎設施運行帶來風險和危害,保障關鍵信息基礎設施供應鏈安全,維護國家安全。
隨著中國對網絡安全的重視程度不斷提升,如何守住網絡空間的”邊防”和”后院”,保證相關領域采購的網絡產品和服務的安全性至關重要。而新出臺的《網絡安全審查辦法》,則為此提供了重要的制度保障和法律依據。
一、關鍵點匯總
2020.4.13日正式頒布
2020.6.1日正式施行
1.主管單位
網絡安全審查辦公室設在國家互聯網信息辦公室,負責制定網絡安全審查相關制度規范,組織網絡安全審查。
2.受理單位
中國網絡安全審查技術與認證中心(CCRC/ISCCC)在網絡安全審查辦公室的指導下,承擔接收申報材料、對申報材料進行形式審查、具體組織審查工作等任務。
3.上位法
《國家安全法》、《網絡安全法》。因此《辦法》屬于強制執行范疇。
4.原則
過程公正透明、事前審查事后持續監督、企業社會共同監督。事前,強化網絡安全的前置審查;事中,強化自身的防御和監控能力;事后,一旦出現問題,除了管控之外,還要進行溯源和追責,通過這三個階段的共同防御,把風險降到最低。
5.涉及行業
電信、廣播電視、能源、金融、公路水路運輸、鐵路、民航、郵政、水利、應急管理、衛生健康、社會保障、國防科技工業等行業領域的重要網絡和信息系統運營者。
6.涉及范圍
關鍵信息基礎設施(之前被認定為關基的,等級保護評為4級系統的)運營者采購的產品和服務。包括:核心網絡設備(路由器、交換機、VPN設備、網閘、前置機等)、高性能計算機和服務器、大容量存儲設備、大型數據庫和應用軟件、網絡安全設備(防火墻、IDPS、UTM、WAF、上網行為管理、EDR等)、云計算服務(虛擬機、虛擬存儲、容器等),以及其他對關鍵信息基礎設施安全有重要影響的網絡產品和服務。(《辦法》第二十條)
7.主要風險因素
產品和服務使用后帶來的關鍵信息基礎設施被非法控制、遭受干擾或破壞,以及重要數據被竊取、泄露、毀損的風險;產品和服務供應中斷對關鍵信息基礎設施業務連續性的危害;產品和服務的安全性、開放性、透明性,來源的多樣性,供應渠道的可靠性以及因為政治、外交、貿易等因素導致供應中斷的風險;產品和服務提供者遵守中國法律、行政法規、部門規章情況;其他可能危害關鍵信息基礎設施安全和國家安全的因素。
8.相關人員
上述行業省(包括省會城市)級公司的IT部門、安全部門、運維部門、包括總監、負責人、CIO、CISO等人員,以及產品供應商、服務供應商的所有項目組成員(包括駐場和外包人員)。
二、《辦法》和網絡安全相關人員有什么關系
《辦法》第五條應當預判該產品和服務投入使用后可能帶來的國家安全風險。影響或者可能影響國家安全的,應當向網絡安全審查辦公室申報網絡安全審查。
運營者采購產品和服務,首先要自證這些產品和服務(包括供應商)是安全的,沒有潛在安全隱患,申報審查就是提交證據,要提交哪些證據呢?常規來看,一般包括:安全測試報告、風險評估報告、產品知識產權、廠商服務資質、成功案例、產品POC報告等等。那么對于服務,尤其是外包服務(開發、運維、安全等服務),可能就需要通過簽訂保密協議、賠償條款之類的合同?!掇k法》第七條有明確提交的文件名稱,當然還有一些關鍵的輔助審查材料。
這是一個雙向的過程,甲方要收集證據,乙方要提供證據,雙方達成一致而后提交審查中心進行評判。
《辦法》還建議關鍵信息基礎設施保護工作部門可以制定本行業、本領域預判指南。這條建議可能會成為必選項,一些關鍵信息基礎設施運營企業應該都會制定一份符合自己業務情況的指南。不過按以往的經驗來看,多數會有外包的服務商來編寫,運營方進行監督審閱。
《辦法》第六條承諾不利用提供產品和服務的便利條件非法獲取用戶數據、非法控制和操縱用戶設備,無正當理由不中斷產品供應或必要的技術支持服務等。
這里分兩個層面來要求,一是個人信息保護工作和未授權操作用戶設備,對于供應商來說要想好怎么自證你這塊是做得好的,就比如等保2.0中要求只可以采集必要個人信息,可以存放,但未經授權不可以查看、使用、修改和刪除數據,這點光靠說是沒用的,還是提供你實際是如何去做的證明;二是供應方要和運營方一起保證業務連續性,包括設備和技術支持兩方面的持續服務提供,比如乙方駐場同學和售后支持同學。
《辦法》第九條給出了需要考慮的潛在的國家安全風險,這里匯總一下:
1.后門、木馬、預植入芯片
這里其實主要是推廣可信計算、國產化技術,別人的東西永遠不如自己的安全。但也不是把國外產品和技術服務完全鎖在門外。國家考慮了一種均衡的開放的方式。中國是向世界開放的,并不是想通過《辦法》將國外廠商關在門外。在答記者問中,官方也明確表示對外開放是我們的基本國策,我們歡迎國外產品和服務進入中國市場的政策沒有改變,但前提是必須要符合中國法律法規和部門規章,這就需要產品廠商來“自證清白”。
2.供應鏈安全
這也是《關鍵信息基礎設施網絡安全保護基本要求》(征求意見稿)中首次提出的安全問題。關鍵信息基礎設施的運營者所采購的產品和服務本身,可能就是一個完整的系統。比方說一個軟件,它包含了很多的代碼,這些代碼軟系統中的不同功能會由不同的軟件承擔,那么這些軟件有不同的廠商開發,最終進行一個總集成;硬件也是類似的情況。
供應鏈中的每一個環節,都可能蘊含潛在的風險。當某項產品或服務被采購、被運用,并且部署到關鍵信息基礎設施之前,通過這樣一個國家網絡安全的審查,可以在很大限度上把供應鏈風險降到最低,保證供應來源多樣、渠道暢通可靠,采購的產品和服務更加安全、開放、透明。從這個意義上來說,有《辦法》作為支撐,網絡安全審查部門即可做到對供應鏈的每個環節做到未雨綢繆、重點考量。比如去年華為因為政治、外交、貿易等因素,遭遇供應中斷的損失和危害,或許可以降到最低。
從國外的重大安全事件來看(Facebook的50億美元罰金事件),絕大多數都是因為第三方泄露敏感信息所造成的,完全由于甲方自身原因所鑄成的重大安全事件只占極少數。因此可以考慮在業務連續性保障方面采用供應鏈冗余,兩家或多家供應商共同分擔責任,能互補能AB崗,這樣最好。至于供應鏈安全,其實1家還是2家供應商,你的供應鏈安全做起來并沒什么太大的區別(當然如果企業對接8-9家甚至10家以上供應商,這種情況另當別論)。這里特別提醒,參見《辦法》第十六條,很多情況下是甲方和服務商一起突擊,時間緊的情況下去完成審查工作,這個過程中就容易出現紕漏,造成數據泄露等問題,應引起關注。
3.供應商的合規性
包括產品專利、知識產權、3C認證,服務商的服務資質、合規性認證等。這里對于甲方其實也是一樣,比如公有云供應商,那么對于云上租戶來說你也是乙方,B2B的業務模式下,大家互為甲乙方。不過像阿里云、騰訊云、AWS這類的廠商應該問題不大,主要問題可能會集中在一些中型或省級地市級的公有云平臺上。
4.其他因素
各類其他威脅和風險(參見前文主要風險因素)。
《辦法》第十九條違法處罰條款參照《中華人民共和國網絡安全法》第六十五條:
“應當申報網絡安全審查而沒有申報的,或者使用網絡安全審查未通過的產品和服務,由有關主管部門責令停止使用,處采購金額一倍以上十倍以下罰款;對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。”
三、網絡安全審查的流程
這里的流程是在正常情況下的,如果遇到特殊情況可能會延期,而且補充材料的時間不計入辦理流程的工作日,因此也存在長時間無法通過審查的情況。
申報節點:
通常是在合同簽署之前。若是合同簽署后,則需要雙方約定在合同中注明此合同須在產品和服務采購通過網絡安全審查后方可生效。
