關(guān)鍵信息基礎(chǔ)設(shè)施對國家安全、經(jīng)濟(jì)安全、社會穩(wěn)定、公眾健康和安全至關(guān)重要。我國建立網(wǎng)絡(luò)安全審查制度，目的是通過網(wǎng)絡(luò)安全審查這一舉措，及早發(fā)現(xiàn)并避免采購產(chǎn)品和服務(wù)給關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)行帶來風(fēng)險和危害，保障關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全，維護(hù)國家安全。

 

　　隨著中國對網(wǎng)絡(luò)安全的重視程度不斷提升，如何守住網(wǎng)絡(luò)空間的”邊防”和”后院”，保證相關(guān)領(lǐng)域采購的網(wǎng)絡(luò)產(chǎn)品和服務(wù)的安全性至關(guān)重要。而新出臺的《網(wǎng)絡(luò)安全審查辦法》，則為此提供了重要的制度保障和法律依據(jù)。

 

 

　　2020.4.13日正式頒布

 

　　2020.6.1日正式施行

 

 

　　網(wǎng)絡(luò)安全審查辦公室設(shè)在國家互聯(lián)網(wǎng)信息辦公室，負(fù)責(zé)制定網(wǎng)絡(luò)安全審查相關(guān)制度規(guī)范，組織網(wǎng)絡(luò)安全審查。

 

 

　　中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心(CCRC/ISCCC)在網(wǎng)絡(luò)安全審查辦公室的指導(dǎo)下，承擔(dān)接收申報材料、對申報材料進(jìn)行形式審查、具體組織審查工作等任務(wù)。

 

 

　　《國家安全法》、《網(wǎng)絡(luò)安全法》。因此《辦法》屬于強(qiáng)制執(zhí)行范疇。

 

 

　　過程公正透明、事前審查事后持續(xù)監(jiān)督、企業(yè)社會共同監(jiān)督。事前，強(qiáng)化網(wǎng)絡(luò)安全的前置審查;事中，強(qiáng)化自身的防御和監(jiān)控能力;事后，一旦出現(xiàn)問題，除了管控之外，還要進(jìn)行溯源和追責(zé)，通過這三個階段的共同防御，把風(fēng)險降到最低。

 

 

　　電信、廣播電視、能源、金融、公路水路運(yùn)輸、鐵路、民航、郵政、水利、應(yīng)急管理、衛(wèi)生健康、社會保障、國防科技工業(yè)等行業(yè)領(lǐng)域的重要網(wǎng)絡(luò)和信息系統(tǒng)運(yùn)營者。

 

 

　　關(guān)鍵信息基礎(chǔ)設(shè)施(之前被認(rèn)定為關(guān)基的，等級保護(hù)評為4級系統(tǒng)的)運(yùn)營者采購的產(chǎn)品和服務(wù)。包括：核心網(wǎng)絡(luò)設(shè)備(路由器、交換機(jī)、VPN設(shè)備、網(wǎng)閘、前置機(jī)等)、高性能計算機(jī)和服務(wù)器、大容量存儲設(shè)備、大型數(shù)據(jù)庫和應(yīng)用軟件、網(wǎng)絡(luò)安全設(shè)備(防火墻、IDPS、UTM、WAF、上網(wǎng)行為管理、EDR等)、云計算服務(wù)(虛擬機(jī)、虛擬存儲、容器等)，以及其他對關(guān)鍵信息基礎(chǔ)設(shè)施安全有重要影響的網(wǎng)絡(luò)產(chǎn)品和服務(wù)。(《辦法》第二十條)

 

 

　　產(chǎn)品和服務(wù)使用后帶來的關(guān)鍵信息基礎(chǔ)設(shè)施被非法控制、遭受干擾或破壞，以及重要數(shù)據(jù)被竊取、泄露、毀損的風(fēng)險;產(chǎn)品和服務(wù)供應(yīng)中斷對關(guān)鍵信息基礎(chǔ)設(shè)施業(yè)務(wù)連續(xù)性的危害;產(chǎn)品和服務(wù)的安全性、開放性、透明性，來源的多樣性，供應(yīng)渠道的可靠性以及因?yàn)檎?、外交、貿(mào)易等因素導(dǎo)致供應(yīng)中斷的風(fēng)險;產(chǎn)品和服務(wù)提供者遵守中國法律、行政法規(guī)、部門規(guī)章情況;其他可能危害關(guān)鍵信息基礎(chǔ)設(shè)施安全和國家安全的因素。

 

 

　　上述行業(yè)省(包括省會城市)級公司的IT部門、安全部門、運(yùn)維部門、包括總監(jiān)、負(fù)責(zé)人、CIO、CISO等人員，以及產(chǎn)品供應(yīng)商、服務(wù)供應(yīng)商的所有項(xiàng)目組成員(包括駐場和外包人員)。

 

 

　　《辦法》第五條應(yīng)當(dāng)預(yù)判該產(chǎn)品和服務(wù)投入使用后可能帶來的國家安全風(fēng)險。影響或者可能影響國家安全的，應(yīng)當(dāng)向網(wǎng)絡(luò)安全審查辦公室申報網(wǎng)絡(luò)安全審查。

 

　　運(yùn)營者采購產(chǎn)品和服務(wù)，首先要自證這些產(chǎn)品和服務(wù)(包括供應(yīng)商)是安全的，沒有潛在安全隱患，申報審查就是提交證據(jù)，要提交哪些證據(jù)呢?常規(guī)來看，一般包括：安全測試報告、風(fēng)險評估報告、產(chǎn)品知識產(chǎn)權(quán)、廠商服務(wù)資質(zhì)、成功案例、產(chǎn)品POC報告等等。那么對于服務(wù)，尤其是外包服務(wù)(開發(fā)、運(yùn)維、安全等服務(wù))，可能就需要通過簽訂保密協(xié)議、賠償條款之類的合同?！掇k法》第七條有明確提交的文件名稱，當(dāng)然還有一些關(guān)鍵的輔助審查材料。

 

　　這是一個雙向的過程，甲方要收集證據(jù)，乙方要提供證據(jù)，雙方達(dá)成一致而后提交審查中心進(jìn)行評判。

 

　　《辦法》還建議關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)工作部門可以制定本行業(yè)、本領(lǐng)域預(yù)判指南。這條建議可能會成為必選項(xiàng)，一些關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營企業(yè)應(yīng)該都會制定一份符合自己業(yè)務(wù)情況的指南。不過按以往的經(jīng)驗(yàn)來看，多數(shù)會有外包的服務(wù)商來編寫，運(yùn)營方進(jìn)行監(jiān)督審閱。

 

　　《辦法》第六條承諾不利用提供產(chǎn)品和服務(wù)的便利條件非法獲取用戶數(shù)據(jù)、非法控制和操縱用戶設(shè)備，無正當(dāng)理由不中斷產(chǎn)品供應(yīng)或必要的技術(shù)支持服務(wù)等。

 

　　這里分兩個層面來要求，一是個人信息保護(hù)工作和未授權(quán)操作用戶設(shè)備，對于供應(yīng)商來說要想好怎么自證你這塊是做得好的，就比如等保2.0中要求只可以采集必要個人信息，可以存放，但未經(jīng)授權(quán)不可以查看、使用、修改和刪除數(shù)據(jù)，這點(diǎn)光靠說是沒用的，還是提供你實(shí)際是如何去做的證明;二是供應(yīng)方要和運(yùn)營方一起保證業(yè)務(wù)連續(xù)性，包括設(shè)備和技術(shù)支持兩方面的持續(xù)服務(wù)提供，比如乙方駐場同學(xué)和售后支持同學(xué)。

 

　　《辦法》第九條給出了需要考慮的潛在的國家安全風(fēng)險，這里匯總一下：

 

 

　　這里其實(shí)主要是推廣可信計算、國產(chǎn)化技術(shù)，別人的東西永遠(yuǎn)不如自己的安全。但也不是把國外產(chǎn)品和技術(shù)服務(wù)完全鎖在門外。國家考慮了一種均衡的開放的方式。中國是向世界開放的，并不是想通過《辦法》將國外廠商關(guān)在門外。在答記者問中，官方也明確表示對外開放是我們的基本國策，我們歡迎國外產(chǎn)品和服務(wù)進(jìn)入中國市場的政策沒有改變，但前提是必須要符合中國法律法規(guī)和部門規(guī)章，這就需要產(chǎn)品廠商來“自證清白”。

 

 

　　這也是《關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)基本要求》(征求意見稿)中首次提出的安全問題。關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者所采購的產(chǎn)品和服務(wù)本身，可能就是一個完整的系統(tǒng)。比方說一個軟件，它包含了很多的代碼，這些代碼軟系統(tǒng)中的不同功能會由不同的軟件承擔(dān)，那么這些軟件有不同的廠商開發(fā)，最終進(jìn)行一個總集成;硬件也是類似的情況。

 

　　供應(yīng)鏈中的每一個環(huán)節(jié)，都可能蘊(yùn)含潛在的風(fēng)險。當(dāng)某項(xiàng)產(chǎn)品或服務(wù)被采購、被運(yùn)用，并且部署到關(guān)鍵信息基礎(chǔ)設(shè)施之前，通過這樣一個國家網(wǎng)絡(luò)安全的審查，可以在很大限度上把供應(yīng)鏈風(fēng)險降到最低，保證供應(yīng)來源多樣、渠道暢通可靠，采購的產(chǎn)品和服務(wù)更加安全、開放、透明。從這個意義上來說，有《辦法》作為支撐，網(wǎng)絡(luò)安全審查部門即可做到對供應(yīng)鏈的每個環(huán)節(jié)做到未雨綢繆、重點(diǎn)考量。比如去年華為因?yàn)檎巍⑼饨?、貿(mào)易等因素，遭遇供應(yīng)中斷的損失和危害，或許可以降到最低。

 

　　從國外的重大安全事件來看(Facebook的50億美元罰金事件)，絕大多數(shù)都是因?yàn)榈谌叫孤睹舾行畔⑺斐傻?，完全由于甲方自身原因所鑄成的重大安全事件只占極少數(shù)。因此可以考慮在業(yè)務(wù)連續(xù)性保障方面采用供應(yīng)鏈冗余，兩家或多家供應(yīng)商共同分擔(dān)責(zé)任，能互補(bǔ)能AB崗，這樣最好。至于供應(yīng)鏈安全，其實(shí)1家還是2家供應(yīng)商，你的供應(yīng)鏈安全做起來并沒什么太大的區(qū)別(當(dāng)然如果企業(yè)對接8-9家甚至10家以上供應(yīng)商，這種情況另當(dāng)別論)。這里特別提醒，參見《辦法》第十六條，很多情況下是甲方和服務(wù)商一起突擊，時間緊的情況下去完成審查工作，這個過程中就容易出現(xiàn)紕漏，造成數(shù)據(jù)泄露等問題，應(yīng)引起關(guān)注。

 

 

　　包括產(chǎn)品專利、知識產(chǎn)權(quán)、3C認(rèn)證，服務(wù)商的服務(wù)資質(zhì)、合規(guī)性認(rèn)證等。這里對于甲方其實(shí)也是一樣，比如公有云供應(yīng)商，那么對于云上租戶來說你也是乙方，B2B的業(yè)務(wù)模式下，大家互為甲乙方。不過像阿里云、騰訊云、AWS這類的廠商應(yīng)該問題不大，主要問題可能會集中在一些中型或省級地市級的公有云平臺上。

 

 

　　各類其他威脅和風(fēng)險(參見前文主要風(fēng)險因素)。

 

　　《辦法》第十九條違法處罰條款參照《中華人民共和國網(wǎng)絡(luò)安全法》第六十五條：

 

　　“應(yīng)當(dāng)申報網(wǎng)絡(luò)安全審查而沒有申報的，或者使用網(wǎng)絡(luò)安全審查未通過的產(chǎn)品和服務(wù)，由有關(guān)主管部門責(zé)令停止使用，處采購金額一倍以上十倍以下罰款;對直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處一萬元以上十萬元以下罰款。”

 

 

 

　　這里的流程是在正常情況下的，如果遇到特殊情況可能會延期，而且補(bǔ)充材料的時間不計入辦理流程的工作日，因此也存在長時間無法通過審查的情況。

 

　　申報節(jié)點(diǎn)：

 

　　通常是在合同簽署之前。若是合同簽署后，則需要雙方約定在合同中注明此合同須在產(chǎn)品和服務(wù)采購?fù)ㄟ^網(wǎng)絡(luò)安全審查后方可生效。