安全專家解讀：《網絡安全審查辦法》出臺，企業(yè)應如何落實加強安全建設？

關鍵信息基礎設施對國家安全、經濟安全、社會穩(wěn)定、公眾健康和安全至關重要。我國建立網絡安全審查制度，目的是通過網絡安全審查這一舉措，及早發(fā)現(xiàn)并避免采購產品和服務給關鍵信息基礎設施運行帶來風險和危害，保障關鍵信息基礎設施供應鏈安全，維護國家安全。

隨著中國對網絡安全的重視程度不斷提升，如何守住網絡空間的"邊防"和"后院"，保證相關領域采購的網絡產品和服務的安全性至關重要。而新出臺的《網絡安全審查辦法》(下文簡稱：《辦法》)，則為此提供了重要的制度保障和法律依據。在新《辦法》指導下，企業(yè)應該如何貫徹落實、加強安全建設，中間又有哪些重要的流程環(huán)節(jié)和關鍵問題需要注意?騰訊安全合規(guī)研究員、騰訊安全平臺部天幕團隊Horseman將為廣大企業(yè)及安全相關領域從業(yè)者逐一解讀。

一、企業(yè)是否要嚴格貫徹落實《辦法》，如果不落實會有什么影響？

由于有上位法《國家安全法》、《網絡安全法》的支撐，因此《辦法》屬于強制執(zhí)行范疇，企業(yè)必須落實，如若不貫徹實施則將影響運營者的業(yè)務開展，相關負責人也將承擔相關法律責任。

二、企業(yè)網絡安全人員應如何落實《辦法》要求？

（1）《辦法》第五條中提到：“應當預判該產品和服務投入使用后可能帶來的國家安全風險。影響或者可能影響國家安全的，應當向網絡安全審查辦公室申報網絡安全審查。”這里企業(yè)在進行網絡安全審查時要提交什么材料？

運營者要采購產品和服務，首先要自證這些產品和服務(包括供應商)是安全的，沒有潛在安全隱患，申報審查就是提交證據，要提交哪些證據呢?

常規(guī)來看，一般包括：安全測試報告、風險評估報告、產品知識產權、廠商服務資質、成功案例、產品POC報告等等。那么對于服務，尤其包括外包服務(開發(fā)、運維、安全等服務)，可能就需要通過簽訂保密協(xié)議、賠償條款之類的合同。《辦法》第七條有明確提交的文件名稱，當然還有一些關鍵的輔助審查材料。

這是一個雙向的過程，關鍵信息基礎設施運營者(下文簡稱：甲方)要收集證據，產品與服務供應商(下文簡稱：乙方)要提供證據，雙方達成一致而后提交審查中心進行評判。

《辦法》還建議關鍵信息基礎設施保護工作部門可以制定本行業(yè)、本領域預判指南。那么這條建議也相當于成為了必選項，一些關鍵信息基礎設施運營企業(yè)應該都會去制定一份符合自己業(yè)務情況的指南。

（2）《辦法》第六條：“承諾不利用提供產品和服務的便利條件非法獲取用戶數據、非法控制和操縱用戶設備，無正當理由不中斷產品供應或必要的技術支持服務等。”這里的“承諾”應如何理解和執(zhí)行？

這里分兩個層面來要求，一是個人信息保護工作和未授權操作用戶設備，對于供應商來說要想好怎么自證你這塊是做得好的，就比如等保2.0中要求只可以采集必要個人信息，可以存放，但未經授權不可以查看、使用、修改和刪除數據，這點光靠說是沒用的，還是提供你實際是如何去做的證明;二是供應方要和運營方一起保證業(yè)務連續(xù)性，包括設備和技術支持兩方面的持續(xù)服務提供，比如乙方駐場同學和售后支持同學。

（3）《辦法》中提到的需要考慮的潛在的國家安全風險具體而言都有哪些？

后門、木馬、預植入芯片

這里其實主要是推廣可信計算、國產化技術，別人的東西永遠不如自己的安全。但也不是把國外產品和技術服務完全鎖在門外。國家考慮了一種均衡的開放的方式。中國是向世界開放的，并不是想通過《辦法》將國外廠商關在門外。在答記者問中，官方也明確表示對外開放是我們的基本國策，我們歡迎國外產品和服務進入中國市場的政策沒有改變，但前提是必須要符合中國法律法規(guī)和部門規(guī)章。

供應鏈安全

這也是《關鍵信息基礎設施網絡安全保護基本要求》(征求意見稿)中首次提出的安全問題。關鍵信息基礎設施的運營者所采購的產品和服務本身，可能就是一個完整的系統(tǒng)。比方說一個軟件，它包含了很多的代碼，這些代碼軟系統(tǒng)中的不同功能會由不同的軟件承擔，那么這些軟件有不同的廠商開發(fā)，最終進行一個總集成;硬件也是類似的情況。

供應鏈中的每一個環(huán)節(jié)，都可能蘊含潛在的風險。當某項產品或服務被采購、被運用，并且部署到關鍵信息基礎設施之前，通過這樣一個國家網絡安全的審查，可以在很大限度上把供應鏈風險降到最低，保證供應來源多樣、渠道暢通可靠，采購的產品和服務更加安全、開放、透明。從這個意義上來說，有《辦法》作為支撐，網絡安全審查部門即可做到對供應鏈的每個環(huán)節(jié)做到未雨綢繆、重點考量。

從國外的重大安全事件來看(Facebook的50億美元罰金事件)，絕大多數都是因為第三方泄露敏感信息所造成的，完全由于甲方自身原因所鑄成的重大安全事件只占極少數。因此可以考慮在業(yè)務連續(xù)性保障方面采用供應鏈冗余，兩家或多家供應商共同分擔責任，能互補能AB崗，這樣最好。至于供應鏈安全，其實1家還是2家供應商，企業(yè)的供應鏈安全做起來并沒什么太大的區(qū)別(當然如果企業(yè)對接8-9家甚至10家以上供應商，這種情況另當別論)。這里特別提醒，參見《辦法》第十六條，很多情況下是甲方和服務商一起突擊，時間緊的情況下去完成審查工作，這個過程中就容易出現(xiàn)紕漏，造成數據泄露等問題，應引起關注。

供應商的合規(guī)性

包括產品專利、知識產權、3C認證，服務商的服務資質、合規(guī)性認證等。這里對于甲方其實也是一樣，比如公有云供應商，那么對于云上租戶來說也是乙方，B2B的業(yè)務模式下，大家互為甲乙方。不過像騰訊云、AWS云這類的廠商應該問題不大，主要問題可能會集中在一些中型或省級地市級的公有云平臺上。

其他因素

各類其他威脅和風險(參見前文主要風險因素)。

三、網絡安全審查的流程是怎么樣的，有哪些核心關鍵節(jié)點？

《辦法》的流程是在正常情況下的，如果遇到特殊情況可能會延期，而且補充材料的時間不計入辦理流程的工作日，因此也可能存在長時間無法通過審查的情況。

申報節(jié)點通常是在合同簽署之前。若是合同簽署后，則需要雙方約定在合同中注明此合同須在產品和服務采購通過網絡安全審查后方可生效。

生成海報

免責聲明：本網站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網站出現(xiàn)的信息，均僅供參考。本網站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網站中的網頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時，應及時向本網站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。