近日《網(wǎng)絡(luò )安全審查辦法》刷遍安全圈，那么《辦法》與信安從業(yè)者有何相關(guān)？本文將具體解讀。

關(guān)鍵信息基礎設施對國家安全、經(jīng)濟安全、社會(huì )穩定、公眾健康和安全至關(guān)重要。我國建立網(wǎng)絡(luò )安全審查制度，目的是通過(guò)網(wǎng)絡(luò )安全審查這一舉措，及早發(fā)現并避免采購產(chǎn)品和服務(wù)給關(guān)鍵信息基礎設施運行帶來(lái)風(fēng)險和危害，保障關(guān)鍵信息基礎設施供應鏈安全，維護國家安全。

隨著(zhù)中國對網(wǎng)絡(luò )安全的重視程度不斷提升，如何守住網(wǎng)絡(luò )空間的“邊防”和“后院”，保證相關(guān)領(lǐng)域采購的網(wǎng)絡(luò )產(chǎn)品和服務(wù)的安全性至關(guān)重要。而新出臺的《網(wǎng)絡(luò )安全審查辦法》，則為此提供了重要的制度保障和法律依據。

一、 關(guān)鍵點(diǎn)匯總

2020.4.13日正式頒布

2020.6.1日正式施行

主管單位

網(wǎng)絡(luò )安全審查辦公室設在國家互聯(lián)網(wǎng)信息辦公室，負責制定網(wǎng)絡(luò )安全審查相關(guān)制度規范，組織網(wǎng)絡(luò )安全審查。

受理單位

中國網(wǎng)絡(luò )安全審查技術(shù)與認證中心（CCRC/ISCCC）在網(wǎng)絡(luò )安全審查辦公室的指導下，承擔接收申報材料、對申報材料進(jìn)行形式審查、具體組織審查工作等任務(wù)。

上位法

《國家安全法》、《網(wǎng)絡(luò )安全法》。因此《辦法》屬于強制執行范疇。

原則

過(guò)程公正透明、事前審查事后持續監督、企業(yè)社會(huì )共同監督。事前，強化網(wǎng)絡(luò )安全的前置審查；事中，強化自身的防御和監控能力；事后，一旦出現問(wèn)題，除了管控之外，還要進(jìn)行溯源和追責，通過(guò)這三個(gè)階段的共同防御，把風(fēng)險降到最低。

涉及行業(yè)

電信、廣播電視、能源、金融、公路水路運輸、鐵路、民航、郵政、水利、應急管理、衛生健康、社會(huì )保障、國防科技工業(yè)等行業(yè)領(lǐng)域的重要網(wǎng)絡(luò )和信息系統運營(yíng)者。

涉及范圍

關(guān)鍵信息基礎設施（之前被認定為關(guān)基的，等級保護評為4級系統的）運營(yíng)者采購的產(chǎn)品和服務(wù)。包括：核心網(wǎng)絡(luò )設備（路由器、交換機、VPN設備、網(wǎng)閘、前置機等）、高性能計算機和服務(wù)器、大容量存儲設備、大型數據庫和應用軟件、網(wǎng)絡(luò )安全設備（防火墻、IDPS、UTM、WAF、上網(wǎng)行為管理、EDR等）、云計算服務(wù)（虛擬機、虛擬存儲、容器等），以及其他對關(guān)鍵信息基礎設施安全有重要影響的網(wǎng)絡(luò )產(chǎn)品和服務(wù)。（《辦法》 第二十條）

主要風(fēng)險因素

產(chǎn)品和服務(wù)使用后帶來(lái)的關(guān)鍵信息基礎設施被非法控制、遭受干擾或破壞，以及重要數據被竊取、泄露、毀損的風(fēng)險；產(chǎn)品和服務(wù)供應中斷對關(guān)鍵信息基礎設施業(yè)務(wù)連續性的危害；產(chǎn)品和服務(wù)的安全性、開(kāi)放性、透明性，來(lái)源的多樣性，供應渠道的可靠性以及因為政治、外交、貿易等因素導致供應中斷的風(fēng)險；產(chǎn)品和服務(wù)提供者遵守中國法律、行政法規、部門(mén)規章情況；其他可能危害關(guān)鍵信息基礎設施安全和國家安全的因素。

相關(guān)人員

上述行業(yè)?。òㄊ?huì )城市）級公司的IT部門(mén)、安全部門(mén)、運維部門(mén)、包括總監、負責人、CIO、CISO等人員，以及產(chǎn)品供應商、服務(wù)供應商的所有項目組成員（包括駐場(chǎng)和外包人員）。

二、《辦法》和網(wǎng)絡(luò )安全相關(guān)人員有什么關(guān)系

《辦法》第五條 應當預判該產(chǎn)品和服務(wù)投入使用后可能帶來(lái)的國家安全風(fēng)險。影響或者可能影響國家安全的，應當向網(wǎng)絡(luò )安全審查辦公室申報網(wǎng)絡(luò )安全審查。

運營(yíng)者采購產(chǎn)品和服務(wù)，首先要自證這些產(chǎn)品和服務(wù)（包括供應商）是安全的，沒(méi)有潛在安全隱患，申報審查就是提交證據，要提交哪些證據呢？常規來(lái)看，一般包括：安全測試報告、風(fēng)險評估報告、產(chǎn)品知識產(chǎn)權、廠(chǎng)商服務(wù)資質(zhì)、成功案例、產(chǎn)品POC報告等等。那么對于服務(wù)，尤其是外包服務(wù)（開(kāi)發(fā)、運維、安全等服務(wù)），可能就需要通過(guò)簽訂保密協(xié)議、賠償條款之類(lèi)的合同?！掇k法》第七條有明確提交的文件名稱(chēng)，當然還有一些關(guān)鍵的輔助審查材料。

這是一個(gè)雙向的過(guò)程，甲方要收集證據，乙方要提供證據，雙方達成一致而后提交審查中心進(jìn)行評判。

《辦法》還建議關(guān)鍵信息基礎設施保護工作部門(mén)可以制定本行業(yè)、本領(lǐng)域預判指南。這條建議可能會(huì )成為必選項，一些關(guān)鍵信息基礎設施運營(yíng)企業(yè)應該都會(huì )制定一份符合自己業(yè)務(wù)情況的指南。不過(guò)按以往的經(jīng)驗來(lái)看，多數會(huì )有外包的服務(wù)商來(lái)編寫(xiě)，運營(yíng)方進(jìn)行監督審閱。

《辦法》第六條 承諾不利用提供產(chǎn)品和服務(wù)的便利條件非法獲取用戶(hù)數據、非法控制和操縱用戶(hù)設備，無(wú)正當理由不中斷產(chǎn)品供應或必要的技術(shù)支持服務(wù)等。

這里分兩個(gè)層面來(lái)要求，一是個(gè)人信息保護工作和未授權操作用戶(hù)設備，對于供應商來(lái)說(shuō)要想好怎么自證你這塊是做得好的，就比如等保2.0中要求只可以采集必要個(gè)人信息，可以存放，但未經(jīng)授權不可以查看、使用、修改和刪除數據，這點(diǎn)光靠說(shuō)是沒(méi)用的，還是提供你實(shí)際是如何去做的證明；二是供應方要和運營(yíng)方一起保證業(yè)務(wù)連續性，包括設備和技術(shù)支持兩方面的持續服務(wù)提供，比如乙方駐場(chǎng)同學(xué)和售后支持同學(xué)。

《辦法》第九條 給出了需要考慮的潛在的國家安全風(fēng)險，這里匯總一下：

后門(mén)、木馬、預植入芯片

這里其實(shí)主要是推廣可信計算、國產(chǎn)化技術(shù)，別人的東西永遠不如自己的安全。但也不是把國外產(chǎn)品和技術(shù)服務(wù)完全鎖在門(mén)外。國家考慮了一種均衡的開(kāi)放的方式。中國是向世界開(kāi)放的，并不是想通過(guò)《辦法》將國外廠(chǎng)商關(guān)在門(mén)外。在答記者問(wèn)中，官方也明確表示對外開(kāi)放是我們的基本國策，我們歡迎國外產(chǎn)品和服務(wù)進(jìn)入中國市場(chǎng)的政策沒(méi)有改變，但前提是必須要符合中國法律法規和部門(mén)規章，這就需要產(chǎn)品廠(chǎng)商來(lái)“自證清白”。

供應鏈安全

這也是《關(guān)鍵信息基礎設施網(wǎng)絡(luò )安全保護基本要求》（征求意見(jiàn)稿）中首次提出的安全問(wèn)題。關(guān)鍵信息基礎設施的運營(yíng)者所采購的產(chǎn)品和服務(wù)本身，可能就是一個(gè)完整的系統。比方說(shuō)一個(gè)軟件，它包含了很多的代碼，這些代碼軟系統中的不同功能會(huì )由不同的軟件承擔，那么這些軟件有不同的廠(chǎng)商開(kāi)發(fā)，最終進(jìn)行一個(gè)總集成；硬件也是類(lèi)似的情況。

供應鏈中的每一個(gè)環(huán)節，都可能蘊含潛在的風(fēng)險。當某項產(chǎn)品或服務(wù)被采購、被運用，并且部署到關(guān)鍵信息基礎設施之前，通過(guò)這樣一個(gè)國家網(wǎng)絡(luò )安全的審查，可以在很大限度上把供應鏈風(fēng)險降到最低，保證供應來(lái)源多樣、渠道暢通可靠，采購的產(chǎn)品和服務(wù)更加安全、開(kāi)放、透明。從這個(gè)意義上來(lái)說(shuō)，有《辦法》作為支撐，網(wǎng)絡(luò )安全審查部門(mén)即可做到對供應鏈的每個(gè)環(huán)節做到未雨綢繆、重點(diǎn)考量。比如去年華為因為政治、外交、貿易等因素，遭遇供應中斷的損失和危害，或許可以降到最低。

從國外的重大安全事件來(lái)看（Facebook的50億美元罰金事件），絕大多數都是因為第三方泄露敏感信息所造成的，完全由于甲方自身原因所鑄成的重大安全事件只占極少數。因此可以考慮在業(yè)務(wù)連續性保障方面采用供應鏈冗余，兩家或多家供應商共同分擔責任，能互補能AB崗，這樣最好。至于供應鏈安全，其實(shí)1家還是2家供應商，你的供應鏈安全做起來(lái)并沒(méi)什么太大的區別（當然如果企業(yè)對接8-9家甚至10家以上供應商，這種情況另當別論）。這里特別提醒，參見(jiàn)《辦法》第十六條，很多情況下是甲方和服務(wù)商一起突擊，時(shí)間緊的情況下去完成審查工作，這個(gè)過(guò)程中就容易出現紕漏，造成數據泄露等問(wèn)題，應引起關(guān)注。

供應商的合規性

包括產(chǎn)品專(zhuān)利、知識產(chǎn)權、3C認證，服務(wù)商的服務(wù)資質(zhì)、合規性認證等。這里對于甲方其實(shí)也是一樣，比如公有云供應商，那么對于云上租戶(hù)來(lái)說(shuō)你也是乙方，B2B的業(yè)務(wù)模式下，大家互為甲乙方。不過(guò)像阿里云、騰訊云、AWS這類(lèi)的廠(chǎng)商應該問(wèn)題不大，主要問(wèn)題可能會(huì )集中在一些中型或省級地市級的公有云平臺上。

其他因素

各類(lèi)其他威脅和風(fēng)險（參見(jiàn)前文主要風(fēng)險因素）。

《辦法》第十九條 違法處罰條款參照《中華人民共和國網(wǎng)絡(luò )安全法》第六十五條：

“應當申報網(wǎng)絡(luò )安全審查而沒(méi)有申報的，或者使用網(wǎng)絡(luò )安全審查未通過(guò)的產(chǎn)品和服務(wù)，由有關(guān)主管部門(mén)責令停止使用，處采購金額一倍以上十倍以下罰款；對直接負責的主管人員和其他直接責任人員處一萬(wàn)元以上十萬(wàn)元以下罰款?！?/p>

三、網(wǎng)絡(luò )安全審查的流程

這里的流程是在正常情況下的，如果遇到特殊情況可能會(huì )延期，而且補充材料的時(shí)間不計入辦理流程的工作日，因此也存在長(cháng)時(shí)間無(wú)法通過(guò)審查的情況。

申報節點(diǎn)

通常是在合同簽署之前。若是合同簽署后，則需要雙方約定在合同中注明此合同須在產(chǎn)品和服務(wù)采購通過(guò)網(wǎng)絡(luò )安全審查后方可生效。

來(lái)源：工業(yè)安全產(chǎn)業(yè)聯(lián)盟