是什么关系最近,《网络安全审查办法》翻遍了安全圈,为什么被各大厂商如此转载。那么《办法》与我们这些安全从业者有什么关系呢?关键信息基础设施对国家安全、经济安全、社会稳定以及公众健康和安全至关重要。我国建立网络安全审查制度的目的是通过网络安全审查发现和规避产品和服务采购对关键信息基础设施运行带来的风险和危害,确保供应安全关键信息基础设施链维护国家安全。随着我国对网络安全的重视程度越来越高,如何守住网络空间的“边防”和“后院”,保障相关领域采购的网络产品和服务的安全,就显得尤为重要。新颁布的《网络安全审查办法》为此提供了重要的制度保障和法律依据。一、要点概要2020年4月13日正式发布,2020年6月1日正式施行1、主管单位网络安全审查办公室设在国家互联网信息办公室,负责制定网络安全审查相关制度规范和组织网络安全审查。2.在互联网安全审查办公室的指导下,受理单位中国网络安全审查技术与认证中心(CCRC/ISCCC)承担受理申请材料、对申请材料进行形式审查、组织具体审查工作。3.上位法《国家安全法》、《网络安全法》。因此,《办法》属于强制执行的范畴。4、原则过程公正透明,事前检查,事后持续监督,企业与社会共同监督。事前加强网络安全预检查;活动期间,加强自身防御和监控能力;风险被最小化。5.涉及电信、广播电视、能源、金融、公路水运、铁路、民航、邮政、水利、应急管理、卫生健康、社会保障、国防科技产业。六、涉及范围关键信息基础设施(原认定为关键信息基础设施,等级保护等级为四级体系)运营商采购的产品和服务。包括:核心网络设备(路由器、交换机、VPN设备、网守、前端机等)、高性能计算机和服务器、海量存储设备、大型数据库和应用软件、网络安全设备(防火墙、IDPS、UTM)、WAF、上网行为管理、EDR等)、云计算服务(虚拟机、虚拟存储、容器等)等对关键信息基础设施安全有重要影响的网络产品和服务。(《办法》第二十条)七、主要风险因素关键信息基础设施在使用产品和服务后被非法控制、干扰或破坏,重要数据被窃取、泄露、毁坏的风险;产品和服务供应中断对关键信息基础设施业务连续性的危害;产品和服务的安全性、公开性、透明度,来源的多样性,供应渠道的可靠性,以及因政治、外交、贸易等因素造成供应中断的风险;产品和服务提供者遵守中国法律、行政法规和部门规章;其他可能危及关键信息基础设施安全和国家安全的因素。8.上述行业省(含省会城市)公司IT部门、安全部门、运维部门相关人员,包括董事、经理、CIO、CISO等人员,以及产品供应商的所有项目组成员和服务提供商(包括现场和外包人员)。2.《办法》与网络安全相关人员有何关系《办法》第五条应当预测产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的,应当报网络安全审查办公室进行网络安全审查。经营者在购买产品和服务时,首先要证明这些产品和服务(包括供应商)是安全的,不存在安全隐患。申请审查是提交证据。应该提交什么证据?常规上一般包括:安全检测报告、风险评估报告、产品知识产权、厂商服务资质、成功案例、产品POC报告等。然后是服务,尤其是外包服务(开发、运维、安全等服务)),可能需要签订保密协议、赔偿条款等合同。《办法》第七条有明确要提交的文件名称,当然还有一些关键的辅助审核材料。这是一个双向过程。甲方需要收集证据,乙方需要提供证据。双方达成一致后提交评审中心进行评审。《办法》还建议关键信息基础设施保护部门可以针对该行业和领域制定预测指南。这个建议可能会变成强制性的,一些关键信息基础设施运营企业应该制定适合自身业务情况的指南。但根据以往的经验,大部分都会由外包服务商代写,由运营商进行监督审核。《办法》第六条承诺不利用提供产品和服务的便利,非法获取用户数据,非法控制和操纵用户设备,无正当理由不中断产品供应或必要的技术支持服务。这里有两个层次的要求。一是个人信息保护和用户设备的非授权操作。对于供应商来说,他们必须想办法证明自己,你做得很好。例如,等待安全2.0中的要求只能收集和存储必要的个人信息,但不得擅自查看、使用、修改或删除数据。单靠文字或提供您实际如何做的证据是没有用的;运营商将共同努力确保业务连续性,包括在设备和技术支持方面的持续服务提供,例如乙方的现场学生和售后支持学生。《办法》第9条给出了需要考虑的潜在国家安全风险。总结一下:1.后门、木马、预植入芯片其实主要是为了推广可信计算和国产化技术。别人的东西永远不如自己的安全。但并不是要完全排斥国外的产品和技术服务。该国考虑采用平衡和开放的方法。中国对世界是开放的,无意通过将外国厂商拒之门外。在回答记者提问时,这位负责人还明确表示,对外开放是我们的基本国策。我们欢迎外国产品和服务进入中国市场的政策没有改变,但前提是必须符合中国法律法规和部门规章。这就需要产品厂商来“自证清白”。2.供应链安全这也是在《关键信息基础设施网络安全保护基本要求》(征求意见稿)中提出的第一个安全问题。关键信息基础设施运营商采购的产品和服务本身可能就是一个完整的系统。例如,一个软件包含很多代码。这些代码在软件系统中的不同功能将由不同的软件来承担。然后这些软件会由不同的厂商开发,最后进行一个整体的整合;硬件也是如此。供应链中的每个环节都可能存在潜在风险。产品或服务在采购、使用、部署到关键信息基础设施时,通过这样的国家网络安全审查,可以在很大程度上降低供应链风险,确保供应来源多样、渠道畅通、可靠,所采购的产品和服务更加安全、公开、透明。从这个意义上说,在《办法》的支持下,网络安全审查部门可以未雨绸缪,关注供应链的每一个环节。比如去年,由于政治、外交、贸易等因素,华为断供的损失和危害可能被降到最低。从国外发生的重大安全事件(Facebook50亿美元罚款事件)来看,大部分是由于第三方泄露敏感信息造成的,完全由甲方自身原因造成的重大安全事件只占很小一部分数字。因此,在业务连续性保障方面可以考虑供应链冗余。两个或多个供应商分担责任并可以相互补充。这是最好的。至于供应链安全,其实一个供应商和两个供应商没有太大区别,你的供应链安全也相差不大(当然,如果公司对接8-9家甚至10多家供应商,这情况另当别论)。这里特别提醒一下,见《办法》第16条。很多时候,甲方和服务商会一起突袭,在紧迫的时间内完成审核工作。在此过程中,容易出现失误,造成数据泄露等问题,应引起关注。3、供应商的合规性包括产品专利、知识产权、3C认证、服务商服务资质、合规认证等,这里甲方也是一样。比如你是公有云提供商,你也是云租户的乙方。B2B的商业模式,大家都是甲乙方。不过像阿里云、腾讯云、AWS这样的厂商应该问题不大。主要问题可能集中在一些中型或省级公有云平台上。4.其他因素各种其他威胁和风险(见上文关键风险因素)。《办法》第十九条违规处罚规定参照《中华人民共和国网络安全法》第六十五条:“应当申请网络安全审查未申请,或者使用网络安全审查不合格的产品和服务的,由有关主管部门责令停止使用,处购买金额一倍以上十倍以下的罚款;对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚款。”3、网络安全审查流程这里的流程是正常情况下可以延期的特殊情况,补充材料时间不计入流程工作日,所以也有长时间审核不通过的情况申报节点:一般在合同签订前。合同签订后,双方需同意在合同中注明,在购买的产品和服务通过网络安全审查后,合同方可生效。
