安全專家解讀:《網路安全審查辦法》出臺,企業應如何落實加強安全建設?
關鍵資訊基礎設施對國家安全、經濟安全、社會穩定、公眾健康和安全至關重要。我國建立網路安全審查制度,目的是透過網路安全審查這一舉措,及早發現並避免採購產品和服務給關鍵資訊基礎設施執行帶來風險和危害,保障關鍵資訊基礎設施供應鏈安全,維護國家安全。
隨著中國對網路安全的重視程度不斷提升,如何守住網路空間的"邊防"和"後院",保證相關領域採購的網路產品和服務的安全性至關重要。而新出臺的《網路安全審查辦法》(下文簡稱:《辦法》),則為此提供了重要的制度保障和法律依據。在新《辦法》指導下,企業應該如何貫徹落實、加強安全建設,中間又有哪些重要的流程環節和關鍵問題需要注意?騰訊安全合規研究員、騰訊安全平臺部天幕團隊Horseman將為廣大企業及安全相關領域從業者逐一解讀。
一、企業是否要嚴格貫徹落實《辦法》,如果不落實會有什麼影響?
由於有上位法《國家安全法》、《網路安全法》的支撐,因此《辦法》屬於強制執行範疇,企業必須落實,如若不貫徹實施則將影響運營者的業務開展,相關負責人也將承擔相關法律責任。
二、企業網路安全人員應如何落實《辦法》要求?
(1)《辦法》第五條中提到:“應當預判該產品和服務投入使用後可能帶來的國家安全風險。影響或者可能影響國家安全的,應當向網路安全審查辦公室申報網路安全審查。”這裡企業在進行網路安全審查時要提交什麼材料?
運營者要採購產品和服務,首先要自證這些產品和服務(包括供應商)是安全的,沒有潛在安全隱患,申報審查就是提交證據,要提交哪些證據呢?
常規來看,一般包括:安全測試報告、風險評估報告、產品智慧財產權、廠商服務資質、成功案例、產品POC報告等等。那麼對於服務,尤其包括外包服務(開發、運維、安全等服務),可能就需要透過簽訂保密協議、賠償條款之類的合同。《辦法》第七條有明確提交的檔名稱,當然還有一些關鍵的輔助審查材料。
這是一個雙向的過程,關鍵資訊基礎設施運營者(下文簡稱:甲方)要收集證據,產品與服務供應商(下文簡稱:乙方)要提供證據,雙方達成一致而後提交審查中心進行評判。
《辦法》還建議關鍵資訊基礎設施保護工作部門可以制定本行業、本領域預判指南。那麼這條建議也相當於成為了必選項,一些關鍵資訊基礎設施運營企業應該都會去制定一份符合自己業務情況的指南。
(2)《辦法》第六條:“承諾不利用提供產品和服務的便利條件非法獲取使用者資料、非法控制和操縱使用者裝置,無正當理由不中斷產品供應或必要的技術支援服務等。”這裡的“承諾”應如何理解和執行?
這裡分兩個層面來要求,一是個人資訊保護工作和未授權操作使用者裝置,對於供應商來說要想好怎麼自證你這塊是做得好的,就比如等保2.0中要求只可以採集必要個人資訊,可以存放,但未經授權不可以檢視、使用、修改和刪除資料,這點光靠說是沒用的,還是提供你實際是如何去做的證明;二是供應方要和運營方一起保證業務連續性,包括裝置和技術支援兩方面的持續服務提供,比如乙方駐場同學和售後支援同學。
(3)《辦法》中提到的需要考慮的潛在的國家安全風險具體而言都有哪些?
- 後門、木馬、預植入晶片
這裡其實主要是推廣可信計算、國產化技術,別人的東西永遠不如自己的安全。但也不是把國外產品和技術服務完全鎖在門外。國家考慮了一種均衡的開放的方式。中國是向世界開放的,並不是想透過《辦法》將國外廠商關在門外。在答記者問中,官方也明確表示對外開放是我們的基本國策,我們歡迎國外產品和服務進入中國市場的政策沒有改變,但前提是必須要符合中國法律法規和部門規章。
- 供應鏈安全
這也是《關鍵資訊基礎設施網路安全保護基本要求》(徵求意見稿)中首次提出的安全問題。關鍵資訊基礎設施的運營者所採購的產品和服務本身,可能就是一個完整的系統。比方說一個軟體,它包含了很多的程式碼,這些程式碼軟系統中的不同功能會由不同的軟體承擔,那麼這些軟體有不同的廠商開發,最終進行一個總整合;硬體也是類似的情況。
供應鏈中的每一個環節,都可能蘊含潛在的風險。當某項產品或服務被採購、被運用,並且部署到關鍵資訊基礎設施之前,透過這樣一個國家網路安全的審查,可以在很大限度上把供應鏈風險降到最低,保證供應來源多樣、渠道暢通可靠,採購的產品和服務更加安全、開放、透明。從這個意義上來說,有《辦法》作為支撐,網路安全審查部門即可做到對供應鏈的每個環節做到未雨綢繆、重點考量。
從國外的重大安全事件來看(Facebook的50億美元罰金事件),絕大多數都是因為第三方洩露敏感資訊所造成的,完全由於甲方自身原因所鑄成的重大安全事件只佔極少數。因此可以考慮在業務連續性保障方面採用供應鏈冗餘,兩家或多家供應商共同分擔責任,能互補能AB崗,這樣最好。至於供應鏈安全,其實1家還是2家供應商,企業的供應鏈安全做起來並沒什麼太大的區別(當然如果企業對接8-9家甚至10家以上供應商,這種情況另當別論)。這裡特別提醒,參見《辦法》第十六條,很多情況下是甲方和服務商一起突擊,時間緊的情況下去完成審查工作,這個過程中就容易出現紕漏,造成資料洩露等問題,應引起關注。
- 供應商的合規性
包括產品專利、智慧財產權、3C認證,服務商的服務資質、合規性認證等。這裡對於甲方其實也是一樣,比如公有云供應商,那麼對於雲上租戶來說也是乙方,B2B的業務模式下,大家互為甲乙方。不過像騰訊雲、AWS雲這類的廠商應該問題不大,主要問題可能會集中在一些中型或省級地市級的公有云平臺上。
- 其他因素
各類其他威脅和風險(參見前文主要風險因素)。
三、網路安全審查的流程是怎麼樣的,有哪些核心關鍵節點?
《辦法》的流程是在正常情況下的,如果遇到特殊情況可能會延期,而且補充材料的時間不計入辦理流程的工作日,因此也可能存在長時間無法透過審查的情況。
申報節點通常是在合同簽署之前。若是合同簽署後,則需要雙方約定在合同中註明此合同須在產品和服務採購透過網路安全審查後方可生效。
相關文章
- 解讀《網路安全審查辦法》及其對網路安全產業供給的影響產業
- 十三部門修訂釋出《網路安全審查辦法》,企業資料安全合規應儘早
- 新版《網路安全審查辦法》施行,資料安全納入審查範圍
- 《網路安全審查辦法(修訂草案徵求意見稿)》解讀
- 淺析《國家安全法》中的網路安全審查制度
- 如何加強辦公網路中的網路安全
- 《網路安全法》邁出網路強國建設堅實步伐
- 國家網信辦等十三部門聯合修訂釋出《網路安全審查辦法》
- 讀懂《網路安全審查辦法》,綠盟科技幫你劃重點
- 中小企業如何給安全“加防”?網路安全保險瞭解一下
- 美國政府簽署網路安全行政令將全面加強網路安全建設
- 《網路安全審查辦法》釋出,你想知道的這裡都有!
- 《網路安全審查辦法》釋出、本田謳歌汽車受漏洞影響、谷歌收購SOAR安全公司|網路安全週報谷歌
- 騰訊安全:關於《加強工業網際網路安全工作的指導意見》解讀
- 中國企業如何應對網路安全
- 預告丨產業安全專家論壇之《資料安全法》下的企業資料安全建設產業
- 從《網路安全審查辦法》三版對比看“審查啟示”
- 浙江著力加強網路安全技術手段建設
- 提高人民媒介素養,加強網路安全建設
- 網際網路企業:如何建設資料安全體系?
- 強大的網路安全如何為企業增值?
- 10個企業網路安全建議,解決99%的網路安全問題
- Win 10 更新導致 C 盤檔案被刪;《網路安全審查辦法》出臺;Android 11 新增安全功能Android
- 企業網路安全的“人防”工事該如何建?
- 美創解讀|《資料安全法》實施,企業資料安全合規技術能力建設
- 兩法律一條例 | 綠盟安全專家解讀網路安全新風向
- 【網路安全】知名網路安全企業有哪些?
- 網際網路企業安全指南3.2 不同階段的安全建設重點
- 企業辦公wifi提高網路安全解決方案WiFi
- 網際網路企業安全高階指南讀書筆記之分階段的安全體系建設筆記
- 資料安全法下,企業如何平衡資料安全合規與業務效能?| 產業安全專家談產業
- 工業網際網路專題研討會|綠盟科技宮智:加強工業網際網路安全能力建設
- 國務院:全面加強網路安全和資料安全保護
- 資料安全法正式實施,如何構建企業資料安全能力
- 安全牛:2020中國網路安全企業100強
- 安全專家:Twitter安全性落後應採用雙重認證
- 國家網路安全產業園區落戶北京產業
- 探索企業安全建設進階路徑