安全專家解讀:《網路安全審查辦法》出臺,企業應如何落實加強安全建設?

騰訊安全發表於2020-04-29


關鍵資訊基礎設施對國家安全、經濟安全、社會穩定、公眾健康和安全至關重要。我國建立網路安全審查制度,目的是透過網路安全審查這一舉措,及早發現並避免採購產品和服務給關鍵資訊基礎設施執行帶來風險和危害,保障關鍵資訊基礎設施供應鏈安全,維護國家安全。


隨著中國對網路安全的重視程度不斷提升,如何守住網路空間的"邊防"和"後院",保證相關領域採購的網路產品和服務的安全性至關重要。而新出臺的《網路安全審查辦法》(下文簡稱:《辦法》),則為此提供了重要的制度保障和法律依據。在新《辦法》指導下,企業應該如何貫徹落實、加強安全建設,中間又有哪些重要的流程環節和關鍵問題需要注意?騰訊安全合規研究員、騰訊安全平臺部天幕團隊Horseman將為廣大企業及安全相關領域從業者逐一解讀。


一、企業是否要嚴格貫徹落實《辦法》,如果不落實會有什麼影響?


由於有上位法《國家安全法》、《網路安全法》的支撐,因此《辦法》屬於強制執行範疇,企業必須落實,如若不貫徹實施則將影響運營者的業務開展,相關負責人也將承擔相關法律責任。

二、企業網路安全人員應如何落實《辦法》要求?


(1)《辦法》第五條中提到:“應當預判該產品和服務投入使用後可能帶來的國家安全風險。影響或者可能影響國家安全的,應當向網路安全審查辦公室申報網路安全審查。”這裡企業在進行網路安全審查時要提交什麼材料?


運營者要採購產品和服務,首先要自證這些產品和服務(包括供應商)是安全的,沒有潛在安全隱患,申報審查就是提交證據,要提交哪些證據呢?


常規來看,一般包括:安全測試報告、風險評估報告、產品智慧財產權、廠商服務資質、成功案例、產品POC報告等等。那麼對於服務,尤其包括外包服務(開發、運維、安全等服務),可能就需要透過簽訂保密協議、賠償條款之類的合同。《辦法》第七條有明確提交的檔名稱,當然還有一些關鍵的輔助審查材料。


這是一個雙向的過程,關鍵資訊基礎設施運營者(下文簡稱:甲方)要收集證據,產品與服務供應商(下文簡稱:乙方)要提供證據,雙方達成一致而後提交審查中心進行評判。


《辦法》還建議關鍵資訊基礎設施保護工作部門可以制定本行業、本領域預判指南。那麼這條建議也相當於成為了必選項,一些關鍵資訊基礎設施運營企業應該都會去制定一份符合自己業務情況的指南。


(2)《辦法》第六條:“承諾不利用提供產品和服務的便利條件非法獲取使用者資料、非法控制和操縱使用者裝置,無正當理由不中斷產品供應或必要的技術支援服務等。”這裡的“承諾”應如何理解和執行?


這裡分兩個層面來要求,一是個人資訊保護工作和未授權操作使用者裝置,對於供應商來說要想好怎麼自證你這塊是做得好的,就比如等保2.0中要求只可以採集必要個人資訊,可以存放,但未經授權不可以檢視、使用、修改和刪除資料,這點光靠說是沒用的,還是提供你實際是如何去做的證明;二是供應方要和運營方一起保證業務連續性,包括裝置和技術支援兩方面的持續服務提供,比如乙方駐場同學和售後支援同學。


(3)《辦法》中提到的需要考慮的潛在的國家安全風險具體而言都有哪些?


  • 後門、木馬、預植入晶片

這裡其實主要是推廣可信計算、國產化技術,別人的東西永遠不如自己的安全。但也不是把國外產品和技術服務完全鎖在門外。國家考慮了一種均衡的開放的方式。中國是向世界開放的,並不是想透過《辦法》將國外廠商關在門外。在答記者問中,官方也明確表示對外開放是我們的基本國策,我們歡迎國外產品和服務進入中國市場的政策沒有改變,但前提是必須要符合中國法律法規和部門規章。


  • 供應鏈安全

這也是《關鍵資訊基礎設施網路安全保護基本要求》(徵求意見稿)中首次提出的安全問題。關鍵資訊基礎設施的運營者所採購的產品和服務本身,可能就是一個完整的系統。比方說一個軟體,它包含了很多的程式碼,這些程式碼軟系統中的不同功能會由不同的軟體承擔,那麼這些軟體有不同的廠商開發,最終進行一個總整合;硬體也是類似的情況。


供應鏈中的每一個環節,都可能蘊含潛在的風險。當某項產品或服務被採購、被運用,並且部署到關鍵資訊基礎設施之前,透過這樣一個國家網路安全的審查,可以在很大限度上把供應鏈風險降到最低,保證供應來源多樣、渠道暢通可靠,採購的產品和服務更加安全、開放、透明。從這個意義上來說,有《辦法》作為支撐,網路安全審查部門即可做到對供應鏈的每個環節做到未雨綢繆、重點考量。


從國外的重大安全事件來看(Facebook的50億美元罰金事件),絕大多數都是因為第三方洩露敏感資訊所造成的,完全由於甲方自身原因所鑄成的重大安全事件只佔極少數。因此可以考慮在業務連續性保障方面採用供應鏈冗餘,兩家或多家供應商共同分擔責任,能互補能AB崗,這樣最好。至於供應鏈安全,其實1家還是2家供應商,企業的供應鏈安全做起來並沒什麼太大的區別(當然如果企業對接8-9家甚至10家以上供應商,這種情況另當別論)。這裡特別提醒,參見《辦法》第十六條,很多情況下是甲方和服務商一起突擊,時間緊的情況下去完成審查工作,這個過程中就容易出現紕漏,造成資料洩露等問題,應引起關注。


  • 供應商的合規性

包括產品專利、智慧財產權、3C認證,服務商的服務資質、合規性認證等。這裡對於甲方其實也是一樣,比如公有云供應商,那麼對於雲上租戶來說也是乙方,B2B的業務模式下,大家互為甲乙方。不過像騰訊雲、AWS雲這類的廠商應該問題不大,主要問題可能會集中在一些中型或省級地市級的公有云平臺上。


  • 其他因素

各類其他威脅和風險(參見前文主要風險因素)。


三、網路安全審查的流程是怎麼樣的,有哪些核心關鍵節點?

安全專家解讀:《網路安全審查辦法》出臺,企業應如何落實加強安全建設?

《辦法》的流程是在正常情況下的,如果遇到特殊情況可能會延期,而且補充材料的時間不計入辦理流程的工作日,因此也可能存在長時間無法透過審查的情況。


申報節點通常是在合同簽署之前。若是合同簽署後,則需要雙方約定在合同中註明此合同須在產品和服務採購透過網路安全審查後方可生效。

相關文章