關(guān)鍵信息基礎(chǔ)設(shè)施對(duì)國家安全、經(jīng)濟(jì)安全、社會(huì)穩(wěn)定、公眾健康和安全至關(guān)重要。我國建立網(wǎng)絡(luò)安全審查制度,目的是通過網(wǎng)絡(luò)安全審查這一舉措,及早發(fā)現(xiàn)并避免采購產(chǎn)品和服務(wù)給關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)行帶來風(fēng)險(xiǎn)和危害,保障關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全,維護(hù)國家安全。
隨著中國對(duì)網(wǎng)絡(luò)安全的重視程度不斷提升,如何守住網(wǎng)絡(luò)空間的"邊防"和"后院",保證相關(guān)領(lǐng)域采購的網(wǎng)絡(luò)產(chǎn)品和服務(wù)的安全性至關(guān)重要。而新出臺(tái)的《網(wǎng)絡(luò)安全審查辦法》(下文簡(jiǎn)稱:《辦法》),則為此提供了重要的制度保障和法律依據(jù)。在新《辦法》指導(dǎo)下,企業(yè)應(yīng)該如何貫徹落實(shí)、加強(qiáng)安全建設(shè),中間又有哪些重要的流程環(huán)節(jié)和關(guān)鍵問題需要注意?騰訊安全合規(guī)研究員、騰訊安全平臺(tái)部天幕團(tuán)隊(duì)Horseman將為廣大企業(yè)及安全相關(guān)領(lǐng)域從業(yè)者逐一解讀。
一、企業(yè)是否要嚴(yán)格貫徹落實(shí)《辦法》,如果不落實(shí)會(huì)有什么影響?
由于有上位法《國家安全法》、《網(wǎng)絡(luò)安全法》的支撐,因此《辦法》屬于強(qiáng)制執(zhí)行范疇,企業(yè)必須落實(shí),如若不貫徹實(shí)施則將影響運(yùn)營者的業(yè)務(wù)開展,相關(guān)負(fù)責(zé)人也將承擔(dān)相關(guān)法律責(zé)任。
二、企業(yè)網(wǎng)絡(luò)安全人員應(yīng)如何落實(shí)《辦法》要求?
(1)《辦法》第五條中提到:“應(yīng)當(dāng)預(yù)判該產(chǎn)品和服務(wù)投入使用后可能帶來的國家安全風(fēng)險(xiǎn)。影響或者可能影響國家安全的,應(yīng)當(dāng)向網(wǎng)絡(luò)安全審查辦公室申報(bào)網(wǎng)絡(luò)安全審查。”這里企業(yè)在進(jìn)行網(wǎng)絡(luò)安全審查時(shí)要提交什么材料?
運(yùn)營者要采購產(chǎn)品和服務(wù),首先要自證這些產(chǎn)品和服務(wù)(包括供應(yīng)商)是安全的,沒有潛在安全隱患,申報(bào)審查就是提交證據(jù),要提交哪些證據(jù)呢?
常規(guī)來看,一般包括:安全測(cè)試報(bào)告、風(fēng)險(xiǎn)評(píng)估報(bào)告、產(chǎn)品知識(shí)產(chǎn)權(quán)、廠商服務(wù)資質(zhì)、成功案例、產(chǎn)品POC報(bào)告等等。那么對(duì)于服務(wù),尤其包括外包服務(wù)(開發(fā)、運(yùn)維、安全等服務(wù)),可能就需要通過簽訂保密協(xié)議、賠償條款之類的合同?!掇k法》第七條有明確提交的文件名稱,當(dāng)然還有一些關(guān)鍵的輔助審查材料。
這是一個(gè)雙向的過程,關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者(下文簡(jiǎn)稱:甲方)要收集證據(jù),產(chǎn)品與服務(wù)供應(yīng)商(下文簡(jiǎn)稱:乙方)要提供證據(jù),雙方達(dá)成一致而后提交審查中心進(jìn)行評(píng)判。
《辦法》還建議關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)工作部門可以制定本行業(yè)、本領(lǐng)域預(yù)判指南。那么這條建議也相當(dāng)于成為了必選項(xiàng),一些關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營企業(yè)應(yīng)該都會(huì)去制定一份符合自己業(yè)務(wù)情況的指南。
(2)《辦法》第六條:“承諾不利用提供產(chǎn)品和服務(wù)的便利條件非法獲取用戶數(shù)據(jù)、非法控制和操縱用戶設(shè)備,無正當(dāng)理由不中斷產(chǎn)品供應(yīng)或必要的技術(shù)支持服務(wù)等。”這里的“承諾”應(yīng)如何理解和執(zhí)行?
這里分兩個(gè)層面來要求,一是個(gè)人信息保護(hù)工作和未授權(quán)操作用戶設(shè)備,對(duì)于供應(yīng)商來說要想好怎么自證你這塊是做得好的,就比如等保2.0中要求只可以采集必要個(gè)人信息,可以存放,但未經(jīng)授權(quán)不可以查看、使用、修改和刪除數(shù)據(jù),這點(diǎn)光靠說是沒用的,還是提供你實(shí)際是如何去做的證明;二是供應(yīng)方要和運(yùn)營方一起保證業(yè)務(wù)連續(xù)性,包括設(shè)備和技術(shù)支持兩方面的持續(xù)服務(wù)提供,比如乙方駐場(chǎng)同學(xué)和售后支持同學(xué)。
(3)《辦法》中提到的需要考慮的潛在的國家安全風(fēng)險(xiǎn)具體而言都有哪些?
后門、木馬、預(yù)植入芯片
這里其實(shí)主要是推廣可信計(jì)算、國產(chǎn)化技術(shù),別人的東西永遠(yuǎn)不如自己的安全。但也不是把國外產(chǎn)品和技術(shù)服務(wù)完全鎖在門外。國家考慮了一種均衡的開放的方式。中國是向世界開放的,并不是想通過《辦法》將國外廠商關(guān)在門外。在答記者問中,官方也明確表示對(duì)外開放是我們的基本國策,我們歡迎國外產(chǎn)品和服務(wù)進(jìn)入中國市場(chǎng)的政策沒有改變,但前提是必須要符合中國法律法規(guī)和部門規(guī)章。
供應(yīng)鏈安全
這也是《關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)基本要求》(征求意見稿)中首次提出的安全問題。關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者所采購的產(chǎn)品和服務(wù)本身,可能就是一個(gè)完整的系統(tǒng)。比方說一個(gè)軟件,它包含了很多的代碼,這些代碼軟系統(tǒng)中的不同功能會(huì)由不同的軟件承擔(dān),那么這些軟件有不同的廠商開發(fā),最終進(jìn)行一個(gè)總集成;硬件也是類似的情況。
供應(yīng)鏈中的每一個(gè)環(huán)節(jié),都可能蘊(yùn)含潛在的風(fēng)險(xiǎn)。當(dāng)某項(xiàng)產(chǎn)品或服務(wù)被采購、被運(yùn)用,并且部署到關(guān)鍵信息基礎(chǔ)設(shè)施之前,通過這樣一個(gè)國家網(wǎng)絡(luò)安全的審查,可以在很大限度上把供應(yīng)鏈風(fēng)險(xiǎn)降到最低,保證供應(yīng)來源多樣、渠道暢通可靠,采購的產(chǎn)品和服務(wù)更加安全、開放、透明。從這個(gè)意義上來說,有《辦法》作為支撐,網(wǎng)絡(luò)安全審查部門即可做到對(duì)供應(yīng)鏈的每個(gè)環(huán)節(jié)做到未雨綢繆、重點(diǎn)考量。
從國外的重大安全事件來看(Facebook的50億美元罰金事件),絕大多數(shù)都是因?yàn)榈谌叫孤睹舾行畔⑺斐傻模耆捎诩追阶陨碓蛩T成的重大安全事件只占極少數(shù)。因此可以考慮在業(yè)務(wù)連續(xù)性保障方面采用供應(yīng)鏈冗余,兩家或多家供應(yīng)商共同分擔(dān)責(zé)任,能互補(bǔ)能AB崗,這樣最好。至于供應(yīng)鏈安全,其實(shí)1家還是2家供應(yīng)商,企業(yè)的供應(yīng)鏈安全做起來并沒什么太大的區(qū)別(當(dāng)然如果企業(yè)對(duì)接8-9家甚至10家以上供應(yīng)商,這種情況另當(dāng)別論)。這里特別提醒,參見《辦法》第十六條,很多情況下是甲方和服務(wù)商一起突擊,時(shí)間緊的情況下去完成審查工作,這個(gè)過程中就容易出現(xiàn)紕漏,造成數(shù)據(jù)泄露等問題,應(yīng)引起關(guān)注。
供應(yīng)商的合規(guī)性
包括產(chǎn)品專利、知識(shí)產(chǎn)權(quán)、3C認(rèn)證,服務(wù)商的服務(wù)資質(zhì)、合規(guī)性認(rèn)證等。這里對(duì)于甲方其實(shí)也是一樣,比如公有云供應(yīng)商,那么對(duì)于云上租戶來說也是乙方,B2B的業(yè)務(wù)模式下,大家互為甲乙方。不過像騰訊云、AWS云這類的廠商應(yīng)該問題不大,主要問題可能會(huì)集中在一些中型或省級(jí)地市級(jí)的公有云平臺(tái)上。
其他因素
各類其他威脅和風(fēng)險(xiǎn)(參見前文主要風(fēng)險(xiǎn)因素)。
三、網(wǎng)絡(luò)安全審查的流程是怎么樣的,有哪些核心關(guān)鍵節(jié)點(diǎn)?
《辦法》的流程是在正常情況下的,如果遇到特殊情況可能會(huì)延期,而且補(bǔ)充材料的時(shí)間不計(jì)入辦理流程的工作日,因此也可能存在長(zhǎng)時(shí)間無法通過審查的情況。
申報(bào)節(jié)點(diǎn)通常是在合同簽署之前。若是合同簽署后,則需要雙方約定在合同中注明此合同須在產(chǎn)品和服務(wù)采購?fù)ㄟ^網(wǎng)絡(luò)安全審查后方可生效。
- 蜜度索驥:以跨模態(tài)檢索技術(shù)助力“企宣”向上生長(zhǎng)
- 為什么年輕人不愛換手機(jī)了
- 柔宇科技未履行金額近億元被曝已6個(gè)月發(fā)不出工資
- 柔宇科技被曝已6個(gè)月發(fā)不出工資 公司回應(yīng)欠薪有補(bǔ)償方案
- 第六座“綠動(dòng)未來”環(huán)保公益圖書館落地貴州山區(qū)小學(xué)
- 窺見“新紀(jì)元”,2021元宇宙產(chǎn)業(yè)發(fā)展高峰論壇“廣州啟幕”
- 以人為本,景悅科技解讀智慧城市發(fā)展新理念
- 紐迪瑞科技/NDT賦能黑鯊4 Pro游戲手機(jī)打造全新一代屏幕壓感
- 清潔家電新老玩家市場(chǎng)定位清晰,攜手共進(jìn),核心技術(shù)決定未來
- 新思科技與芯耀輝在IP產(chǎn)品領(lǐng)域達(dá)成戰(zhàn)略合作伙伴關(guān)系
- 芯耀輝加速全球化部署,任命原Intel高管出任全球總裁
免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。