关键信息基础设施对国家安全、经济安全、社会稳定、公众健康和安全至关重要。我国建立网络安全审查制度,目的是通过网络安全审查这一举措,及早发现并避免采购产品和服务给关键信息基础设施运行带来风险和危害,保障关键信息基础设施供应链安全,维护国家安全。
随着中国对网络安全的重视程度不断提升,如何守住网络空间的"边防"和"后院",保证相关领域采购的网络产品和服务的安全性至关重要。而新出台的《网络安全审查办法》(下文简称:《办法》),则为此提供了重要的制度保障和法律依据。在新《办法》指导下,企业应该如何贯彻落实、加强安全建设,中间又有哪些重要的流程环节和关键问题需要注意?腾讯安全合规研究员、腾讯安全平台部天幕团队Horseman将为广大企业及安全相关领域从业者逐一解读。
一、企业是否要严格贯彻落实《办法》,如果不落实会有什么影响?
由于有上位法《国家安全法》、《网络安全法》的支撑,因此《办法》属于强制执行范畴,企业必须落实,如若不贯彻实施则将影响运营者的业务开展,相关负责人也将承担相关法律责任。
二、企业网络安全人员应如何落实《办法》要求?
(1)《办法》第五条中提到:“应当预判该产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的,应当向网络安全审查办公室申报网络安全审查。”这里企业在进行网络安全审查时要提交什么材料?
运营者要采购产品和服务,首先要自证这些产品和服务(包括供应商)是安全的,没有潜在安全隐患,申报审查就是提交证据,要提交哪些证据呢?
常规来看,一般包括:安全测试报告、风险评估报告、产品知识产权、厂商服务资质、成功案例、产品POC报告等等。那么对于服务,尤其包括外包服务(开发、运维、安全等服务),可能就需要通过签订保密协议、赔偿条款之类的合同。《办法》第七条有明确提交的文件名称,当然还有一些关键的辅助审查材料。
这是一个双向的过程,关键信息基础设施运营者(下文简称:甲方)要收集证据,产品与服务供应商(下文简称:乙方)要提供证据,双方达成一致而后提交审查中心进行评判。
《办法》还建议关键信息基础设施保护工作部门可以制定本行业、本领域预判指南。那么这条建议也相当于成为了必选项,一些关键信息基础设施运营企业应该都会去制定一份符合自己业务情况的指南。
(2)《办法》第六条:“承诺不利用提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备,无正当理由不中断产品供应或必要的技术支持服务等。”这里的“承诺”应如何理解和执行?
这里分两个层面来要求,一是个人信息保护工作和未授权操作用户设备,对于供应商来说要想好怎么自证你这块是做得好的,就比如等保2.0中要求只可以采集必要个人信息,可以存放,但未经授权不可以查看、使用、修改和删除数据,这点光靠说是没用的,还是提供你实际是如何去做的证明;二是供应方要和运营方一起保证业务连续性,包括设备和技术支持两方面的持续服务提供,比如乙方驻场同学和售后支持同学。
(3)《办法》中提到的需要考虑的潜在的国家安全风险具体而言都有哪些?
后门、木马、预植入芯片
这里其实主要是推广可信计算、国产化技术,别人的东西永远不如自己的安全。但也不是把国外产品和技术服务完全锁在门外。国家考虑了一种均衡的开放的方式。中国是向世界开放的,并不是想通过《办法》将国外厂商关在门外。在答记者问中,官方也明确表示对外开放是我们的基本国策,我们欢迎国外产品和服务进入中国市场的政策没有改变,但前提是必须要符合中国法律法规和部门规章。
供应链安全
这也是《关键信息基础设施网络安全保护基本要求》(征求意见稿)中首次提出的安全问题。关键信息基础设施的运营者所采购的产品和服务本身,可能就是一个完整的系统。比方说一个软件,它包含了很多的代码,这些代码软系统中的不同功能会由不同的软件承担,那么这些软件有不同的厂商开发,最终进行一个总集成;硬件也是类似的情况。
供应链中的每一个环节,都可能蕴含潜在的风险。当某项产品或服务被采购、被运用,并且部署到关键信息基础设施之前,通过这样一个国家网络安全的审查,可以在很大限度上把供应链风险降到最低,保证供应来源多样、渠道畅通可靠,采购的产品和服务更加安全、开放、透明。从这个意义上来说,有《办法》作为支撑,网络安全审查部门即可做到对供应链的每个环节做到未雨绸缪、重点考量。
从国外的重大安全事件来看(Facebook的50亿美元罚金事件),绝大多数都是因为第三方泄露敏感信息所造成的,完全由于甲方自身原因所铸成的重大安全事件只占极少数。因此可以考虑在业务连续性保障方面采用供应链冗余,两家或多家供应商共同分担责任,能互补能AB岗,这样最好。至于供应链安全,其实1家还是2家供应商,企业的供应链安全做起来并没什么太大的区别(当然如果企业对接8-9家甚至10家以上供应商,这种情况另当别论)。这里特别提醒,参见《办法》第十六条,很多情况下是甲方和服务商一起突击,时间紧的情况下去完成审查工作,这个过程中就容易出现纰漏,造成数据泄露等问题,应引起关注。
供应商的合规性
包括产品专利、知识产权、3C认证,服务商的服务资质、合规性认证等。这里对于甲方其实也是一样,比如公有云供应商,那么对于云上租户来说也是乙方,B2B的业务模式下,大家互为甲乙方。不过像腾讯云、AWS云这类的厂商应该问题不大,主要问题可能会集中在一些中型或省级地市级的公有云平台上。
其他因素
各类其他威胁和风险(参见前文主要风险因素)。
三、网络安全审查的流程是怎么样的,有哪些核心关键节点?
《办法》的流程是在正常情况下的,如果遇到特殊情况可能会延期,而且补充材料的时间不计入办理流程的工作日,因此也可能存在长时间无法通过审查的情况。
申报节点通常是在合同签署之前。若是合同签署后,则需要双方约定在合同中注明此合同须在产品和服务采购通过网络安全审查后方可生效。
评论 {{userinfo.comments}}
{{child.content}}
{{question.question}}
提交