首页 » 安全观察 » 正文

重磅 | 网络安全强制审查落地,今年6月1日起实施!

昨日,国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、国家安全部、财政部、商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、国家保密局、国家密码管理局联合发布了《网络安全审查办法》(以下简称“《办法》”),该《办法》于2020年6月1日正式施行,《网络产品和服务安全审查办法(试行)》同时废止。

一图看懂《网络安全审查办法》

根据《办法》,关键信息基础设施运营者采购网络产品和服务,影响或可能影响国家安全的,应当按照本《办法》进行网络安全审查。网络安全审查坚持防范网络安全风险与促进先进技术应用相结合、过程公正透明与知识产权保护相结合、事前审查与持续监管相结合、企业承诺与社会监督相结合,从产品和服务安全性、可能带来的国家安全风险等方面进行审查。

关键点  CII安全,即关键信息基础设施安全,属于国家安全的一部分,《审查办法》的目标是供应链安全。”


《办法》明确,在中央网络安全和信息化委员会领导下,国家互联网信息办公室会同国家发展和改革委员会、工业和信息化部、公安部、国家安全部、财政部、商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、国家保密局、国家密码管理局建立国家网络安全审查工作机制。网络安全审查办公室设在国家互联网信息办公室,负责制定网络安全审查相关制度规范,组织网络安全审查。

关键点  审查工作的主体机构设在网信办。”


《办法》指出,运营者采购网络产品和服务的,应当预判该产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的,应当向网络安全审查办公室申报网络安全审查。关键信息基础设施保护工作部门可以制定本行业、本领域预判指南。网络安全审查重点评估采购网络产品和服务可能带来的国家安全风险,主要考虑以下因素:产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏,以及重要数据被窃取、泄露、毁损的风险;产品和服务供应中断对关键信息基础设施业务连续性的危害;产品和服务的安全性、开放性、透明性,来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险;产品和服务提供者遵守中国法律、行政法规、部门规章情况;其他可能危害关键信息基础设施安全和国家安全的因素。

关键点  审查强调了对业务连续性、政治、外资、经济、法规等方面的风险,而不仅仅是网络安全和数据安全。过去的安全是事件和威胁驱动的,但供应链则是从风险的角度驱动安全,意味着在战略的高度上前进了一大步,意义重大。”


《办法》中关键信息基础设施运营者是指经关键信息基础设施保护工作部门认定的运营者。《办法》所称网络产品和服务主要指核心网络设备、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务,以及其他对关键信息基础设施安全有重要影响的网络产品和服务。

具体申报流程图 | 审查包括初步审查和特别审查(如需要)两个阶段

关键信息基础设施安全保障关乎国家安全的战略优先事项,也是我国网络安全工作的重中之重。

从全球来看,开展网络安全审查成为各国防范关键基础设施安全风险的通用做法。

近年来,全球范围内针对关键信息基础设施的网络攻击行为不断攀升,涉及金融、医疗卫生、交通、能源、工业控制等领域,影响范围广泛、程度严重。2019年2月,全球知名安全企业赛门铁克发布报告称,2018年全球供应链网络攻击暴增78%,且2019年仍在持续扩大增长。这类攻击瞄准和利用第三方产品的安全漏洞或脆弱环节,通过入侵和感染联网设备、重要系统,造成设备破坏、系统崩溃、敏感数据丢失等后果,以实现对关键信息基础设施的破坏性打击。美国工控安全厂商Dragos发布报告称,北美电力、石油、天然气等能源基础设施部门都处于威胁之中,针对设备制造商、第三方服务提供商等的供应链攻陷成为主要攻击手段。

为加强对关键信息基础设施和重要信息系统的保护,确保信息产品和服务安全性,美国、英国、德国、澳大利亚、俄罗斯等国已纷纷建立网络安全审查制度。通过开展网络安全审查,预判和检查产品及服务投入使用后可能带来的网络安全风险,防范因供应链产品安全漏洞引发的安全事件,从源头上消除安全隐患。具体措施包括设立审查机构、完善法律法规、制定评估标准、开展第三方认证等,对于关键产品例如政府机构、交通、电力等领域的产品,从技术构成、安全性能、配套服务、交付方法等方面开展全面审查,排查安全风险和漏洞,降低安全隐患可能带来的风险。

对我国而言,《网络安全审查办法》是强化关键信息基础设施安全防护的适时之举。

伴随5G、工业互联网、大数据中心、云计算等新一代数字基础设施规模化建设和应用,越来越多重要信息系统将承载与国家安全和经济发展密切相关的核心业务和海量数据,但目前关键领域系统设备的网络安全状况仍有待改善。有关机构针对国内主流电力厂商的产品摸底测试发现,涉及28个厂商、70余个型号的产品中均发现了中高危漏洞,可能造成服务中断、信息泄露等。国家工业信息安全发展研究中心调查发现,很多知名工控厂商提供的设备中存在安全漏洞,其中中高危漏洞占较大比例,一旦被攻击入侵,将可能造成生产停滞、断水断电、重大经济损失等后果。

面对日益严峻的网络安全形势,开展严格的安全审查防堵安全漏洞和隐患,是现阶段防范安全风险的适时之举。此次,多部门联合出台《网络安全审查办法》,一是明确和细化了我国网络安全审查的具体要求,为关键信息基础设施运营者申报审查提供了指引。二是构建起了多部门协同配合的组织体系,为关键系统设备上线运行及服务采购设立了严格的安全门槛。三是建立了网络安全产品和服务安全风险预判机制,从识别威胁、化解风险的角度,推动安全关口前移,强化供应链安全风险管控,提升网络安全保障水平。

可以说,《网络安全审查办法》的发布实施,将为我国关键信息基础设施的持续稳定运行筑起一道安全底线,将在维护国家安全、经济发展和社会稳定方面持续发挥关键作用。

发表评论