Sec Hotspot 首页  排行榜  收藏本站  技术博客  RSS
统计信息
已收录文章数量:17755 篇
已收录公众号数量:91 个
本站文章为爬虫采集,如有侵权请告知
已收录微信公众号
阿里云先知 网安寻路人 网信中国 区块链大本营 白说区块链 区块链投资家 区块链官微 区块链铅笔Blockchain HACK学习呀 二道情报贩子 合天智汇 小白帽学习之路 小米安全中心 弥天安全实验室 SAINTSEC SecPulse安全脉搏 TideSec安全团队 360安全卫士 游侠安全网 计算机与网络安全 安全祖师爷 安全学习那些事 腾讯安全联合实验室 黑客技术与网络安全 安全圈 腾讯御见威胁情报中心 Python开发者 Python之禅 编程派 Python那些事 Python程序员 安全威胁情报 吾爱破解论坛 行长叠报 安在 i春秋 嘶吼专业版 E安全 MottoIN 网信防务 网安杂谈 数说安全 互联网安全内参 漏洞战争 安全分析与研究 邑安全 ChaMd5安全团队 天融信阿尔法实验室 安全牛 SecWiki 安全学术圈 信安之路 漏洞感知 浅黑科技 Secquan圈子社区 奇安信集团 奇安信 CERT 国舜股份 雷神众测 盘古实验室 美团安全应急响应中心 瓜子安全应急响应中心 顺丰安全应急响应中心 蚂蚁金服安全响应中心 携程安全应急响应中心 滴滴安全应急响应中心 字节跳动安全中心 百度安全应急响应中心 腾讯安全应急响应中心 网易安全应急响应中心 OPPO安全应急响应中心 京东安全应急响应中心 Bypass CNNVD安全动态 安恒应急响应中心 天融信每日安全简报 奇安信威胁情报中心 看雪学院 黑白之道 水滴安全实验室 安全客 木星安全实验室 云鼎实验室 绿盟科技安全预警 白帽汇 深信服千里目安全实验室 腾讯玄武实验室 长亭安全课堂 FreeBuf 绿盟科技 nmask
读懂《网络安全审查办法》,绿盟科技帮你划重点
本文来自公众号:绿盟科技   2020.11.03 16:56:57


自2020年6月1日起,《网络安全审查办法》(以下简称《办法》)正式施行。从法律效力上看,《办法》是部门规章,是从属于《网络安全法》的下位法,与其他相关法规制度共同服务于构建网络安全保障体系。

No.1

背景简述:“卡脖子”之痛

《办法》的发布实施,从背景来看最主要就是解决国家关键信息基础设施供应链安全的需求和痛点。多年前,有学者用“玻璃龙”来形容我国的网络设施的状况,现在来看仍然部分适用。受限于我国电子信息和软件产业发展起步晚等现实条件,我国信息基础设施建设长久以来存在基础供应保障不足、网络和信息安全潜在风险隐患大等突出问题,而这些问题更加突出的集中体现到关键信息基础设施上,安全亟待全面加强。关键信息基础设施安全风险归纳来看,主要有三类,即:系统完整性风险、业务连续性风险、供应可持续性风险。



_

系统完整性风险,主要是指关键信息基础设施被非法控制、遭受干扰或破坏,以及重要数据的完整性风险;


_

业务连续性风险,主要是指因突发事件、不当竞争、国际因素等而发生的业务系统运行和服务中断的风险;


_

供应可持续性风险,主要是指关键信息基础设施所赖以运行的关键技术产品和服务受多种因素影响而发生的断供风险。

这三类风险不能代表全部的风险,但却是我国关键信息基础设施正常运行的“卡脖子”问题。因此亟待出台专门法规,通过管理提升与约束,加以预防、直至消除风险。


No.2

内容的演进:六大变化透视四个趋势

《办法》的前身是《网络产品和服务安全审查办法(试行)》(以下简称《试行办法》)。《试行办法》自2017年6月1日起实施,截至新法生效刚好满三年。尽管名称有所不同,但两部规章立足点均为加强对采购网络产品和服务行为的监管。


从具体内容来看,区别主要如下表所示:


从这六个方面具体内容的变化,我们可以看出网络安全审查工作关注点的变化和趋势,以下概括为“四个注重”。


一是注重审查对象的聚焦。 从以前的“关系国家安全的网络和信息系统采购的重要网络产品和服务”,聚焦到“关键信息基础设施运营者采购网络产品和服务,影响或可能影响国家安全的”。对于采购行为主体的限定,很大程度上反映了管理者突出和强化安全防护重点的思路,即:适度安全。这一思路也可以理解为习总书记“整体国家安全观”中,关于安全和发展关系理论在网络安全审查工作中的具体体现。通过网络安全审查工作,在加强供应链安全管理的同时,更加注重效率的提升,注重以安全促发展,与《办法》所秉承的“促进先进技术应用”等原则一脉相承。


二是注重审查工作权威性。 这一点从审查主体的演变上反映的较为明显。《试行办法》施行期间由网络安全审查委员会及其办公室具体组织网络安全审查,《办法》发布后,审查主体仍为网络安全审查委员会及其办公室,但管理体系更加明确,即:“中央网信委统一领导网络安全审查工作,由国家网络安全审查办公室会同11个国务院组成部门和直属机构共同建立网络安全审查工作机制”。可见,在审查管理体系更加完善的同时,网络安全审查工作的重要性也得到空前凸显,定位于党和国家为强化网络安全保障体系而开展的一项具有重大战略工作。


三是注重审查工作可操作性。 这集中反映在审查方式的变化上。将网络安全审查的具体组织工作授权中国网络安全审查技术与认证中心来实施,体现了“专业的人做专业的事”这一分工思想。一方面,可以将国家相关职能部门从巨大的工作量中解脱出来,更专注于政策、标准和规划等宏观管理工作;另一方面,也能够加快推进网络安全审查工作的专业化、规范化进程,进而提高我国网络安全审查工作的水平和能力。


四是注重审查工作的实效。 这一特点和趋势可以从网络安全发展的实际需求以及时代背景的演变两个角度来分析。《办法》在网络安全审查结果的运用方面,有一个较为明显的变化,即审查结果的发布范围更加限定在特定范围,更加注重审查结果与审查对象的相关性。换句话说,就是审查结果不再是“通报”而是“通知”。一字之差,其背后反映了我们的网络安全审查管理思路兼顾了国际、国内两大背景。从国内来看就是解决现实的网络安全风险,直接“对症下药”,而不是仅停留在技术宣示层面;从国际来看,强化自身关键信息基础设施的安全是各主权国家通行的做法,我们无需、也没有必要刻意回应某些国家的旁敲侧击,“发展才是硬道理”。


No.3

主要内容回顾:五个重点+二类流程

《办法》对于网络安全审查工作的重点内容和主要流程做出了相比之前更加明晰具体的规定。在此仅从审查对象、审查重点和审查流程三个方面作简要回顾。


一是审查对象。 《办法》第二条明确规定了“关键信息基础设施运营者采购网络产品和服务,影响或可能影响国家安全的,应当按照本办法进行网络安全审查”。即,审查对象是“采购网络产品和服务”的行为,而这一行为需加以严格限定,即主体是“关键信息基础设施运营者”,条件是“影响或可能影响国家安全”。


二是审查重点。 《办法》第九条明确规定了五个方面的审查重点(具体内容见下图)。可以归纳为“四性”,即关键信息基础设施系统完整性、关键信息基础设施业务连续性、关键信息基础设施供应可持续性、关键信息基础设施供应者守法合规性。

图片来自网络


三是审查程序。 《办法》第六条至第十五条,按照启动程序主体的不同,规定了网络安全审查的两类程序。这种审查程序的设计,充分考虑了网络安全审查中不同安全发现机制的差异,并通过设置特别程序机制,对网络安全审查的审慎性给出了制度保障。具体流程如下图所示。

图片来自网络

No.4

影响分析:企业当自强

《办法》的生效实施,将对我们当前社会发展的诸多方面产生不同影响。以下从国家、行业、企业三个层面加以分析。


国家层面

《办法》的发布实施,在国家层面将产生两方面的积极影响。


一是为我们信守的互联网发展“四项原则”、“五点主张”增加有力注脚、注入新的活力。《办法》规定了要审查的内容,从具体内容中可以明确看出,网络安全审查的目的是维护国家网络安全,而不是要限制或歧视国外产品和服务,这是对某些强权国家长久以来诋毁能事的有力回击。


二是为加强和健全我国网络安全保障体系添砖加瓦,《办法》的出台将弥补我国在关键信息基础设施供应链安全方面的短板,并势将成为构筑网信供应链安全体系的重要基石。


行业层面

从网信行业的整体层面来看,《办法》最大的影响就是如何贯彻实施,要首先搞清两个合规前提。


一是要搞清作为需求侧的“关键信息基础设施”的范围。从目前的相关法规和规定来看,对关键信息基础设施范围规定最明确的是《关于键信息基础设施安全保护工作有关事项的通知》(中央网信息委):“电信、广播电视、能源、金融、公路水路运输、铁路、民航、邮政、水利、应急管理、卫生健康、社会保障、国防科技工业等行业领域”。当然,这一范围将随着《关键信息基础设施保护条例》的最终定稿和实施,未来会有更加清晰。


二是要搞清作为供给侧的“网络产品和服务”的范畴。《办法》在第20条规定了“核心网络设备、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务,以及其他对关键信息基础设施安全有重要影响的网络产品和服务”,其中的“网络安全设备”可做广义的理解,即《网络安全法》第23条所规定的“网络关键设备和网络安全专用产品”。《网络关键设备和网络安全专用产品目录(第一批)》(2017年6月,国家网信办会同工信部、公安部、国家认监委发布)对于产品门类进行了细分:包括路由器、交换机、服务器(机架式)、PLC设备4种网络关键设备,以及数据备份一体机、防火墙、入侵检测系统等11种网络安全专用产品。需要尤其注意的一点就是,纳入目录的产品必须要依据相关强制标准通过安全认证或者安全检测符合要求后,才可进入市场。


企业层面(供应商)

对于网络产品和服务供应商而言,《办法》实施带来的影响是多方面,我们这里将从合同的签署周期的角度,归纳为三个方面。


一是合同签署前,《办法》规定了关键信息基础设施运营者要“预判”采购的安全风险,就具体的预判工作而言,或许对供应商是个新商机。供应商可以充分发挥自身在安全风险评估方面的能力,促进产品和服务销售达成,也可以将安全风险评估能力作为独立的产品服务模块推出。


二是合同签署过程中,根据国家网信办在《办法》答记者问时的答复,安全审查是否通过,是采购合同生效与否的前置条件。这样一来,就会对合同的签署带来至少两种可能性:一个是合同签署前的投入存在归零风险, 另一个是合同签署时间迟延可能影响交付义务履行。


三是在合同签署后的履约阶段,《办法》规定运营者应当督促产品和服务提供者履行网络安全审查中作出的承诺、并规定了网络安全审查办公室加强事前事中事后监督的职责。由此可以看到,供应商在履约过程中,存在至少来自两方面的监管:来自关键信息基础设施运营者的监管、来自主管部门的监管,第一种监管是直接监管,即监管本身就是履行协议内容或者协议的前提条件,第二种监管是间接监管,即是主管部门对运营者监管责任的向下传递,这两种监管都会对供应商带来切实的影响和风险。


《办法》的正式生效实施,无疑将成为我国网络安全管理工作的一个新的里程碑,无论是管理者、运营者都会面临发展变革。在这种背景下,作为最基础保障支撑力量的网络安全企业,如何借此契机,在大潮中谋求更大发展,值得我们深入探讨和持续研究。