近日《网络安全审查办法》刷遍安全圈,为何如此被各大厂商争相转载。那么《办法》与我们信安从业者又有何相关?
关键信息基础设施对国家安全、经济安全、社会稳定、公众健康和安全至关重要。我国建立网络安全审查制度,目的是通过网络安全审查这一举措,及早发现并避免采购产品和服务给关键信息基础设施运行带来风险和危害,保障关键信息基础设施供应链安全,维护国家安全。
随着中国对网络安全的重视程度不断提升,如何守住网络空间的”边防”和”后院”,保证相关领域采购的网络产品和服务的安全性至关重要。而新出台的《网络安全审查办法》,则为此提供了重要的制度保障和法律依据。
2020.4.13日正式颁布
2020.6.1日正式施行
网络安全审查办公室设在国家互联网信息办公室,负责制定网络安全审查相关制度规范,组织网络安全审查。
中国网络安全审查技术与认证中心(CCRC/ISCCC)在网络安全审查办公室的指导下,承担接收申报材料、对申报材料进行形式审查、具体组织审查工作等任务。
《国家安全法》、《网络安全法》。因此《办法》属于强制执行范畴。
过程公正透明、事前审查事后持续监督、企业社会共同监督。事前,强化网络安全的前置审查;事中,强化自身的防御和监控能力;事后,一旦出现问题,除了管控之外,还要进行溯源和追责,通过这三个阶段的共同防御,把风险降到最低。
电信、广播电视、能源、金融、公路水路运输、铁路、民航、邮政、水利、应急管理、卫生健康、社会保障、国防科技工业等行业领域的重要网络和信息系统运营者。
关键信息基础设施(之前被认定为关基的,等级保护评为4级系统的)运营者采购的产品和服务。包括:核心网络设备(路由器、交换机、VPN设备、网闸、前置机等)、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备(防火墙、IDPS、UTM、WAF、上网行为管理、EDR等)、云计算服务(虚拟机、虚拟存储、容器等),以及其他对关键信息基础设施安全有重要影响的网络产品和服务。(《办法》 第二十条)
产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏,以及重要数据被窃取、泄露、毁损的风险;产品和服务供应中断对关键信息基础设施业务连续性的危害;产品和服务的安全性、开放性、透明性,来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险;产品和服务提供者遵守中国法律、行政法规、部门规章情况;其他可能危害关键信息基础设施安全和国家安全的因素。
上述行业省(包括省会城市)级公司的IT部门、安全部门、运维部门、包括总监、负责人、CIO、CISO等人员,以及产品供应商、服务供应商的所有项目组成员(包括驻场和外包人员)。
《办法》第五条 应当预判该产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的,应当向网络安全审查办公室申报网络安全审查。
运营者采购产品和服务,首先要自证这些产品和服务(包括供应商)是安全的,没有潜在安全隐患,申报审查就是提交证据,要提交哪些证据呢?常规来看,一般包括:安全测试报告、风险评估报告、产品知识产权、厂商服务资质、成功案例、产品POC报告等等。那么对于服务,尤其是外包服务(开发、运维、安全等服务),可能就需要通过签订保密协议、赔偿条款之类的合同。《办法》第七条有明确提交的文件名称,当然还有一些关键的辅助审查材料。
这是一个双向的过程,甲方要收集证据,乙方要提供证据,双方达成一致而后提交审查中心进行评判。
《办法》还建议关键信息基础设施保护工作部门可以制定本行业、本领域预判指南。这条建议可能会成为必选项,一些关键信息基础设施运营企业应该都会制定一份符合自己业务情况的指南。不过按以往的经验来看,多数会有外包的服务商来编写,运营方进行监督审阅。
《办法》第六条 承诺不利用提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备,无正当理由不中断产品供应或必要的技术支持服务等。
这里分两个层面来要求,一是个人信息保护工作和未授权操作用户设备,对于供应商来说要想好怎么自证你这块是做得好的,就比如等保2.0中要求只可以采集必要个人信息,可以存放,但未经授权不可以查看、使用、修改和删除数据,这点光靠说是没用的,还是提供你实际是如何去做的证明;二是供应方要和运营方一起保证业务连续性,包括设备和技术支持两方面的持续服务提供,比如乙方驻场同学和售后支持同学。
《办法》第九条 给出了需要考虑的潜在的国家安全风险,这里汇总一下:
这里其实主要是推广可信计算、国产化技术,别人的东西永远不如自己的安全。但也不是把国外产品和技术服务完全锁在门外。国家考虑了一种均衡的开放的方式。中国是向世界开放的,并不是想通过《办法》将国外厂商关在门外。在答记者问中,官方也明确表示对外开放是我们的基本国策,我们欢迎国外产品和服务进入中国市场的政策没有改变,但前提是必须要符合中国法律法规和部门规章,这就需要产品厂商来“自证清白”。
这也是《关键信息基础设施网络安全保护基本要求》(征求意见稿)中首次提出的安全问题。关键信息基础设施的运营者所采购的产品和服务本身,可能就是一个完整的系统。比方说一个软件,它包含了很多的代码,这些代码软系统中的不同功能会由不同的软件承担,那么这些软件有不同的厂商开发,最终进行一个总集成;硬件也是类似的情况。
供应链中的每一个环节,都可能蕴含潜在的风险。当某项产品或服务被采购、被运用,并且部署到关键信息基础设施之前,通过这样一个国家网络安全的审查,可以在很大限度上把供应链风险降到最低,保证供应来源多样、渠道畅通可靠,采购的产品和服务更加安全、开放、透明。从这个意义上来说,有《办法》作为支撑,网络安全审查部门即可做到对供应链的每个环节做到未雨绸缪、重点考量。比如去年华为因为政治、外交、贸易等因素,遭遇供应中断的损失和危害,或许可以降到最低。
从国外的重大安全事件来看(Facebook的50亿美元罚金事件),绝大多数都是因为第三方泄露敏感信息所造成的,完全由于甲方自身原因所铸成的重大安全事件只占极少数。因此可以考虑在业务连续性保障方面采用供应链冗余,两家或多家供应商共同分担责任,能互补能AB岗,这样最好。至于供应链安全,其实1家还是2家供应商,你的供应链安全做起来并没什么太大的区别(当然如果企业对接8-9家甚至10家以上供应商,这种情况另当别论)。这里特别提醒,参见《办法》第十六条,很多情况下是甲方和服务商一起突击,时间紧的情况下去完成审查工作,这个过程中就容易出现纰漏,造成数据泄露等问题,应引起关注。
包括产品专利、知识产权、3C认证,服务商的服务资质、合规性认证等。这里对于甲方其实也是一样,比如公有云供应商,那么对于云上租户来说你也是乙方,B2B的业务模式下,大家互为甲乙方。不过像阿里云、腾讯云、AWS这类的厂商应该问题不大,主要问题可能会集中在一些中型或省级地市级的公有云平台上。
各类其他威胁和风险(参见前文主要风险因素)。
《办法》第十九条 违法处罚条款参照《中华人民共和国网络安全法》第六十五条:
“应当申报网络安全审查而没有申报的,或者使用网络安全审查未通过的产品和服务,由有关主管部门责令停止使用,处采购金额一倍以上十倍以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。”
这里的流程是在正常情况下的,如果遇到特殊情况可能会延期,而且补充材料的时间不计入办理流程的工作日,因此也存在长时间无法通过审查的情况。
通常是在合同签署之前。若是合同签署后,则需要双方约定在合同中注明此合同须在产品和服务采购通过网络安全审查后方可生效。