2020年4月27日,国家网信办、发改委等12个部门联合发布了《网络安全审查办法》(以下简称《办法》),《办法》于2020年6月1日起正式实施。
通览全文,《办法》明确了主要适用主体--关键信息基础设施运营者,从《办法》第一条规定中便可明显看出。此外,《办法》中还规定了另一个间接义务主体--产品和服务提供者。
工业网络安全企业作为传统的网络产品和服务提供商,如何适用《网络安全审查办法》?北京天地和兴科技有限公司(以下简称“天地和兴”)认为可以从以下几点来考虑。
一、办法第六条规定:对于申报网络安全审查的采购活动,运营者应通过采购文件、协议等要求产品和服务提供者配合网络安全审查,包括承诺不利用提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备,无正当理由不中断产品供应或必要的技术支持服务等。
该点其实在《办法》的征求意见稿中第七条也有所体现,但意见稿中仅规定了供应商具有配合审查的义务,并未详细说明义务的具体内容。而在《办法》中,对于网络产品和服务供应商应配合审查义务进行了细化,对供应商应做出的承诺内容进行了明确的规定。
作为网络产品和服务供应商,工业网络安全厂商应主动在与运营商签订采购文件、协议中增加相应条款,说明自身企业产品确定已得到相关第三方机构的安全检测认证证书,以方便关键信息基础设施运营机构运营者了解已采购的产品安全性,在需要申报网络安全审查时,方便提供相关材料。同时,为了更好地保护供应商相关产品的知识产权和商业机密,建议与运营商签订合同条款中加入必要的知识产权和商业机密保护机制,从而避免因安全审查造成产权和机密外泄进而产生不必要的损失。
二、办法第七条规定:运营者申报网络安全审查,应当提交以下材料:
(一)申报书;
(二)关于影响或可能影响国家安全的分析报告;
(三)采购文件、协议、拟签订的合同等;
(四)网络安全审查工作需要的其他材料。
此条办法规定,与关键信息基础设施运营机构合作的工业网络安全企业售卖的产品,只有按照相关国家标准的强制性要求,取得安全认证或者安全检测且符合要求后,方可进行销售。运营商在采购此类产品,启动安全审查时需要《办法》中明确规定的影响或可能影响国家安全的分析报告。
工业网络安全厂商提供产品安全性测试认证报告作为分析报告材料的部分支撑基础,将进一步推动安全审查实施和双方合作进程。而安全性测试认证或许可参考中国网络安全审查技术与认证中心的网络关键设备和网络安全专用产品安全认证或国家信息安全产品认证等,也更加说明了前文中提到的在合同中进行相应产品安全性承诺的必要性。
三、办法第九条有如下规定:网络安全审查重点评估采购网络产品和服务可能带来的国家安全风险,主要考虑以下因素:
(一)产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏,以及重要数据被窃取、泄露、毁损的风险;
(二)产品和服务供应中断对关键信息基础设施业务连续性的危害;
(三)产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险;
(四)产品和服务提供者遵守中国法律、行政法规、部门规章情况;
(五)其他可能危害关键基础设施安全和国家安全的因素。
《办法》第九条对于可能影响国家安全的因素做出了详细描述,总结为供应链安全问题,这与本《办法》第一条相互呼应,道出了制定《办法》的目的在于确保关键信息基础设施供应链安全,从而维护国家安全。从供应链安全的角度而言,网络产品和服务的采购对于关键信息基础设施的运行带来不同层面的影响,包括可能导致关键信息基础设施被非法控制、重要信息泄露、产品组件遭遇中断威胁等。尤其是产品组件断供威胁,它不仅是关键信息基础设施厂商可能面临的威胁,也是工业网络安全厂商应该时刻防范的危险。为此,工业网络安全厂商应尽量采用开放式的软硬件技术架构,制定多边的采购策略,保证充足的后备供应,进行合理的需求管理,保持一定的库存冗余,积极应对供应链安全问题。
《网络安全审查办法》是我国推进《中华人民共和国国家安全法》、《中华人民共和国网络安全法》两大法律落地的重要行政办法。工业网络安全厂商是该办法的重要参与方,应充分理解该办法,准确执行该办法,肩负起保障我国关键基础设施安全的厂商责任。
天地和兴致力于工业网络安全研究多年,倾力打造“天墀”、“地盾”、“和睿”、“兴邦”四大产品系列,持续为用户提供安全检测评估类、安全防护隔离类、安全审计分析类、安全平台管理类等全方位的产品、服务和全生命周期的工业网络安全解决方案。多个产品已通过EAL3、欧盟国际CE、3C、中标麒麟等资质认证以及工信部、公安部、水利部、中国信息安全测评中心、赛可达实验室等机构认证,符合《网络安全审查办法》审查重点评估采购网络产品和服务要求。天地和兴砥砺前行,不断推出应对技术快速迭代、政策持续升级的新一代工业网络安全业务框架,倾力打磨符合当下、放眼未来的全方位多领域工业网络安全产品及服务体系,助力工业企业安全建设,为工业网络安全事业添砖加瓦,协同国家、行业各界力量共建工业网络安全新生态。