智东西(公众号:zhidxcom)
文 | 心缘
智东西5月13日消息,近日,国家互联网信息办公室等12部委联合制定并发布《网络安全审查办法》,重点审查采购产品和服务可能给关键信息基础设施运行及国家安全带来的风险和危害,并对基础设施相关运营主体和审查范围给出了清晰的界定。
该办法将于6月1日起正式实施,实施了将近三年的《网络产品和服务安全审查办法(试行)》同时废止。
这一审查办法的出台,意味着涉及核心网络设备、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务等产品和服务的欧美企业必须接受更严苛的中国网络安全审查。如果不能通过审查,其产品及服务将禁止在中国销售。
这是我国在顶层规划下又一可实操性规定的出台。随着国际网络空间博弈日趋复杂严峻,不安全的网络产品和服务正成为针对关键信息基础设施实施网络非法控制和破坏活动的主要媒介,国家必须更为审慎地对待通过供应链渗透引入的国家安全风险,建立并实施有效的网络安全审查制度意义重大。
同时,该办法将为数字新基建保驾护航,并有望推动国产IT领域关键信息基础设施供应商的发展。我国网络安全行业正进入一个新的高速发展期,根据《广证恒生》的报告,目前中国网络安全市场年均增速超过20%,预计到2021年将到达926.8亿元,其中仅国产化替代政府信息系统的实施就将带来数万亿规模的增量市场。
文末附《网络安全审查办法》全文。
一、覆盖13个行业,重点考量五类因素
在中央网络安全和信息化委员会领导下,国家互联网信息办公室会同国家发展和改革委员会、工业和信息化部、公安部、国家安全部、财政部、商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、国家保密局、国家密码管理局联合建立国家网络安全审查工作机制。
智东西对《网络安全审查办法》的重点进行提炼和解读。
1、出台背景及法律责任
网络安全审查属于国家安全审查的一种,新办法将目标精确为及早发现并避免采购产品和服务给关键信息基础设施运行带来风险和危害,保障关键信息基础设施供应链安全,维护国家安全。
本办法对关键信息基础设施运营者采购的网络产品和服务进行审查。电信、广播电视、能源、金融、公路水路运输、铁路、民航、邮政、水利、应急管理、卫生健康、社会保障、国防科技工业等行业领域的重要网络和信息系统运营者,在采购网络产品和服务时,应当按照《办法》要求考虑申报网络安全审查。
网络安全审查坚持防范网络安全风险与促进先进技术应用相结合、过程公正透明与知识产权保护相结合,在保障国家安全的同时,兼顾到经济和产业发展,并充分尊重运营者对自身安全状况判断的专业性。
也就是说,运营者应自行预判产品和服务投入使用后可能带来的风险,督促产品和服务提供者履行网络安全审查中做出的承诺。
如违反本办法,根据《网络安全法》第六十五条规定,应当申报网络安全审查而没有申报的,或者使用网络安全审查未通过的产品和服务,由有关主管部门责令停止使用,处采购金额一倍以上十倍以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
2、主要审查内容及考量因素
本办法所称网络产品和服务主要指核心网络设备、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务,以及其他对关键信息基础设施安全有重要影响的网络产品和服务。
重点评估因素如下:
(1)产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏,以及重要数据被窃取、泄露、毁损的风险;
(2)产品和服务供应中断对关键信息基础设施业务连续性的危害;
(3)产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险;
(4)产品和服务提供者遵守中国法律、行政法规、部门规章情况;
(5)其他可能危害关键信息基础设施安全和国家安全的因素。
3、申报及审查时限
关键信息基础设施运营者应当在与产品和服务提供方正式签署合同前申报网络安全审查。
如果在签署合同后申报,建议在合同中注明此合同须在产品和服务采购通过网络安全审查后方可生效。
通常网络安全审查在45个工作日内完成,情况复杂的会延长15个工作日。进入特别审查程序的审查项目,可能还需要45个工作日或者更长。
网络安全审查办公室应当自收到审查申报材料起,10个工作日内确定是否需要审查并书面通知运营者。被认为需要审查的,应当自向运营者发出书面通知之日起30个工作日内完成初步审查;情况复杂的,可以延长15个工作日。
网络安全审查工作机制成员单位和相关关键信息基础设施保护工作部门,应当自收到审查结论建议之日起15个工作日内书面回复意见。
根据本办法要求,补充提供材料的时间不计入审查时限。
网络安全审查办公室设在国家互联网信息办公室,负责制定网络安全审查相关制度规范,组织网络安全审查。具体工作委托中国网络安全审查技术与认证中心承担。
中国网络安全审查技术与认证中心在网络安全审查办公室的指导下,承担接收申报材料、对申报材料进行形式审查、具体组织审查工作等任务。
二、对国外产品服务造成限制?
信息安全产业链主要由上游的基础元器件商、基础软硬件供应商,中游的信息安全专门软硬件提供商、信息安全服务集成提供商、各类信息安全咨询/运维/测评/培训等支撑机构以及下游的企业、个人客户组成。
近年来国际形势变化多端,政治、外交、贸易等非技术因素导致供应中断的可能性增强,供应商的来源和供应商的可靠性等非技术性因素,已经成为多个国家评估供应链安全风险的重要方面。
从涉及网络安全审查的产品和服务范围来看,《网络安全审查办法》与信创高度重叠,除了核心网络设备外,高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、云计算服务等与数据中心密切相关的设备产品赫然在列。
尤其在云计算环境中,服务器、主机使用到的芯片、操作系统等软硬件,一旦遭到发生重大安全事故,将对云计算服务商造成难以挽回的影响,甚至导致用户隐私信息的泄露。
这也意味着高通、苹果、英特尔、惠普、微软、亚马逊等国际科技公司的产品及服务在进入国内时,将接受更为严苛的安全审查监督。
近日,国家互联网信息办公室有关负责人就《网络安全审查办法》答记者问时表示,网络安全审查的目的是维护国家网络安全,不是要限制或歧视国外产品和服务。“对外开放是我们的基本国策,我们欢迎国外产品和服务进入中国市场的政策没有改变。”
与此同时,安全审查趋于严格,将越对头部公司产生利好,关键信息基础设施运营者的采购选择会进一步集中于更安全可靠的头部玩家。
随着对国外进口产品及服务的安全考量更为审慎,《网络安全审查办法》的实施或有助于为信创推进铺平道路,同时为数字新基建的发展提供供应链安全保障。
如今我国自主创新的国产IT基础设施体系正在快速发展,正从可用努力走向好用阶段。
例如今年5月6日,中国电信公布2020年服务器集中采购项目规模情况,预计集中采购服务器56314台,并单独列出给予国产CPU(鲲鹏和海光)服务器20%的份额,拉开信创产业的帷幕。这意味着国产IT基础设施生态基本成形,且性能逐渐能够满足较多行业业务场景需求。
5月8日,包括龙芯、华为、飞腾在内的30家国家信创领域重点企业集中签约落户北京经开区,标志着信创产业的“四梁八柱”正式搭建,也意味着北京经开区在“新基建”建设方面再添新动能。
此次集中签约落地的30个项目不仅包含国产自主核心芯片、操作系统等基础软件、创新型基础硬件和重点集成服务四个领域企业,还囊括了5G技术、云计算、云存储等新型基础设施建设项目,代表着我国信息技术应用创新产业的前沿技术和自主生态建设能力。
目前北京经开区信创园已对接生态企业400余家,信创产业核心环节实现布局,产业生态搭建完成。项目2022年达产后,预计实现营收1000亿元以上。
三、全球对网络安全审查日趋严格
近年来,全球网络空间博弈风云变幻,建立并适用网络安全审查制度开始逐步成为国际通行做法,很多国家多次修订政策法规以加强供应链安全的审查、评估。
美国早在2000年就率先在国家安全系统中对采购的产品进行安全审查;2013年11月,美国国防部规定国防系统及其合同商采购的产品和服务要经过供应链安全审查。
2014年,美国《综合持续拨款法案》规定商务部、司法部、国家宇航局和国家科学基金会采购高影响或中度影响的信息技术系统之前,必须进行供应链安全审查,并评估可能出现的网络间谍或破坏行为。
2019年美总统令《确保信息通信技术与服务供应链安全》、2020年《安全和可信通信网络法》都建立了相应的网络安全审查制度。
此外在过去两年间,美国屡屡以国家安全为由而实施商业禁令。就在今年4月底,美国《国会山报(The Hill)》报道称,美国参议员准备提出法案禁止政府雇员使用被视为国家安全威胁的中国公司的产品,特别提到了华为、中兴和腾讯。
英国也是世界上网络和信息化建设最先进的国家之一,在2009年出台首个国家网络安全战略,并将网络攻击与恐怖主义、紧急民事、军事危机等并列为英国国家安全面临的一级威胁。
随后英国在2011年、2016年发布了第二版、第三版国家网络安全战略。根据其战略,英国将在2016~2021年期间投资约19亿英镑(约合166亿人民币)用于加强网络安全和能力,还计划拨款1.65亿英镑设立国防和网络创新基金,以支持国防和安全领域的创新采购。
英国内阁办公室在颁布的09/14号行动公告中同样规定,自2014年10月1日起,中央政府信息技术采购特定信息技术产品和服务之前,例如采购参与处理个人信息和提供特定信息通信技术产品和服务,信息技术产品和服务的提供商应接受必要的安全审查。
我国对维护国家网络空间的主权、安全和利益同样愈发重视。2017年6月1日,我国正式实施《网络产品和服务安全审查办法(试行)》正式实施,随后于2019年5月21日发布《网络安全审查办法(征求意见稿)》,广泛征求各界意见。
在即将到来的6月1日,《网络安全审查办法》的正式出台将开启我国络安全审查的新篇章,为我国开展网络安全审查工作提供了重要的制度保障。
以下为《网络安全审查办法》全文:
责任编辑: