安全专家解读:《网络安全审查办法》出台,企业应如何落实加强安全建设?( 二 )

(3)《办法》中提到的需要考虑的潜在的国家安全风险具体而言都有哪些?

安全专家解读:《网络安全审查办法》出台,企业应如何落实加强安全建设?。后门、木马、预植入芯片

这里其实主要是推广可信计算、国产化技术 , 别人的东西永远不如自己的安全 。 但也不是把国外产品和技术服务完全锁在门外 。 国家考虑了一种均衡的开放的方式 。 中国是向世界开放的 , 并不是想通过《办法》将国外厂商关在门外 。 在答采访人员问中 , 官方也明确表示对外开放是我们的基本国策 , 我们欢迎国外产品和服务进入中国市场的政策没有改变 , 但前提是必须要符合中国法律法规和部门规章 。

供应链安全

这也是《关键信息基础设施网络安全保护基本要求》(征求意见稿)中首次提出的安全问题 。 关键信息基础设施的运营者所采购的产品和服务本身 , 可能就是一个完整的系统 。 比方说一个软件 , 它包含了很多的代码 , 这些代码软系统中的不同功能会由不同的软件承担 , 那么这些软件有不同的厂商开发 , 最终进行一个总集成;硬件也是类似的情况 。

供应链中的每一个环节 , 都可能蕴含潜在的风险 。 当某项产品或服务被采购、被运用 , 并且部署到关键信息基础设施之前 , 通过这样一个国家网络安全的审查 , 可以在很大限度上把供应链风险降到最低 , 保证供应来源多样、渠道畅通可靠 , 采购的产品和服务更加安全、开放、透明 。 从这个意义上来说 , 有《办法》作为支撑 , 网络安全审查部门即可做到对供应链的每个环节做到未雨绸缪、重点考量 。

从国外的重大安全事件来看(Facebook的50亿美元罚金事件) , 绝大多数都是因为第三方泄露敏感信息所造成的 , 完全由于甲方自身原因所铸成的重大安全事件只占极少数 。 因此可以考虑在业务连续性保障方面采用供应链冗余 , 两家或多家供应商共同分担责任 , 能互补能AB岗 , 这样最好 。 至于供应链安全 , 其实1家还是2家供应商 , 企业的供应链安全做起来并没什么太大的区别(当然如果企业对接8-9家甚至10家以上供应商 , 这种情况另当别论) 。 这里特别提醒 , 参见《办法》第十六条 , 很多情况下是甲方和服务商一起突击 , 时间紧的情况下去完成审查工作 , 这个过程中就容易出现纰漏 , 造成数据泄露等问题 , 应引起关注 。

供应商的合规性

包括产品专利、知识产权、3C认证 , 服务商的服务资质、合规性认证等 。 这里对于甲方其实也是一样 , 比如公有云供应商 , 那么对于云上租户来说也是乙方 , B2B的业务模式下 , 大家互为甲乙方 。 不过像腾讯云、AWS云这类的厂商应该问题不大 , 主要问题可能会集中在一些中型或省级地市级的公有云平台上 。

其他因素

各类其他威胁和风险(参见前文主要风险因素) 。

三、网络安全审查的流程是怎么样的 , 有哪些核心关键节点?