安全专家解读：《网络安全审查办法》出台，企业应如何落实加强安全建设？( 二 ) 随着中国对网络安全的重视

(3)《办法》中提到的需要考虑的潜在的国家安全风险具体而言都有哪些？

安全专家解读：《网络安全审查办法》出台，企业应如何落实加强安全建设？。后门、木马、预植入芯片

这里其实主要是推广可信计算、国产化技术，别人的东西永远不如自己的安全。但也不是把国外产品和技术服务完全锁在门外。国家考虑了一种均衡的开放的方式。中国是向世界开放的，并不是想通过《办法》将国外厂商关在门外。在答采访人员问中，官方也明确表示对外开放是我们的基本国策，我们欢迎国外产品和服务进入中国市场的政策没有改变，但前提是必须要符合中国法律法规和部门规章。

供应链安全

这也是《关键信息基础设施网络安全保护基本要求》(征求意见稿)中首次提出的安全问题。关键信息基础设施的运营者所采购的产品和服务本身，可能就是一个完整的系统。比方说一个软件，它包含了很多的代码，这些代码软系统中的不同功能会由不同的软件承担，那么这些软件有不同的厂商开发，最终进行一个总集成;硬件也是类似的情况。

供应链中的每一个环节，都可能蕴含潜在的风险。当某项产品或服务被采购、被运用，并且部署到关键信息基础设施之前，通过这样一个国家网络安全的审查，可以在很大限度上把供应链风险降到最低，保证供应来源多样、渠道畅通可靠，采购的产品和服务更加安全、开放、透明。从这个意义上来说，有《办法》作为支撑，网络安全审查部门即可做到对供应链的每个环节做到未雨绸缪、重点考量。

从国外的重大安全事件来看(Facebook的50亿美元罚金事件) ，绝大多数都是因为第三方泄露敏感信息所造成的，完全由于甲方自身原因所铸成的重大安全事件只占极少数。因此可以考虑在业务连续性保障方面采用供应链冗余，两家或多家供应商共同分担责任，能互补能AB岗，这样最好。至于供应链安全，其实1家还是2家供应商，企业的供应链安全做起来并没什么太大的区别(当然如果企业对接8-9家甚至10家以上供应商，这种情况另当别论) 。这里特别提醒，参见《办法》第十六条，很多情况下是甲方和服务商一起突击，时间紧的情况下去完成审查工作，这个过程中就容易出现纰漏，造成数据泄露等问题，应引起关注。

供应商的合规性

包括产品专利、知识产权、3C认证，服务商的服务资质、合规性认证等。这里对于甲方其实也是一样，比如公有云供应商，那么对于云上租户来说也是乙方， B2B的业务模式下，大家互为甲乙方。不过像腾讯云、AWS云这类的厂商应该问题不大，主要问题可能会集中在一些中型或省级地市级的公有云平台上。

其他因素

各类其他威胁和风险(参见前文主要风险因素) 。

三、网络安全审查的流程是怎么样的，有哪些核心关键节点？