安全专家解读:《网络安全审查办法》出台,企业应如何落实加强安全建设?( 二 )
(3)《办法》中提到的需要考虑的潜在的国家安全风险具体而言都有哪些?
安全专家解读:《网络安全审查办法》出台,企业应如何落实加强安全建设?。后门、木马、预植入芯片
这里其实主要是推广可信计算、国产化技术 , 别人的东西永远不如自己的安全 。 但也不是把国外产品和技术服务完全锁在门外 。 国家考虑了一种均衡的开放的方式 。 中国是向世界开放的 , 并不是想通过《办法》将国外厂商关在门外 。 在答采访人员问中 , 官方也明确表示对外开放是我们的基本国策 , 我们欢迎国外产品和服务进入中国市场的政策没有改变 , 但前提是必须要符合中国法律法规和部门规章 。
供应链安全
这也是《关键信息基础设施网络安全保护基本要求》(征求意见稿)中首次提出的安全问题 。 关键信息基础设施的运营者所采购的产品和服务本身 , 可能就是一个完整的系统 。 比方说一个软件 , 它包含了很多的代码 , 这些代码软系统中的不同功能会由不同的软件承担 , 那么这些软件有不同的厂商开发 , 最终进行一个总集成;硬件也是类似的情况 。
供应链中的每一个环节 , 都可能蕴含潜在的风险 。 当某项产品或服务被采购、被运用 , 并且部署到关键信息基础设施之前 , 通过这样一个国家网络安全的审查 , 可以在很大限度上把供应链风险降到最低 , 保证供应来源多样、渠道畅通可靠 , 采购的产品和服务更加安全、开放、透明 。 从这个意义上来说 , 有《办法》作为支撑 , 网络安全审查部门即可做到对供应链的每个环节做到未雨绸缪、重点考量 。
从国外的重大安全事件来看(Facebook的50亿美元罚金事件) , 绝大多数都是因为第三方泄露敏感信息所造成的 , 完全由于甲方自身原因所铸成的重大安全事件只占极少数 。 因此可以考虑在业务连续性保障方面采用供应链冗余 , 两家或多家供应商共同分担责任 , 能互补能AB岗 , 这样最好 。 至于供应链安全 , 其实1家还是2家供应商 , 企业的供应链安全做起来并没什么太大的区别(当然如果企业对接8-9家甚至10家以上供应商 , 这种情况另当别论) 。 这里特别提醒 , 参见《办法》第十六条 , 很多情况下是甲方和服务商一起突击 , 时间紧的情况下去完成审查工作 , 这个过程中就容易出现纰漏 , 造成数据泄露等问题 , 应引起关注 。
供应商的合规性
包括产品专利、知识产权、3C认证 , 服务商的服务资质、合规性认证等 。 这里对于甲方其实也是一样 , 比如公有云供应商 , 那么对于云上租户来说也是乙方 , B2B的业务模式下 , 大家互为甲乙方 。 不过像腾讯云、AWS云这类的厂商应该问题不大 , 主要问题可能会集中在一些中型或省级地市级的公有云平台上 。
其他因素
各类其他威胁和风险(参见前文主要风险因素) 。
三、网络安全审查的流程是怎么样的 , 有哪些核心关键节点?
- 「空调」集中空调怎样用得安全?杭州检查5431家公共场所
- [监管局]昌平区市场监管局开展大型游乐设施安全隐患排查整治
- 手机大魔王用权限管理来保护你的隐私安全,安卓手机安装APP后先别打开
- 上游新闻渝北区翠苹路社区深入排查消防安全隐患,夏季火灾高发期来临
- 『表扬』江西省食品安全考核获A级通报表扬
- 『警示』【张家界应急】张家界市召开安全生产集体警示约谈会
- 「道路交通」阳信县公安局举办道路交通安全管理工作培训班
- 「省食品」陕西省开展食品安全领域三大提升行动
- 手机大魔王安卓手机安装APP后先别打开,用权限管理来保护你的隐私安全
- 灵武市融媒体中心维护医保基金安全,强化打击欺诈骗保专项治理