天地和興:從工業網絡安全廠商角度看《網絡安全審查辦法》

2020-12-14 電子產品世界

2020年4月27日,國家網信辦、發改委等12個部門聯合發布了《網絡安全審查辦法》(以下簡稱《辦法》),《辦法》於2020年6月1日起正式實施。

本文引用地址:http://www.eepw.com.cn/article/202006/413844.htm

通覽全文,《辦法》明確了主要適用主體 -- 關鍵信息基礎設施運營者,從《辦法》第一條規定中便可明顯看出。此外,《辦法》中還規定了另一個間接義務主體 -- 產品和服務提供者。

工業網絡安全企業作為傳統的網絡產品和服務提供商,如何適用《網絡安全審查辦法》?北京天地和興科技有限公司(以下簡稱「天地和興」)認為可以從以下幾點來考慮。

一、辦法第六條規定:對於申報網絡安全審查的採購活動,運營者應通過採購文件、協議等要求產品和服務提供者配合網絡安全審查,包括承諾不利用提供產品和服務的便利條件非法獲取用戶數據、非法控制和操縱用戶設備,無正當理由不中斷產品供應或必要的技術支持服務等。

該點其實在《辦法》的徵求意見稿中第七條也有所體現,但意見稿中僅規定了供應商具有配合審查的義務,並未詳細說明義務的具體內容。而在《辦法》中,對於網絡產品和服務供應商應配合審查義務進行了細化,對供應商應做出的承諾內容進行了明確的規定。

作為網絡產品和服務供應商,工業網絡安全廠商應主動在與運營商籤訂採購文件、協議中增加相應條款,說明自身企業產品確定已得到相關第三方機構的安全檢測認證證書,以方便關鍵信息基礎設施運營機構運營者了解已採購的產品安全性,在需要申報網絡安全審查時,方便提供相關材料。同時,為了更好地保護供應商相關產品的智慧財產權和商業機密,建議與運營商籤訂合同條款中加入必要的智慧財產權和商業機密保護機制,從而避免因安全審查造成產權和機密外洩進而產生不必要的損失。

二、辦法第七條規定:運營者申報網絡安全審查,應當提交以下材料:

(一)申報書;
(二)關於影響或可能影響國家安全的分析報告;
(三)採購文件、協議、擬籤訂的合同等;
(四)網絡安全審查工作需要的其他材料。

此條辦法規定,與關鍵信息基礎設施運營機構合作的工業網絡安全企業售賣的產品,只有按照相關國家標準的強制性要求,取得安全認證或者安全檢測且符合要求後,方可進行銷售。運營商在採購此類產品,啟動安全審查時需要《辦法》中明確規定的影響或可能影響國家安全的分析報告。

工業網絡安全廠商提供產品安全性測試認證報告作為分析報告材料的部分支撐基礎,將進一步推動安全審查實施和雙方合作進程。而安全性測試認證或許可參考中國網絡安全審查技術與認證中心的網絡關鍵設備和網絡安全專用產品安全認證或國家信息安全產品認證等,也更加說明了前文中提到的在合同中進行相應產品安全性承諾的必要性。

三、辦法第九條有如下規定:網絡安全審查重點評估採購網絡產品和服務可能帶來的國家安全風險,主要考慮以下因素:

(一)產品和服務使用後帶來的關鍵信息基礎設施被非法控制、遭受幹擾或破壞,以及重要數據被竊取、洩露、毀損的風險;
(二)產品和服務供應中斷對關鍵信息基礎設施業務連續性的危害;
(三)產品和服務的安全性、開放性、透明性、來源的多樣性,供應渠道的可靠性以及因為政治、外交、貿易等因素導致供應中斷的風險;
(四)產品和服務提供者遵守中國法律、行政法規、部門規章情況;
(五)其他可能危害關鍵基礎設施安全和國家安全的因素。

《辦法》第九條對於可能影響國家安全的因素做出了詳細描述,總結為供應鏈安全問題,這與本《辦法》第一條相互呼應,道出了制定《辦法》的目的在於確保關鍵信息基礎設施供應鏈安全,從而維護國家安全。從供應鏈安全的角度而言,網絡產品和服務的採購對於關鍵信息基礎設施的運行帶來不同層面的影響,包括可能導致關鍵信息基礎設施被非法控制、重要信息洩露、產品組件遭遇中斷威脅等。尤其是產品組件斷供威脅,它不僅是關鍵信息基礎設施廠商可能面臨的威脅,也是工業網絡安全廠商應該時刻防範的危險。為此,工業網絡安全廠商應儘量採用開放式的軟硬體技術架構,制定多邊的採購策略,保證充足的後備供應,進行合理的需求管理,保持一定的庫存冗餘,積極應對供應鏈安全問題。

《網絡安全審查辦法》是我國推進《中華人民共和國國家安全法》、《中華人民共和國網絡安全法》兩大法律落地的重要行政辦法。工業網絡安全廠商是該辦法的重要參與方,應充分理解該辦法,準確執行該辦法,肩負起保障我國關鍵基礎設施安全的廠商責任。

天地和興致力於工業網絡安全研究多年,傾力打造「天墀」、「地盾」、「和睿」、「興邦」四大產品系列,持續為用戶提供安全檢測評估類、安全防護隔離類、安全審計分析類、安全平臺管理類等全方位的產品、服務和全生命周期的工業網絡安全解決方案。多個產品已通過EAL3、歐盟國際CE、3C、中標麒麟等資質認證以及工信部、公安部、水利部、中國信息安全測評中心、賽可達實驗室等機構認證,符合《網絡安全審查辦法》審查重點評估採購網絡產品和服務要求。天地和興砥礪前行,不斷推出應對技術快速迭代、政策持續升級的新一代工業網絡安全業務框架,傾力打磨符合當下、放眼未來的全方位多領域工業網絡安全產品及服務體系,助力工業企業安全建設,為工業網絡安全事業添磚加瓦,協同國家、行業各界力量共建工業網絡安全新生態。

相關焦點

  • 《網絡安全審查辦法》與信安從業者有什麼關係
    近日《網絡安全審查辦法》刷遍安全圈,為何如此被各大廠商爭相轉載。那麼《辦法》與我們信安從業者又有何相關?關鍵信息基礎設施對國家安全、經濟安全、社會穩定、公眾健康和安全至關重要。
  • 安全專家解讀:《網絡安全審查辦法》出臺,企業應如何落實加強安全...
    關鍵信息基礎設施對國家安全、經濟安全、社會穩定、公眾健康和安全至關重要。我國建立網絡安全審查制度,目的是通過網絡安全審查這一舉措,及早發現並避免採購產品和服務給關鍵信息基礎設施運行帶來風險和危害,保障關鍵信息基礎設施供應鏈安全,維護國家安全。
  • 天地和興發布《新一代工業網絡安全白皮書》
    解讀工業網絡安全未來發展天地和興於近日發布《新一代工業網絡安全白皮書》。結合多年來在工業控制系統領域的網絡安全探索實踐,立足工業網絡空間泛在化、數位化、智能化的時代背景,解析「新基建」戰略下的網絡空間安全重大意義,探索當前工業網絡安全建設全新路徑,力求為國家工業網絡安全建設提供思考及實踐方向。
  • 即將生效的《網絡安全審查辦法》是針對華為事件的反制利器?專家...
    但無論是《試行辦法》還是《審查辦法》,審查對象均是網絡產品和服務,這一點沒有變化。審查的原因均是採購了特定的網絡產品和服務,可能因此給網絡和信息系統帶來「脆弱性」,這一點也沒有發生變化。發生變化的是如何看待上述「脆弱性」的標尺。「試行辦法」第一條提出:安全審查的目標是「提高網絡產品和服務安全可控水平」,因此審查聚焦於產品和服務本身的脆弱性。而
  • 12部門聯合制定網絡安全審查辦法 6月1日起實施
    據網信中國官微消息,國家網際網路信息辦公室、國家發展和改革委員會、工業和信息化部、公安部、國家安全部、財政部、商務部、中國人民銀行、國家市場監督管理總局、國家廣播電視總局、國家保密局、國家密碼管理局聯合制定了《網絡安全審查辦法》,現予公布。
  • 天地和興:人工智慧對網絡安全造成了什麼影響?
    近期,天地和興發布了一篇《請問人工智慧,你對網絡安全造成了什麼影響?》的文章,以下是觀點全文:  當前網絡安全領域攻擊與防禦的協同進化如火如荼。像人工智慧(AI)和機器學習(ML)這種先進的技術同時為惡意的攻擊者也帶來了攻擊技術演進的機會。簡單來看,對網絡安全的需求比以往任何時候都更加重要。
  • 天地和興:2020年一季度十大網絡安全熱點大盤點
    據此,天地和興盤點了2020年一季度的十大網絡安全熱點,以幫助人們了解網絡安全行業最新的攻擊、趨勢和技術。隨著網絡威脅泛化的愈演愈烈,安全形勢變得越來越複雜。物聯網設備攻擊,、無惡意軟體攻擊以及非電子郵件網絡釣魚攻擊繼續上升。防範這些攻擊的代價從未像當下這樣如此高昂。Ponemon公司最新發布數據洩露報告顯示,數據洩露的平均成本現在已高達每起事件392萬美元。
  • 鎮守四方 賦能安全---天地和興工控安全四大產品系列正式發布
    北京2020年3月31日 /美通社/ -- 天地和興工控安全產品家族四大產品系列 -- 「天墀」、「地盾」、「和睿」、「興邦」正式發布。四大系列品牌以信息安全為驅動力,持續為用戶提供安全檢測評估類、安全防護隔離類、安全審計分析類、安全平臺管理類等全方位的工控安全產品、服務和全生命周期的工控安全解決方案。
  • 工業和信息化部網絡安全管理局局長趙志國:創新發展網絡安全產業...
    在11月30日舉辦的2020年中國網絡安全產業高峰論壇上,工業和信息化部網絡安全管理局局長趙志國表示,要把握新基建發展機遇,著力構建產業政策體系,加大產業供需有效對接,增強產業發展動能,優化完善產業生態,推動網絡安全產業高質量發展,築牢國家網絡安全防線,全面支撐網絡強國和製造強國建設
  • 天地和興:不同行業的物聯網設備及其安全措施
    如今,數據分析、自動化、連接性和遠程監控取得了長足的進步,並在現代文明的各個領域帶來了創新。根據Gartner的預測資料庫,預計到2022年,將有大約140億臺設備連接到網際網路。天地和興工業網絡安全研究院認為,隨著連接設備數量的增加,將會改變人們開展業務和使用資源的方式。所有類型的設備都可以從其環境中收集和共享信息,萬物互聯的世界將為大多數人類活動帶來無限的機會。
  • 從甲方視角看網絡安全行業發展 ,《2020中國網絡安全企業100強》發布
    21世紀第二個十年,在全球企業遠程辦公常態化,企業嘗試緩解新冠疫情影響的過程中,網絡安全正在成為最具決定性和緊迫性,優先級最高的IT投資,而安全紅利正在成為所有重視安全的企業乃至國家的核心生產力和競爭力。
  • 從甲方視角看網絡安全行業發展,《2020中國網絡安全企業100強》發布
    21世紀第二個十年,在全球企業遠程辦公常態化,企業嘗試緩解新冠疫情影響的過程中,網絡安全正在成為最具決定性和緊迫性,優先級最高的IT投資,而安全紅利正在成為所有重視安全的企業乃至國家的核心生產力和競爭力。
  • 工信部司局新年新思路|網絡安全管理局:深耕新型基礎設施安全保障...
    2020年,工業和信息化部網絡安全管理局堅持以習近平新時代中國特色社會主義思想為指導,深入貫徹黨的十九大和十九屆二中、三中、四中、五中全會精神,堅決落實工業和信息化部黨組部署要求,牢固樹立政治機關意識,落實全面從嚴治黨主體責任,緊緊圍繞網絡強國戰略目標,積極應對內外部複雜形勢,奮發作為、攻堅克難,各項工作取得新進步。支撐疫情防控和重大活動保障紮實有力。
  • 通鼎互聯:構築網絡安全「銅牆鐵壁」
    加強網絡安全保護,將各種構成危害網絡安全的隱患拒之門外,成為包括運營商、設備商和提供基礎網絡傳輸的光纖光纜廠商建設新時代網絡"高速公路"不容忽視的環節。通鼎互聯近年來緊抓需求,砥礪奮鬥,積極應對層出不窮的網絡風險和挑戰,提供從數據、管網、系統、生態鏈等多維度的解決方案,廣泛受到運營商、服務商、公安、政府機構、應急管理和其它相關領域用戶的讚譽。
  • 築牢網絡安全之基 保護人民群眾信息安全——新時代我國網絡安全...
    新華社北京9月13日電 題:築牢網絡安全之基 保護人民群眾信息安全——新時代我國網絡安全發展成就綜述新華社記者 餘俊傑以「網絡安全為人民,網絡安全靠人民」為主題的2020年國家網絡安全宣傳周將於9月14日至20日在全國範圍內開展,注重提高全民網絡安全意識和能力。
  • 我國網絡安全產業發展進入「快車道」
    ,多項相關政策正式施行,為網絡安全產業的發展提供了新的契機和更有力的支持。2020年4月推出的《網絡安全審查辦法》為關鍵信息基礎設施運營可能影響國家安全的相關事宜進行了網絡安全審查方面的規定;2020年5月推出的《關於工業大數據發展的指導意見》關於網絡安全方面提出了「構建工業數據安全管理體系,加強工業數據安全產品研發」的指導意見;2020年7月推出的《工業和信息化部辦公廳關於開展2020年網絡安全技術應用試點示範工作的通知》提出了網絡安全技術的「5G網絡安全、工業網際網路安全
  • 匡安網絡:堅持自主研發創新,築牢網絡安全之堤
    為了讓大家進一步了解目前國內工控安全廠商的創新成果和發展動態,以及未來網絡安全的技術走向和應用策略,近日21ic中國電子網記者採訪了湖南匡安網絡技術有限公司副總經理唐偉,圍繞「網絡安全建設」與「自主可控技術」等相關話題進行了深入交流。
  • 天地和興強勢上榜中國最具登陸科創板潛力企業
    北京2020年12月11日 /美通社/ -- 近日,知名創投資訊及科技新聞媒體36氪重磅發布2020年度中國最具登陸科創板潛力企業TOP50,天地和興憑藉在工業網絡安全領域多年來的不斷創新與眾多投資機構的廣泛認可榮登榜單。
  • 國金證券:雲計算和網絡安全性價比凸顯
    雲計算產業鏈包括IaaS、PaaS、SaaS以及上遊基礎設施提供商、雲服務提供商等,國內市場IaaS市場佔比和增速均最快且高於國際平均水平,長期看,IaaS市場巨頭壟斷,SaaS市場百花齊放,上遊伺服器、IDC等基礎設施提供商和雲服務廠商亦將受益於雲計算發展的大趨勢,產業鏈各類公司前景均很光明。
  • 新經濟圓桌會議:中國工控網絡安全如何彎道超車?
    我們的主要建議是:從國家戰略高度加強工業控制網絡安全頂層設計,明確責任部門;建立完備的工控網絡安全體系,掌握晶片級核心技術;大力扶持新興工控網絡安全企業,鼓勵技術創新和產業化;在各行業建設中同步進行工控網絡安全規劃和驗收等。