一个资深安全从业者对《网络产品和服务安全审查办法》的思考
作者: 日期:2017年02月12日 阅:5,045

《网络产品和服务安全审查办法》征求意见稿出台后,作为网络安全行业的从业者之一,我看到大家给的关键词是意义深远,但我并没有听到全行业的欢呼雀跃。

%e9%80%9a%e7%9f%a5-900

中国的网络安全市场大不大?目前大概每年只有200亿,从2016年的复合增长率来看,不仅没有增量,还趋于下降;此外,整个市场七零八落,同业竞争严重,尚未形成具有较强垄断能力的厂商。

中国的网络安全市场准入难不难?对从事企业级服务的企业来说,生产并提供终端安全产品、网关安全设备,均需得到产品应用功能、技术方案、产品效能等多个维度的检测;进入不同行业,还需得到相关行业的准入放行。大家都知道行业中有“宫保鸡丁”安全检测惯例,更有部分行业还自行制定了产品准入的标准和方法。

为什么在这样的一个小市场,还需要在原有的产品检测和行业准入的模式外,另行制定并执行《网络产品和服务安全的审查办法》?

我个人的理解是:首先网络产品和服务,其安全性、可控性确实关乎用户利益,关系国家安全;其次是原有的产品和服务的检测和审查模式不完善,更偏事前的基于产品应用功能的准入审查;第三是可能会在原来分散在不同部门的产品与服务的检测之上,形成“最高检”、“最终检”。如果站在上述角度,推行《网络产品和服务安全审查办法》很有必要。

为什么没有出现全行业的欢呼雀跃?我判断是因为大家还没有看到操作细则。事实上,网络产品和服务的安全审查将面对多个挑战。首先是谁来审查。从《办法》征求意见稿来看,将成立网络安全审查委员会。但这一委员会的专家来源及构成还需要细化,这一委员会的权力更需要明确约束;其次是如何审查。审查的流程、工具、方法等是否科学?是否能秉持客观、公正、公平、专业等原则?不同类别的产品和服务千差万别,审查的具体标准又该如何制定?审查发现出现问题的企业及产品与服务,如何处理处罚?谁具有执法权?这些都是极其具体,但是又牵一发而又动全身的关键点。

金山在网络安全行业耕耘的时间已有20年以上。从之前的终端反病毒软件,一路发展出了基于云安全能力的检测防御的软硬件产品体系和服务能力,在中国的网络安全行业具有很高的知名度和影响力。但中国的网络安全行业更多的企业还偏小偏弱,更多的企业处于创业阶段。我呼吁:在国家相关部门推动顶层设计并出台相关制度及办法的同时,能否推出更多的“扶持”和“服务”政策。比如:是否可以取消或者降低各级主管单位现行的产品与服务检测的收费?是否可以向中国政府学习,借鉴其推行的“行政服务大厅”的模式,将各类检测放在一个平台上,以服务的模式面向所有安全厂商提供综合服务?“最低价中标”正在制约网络安全行业的产品创新和服务创新,是否可以研究并推行一套全新的模式,让上述现象得到缓解或根治?

在热烈欢迎《网络产品和服务安全审查办法》的尽快出台的同时,金山安全也在静待操作细则的形成,更在期盼网络安全行业更好的产业发展环境的形成!

本文作者:金山安全首席运营官 张旭东

 

附:网络产品和服务安全审查办法(征求意见稿)

第一条 网络产品和服务的安全性、可控性直接影响用户利益、关系国家安全。为提高网络产品和服务安全可控水平,防范供应链安全风险,维护国家安全和公共利益,依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》,制定本办法。

第二条 关系国家安全和公共利益的信息系统使用的重要网络产品和服务,应当经过网络安全审查。

第三条 坚持企业承诺与社会监督相结合,第三方评价与政府监管相结合,实验室检测、现场检查、在线监测、背景调查相结合,对网络产品和服务及其提供者进行网络安全审查。

第四条 重点审查网络产品和服务的安全性、可控性,主要包括:

(一)产品和服务被非法控制、干扰和中断运行的风险;
(二)产品及关键部件研发、交付、技术支持过程中的风险;
(三)产品和服务提供者利用提供产品和服务的便利条件非法收集、存储、处理、利用用户相关信息的风险;
(四)产品和服务提供者利用用户对产品和服务的依赖,实施不正当竞争或损害用户利益的风险;
(五)其他可能危害国家安全和公共利益的风险。

第五条 国家互联网信息办公室会同有关部门成立网络安全审查委员会,负责审议网络安全审查的重要政策,统一组织网络安全审查工作,协调网络安全审查相关重要问题。

网络安全审查办公室具体组织实施网络安全审查。

第六条 网络安全审查委员会聘请相关专家组成网络安全审查专家委员会,在第三方评价基础上,对网络产品和服务的安全风险及其提供者的安全可信状况进行综合评估。

第七条 国家统一认定网络安全审查第三方机构,承担网络安全审查中的第三方评价工作。

第八条 根据国家有关部门要求、全国性行业协会建议、市场反映和企业申请等,网络安全审查办公室组织第三方机构、专家对网络产品和服务进行网络安全审查,并发布或在一定范围内通报审查结果。

第九条 金融、电信、能源等重点行业主管部门,根据国家网络安全审查工作要求,组织开展本行业、本领域网络产品和服务安全审查工作。

第十条 党政部门及重点行业优先采购通过审查的网络产品和服务,不得采购审查未通过的网络产品和服务。

第十一条 关键信息基础设施运营者采购的网络产品和服务,可能影响国家安全的,应当经过网络安全审查。

关键信息基础设施运营者采购的网络产品和服务是否影响国家安全,由关键信息基础设施保护工作部门确定。

第十二条 承担网络安全审查的第三方机构,应坚持客观、公正、公平的原则,参照有关标准,重点从可控性、透明性、可信性等方面,对网络产品和服务及提供者进行评价,并对评价结果负责。

第十三条 网络产品和服务提供者应对网络安全审查工作予以配合。

第三方机构等相关单位和人员对审查工作中获悉的信息等承担安全保密义务,不得用于网络安全审查以外的目的。

第十四条 网络安全审查办公室不定期发布对网络产品和服务提供者的安全评估报告。

第十五条 本办法由国家互联网信息办公室负责解释。

第十六条 本办法自2017年 月 日起实施。

附2:帮你预习“网络安检”须知——聚焦《网络产品和服务安全审查办法(征求意见稿)》

新华社记者李亚红、施雨岑

国家互联网信息办公室近日公布的《网络产品和服务安全审查办法(征求意见稿)》提出,我国将成立网络安全审查委员会,统一组织网络安全审查工作等。“网络安检”有哪些须知项?新华社记者采访了国家网信办和网络安全领域专家。

焦点一:谁来审查,是什么性质的审查?

【意见稿】国家互联网信息办公室会同有关部门成立网络安全审查委员会,负责审议网络安全审查的重要政策,协调网络安全审查相关重要问题。

【解读】国家网信办相关负责人表示,中国借鉴国外做法,建立网络安全审查制度。网络安全审查委员会聘请相关专家组成网络安全审查专家委员会,对网络产品和服务的安全风险及其提供者的安全可信状况进行综合评估。网络安全审查不是行政审批,是对重要网络产品和服务采取的事中、事后监管,坚持实验室检测、现场检查、在线监测、背景调查相结合的原则。

焦点二:哪些产品和服务需审查?

【意见稿】关系国家安全和公共利益的信息系统使用的重要网络产品和服务,应当经过网络安全审查。

【解读】国家网信办相关负责人介绍,并非所有网络产品和服务都需要审查,是有条件的。而且,重点审查的是网络产品和服务的安全性、可控性。判定是否影响国家安全和公共利益,主要看产品和服务使用后,是否会危害国家政权和主权安全,是否会危害广大人民群众利益,是否会影响国家经济可持续发展及国家其他重大利益。

焦点三:党政部门所用产品都要审查?

【意见稿】党政部门及重点行业优先采购通过审查的网络产品和服务,不得采购审查未通过的网络产品和服务。

【解读】中国信息安全研究院副院长左晓栋说,这个规定的意思是,如果某个网络产品和服务可能会影响国家安全,在进行安全审查后没能通过审查,被列入“黑名单”后不能采购,并不是说党政部门及重点行业采购的所有网络产品和服务都要进行审查。

焦点四:是在搞贸易保护壁垒吗?

【意见稿】关键信息基础设施运营者采购的网络产品和服务,可能影响国家安全的,应当经过网络安全审查。

【解读】国家网信办相关负责人介绍,网络安全审查制度的实施是企业证明产品安全性,提高用户对产品信心的机会。网络安全审查不但不会对国外产品进入中国市场造成障碍,反而会因审查制度的实施提高用户对产品安全性的信心,促进企业产品市场的扩大。网络安全审查将对国内外企业和产品平等对待,不针对特定国家和地区的产品和服务,不会限制国外产品进入中国市场。

焦点五:网络安全审查和网民有什么关系?

【意见稿】重点审查网络产品和服务的安全性、可控性,主要包括:产品和服务被非法控制、干扰和中断运行的风险;产品和服务提供者利用提供产品和服务的便利条件非法收集、存储、处理、利用用户相关信息的风险;产品和服务提供者利用用户对产品和服务的依赖,实施不正当竞争或损害用户利益的风险等。

【解读】国家网信办相关负责人介绍,重点审查网络产品和服务的安全性、可控性,产品和服务提供者不得利用提供产品和服务的便利条件非法获取用户的信息,不能损害用户对自己信息的自主权、支配权;不得非法控制、操纵用户的系统或设备,用户自己的系统要用户自己控制;不得利用广大用户对产品和服务的依赖搞不正当竞争,谋取不正当利益,比如停止必要的安全服务、搞垄断经营等。目的是维护用户信息安全,维护国家安全和广大人民群众的合法权益。

焦点六:审查如何才会启动?

【意见稿】根据国家有关部门要求、全国性行业协会建议、市场反映和企业申请等,网络安全审查办公室组织第三方机构、专家对网络产品和服务进行网络安全审查。

【解读】国家网信办相关负责人介绍,网络安全审查办公室根据国家有关部门要求、全国性行业协会建议、市场反映和企业申请启动网络安全审查。同时,金融、电信、能源等重点行业主管部门,根据国家网络安全审查工作要求,组织开展本行业、本领域网络产品和服务安全审查工作。

左晓栋解释,比如某网络产品和服务,全国性行业协会经过研究认为这款产品和服务存在巨大网络安全漏洞,可能影响国家安全,就可以向审查委员会反映这个问题,审查委员会认为这种情况可能存在,就可以对该产品和服务在特定领域使用时进行安全审查。

 

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章