智東西5月13日消息,近日,國家互聯網信息辦公室等12部委聯合制定并發布《網絡安全審查辦法》,重點審查采購產品和服務可能給關鍵信息基礎設施運行及國家安全帶來的風險和危害,并對基礎設施相關運營主體和審查范圍給出了清晰的界定。
該辦法將于6月1日起正式實施,實施了將近三年的《網絡產品和服務安全審查辦法(試行)》同時廢止。
這一審查辦法的出臺,意味著涉及核心網絡設備、高性能計算機和服務器、大容量存儲設備、大型數據庫和應用軟件、網絡安全設備、云計算服務等產品和服務的歐美企業必須接受更嚴苛的中國網絡安全審查。如果不能通過審查,其產品及服務將禁止在中國銷售。
這是我國在頂層規劃下又一可實操性規定的出臺。隨著國際網絡空間博弈日趨復雜嚴峻,不安全的網絡產品和服務正成為針對關鍵信息基礎設施實施網絡非法控制和破壞活動的主要媒介,國家必須更為審慎地對待通過供應鏈滲透引入的國家安全風險,建立并實施有效的網絡安全審查制度意義重大。
同時,該辦法將為數字新基建保駕護航,并有望推動國產IT領域關鍵信息基礎設施供應商的發展。我國網絡安全行業正進入一個新的高速發展期,根據《廣證恒生》的報告,目前中國網絡安全市場年均增速超過20%,預計到2021年將到達926.8億元,其中僅國產化替代政府信息系統的實施就將帶來數萬億規模的增量市場。
一、覆蓋13個行業,重點考量五類因素
在中央網絡安全和信息化委員會領導下,國家互聯網信息辦公室會同國家發展和改革委員會、工業和信息化部、公安部、國家安全部、財政部、商務部、中國人民銀行、國家市場監督管理總局、國家廣播電視總局、國家保密局、國家密碼管理局聯合建立國家網絡安全審查工作機制。
1、出臺背景及法律責任
網絡安全審查屬于國家安全審查的一種,新辦法將目標精確為及早發現并避免采購產品和服務給關鍵信息基礎設施運行帶來風險和危害,保障關鍵信息基礎設施供應鏈安全,維護國家安全。
本辦法對關鍵信息基礎設施運營者采購的網絡產品和服務進行審查。電信、廣播電視、能源、金融、公路水路運輸、鐵路、民航、郵政、水利、應急管理、衛生健康、社會保障、國防科技工業等行業領域的重要網絡和信息系統運營者,在采購網絡產品和服務時,應當按照《辦法》要求考慮申報網絡安全審查。
網絡安全審查堅持防范網絡安全風險與促進先進技術應用相結合、過程公正透明與知識產權保護相結合,在保障國家安全的同時,兼顧到經濟和產業發展,并充分尊重運營者對自身安全狀況判斷的專業性。
也就是說,運營者應自行預判產品和服務投入使用后可能帶來的風險,督促產品和服務提供者履行網絡安全審查中做出的承諾。
如違反本辦法,根據《網絡安全法》第六十五條規定,應當申報網絡安全審查而沒有申報的,或者使用網絡安全審查未通過的產品和服務,由有關主管部門責令停止使用,處采購金額一倍以上十倍以下罰款;對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。
2、主要審查內容及考量因素
本辦法所稱網絡產品和服務主要指核心網絡設備、高性能計算機和服務器、大容量存儲設備、大型數據庫和應用軟件、網絡安全設備、云計算服務,以及其他對關鍵信息基礎設施安全有重要影響的網絡產品和服務。
重點評估因素如下:
(1)產品和服務使用后帶來的關鍵信息基礎設施被非法控制、遭受干擾或破壞,以及重要數據被竊取、泄露、毀損的風險;
(2)產品和服務供應中斷對關鍵信息基礎設施業務連續性的危害;
(3)產品和服務的安全性、開放性、透明性、來源的多樣性,供應渠道的可靠性以及因為政治、外交、貿易等因素導致供應中斷的風險;
(4)產品和服務提供者遵守中國法律、行政法規、部門規章情況;
(5)其他可能危害關鍵信息基礎設施安全和國家安全的因素。
3、申報及審查時限
關鍵信息基礎設施運營者應當在與產品和服務提供方正式簽署合同前申報網絡安全審查。
如果在簽署合同后申報,建議在合同中注明此合同須在產品和服務采購通過網絡安全審查后方可生效。
通常網絡安全審查在45個工作日內完成,情況復雜的會延長15個工作日。進入特別審查程序的審查項目,可能還需要45個工作日或者更長。
網絡安全審查辦公室應當自收到審查申報材料起,10個工作日內確定是否需要審查并書面通知運營者。被認為需要審查的,應當自向運營者發出書面通知之日起30個工作日內完成初步審查;情況復雜的,可以延長15個工作日。
網絡安全審查工作機制成員單位和相關關鍵信息基礎設施保護工作部門,應當自收到審查結論建議之日起15個工作日內書面回復意見。
根據本辦法要求,補充提供材料的時間不計入審查時限。
網絡安全審查辦公室設在國家互聯網信息辦公室,負責制定網絡安全審查相關制度規范,組織網絡安全審查。具體工作委托中國網絡安全審查技術與認證中心承擔。
中國網絡安全審查技術與認證中心在網絡安全審查辦公室的指導下,承擔接收申報材料、對申報材料進行形式審查、具體組織審查工作等任務。
二、對國外產品服務造成限制?
信息安全產業鏈主要由上游的基礎元器件商、基礎軟硬件供應商,中游的信息安全專門軟硬件提供商、信息安全服務集成提供商、各類信息安全咨詢/運維/測評/培訓等支撐機構以及下游的企業、個人客戶組成。
近年來國際形勢變化多端,政治、外交、貿易等非技術因素導致供應中斷的可能性增強,供應商的來源和供應商的可靠性等非技術性因素,已經成為多個國家評估供應鏈安全風險的重要方面。
從涉及網絡安全審查的產品和服務范圍來看,《網絡安全審查辦法》與信創高度重疊,除了核心網絡設備外,高性能計算機和服務器、大容量存儲設備、大型數據庫和應用軟件、云計算服務等與數據中心密切相關的設備產品赫然在列。
尤其在云計算環境中,服務器、主機使用到的芯片、操作系統等軟硬件,一旦遭到發生重大安全事故,將對云計算服務商造成難以挽回的影響,甚至導致用戶隱私信息的泄露。
這也意味著高通、蘋果、英特爾、惠普、微軟、亞馬遜等國際科技公司的產品及服務在進入國內時,將接受更為嚴苛的安全審查監督。
近日,國家互聯網信息辦公室有關負責人就《網絡安全審查辦法》答記者問時表示,網絡安全審查的目的是維護國家網絡安全,不是要限制或歧視國外產品和服務。“對外開放是我們的基本國策,我們歡迎國外產品和服務進入中國市場的政策沒有改變。”
與此同時,安全審查趨于嚴格,將越對頭部公司產生利好,關鍵信息基礎設施運營者的采購選擇會進一步集中于更安全可靠的頭部玩家。
隨著對國外進口產品及服務的安全考量更為審慎,《網絡安全審查辦法》的實施或有助于為信創推進鋪平道路,同時為數字新基建的發展提供供應鏈安全保障。
如今我國自主創新的國產IT基礎設施體系正在快速發展,正從可用努力走向好用階段。
例如今年5月6日,中國電信公布2020年服務器集中采購項目規模情況,預計集中采購服務器56314臺,并單獨列出給予國產CPU(鯤鵬和海光)服務器20%的份額,拉開信創產業的帷幕。這意味著國產IT基礎設施生態基本成形,且性能逐漸能夠滿足較多行業業務場景需求。
5月8日,包括龍芯、華為、飛騰在內的30家國家信創領域重點企業集中簽約落戶北京經開區,標志著信創產業的“四梁八柱”正式搭建,也意味著北京經開區在“新基建”建設方面再添新動能。
此次集中簽約落地的30個項目不僅包含國產自主核心芯片、操作系統等基礎軟件、創新型基礎硬件和重點集成服務四個領域企業,還囊括了5G技術、云計算、云存儲等新型基礎設施建設項目,代表著我國信息技術應用創新產業的前沿技術和自主生態建設能力。
目前北京經開區信創園已對接生態企業400余家,信創產業核心環節實現布局,產業生態搭建完成。項目2022年達產后,預計實現營收1000億元以上。
三、全球對網絡安全審查日趨嚴格
近年來,全球網絡空間博弈風云變幻,建立并適用網絡安全審查制度開始逐步成為國際通行做法,很多國家多次修訂政策法規以加強供應鏈安全的審查、評估。
美國早在2000年就率先在國家安全系統中對采購的產品進行安全審查;2013年11月,美國國防部規定國防系統及其合同商采購的產品和服務要經過供應鏈安全審查。
2014年,美國《綜合持續撥款法案》規定商務部、司法部、國家宇航局和國家科學基金會采購高影響或中度影響的信息技術系統之前,必須進行供應鏈安全審查,并評估可能出現的網絡間諜或破壞行為。
2019年美總統令《確保信息通信技術與服務供應鏈安全》、2020年《安全和可信通信網絡法》都建立了相應的網絡安全審查制度。
此外在過去兩年間,美國屢屢以國家安全為由而實施商業禁令。就在今年4月底,美國《國會山報(The Hill)》報道稱,美國參議員準備提出法案禁止政府雇員使用被視為國家安全威脅的中國公司的產品,特別提到了華為、中興和騰訊。
英國也是世界上網絡和信息化建設最先進的國家之一,在2009年出臺首個國家網絡安全戰略,并將網絡攻擊與恐怖主義、緊急民事、軍事危機等并列為英國國家安全面臨的一級威脅。
隨后英國在2011年、2016年發布了第二版、第三版國家網絡安全戰略。根據其戰略,英國將在2016~2021年期間投資約19億英鎊(約合166億人民幣)用于加強網絡安全和能力,還計劃撥款1.65億英鎊設立國防和網絡創新基金,以支持國防和安全領域的創新采購。
英國內閣辦公室在頒布的09/14號行動公告中同樣規定,自2014年10月1日起,中央政府信息技術采購特定信息技術產品和服務之前,例如采購參與處理個人信息和提供特定信息通信技術產品和服務,信息技術產品和服務的提供商應接受必要的安全審查。
我國對維護國家網絡空間的主權、安全和利益同樣愈發重視。2017年6月1日,我國正式實施《網絡產品和服務安全審查辦法(試行)》正式實施,隨后于2019年5月21日發布《網絡安全審查辦法(征求意見稿)》,廣泛征求各界意見。
在即將到來的6月1日,《網絡安全審查辦法》的正式出臺將開啟我國絡安全審查的新篇章,為我國開展網絡安全審查工作提供了重要的制度保障。
