《网络安全法》强化网络产品和服务采购的安全保障
《网络安全法》强化网络产品和服务采购的安全保障
发布日期:2017-05-24字号:[ ]

     2016117日,《网络安全法》正式公布,其中第三十五条规定,“关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查”,强化了关键信息基础设施网络产品和服务采购的安全保障。

  由网络产品和服务部署引入的安全风险通常始于采购环节,强化关键信息基础设施采购安全保障对于提升国家网络安全保障能力意义重大。随着信息技术供应链全球化趋势的加强,网络产品和服务的安全边界变得更加模糊,安全风险将有更多的渗透渠道,任何产品和服务规格的变化、业务外包活动、技术更新升级或供应商关系的变化都将直接影响网络产品和服务的安全性和可信性,进而影响国家整体的网络安全水平。近期发生的美国和新加坡网络大规模瘫痪事件充分展示了由网络产品和服务引入安全风险的可怕后果。在“棱镜事件”之后,全球网络安全的可信环境跌入冰点,特别是在供应商可以访问关键信息基础设施的情况下,缺乏审查和安全保障的网络产品和服务将是致命的。

  针对网络产品和服务的安全性,尽管各国均建立了完备的认证认可体系,但这种纯粹的技术性验证属于典型的风险“节点控制”方法,对于通过认证认可的网络安全产品和服务是否仍然存在风险,在后续的支持性服务中是否会引入额外风险,提供访问权限的供应商是否可信等现实问题并不能提供有效保障。同时,“攻击先于防御”的现实问题也导致认证认可只能对已知的风险进行防范。20157月意大利黑客公司“Hacking Team”泄露的资料显示,该公司向多国政府出售漏洞进行监控或入侵,传统的认证方法对此几乎无法识别和防范。有鉴于此,《网络安全法》第七十六条明确了“网络安全”的定义,将其界定为“防范对网络的攻击、入侵、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络存储、传输、处理信息的完整性、保密性、可用性的能力。”而网络安全审查正是实现网络安全的具体保障方法。

  《网络安全法》所建立的网络安全审查制度针对的是网络产品和服务采购活动本身,属于一种综合性的风险控制方法,对于安全性的判断需要充分评估关键信息基础设施运营者采购活动对国家政权、主权、统一和领土完整、人民福祉、经济社会可持续发展和国家其他重大利益持续安全状态的潜在影响,不仅针对网络产品和服务技术方面的安全性进行评估,还可能对能够访问关键信息基础设施的供应商人员实施必要的背景审查,对信息技术供应链的整体安全保障水平进行审查等。

  在全球范围内,网络安全审查已经成为各国政府关注的重要议题,以应对日益严峻的网络安全威胁态势,弥补认证认可等传统审查方法的不足。例如,美国在《2015年的合并与持续拨款法案中》第515条款中明确规定美国商务部、司法部、国家宇航局和国家科学基金会必须对属于NIST标准规定的“高影响”和“中度影响”的联邦信息系统采购活动进行供应链风险审查,对潜在的网络间谍或破坏活动进行识别和防范。我国面临的网络安全风险与世界是同步的,建立网络安全审查制度势在必行。目前需要考虑的核心问题是如何依据《网络安全法》有效开展和实施网络安全审查活动。鉴于《网络安全法》的基本法性质,其并未规定网络安全审查的细节,需要在后续工作中逐步制定和完善网络安全审查的具体办法和标准,用以指导网络安全审查机构公正合法地实施审查活动,指引网络产品和服务供应商切实履行安全保障义务,提升整体国家网络安全的保障能力。(西安交通大学信息安全法律研究中心马宁)

 

 


当前位置:首页
>政务公开>信息公开目录>政策法规>政策解读
索引号: 630000/2017-00116 组配分类: 政策解读 发布机构: 青海省测绘地理信息局
生成日期: 2017-05-24 公开方式: 主动公开 公开形式:网站
《网络安全法》强化网络产品和服务采购的安全保障
发布时间:2017-05-24浏览次数:字体:【

     2016117日,《网络安全法》正式公布,其中第三十五条规定,“关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查”,强化了关键信息基础设施网络产品和服务采购的安全保障。

  由网络产品和服务部署引入的安全风险通常始于采购环节,强化关键信息基础设施采购安全保障对于提升国家网络安全保障能力意义重大。随着信息技术供应链全球化趋势的加强,网络产品和服务的安全边界变得更加模糊,安全风险将有更多的渗透渠道,任何产品和服务规格的变化、业务外包活动、技术更新升级或供应商关系的变化都将直接影响网络产品和服务的安全性和可信性,进而影响国家整体的网络安全水平。近期发生的美国和新加坡网络大规模瘫痪事件充分展示了由网络产品和服务引入安全风险的可怕后果。在“棱镜事件”之后,全球网络安全的可信环境跌入冰点,特别是在供应商可以访问关键信息基础设施的情况下,缺乏审查和安全保障的网络产品和服务将是致命的。

  针对网络产品和服务的安全性,尽管各国均建立了完备的认证认可体系,但这种纯粹的技术性验证属于典型的风险“节点控制”方法,对于通过认证认可的网络安全产品和服务是否仍然存在风险,在后续的支持性服务中是否会引入额外风险,提供访问权限的供应商是否可信等现实问题并不能提供有效保障。同时,“攻击先于防御”的现实问题也导致认证认可只能对已知的风险进行防范。20157月意大利黑客公司“Hacking Team”泄露的资料显示,该公司向多国政府出售漏洞进行监控或入侵,传统的认证方法对此几乎无法识别和防范。有鉴于此,《网络安全法》第七十六条明确了“网络安全”的定义,将其界定为“防范对网络的攻击、入侵、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络存储、传输、处理信息的完整性、保密性、可用性的能力。”而网络安全审查正是实现网络安全的具体保障方法。

  《网络安全法》所建立的网络安全审查制度针对的是网络产品和服务采购活动本身,属于一种综合性的风险控制方法,对于安全性的判断需要充分评估关键信息基础设施运营者采购活动对国家政权、主权、统一和领土完整、人民福祉、经济社会可持续发展和国家其他重大利益持续安全状态的潜在影响,不仅针对网络产品和服务技术方面的安全性进行评估,还可能对能够访问关键信息基础设施的供应商人员实施必要的背景审查,对信息技术供应链的整体安全保障水平进行审查等。

  在全球范围内,网络安全审查已经成为各国政府关注的重要议题,以应对日益严峻的网络安全威胁态势,弥补认证认可等传统审查方法的不足。例如,美国在《2015年的合并与持续拨款法案中》第515条款中明确规定美国商务部、司法部、国家宇航局和国家科学基金会必须对属于NIST标准规定的“高影响”和“中度影响”的联邦信息系统采购活动进行供应链风险审查,对潜在的网络间谍或破坏活动进行识别和防范。我国面临的网络安全风险与世界是同步的,建立网络安全审查制度势在必行。目前需要考虑的核心问题是如何依据《网络安全法》有效开展和实施网络安全审查活动。鉴于《网络安全法》的基本法性质,其并未规定网络安全审查的细节,需要在后续工作中逐步制定和完善网络安全审查的具体办法和标准,用以指导网络安全审查机构公正合法地实施审查活动,指引网络产品和服务供应商切实履行安全保障义务,提升整体国家网络安全的保障能力。(西安交通大学信息安全法律研究中心马宁)

 

 

分享到:
0
【打印本页】【关闭本页】

Produced By 大汉网络 大汉版通发布系统