读懂《网络安全审查办法》，绿盟科技帮你划重点

背景简述：“卡脖子”之痛

《办法》的发布实施，从背景来看最主要就是解决国家关键信息基础设施供应链安全的需求和痛点。多年前，有学者用“玻璃龙”来形容我国的网络设施的状况，现在来看仍然部分适用。受限于我国电子信息和软件产业发展起步晚等现实条件，我国信息基础设施建设长久以来存在基础供应保障不足、网络和信息安全潜在风险隐患大等突出问题，而这些问题更加突出的集中体现到关键信息基础设施上，安全亟待全面加强。关键信息基础设施安全风险归纳来看，主要有三类，即：系统完整性风险、业务连续性风险、供应可持续性风险。

这三类风险不能代表全部的风险，但却是我国关键信息基础设施正常运行的“卡脖子”问题。因此亟待出台专门法规，通过管理提升与约束，加以预防、直至消除风险。

内容的演进：六大变化透视四个趋势

《办法》的前身是《网络产品和服务安全审查办法（试行）》（以下简称《试行办法》）。《试行办法》自2017年6月1日起实施，截至新法生效刚好满三年。尽管名称有所不同，但两部规章立足点均为加强对采购网络产品和服务行为的监管。

从具体内容来看，区别主要如下表所示：

从这六个方面具体内容的变化，我们可以看出网络安全审查工作关注点的变化和趋势，以下概括为“四个注重”。

一是注重审查对象的聚焦。从以前的“关系国家安全的网络和信息系统采购的重要网络产品和服务”，聚焦到“关键信息基础设施运营者采购网络产品和服务，影响或可能影响国家安全的”。对于采购行为主体的限定，很大程度上反映了管理者突出和强化安全防护重点的思路，即：适度安全。这一思路也可以理解为习总书记“整体国家安全观”中，关于安全和发展关系理论在网络安全审查工作中的具体体现。通过网络安全审查工作，在加强供应链安全管理的同时，更加注重效率的提升，注重以安全促发展，与《办法》所秉承的“促进先进技术应用”等原则一脉相承。

二是注重审查工作权威性。这一点从审查主体的演变上反映的较为明显。《试行办法》施行期间由网络安全审查委员会及其办公室具体组织网络安全审查，《办法》发布后，审查主体仍为网络安全审查委员会及其办公室，但管理体系更加明确，即：“中央网信委统一领导网络安全审查工作，由国家网络安全审查办公室会同11个国务院组成部门和直属机构共同建立网络安全审查工作机制”。可见，在审查管理体系更加完善的同时，网络安全审查工作的重要性也得到空前凸显，定位于党和国家为强化网络安全保障体系而开展的一项具有重大战略工作。

三是注重审查工作可操作性。这集中反映在审查方式的变化上。将网络安全审查的具体组织工作授权中国网络安全审查技术与认证中心来实施，体现了“专业的人做专业的事”这一分工思想。一方面，可以将国家相关职能部门从巨大的工作量中解脱出来，更专注于政策、标准和规划等宏观管理工作；另一方面，也能够加快推进网络安全审查工作的专业化、规范化进程，进而提高我国网络安全审查工作的水平和能力。

四是注重审查工作的实效。这一特点和趋势可以从网络安全发展的实际需求以及时代背景的演变两个角度来分析。《办法》在网络安全审查结果的运用方面，有一个较为明显的变化，即审查结果的发布范围更加限定在特定范围，更加注重审查结果与审查对象的相关性。换句话说，就是审查结果不再是“通报”而是“通知”。一字之差，其背后反映了我们的网络安全审查管理思路兼顾了国际、国内两大背景。从国内来看就是解决现实的网络安全风险，直接“对症下药”，而不是仅停留在技术宣示层面；从国际来看，强化自身关键信息基础设施的安全是各主权国家通行的做法，我们无需、也没有必要刻意回应某些国家的旁敲侧击，“发展才是硬道理”。

主要内容回顾：五个重点+二类流程

《办法》对于网络安全审查工作的重点内容和主要流程做出了相比之前更加明晰具体的规定。在此仅从审查对象、审查重点和审查流程三个方面作简要回顾。

一是审查对象。《办法》第二条明确规定了“关键信息基础设施运营者采购网络产品和服务，影响或可能影响国家安全的，应当按照本办法进行网络安全审查”。即，审查对象是“采购网络产品和服务”的行为，而这一行为需加以严格限定，即主体是“关键信息基础设施运营者”，条件是“影响或可能影响国家安全”。

二是审查重点。《办法》第九条明确规定了五个方面的审查重点（具体内容见下图）。可以归纳为“四性”，即关键信息基础设施系统完整性、关键信息基础设施业务连续性、关键信息基础设施供应可持续性、关键信息基础设施供应者守法合规性。

三是审查程序。《办法》第六条至第十五条，按照启动程序主体的不同，规定了网络安全审查的两类程序。这种审查程序的设计，充分考虑了网络安全审查中不同安全发现机制的差异，并通过设置特别程序机制，对网络安全审查的审慎性给出了制度保障。具体流程如下图所示。

影响分析：企业当自强

《办法》的生效实施，将对我们当前社会发展的诸多方面产生不同影响。以下从国家、行业、企业三个层面加以分析。

《办法》的发布实施，在国家层面将产生两方面的积极影响。

一是为我们信守的互联网发展“四项原则”、“五点主张”增加有力注脚、注入新的活力。《办法》规定了要审查的内容，从具体内容中可以明确看出，网络安全审查的目的是维护国家网络安全，而不是要限制或歧视国外产品和服务，这是对某些强权国家长久以来诋毁能事的有力回击。

二是为加强和健全我国网络安全保障体系添砖加瓦，《办法》的出台将弥补我国在关键信息基础设施供应链安全方面的短板，并势将成为构筑网信供应链安全体系的重要基石。

从网信行业的整体层面来看，《办法》最大的影响就是如何贯彻实施，要首先搞清两个合规前提。

一是要搞清作为需求侧的“关键信息基础设施”的范围。从目前的相关法规和规定来看，对关键信息基础设施范围规定最明确的是《关于键信息基础设施安全保护工作有关事项的通知》（中央网信息委）：“电信、广播电视、能源、金融、公路水路运输、铁路、民航、邮政、水利、应急管理、卫生健康、社会保障、国防科技工业等行业领域”。当然，这一范围将随着《关键信息基础设施保护条例》的最终定稿和实施，未来会有更加清晰。

二是要搞清作为供给侧的“网络产品和服务”的范畴。《办法》在第20条规定了“核心网络设备、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务，以及其他对关键信息基础设施安全有重要影响的网络产品和服务”，其中的“网络安全设备”可做广义的理解，即《网络安全法》第23条所规定的“网络关键设备和网络安全专用产品”。《网络关键设备和网络安全专用产品目录（第一批）》（2017年6月，国家网信办会同工信部、公安部、国家认监委发布）对于产品门类进行了细分：包括路由器、交换机、服务器（机架式）、PLC设备４种网络关键设备，以及数据备份一体机、防火墙、入侵检测系统等11种网络安全专用产品。需要尤其注意的一点就是，纳入目录的产品必须要依据相关强制标准通过安全认证或者安全检测符合要求后，才可进入市场。

对于网络产品和服务供应商而言，《办法》实施带来的影响是多方面，我们这里将从合同的签署周期的角度，归纳为三个方面。

一是合同签署前，《办法》规定了关键信息基础设施运营者要“预判”采购的安全风险，就具体的预判工作而言，或许对供应商是个新商机。供应商可以充分发挥自身在安全风险评估方面的能力，促进产品和服务销售达成，也可以将安全风险评估能力作为独立的产品服务模块推出。

二是合同签署过程中，根据国家网信办在《办法》答记者问时的答复，安全审查是否通过，是采购合同生效与否的前置条件。这样一来，就会对合同的签署带来至少两种可能性：一个是合同签署前的投入存在归零风险， 另一个是合同签署时间迟延可能影响交付义务履行。

三是在合同签署后的履约阶段，《办法》规定运营者应当督促产品和服务提供者履行网络安全审查中作出的承诺、并规定了网络安全审查办公室加强事前事中事后监督的职责。由此可以看到，供应商在履约过程中，存在至少来自两方面的监管：来自关键信息基础设施运营者的监管、来自主管部门的监管，第一种监管是直接监管，即监管本身就是履行协议内容或者协议的前提条件，第二种监管是间接监管，即是主管部门对运营者监管责任的向下传递，这两种监管都会对供应商带来切实的影响和风险。

《办法》的正式生效实施，无疑将成为我国网络安全管理工作的一个新的里程碑，无论是管理者、运营者都会面临发展变革。在这种背景下，作为最基础保障支撑力量的网络安全企业，如何借此契机，在大潮中谋求更大发展，值得我们深入探讨和持续研究。