我國在2015年7月發佈了《國家安全法》,首次明確了國家建立國家安全審查和監管的制度和機制,其中明確了對影響或者可能影響國家安全的網路資訊技術産品和服務實施國家安全審查,有效預防和化解國家安全風險。2016年11月頒布了《網路安全法》,標誌著我國在網路安全方面形成了法律框架,其中明確了網路安全審查制度,具有重要意義,對審查工作提供了法律保障。
網路安全審查為企業設立了一個新的標桿,通過審查意味著産品和服務具備較高的安全性和可控性,對企業帶來的許多機會。網路産品安全性和可靠性引發的資訊洩露、系統故障等安全事件會造成使用者財産的重大損失或嚴重影響其日常生活,也會造成提供産品和服務的企業聲譽受損,最終影響到消費者對企業産品或服務的安全信心,而通過審查意味著企業産品或服務是相對安全的,能幫助客戶建立對企業産品和服務的信任感和安全感,最終提升企業在市場中的競爭力。
廠商必需在産品和服務設計時把安全性和可控性與産品功能和性能或服務內容一起考慮,這從根本上降低了系統和服務自身的風險,也促進了廠商安全技術能力的提升,同時為了通過供應鏈和人員背景的審查,企業也必將在這些方面建立相應管理制度,從而提高了廠商的安全管理能力。
網路安全審查順應了網路空間管理的國際趨勢,體現了國家提高産品和服務安全和可控的國家意志,必然會在國內逐漸落實,審查範圍和內容也會逐步擴大和深入。隨著審查制度的實施,我國資訊技術行業在安全性和可控性的技術和管理水準必將獲得很大發展。只有重視該項制度影響,並認真對待其帶來的挑戰,企業才能完善和提高自身産品和服務的安全性和可控性,緊跟行業的發展趨勢,獲得國家和社會對其産品的信心。
網路安全審查基於産品和服務的安全性和可控性實施審查,這就需要企業對其産品和服務在設計、生産、交付和供應鏈等各個階段的技術風險或管理風險進行梳理,並通過制定管理制度的方式實施管理。對於産品,管理制度主要考慮各階段實施控制,明確設計時要把功能、性能和安全性同時考慮,避免設計時考慮不週引入的風險,還需考慮到産品升級等後續問題,明確産品交付的控制手段,防止外部的風險,另外,通過引入供應鏈管理,確保産品生産的安全可控。對於服務,管理制度主要集中在以下幾點:首先,服務設計是否遵循安全可控原則,服務設計過程中是否對數據採集、保存、處理、傳輸等方面進行了管控。其次,服務過程中是否對服務進行了監控,確保服務能按照要求實施。還有,對關鍵崗位和供應商建立背景審查的管理程式,控制風險,需要時配合審查辦對企業實施的背景審查。(中國資訊安全認證中心 段靜輝)