国家网信办、发改委等12部门联合发布《网络安全审查办法》,今年6月1日起实施。网络安全审查重点评估采购网络产品和服务可能带来的国家安全风险,主要考虑因素包括:产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏,以及重要数据被窃取、泄露、毁损的风险;产品和服务供应中断对关键信息基础设施业务连续性的危害;产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险等。
全球网络攻击频发,据 Risk BasedSecurity 数据显示,2019 上半年,全球发生的网络安全事件达到3813起,同比增长54.06%;数据泄露达到41.85亿条,同比增长52.90%,网络安全状况进一步恶化。《网络安全审查办法》的发布有利于更好的提升国内信息安全和行业的发展,相关网络安全审查服务类公司望受益。
近年来,全球范围内针对关键信息基础设施的网络攻击行为不断攀升,涉及金融、医疗卫生、交通、能源、工业控制等领域,影响范围广泛、程度严重。2019年2月,全球知名安全企业赛门铁克发布报告称,2018年全球供应链网络攻击暴增78%,且2019年仍在持续扩大增长。这类攻击瞄准和利用第三方产品的安全漏洞或脆弱环节,通过入侵和感染联网设备、重要系统,造成设备破坏、系统崩溃、敏感数据丢失等后果,以实现对关键信息基础设施的破坏性打击。美国工控安全厂商Dragos发布报告称,北美电力、石油、天然气等能源基础设施部门都处于威胁之中,针对设备制造商、第三方服务提供商等的供应链攻陷成为主要攻击手段。
为加强对关键信息基础设施和重要信息系统的保护,确保信息产品和服务安全性,美国、英国、德国、澳大利亚、俄罗斯等国已纷纷建立网络安全审查制度。通过开展网络安全审查,预判和检查产品及服务投入使用后可能带来的网络安全风险,防范因供应链产品安全漏洞引发的安全事件,从源头上消除安全隐患。具体措施包括设立审查机构、完善法律法规、制定评估标准、开展第三方认证等,对于关键产品例如政府机构、交通、电力等领域的产品,从技术构成、安全性能、配套服务、交付方法等方面开展全面审查,排查安全风险和漏洞,降低安全隐患可能带来的风险。
对我国而言,《网络安全审查办法》是强化关键信息基础设施安全防护的适时之举。
伴随5G、工业互联网、大数据中心、云计算等新一代数字基础设施规模化建设和应用,越来越多重要信息系统将承载与国家安全和经济发展密切相关的核心业务和海量数据,但目前关键领域系统设备的网络安全状况仍有待改善。有关机构针对国内主流电力厂商的产品摸底测试发现,涉及28个厂商、70余个型号的产品中均发现了中高危漏洞,可能造成服务中断、信息泄露等。国家工业信息安全发展研究中心调查发现,很多知名工控厂商提供的设备中存在安全漏洞,其中中高危漏洞占较大比例,一旦被攻击入侵,将可能造成生产停滞、断水断电、重大经济损失等后果。
面对日益严峻的网络安全形势,开展严格的安全审查防堵安全漏洞和隐患,是现阶段防范安全风险的适时之举。此次,多部门联合出台《网络安全审查办法》,一是明确和细化了我国网络安全审查的具体要求,为关键信息基础设施运营者申报审查提供了指引。二是构建起了多部门协同配合的组织体系,为关键系统设备上线运行及服务采购设立了严格的安全门槛。三是建立了网络安全产品和服务安全风险预判机制,从识别威胁、化解风险的角度,推动安全关口前移,强化供应链安全风险管控,提升网络安全保障水平。
可以说,《网络安全审查办法》的发布实施,将为我国关键信息基础设施的持续稳定运行筑起一道安全底线,将在维护国家安全、经济发展和社会稳定方面持续发挥关键作用。