《网络产品和服务安全审查办法》一出,谁受影响最大?
↑ 点击上方“安全狗”关注我们
今天一上班,狗哥感到气氛有点不对,
为什么后排的小妹妹一直在直勾勾地看着我?
狗哥自诩一表人才(吹牛),她这么望着我难道是因为……
“狗哥,你昨天晚上没关电脑你知道吗?”
“然后呢?”
“你在看什么东西我都知道了!”
偷偷下载了某非全年龄段能看的漫画的狗哥心里一惊!
“……别别别求不说”
“什么不说?不就是网信办出了一个规定嘛,叫什么《网络产品和服务安全审查办法》,这是什么东西啊?”
狗哥松了一口气……
“这就是个新的法律法规嘛,闲来无事,研究一下。”
“什么产品和服务要被审查?怎么审查?谁来审查?跟网络安全企业有什么关系吗?能给我们带来业务吗?”
这一串连珠炮似的发问把狗哥搞晕了,于是下午就这些问题狗哥和妹子进行了一番友好而热烈的交流切磋,现在把文字版整理如下。
另外狗哥得到了两个教训,第一是不要想太多,第二是看某类型漫画得偷偷地……
A:《办法》第二条中说
“关系国家安全和公共利益的信息系统使用的重要网络产品和服务”
这里面有两个关键词,一个是“信息系统”,一个是“重要”。
展开来解释,那就是所要审查的信息系统,一定是关系到国家安全和公共利益的信息系统;在这个范围内,又是那些“重要”的网络产品和服务。
理论说清楚了,再来看看《办法》具体限定了哪些产品和服务。
《办法》第十条指出:
公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过网络安全审查。产品和服务是否影响国家安全由关键信息基础设施保护工作部门确定。
值得一提的是,中国的互联网发展极其迅速,所以这条法律的规定只能算作一个总纲,随着新科技网络产品的不断推陈出新和变化,它肯定是与时俱进、动态变化着的。
Q:《办法》的第三条是:
“坚持企业承诺与社会监督相结合,第三方评价与政府监管相结合,实验室检测、现场检查、在线监测、背景调查相结合,对网络产品和服务及其提供者进行网络安全审查”。
这说明了什么?
A:按照第一个问题的节奏,我们应该先找关键词。
有句话叫重要的话要说三遍,这里的关键词就出现了好几次:“结合”。
这说明了三件事情。
1、互联网发展日新月异,网络空间的治理,是一个既新又难的大命题,尤其网络安全问题,更是重中之重,也是难上加难。既然不可能快刀斩乱麻地解决问题,那么就应该综合各方力量,用更加全面的手段综合评估。
2、其实这一条提到的方法并非完全创新,而是在早已经过实践验证、行之有效的方法,那么充分利用已有的思路和方法,既提升效率,也节约成本。
3、虽然《办法》是事关国家安全的法律法规,但是,从审查方法以及全文来看,《办法》并不是一味强调政府权威,而是强调政府监管只是审查方法的其中一部分,是符合“依法治国”的路线的。
Q:《办法》第四条提出了几点意见:
网络安全审查重点审查网络产品和服务的安全性、可控性,主要包括:
(一)产品和服务自身的安全风险,以及被非法控制、干扰和中断运行的风险;
(二)产品及关键部件生产、测试、交付、技术支持过程中的供应链安全风险;
(三)产品和服务提供者利用提供产品和服务的便利条件非法收集、存储、处理、使用用户相关信息的风险;
(四)产品和服务提供者利用用户对产品和服务的依赖,损害网络安全和用户利益的风险;
(五)其他可能危害国家安全的风险。
如何看待?
A:第五条这种“打补丁”的如果不计算在内的话,这一条主要提出了四点意见,前三点自不必说,那是网络产品和服务应当确保的基本的安全保障,是对用户权益基本和必须的保障。
值得一提的是第四点,虽然可能不是直接的网络安全威胁,但它会成为一个口子,一个违反《国家反垄断法》的口子,也是会对用户信息系统和现实利益产生威胁的隐患。
Q:“国家依法认定网络安全审查第三方机构,承担网络安全审查中的第三方评价工作”,这个第三方机构从何而来?如何开展工作?又如何确保可控、透明、可信呢?
A:还是首先找关键词嘛,这一条的关键词是“依法认定”,这个法肯定包括《网络安全法》,这部法律快要实施了,拭目以待吧!
当然吹牛不犯法,狗哥可以来猜猜这个第三方机构要符合什么条件:
1、首先这家机构得有公信力;
2、其次这家机构必须具备相应的资质,无论是符合国家规定还是业界认可,起码水平要让人服气;
3、最后这家机构进行审查工作时,应当实现机制流程的可控、透明和公正。
Q:最后一个问题……
A:爱过。
Q:奏凯!(内心OS:我才不要狗的爱!)
我想问的是,对网络安全产业来说,《办法》的颁布有哪些影响?
A:(伤心10分钟先Orz)
影响主要有两个方面。
第一个,对服务供应商来说,他们的安全意识会提升。《办法》犹如一个撬棍,通过法规撬动市场的杠杆,让网络产品与服务提供商更加关注自身产品与服务的安全性,和对用户网络安全保障的服务力度;而不只是关心产品性能、功能、模式和便捷,而对产品安全和产品使用导致用户的隐患视而不见。只要企业都重视网络安全(而不是仅仅网络安全厂商跟在后面“擦屁股”)的话,互联网的安全指数毫无疑问将大幅提升。
第二,对安全厂商来讲是产业机遇。对于如何更加贴近中国用户,如何更加对用户有本地化安全服务,如何更加满足《办法》的审查要求,对于安全厂商来说不啻于新的考核标准。当互联网的参与者普遍重视起安全问题,谁的安全服务更加到位,对于用户来说是更加清楚的。
对于这一块儿,狗哥对自己还是相当有信心的!
往期精彩文章: